Aula Conceitos Computacao Forense Dfir
Aula Conceitos Computacao Forense Dfir
Aula Conceitos Computacao Forense Dfir
Forense
1
Who am I
Sandro Melo - Profissional com experiência em empresas no
Brasil, EUA e Europa. Atualmente faz parte do time de
segurança de umas das maiores empresa de pagamentos por
meio eletrônicos de abrangência global, também é um
Cybersecurity e Linux evangelista, Professor Doutor em
Tecnologias Digitais pelo TIDD/PUC-SP, Mestre em Engenharia
da Computação pelo IPT (área de concentração Redes de
Computadores); Pós-graduado em Análise de Sistemas e
Graduação em Processamento de Dados pela Universidade
Mackenzie; curso de extensão em Cibersegurança pela
Universidade de Syracuse-USA. Possui algumas certificações,
entre elas: Eccouncil CEI, CEH, CHFI, Comptia CSAP, CCNA
CyberOPS; Exin EHF; LFCE; LP Level 3; Suse Linux Engineer entre
outras. Instrutor da ESR/RNP, CompTIA e ECCOUNCIL. É
palestrante assíduo em eventos de Software Livre e Cyber
Segurança no Brasil e no exterior, tendo realizado palestras e
workshops em diversos eventos tais como: CNASI, COALTI,
FISL, LATINOWARE e em outros países como: Paraguai, EUA,
Bélgica e Holanda, também é autor de 8 livros. Quando não está
trabalhando ou brincando com seu filho, pode ser encontrado
experimentando as mais recentes versões de ferramentas de
segurança FOSS ou instalando novas versões dos mesmos
Sistemas Operacionais como Unix, como Linux, FreeBSD ou
Mac OSX… simplesmente porque acha divertido e tem uma
paixão profunda pelo seu trabalho.
2
Introdução - parte 1
01 Conceitos
Iniciais 03 Etapas da
Computação Forense
02 04
Investigação vs
Computação Conclusão
Forense
3
Conceitos Iniciais
4
É necessário enfatizar que em
as Metodologias, técnicas e
Introdução
ferramentas de Computação
Forense, fazem parte do
contexto de Resposta a
A Computação Forense é Incidente de segurança. Essa
uma abordagem científica aula seguirá o viés técnico
que inicialmente nasceu considerando o cenário
para suportar demandas corporativo.
da área criminal.
5
Prevenir é o
melhor remédio.
Resposta a Incidentes
Quando o pior já aconteceu
o que resta é mitigar.
Computação Forense
6
Prof. Sandro Melo - [email protected]
Introdução - parte 1
01
Conceitos
Iniciais 03 Etapas da
Computação Forense
02 04
Investigação vs
Computação Conclusão
Forense
7
Estado da Arte
8
Investigação
versus
Computação Forense
9
Investigação Digital
Procedimento em que se desenvolvem e se testam hipóteses
para comprovar se elas suportam ou desmentem os indícios
que se materializam no meio digital.
A abordagem de realizar aquisição de dados forenses, como
disco rígido e imagens de memória.
É uma abordagem comum uma investigação digital, que em
muitos cenários seria o suficiente para dar subsídios para que
seja feita uma análise da causa raiz do incidente investigado
10
Prof. Sandro Melo - [email protected]
Investigação Digital
Em alguns ataques mais sofiticados com malware do tipo "fileless",
a abordagem tradicional pode não ser suficiente para um
entendimento mais amplo.
Malware "fileless" em geral deixam pouco rastros, quando deixam, e
a maioria das desses rastros estarão residentes na memória
principal (RAM).
Ainda que uma análise de um dump de memória possibilite a
visibilidade e conhecimento processos e outros dados coletados "in
vivo" no sistema comprometido, ainda sim é uma análise estática, ou
seja uma "fotografia" do estado do sistema operacional no momento
da coleta. Não sendo possível interagir o mesmo mensuram ações
subsequentes.
11
Prof. Sandro Melo - [email protected]
Investigação Digital
Vincula ciência e/ou tecnologia de computação à investigação.
Apropriação da INVESTIGAÇÃO DIGITAL para confirmar fatos ou
evidências capazes de apoiar decisões judiciais.
12
Prof. Sandro Melo - [email protected]
Computação Forense
Ramo relativamente novo da Ciência da Computação no campo da
segurança digital, destinada a apoiar julgamentos de crimes.
13
Prof. Sandro Melo - [email protected]
Perícia
Perícia: investigação, pesquisa, exame atento; coleta de vestígios,
análise de evidências.
Forense: relativo ao foro, tribunal, local onde se processam as ações
do poder judiciário.
Digital: método de codificação de informações baseado em números
ou dígitos
14
Prof. Sandro Melo - [email protected]
Onde se aplica?
Em ocorrências do meio eletrônico, em sua maioria via Internet, para:
● Provar fatos;
● Combater pedofilia;
● Combater fraudes financeiras;
● Identificar espionagem industrial;
● Sustentar atos de demissão ou quebra de contrato;
● Comprovar violação de políticas da corporação;
● Comprovar autoria de invasão de privacidade;
● Ajudar na recuperação dos dados;
15
Prof. Sandro Melo - [email protected]
PRINCÍPIO DE LOCARD
16
Prof. Sandro Melo - [email protected]
Boas Práticas
Do ponto de vista corporativo o uso das boas Práticas de
Computação Forense com suporte a Resposta a Incidente, torna-se
um caminho a ser seguido pelos profissionais de segurança.
A ratificação para esta afirmação está no fato de normas como
ISO27002 e a PCI-DSS dedicam tópicos a resposta da incidente.
Neste cenário a invasão de sistema é um tipo de incidente que
demanda a capacitação e uso de práticas de Forense Digital para
uma tratativa eficiente.
17
Prof. Sandro Melo - [email protected]
Princípios Forense
Registrar tudo
Analisar todas as evidências coletadas
Relatar tudo o que encontrar
Minimizar perda de dados
18
Prof. Sandro Melo - [email protected]
Metodologia Forense
● Verificar estações e rede
● Descrever a arquitetura do sistema
● Coletar artefatos (logs, arquivos e imagens)
● Criar e analisar “Linha de Tempo”
● Analisar o tipo de Sistema Operacional
● Recuperar dados
● Buscar palavras
● Redigir relatório
19
Prof. Sandro Melo - [email protected]
Análise Inicial
É possível realizar vários tipos de testes com o objetivo buscar
dados periciais (pista, evidências, provas) e artefatos relacionado ao
Incidente de Segurança que está sendo Investigado.
Ter o conhecimento do Modus Operandi do invasor auxilia ao Perito
Forense Computacional em sua atividade, formas diferentes e
furtivas de agir sempre serão um desafio.
Por outro lado o Modus Operandi tradicional de invasores com
conhecimento técnicos não tão arrojados após ganhar acesso,
normalmente consiste em ações Pós-invasão, que poderam gerar
dados periciais mais consistentes..
20
Prof. Sandro Melo - [email protected]
Modus Operandi (invasão de um sistema)
Identifica o alvo
Boas práticas de
Busca vulnerabilidades segurança sugerem
e correlaciona com registrar a atividade da
meios de exploração rede no servidor, no
sistema IDS/IPS e em
replicas de servidores.
Esses recursos permitem
Compromete estação rastrear incidentes e
Aumenta privilégios eventos ocorridos antes
da invasão se consumar
Reconhece sistema e
torna-se invisível
21
Prof. Sandro Melo - [email protected]
Modus Operandi (invasão de um sistema)
Reconhece recursos
do sistema
Instala backdoors, A investigação forense volta-se
trojans, rootkit para o interior do sistema em
busca de artefatos (malwares
Limpa rastros instalados e scripts plantados
Mantém o privilégio pelo invasor) e modificações em
de acesso e retornar qualquer tipo de arquivo,
quando quiser e incluindo de configuração e
sem dificuldades executáveis.
pela backdoor
22
Prof. Sandro Melo - [email protected]
Modus Operandi versus Evidências
Análise de Vulnerabilidades
Possibilidade de Evidência
Força Bruta
Enumeração
Varreduras Syscall
Buffer Proxy
Fingerprint Overflow e variantes
Footprint Engenharia Social
Instalação de Malware
Técnicas de Cleanlogs
Técnicas Anti-Forense
01
Conceitos
Iniciais 03 Etapas da
Computação Forense
02 04
Investigação vs
Computação Conclusão
Forense
25
Etapas da
Computação
Forense
26
Forense
de Memória
27
Forense de Memória
Forense
Post Mortem
For de
e e
Me nse r
s
en ória
mó de o
F em
ria
Forense
M
Forense
In Vivo de Rede
28
Volatilidade
29
Volatilidade vs Tempo de Vida
Mídias NETWORK
Disco FORENSE
Tempo de Vida
31
Linux e FreeBSB
Os Sistemas Operacionais LINUX e FreeBSD são as plataformas
muito utilizadas por Peritos Forenses, devido:
● Suportar vários sistemas de arquivos;
● Não contaminar as evidências;
● Criar ambiente para análise dinamica de artefatos
● Proporcionar total controle sobre a investigação
● Disponibilizar ferramentas FOSS
● (Free and Open Source Software);
32
Prof. Sandro Melo - [email protected]
Distribuições Linux customizadas
- Forense de Rede
- Suporte a Resposta a Incidente
- Forense Post Mortem de mídias
- Forense de Dispositivos Móveis
- Forense de Memória
- Análise dinâmica de Malware
- Análise Estática de Malware
DEBIAN/UBUNTU
33
Introdução - parte 1
01
Conceitos
Iniciais
03 Etapas da
Computação Forense
02 04
Investigação vs
Computação Conclusão
Forense
34
Conclusão
As Técnicas e Ferramentas de Computação Forense podem
ser usadas para suportar asações de uma Resposta a
Incidente.
O número de FOSS ferramentas de qualidade é significativo.
35
Prof. Sandro Melo - [email protected]
Dúvidas?
[email protected]
https://www.linkedin.com/in/sandromelo
37