Computação Forense 2

Fazer download em pdf ou txt
Fazer download em pdf ou txt
Você está na página 1de 16

Investigação

Inserir Título eAqui


Perícia
Inserir Título
Forense em Computação
Aqui
Computação Forense

Responsável pelo Conteúdo:


Prof. Ms. Sandro Pereira de Melo

Revisão Textual:
Profa. Dra. Selma Aparecida Cesarin
Computação Forense

Nesta unidade, trabalharemos os seguintes tópicos:


• Introdução ao Tema
• Orientações para leitura Obrigatória
• Material Complementar

Fonte: iStock/Getty Images


Objetivos
• Estudo de temáticas relevantes para o contexto de Segurança de Informação, com
ênfase no que tange à aplicação de técnicas para Resposta a Incidentes de Segurança
Computacional, que poderão ser desde um incidente, como o uso indevido de uma
credencial por colaboradores de uma mesma Empresa, até uma fraude ou um ataque
cibernético direcionado.

Caro Aluno(a)!

Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o
último momento o acesso ao estudo, o que implicará o não aprofundamento no material
trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas.

Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você
poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns
dias e determinar como o seu “momento do estudo”.

No material de cada Unidade, há videoaulas e leituras indicadas, assim como sugestões


de materiais complementares, elementos didáticos que ampliarão sua interpretação e
auxiliarão o pleno entendimento dos temas abordados.

Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de
discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de
propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de
troca de ideias e aprendizagem.

Bons Estudos!
UNIDADE
Computação Forense

Introdução ao Tema
Contextualização sobre a Computação Forense
Esta unidade tem como objetivo abordar dois temas importantes: Pentest e Compu-
tação Forense.

Mas qual a relação desse temas com a Segurança da Informação?

Forense de Rede
A Forense de Rede pode ser compreendida como a ação do Perito em coletar
dados de todos os ativos de redes envolvidos com um Incidente de Segurança para que,
durante a Forense post mortem, esses dados sejam correlacionados com os demais
dados periciais coletados na Forense in vivo e reforcem tanto os argumentos, quanto
as conclusões sobre a ação do invasor. Técnicas e ferramentas para Forense de Rede
são empregadas ao longo de toda a perícia, da Forense in vivo à Forense post mortem.

Inovações baseadas em Malwares, que se comunicam por meio de recursos


criptográficos, geram dados periciais pouco úteis. Resta como evidência uma determinada
comunicação indecifrável estabelecida entre computadores.

Caso Malwares participem de um Incidente de Segurança, em especial backdoors,


combinados com formas furtivas do tipo Cover Channel, Connect Back, Criptografia
com datagramas UDP ou ICMP e conexões do tipo Raw Sockets, fatalmente, a
informação passará despercebida por um sistema de IDS ou IPS.

Os dados periciais levantados na Forense de Rede podem ser pouco esclarecedores


ou muito difíceis de serem capturados. A eficiência dos procedimentos e o sucesso de
uma Forense de Rede estão vinculados à quantificação de métodos de comunicação de
rede criptográficos utilizados. Mesmo diante de eventuais dificuldades, dispor de fontes
de informações é melhor do que não tê-las.

Cabe ao Perito a tarefa de coletar dados de todos os ativos disponíveis e garimpar.


Um fio de cabelo aqui, uma gota de sangue ou sêmen ali, um fragmento de impressão
digital acolá são peças de um quebra cabeças que podem compor um cenário e esclare-
cer um caso.

No mundo digital, esses fragmentos podem estar distribuídos em registros de eventos


presentes em:
• IDS;
• IPS;
• Servidor de Logs;
• Conexões capturadas por Sniffers.

6
Objetivo da Forense de Rede
O trabalho consiste em uma busca detalhada nos registros de Sistema de Detecção
de Intrusão para responder a questões acerca da anatomia de uma intrusão, tais como:
• O invasor utilizou técnicas de levantamento de dados, como footprint, fingerprint
e port scanner?;
• É possível identificar as técnicas utilizadas?;
• Ocorreu invasão ou uma ação resultante da atividade de um Malware do tipo worm?

Em um contexto em que tenha ocorrido um caso de invasão:


• A ameaça explorou vulnerabilidade de um programa utilizado ou ocorreu falha
operacional?
• Qual vulnerabilidade foi explorada?;
• Por meio de qual serviço?;
• O acesso inicial foi efetivado a partir de um usuário comum ou de um usuário
de sistema?;
• Ocorreu escala de privilégio?;
• Houve falha de segurança que possibilitou acesso no nível de administrador?;
• Após ganhar acesso ao sistema, o invasor instalou backdoor ou Rootkit?;
• É possível recuperar o código fonte ou os binários instalados pelo invasor?;
• Quais os artefatos recuperados?;
• É possível identificar a tentativa de eliminação de rastros (cleanlogs) ou o uso de
técnica antiforense?

A Forense de Rede possibilita ao Perito Forense reconstruir muitas ações com riqueza
de detalhes, a partir de dados capturados de comunicação de redes.

Forense de Memória
Parte da Computação Forense destinada à extração de informações para identificar
evidências sobre incidentes de computador a partir de informações da memória RAM.
Consiste em um processo de captura dos dados da memória RAM, por meio da criação
de um arquivo de DUMP da memória, para uma posterior análise.

O Dump de memória é um arquivo com a cópia das informações da memória RAM


no momento que foi criado, sendo uma réplica de todos os dados armazenados em
memória RAM até o momento da intervenção do Analista de Segurança/Perito, embora
seja, atualmente, uma parte da Computação Forense que passou a ter maior importância
devido à evolução das ferramentas de análise.

7
7
UNIDADE
Computação Forense

É fato que a Forense Memória torna-se cada vez mais estratégica diante de um
cenário de sistemas computacionais com grande capacidade de armazenamento, uso da
virtualização e Computação nas Nuvens.

Sendo importante se lembrar de que, embora a memória RAM seja volátil, essa
volatilidade pode variar de acordo com o contexto, ou seja, ainda existe a possibilidade
de recuperação de dados da memória RAM após o desligamento da máquina.

Deve-se compreender que muitos dados que poderiam ser úteis a uma perícia
correm o risco de serem perdidos no desligamento do sistema ou mesmo de serem
reescritos no funcionamento normal do sistema. Dessa forma, a criação de um DUMP
de memória torna-se necessária para o perito ter uma “fotografia” real do estado do
sistema operacional comprometido.

Essa característica é devida à forma como a memória RAM funciona. Embora


diferente de uma mídia de memória secundária de armazenamento (por exemplo: disco
Rígido, Pendrive), tem uma taxa de persistência de um dado em um área não alocada
de memória que é muito menor.

É interessante destacar que discos SSD tem um funcionamento similar a um pente de


memória no que tange ao método de acesso às áreas não alocadas. Dessa forma, eles
também têm tendência à baixa persistência de dados em área não alocadas.

Configurando uma Estação Forense Baseada em Linux


Obviamente, seria pretensão do ponto de vista de hardware a concepção de uma
estação forense de baixo custo, pois a limitação para coleta de diferentes tipos de
dispositivo é um grande desafio, o que motiva o alto custo de muitas estações foren-
ses convencionais.

Entretanto, pelo ponto de vista do software, é justo assumir que a quantidade de


ferramentas FLOSS (Free Libre Open Source Software) disponíveis, possibilita, sim,
a concepção de um servidor para perícia com igual capacidade de recursos de muitas
estações forense.

Assim sendo, é factível realizar a configuração de uma estação forense que possibilite:
• Suporte para a Resposta à Incidente;
• Análise post mortem de mídias;
• Análise de dados periciais de Rede;
• Análise Forense de Dispositivos Móveis;
• Análise de Dump de Memória;
• Análise Dinâmica de Malware;
• Análise Estática de Malware.

8
Essa proposta considera combinar os recursos de três interessantes projetos de distri-
buições personalizadas para diferentes tipos de forenses computacionais:
• SIFT Forensics: Reúne ferramentas para vários tipos de forense, com ênfase em
ferramentas para Forense: in vivo, post mortem, de Rede e Memória;
• Santoku Forensics: Embora reúna vários tipos de ferramentas, é uma distribuição
personalizada para dar suporte à análise de dispositivos móveis;
• Remnux Forensics: Distribuição Linux personalizada para dar suporte à análise
de Malware dos mais variados tipos e diferentes arquiteturas.

O processo de configuração pode ser dividido em 4 etapas:


• Instalação do Ubuntu 14.04;
• Configuração do repositório e dos pacotes do SANS SIFT (*);
• Configuração do repositório e dos pacotes do Santoku (*);
• Configuração do repositório e dos pacotes do Remnux (*).
(*) Procedimento que é realizado por meio s de script shell disponível no site da respectiva distribuição Linux.

A preparação do sistema operacional é concretizada com a execução dos respec-


tivos passos:
1. Instalação do Ubuntu 14.04;
2. Siftização (nome dado para o processo de instalação dos pacotes SANS SIFT);
3. Santokuzação (nome dado para o processo de instalação dos pacotes Santoku);
4. Remnuxação (nome dado para o processo de instalação dos pacotes Remnux);
5. Reboot;
6. Execução do comando para a atualização do release do Ubuntu.

Técnica Antiforense
Antiforense é um conjunto de técnicas e procedimentos que podem ser aplicados
com o propósito de impedir e/ou prejudicar o processo de investigação digital, não
sendo o conceito de Antiforense algo novo e nem que se destina exclusivamente a ser
utilizado pela classe criminosa.

Todavia, não se pode ignorar o fato de que essas mesmas técnicas e ferramentas
também poder tem uso legítimo por aqueles que desejam proteger a sua privacidade.

Tradicionalmente, o trabalho dos Peritos forenses consiste na busca de informações


que possam identificar dados periciais e que esses dados periciais sejam relacionados à
investigação de um potencial incidente de segurança e/ou criminoso.

Essas ações não estariam necessariamente vinculadas a uma invasão; pode ser uma
fraude, um ataque baseado em malware, como, por exemplo, um típico ataque de
Engenharia Social baseado em Phishing scam ou, ainda, um incidente de segurança que
caracterize uma ameaça persistente.

9
9
UNIDADE
Computação Forense

É relevante destacar que quando o incidente se trata de uma invasão de sistema,


não é incomum no modus operandi do invasor a necessidade de esconder informação,
como, por exemplo, ferramentas que irão auxiliá-lo tanto nas tarefas que irá executar
no sistema já comprometido, como também ferramentas para ajudá-lo a comprometer
outros computadores.

Todas essas ações irão gerar várias possíveis evidências e mesmo que as ações possam
ser executadas de forma a fazer o mínimo de modificações no sistema comprometido,
ainda assim, elas irão gerar vestígios, mesmo que essas vestígios fiquem apenas residentes
na memória RAM.

Embora seja fato que nesse contexto a qualidade da rastreabilidade é inversamente


proporcional à qualidade das técnicas Antiforenses utilizadas.

10
Orientações para leitura Obrigatória
Para aprofundar seus conhecimentos, recomendo a leitura do artigo:
Conceitos de Computação Forense: https://goo.gl/um6gII

11
11
UNIDADE
Computação Forense

Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:

Vídeos
Conceitos de Computação Forense
https://youtu.be/zVcnzG7_f70
Tratamento de Incidente de Segurança do NIC.br
https://youtu.be/flu6JPRHW04
Hackers
https://youtu.be/TRDV57B1Khc

Leitura
Versão da PCI DSS, disponível em português
https://goo.gl/EmfKQl

12
Referências
ABNT NBR ISO/IEC 27001:2013 – Sistemas de gestão da segurança da informação
– Requisitos.

ABNT NBR ISO/IEC 27002:2013 – Código de prática para controles de segurança


da informação continuidade dos negócios da tecnologia da informação e comunicação.

ABNT NBR ISO/IEC 27037:2013 – Diretrizes para identificação, coleta, aquisição e


preservação de evidência digital.

MELO, Sandro. Computação Forense com Software Livre. Rio de Janeiro: Altabooks, 2007.

MELO, Sandro. Exploração de Vulnerabilidade em Redes TCP/IP. 3.ed. Rio de


Janeiro: Altabooks, 2017.

MELO, Sandro. Hardening Linux. Editora RNP. Disponível em: <https://pt.scribd.


com/doc/254117692/Hardening-em-Linux>. Acesso em: 29 jun. 2017,

13
13

Você também pode gostar