Computação Forense - Conceitos e Etapas

Computação
Forense
Conceitos sobre DFIR
1
Who am I
Sandro Melo - Profissional com experiência em empresas no
Brasil, EUA e Europa. Atualmente faz parte do time de
segurança de umas das maiores empresa de pagamentos por
meio eletrônicos de abrangência global, também é um
Cybersecurity e Linux evangelista, Professor Doutor em
Tecnologias Digitais pelo TIDD/PUC-SP, Mestre em Engenharia
da Computação pelo IPT (área de concentração Redes de
Computadores); Pós-graduado em Análise de Sistemas e
Graduação em Processamento de Dados pela Universidade
Mackenzie; curso de extensão em Cibersegurança pela
Universidade de Syracuse-USA. Possui algumas certificações,
entre elas: Eccouncil CEI, CEH, CHFI, Comptia CSAP, CCNA
CyberOPS; Exin EHF; LFCE; LP Level 3; Suse Linux Engineer entre
outras. Instrutor da ESR/RNP, CompTIA e ECCOUNCIL. É
palestrante assíduo em eventos de Software Livre e Cyber
Segurança no Brasil e no exterior, tendo realizado palestras e
workshops em diversos eventos tais como: CNASI, COALTI,
FISL, LATINOWARE e em outros países como: Paraguai, EUA,
Bélgica e Holanda, também é autor de 8 livros. Quando não está
trabalhando ou brincando com seu filho, pode ser encontrado
experimentando as mais recentes versões de ferramentas de
segurança FOSS ou instalando novas versões dos mesmos
Sistemas Operacionais como Unix, como Linux, FreeBSD ou
Mac OSX… simplesmente porque acha divertido e tem uma
paixão profunda pelo seu trabalho.
2
Introdução - parte 1
01 Conceitos
Iniciais 03 Etapas da
Computação Forense
02 04
Investigação vs
Computação Conclusão
Forense
3
Conceitos Iniciais
4
É necessário enfatizar que em
as Metodologias, técnicas e
Introdução
ferramentas de Computação
Forense, fazem parte do
contexto de Resposta a
A Computação Forense é Incidente de segurança. Essa
uma abordagem científica aula seguirá o viés técnico
que inicialmente nasceu considerando o cenário
para suportar demandas corporativo.
da área criminal.
5
Prevenir é o
melhor remédio.
Resposta a Incidentes
Quando o pior já aconteceu
o que resta é mitigar.
6
Prof. Sandro Melo - sandromelo.sec@gmail.com
01
Conceitos
02 04
Investigação vs
Forense
7
Estado da Arte
8
Investigação
versus
9
Investigação Digital
Procedimento em que se desenvolvem e se testam hipóteses
para comprovar se elas suportam ou desmentem os indícios
que se materializam no meio digital.
A abordagem de realizar aquisição de dados forenses, como
disco rígido e imagens de memória.
É uma abordagem comum uma investigação digital, que em
muitos cenários seria o suficiente para dar subsídios para que
seja feita uma análise da causa raiz do incidente investigado
10
Em alguns ataques mais sofiticados com malware do tipo "fileless",
a abordagem tradicional pode não ser suficiente para um
entendimento mais amplo.
Malware "fileless" em geral deixam pouco rastros, quando deixam, e
a maioria das desses rastros estarão residentes na memória
principal (RAM).
Ainda que uma análise de um dump de memória possibilite a
visibilidade e conhecimento processos e outros dados coletados "in
vivo" no sistema comprometido, ainda sim é uma análise estática, ou
seja uma "fotografia" do estado do sistema operacional no momento
da coleta. Não sendo possível interagir o mesmo mensuram ações
subsequentes.
11
Vincula ciência e/ou tecnologia de computação à investigação.
Apropriação da INVESTIGAÇÃO DIGITAL para confirmar fatos ou
evidências capazes de apoiar decisões judiciais.
COMPUTAÇÃO INVESTIGAÇÃO APARATO LEGAL

FORENSE = DIGITAL +
12
Ramo relativamente novo da Ciência da Computação no campo da
segurança digital, destinada a apoiar julgamentos de crimes.
Regula a investigação digital por meio da metodologia científica.
Cuida da consistência da apuração, visando promover suas evidências à

provas legais, passíveis de aceitação pelo júri.
13
Perícia
Perícia: investigação, pesquisa, exame atento; coleta de vestígios,
análise de evidências.
Forense: relativo ao foro, tribunal, local onde se processam as ações
do poder judiciário.
Digital: método de codificação de informações baseado em números
ou dígitos
14
Onde se aplica?
Em ocorrências do meio eletrônico, em sua maioria via Internet, para:
● Provar fatos;
● Combater pedofilia;
● Combater fraudes financeiras;
● Identificar espionagem industrial;
● Sustentar atos de demissão ou quebra de contrato;
● Comprovar violação de políticas da corporação;
● Comprovar autoria de invasão de privacidade;
● Ajudar na recuperação dos dados;
15
PRINCÍPIO DE LOCARD
“Qualquer indivíduo ou coisa que entra no

cenário de um crime, ao sair do mesmo, leva e
deixa alguma coisa no local”.
16
Boas Práticas
Do ponto de vista corporativo o uso das boas Práticas de
Computação Forense com suporte a Resposta a Incidente, torna-se
um caminho a ser seguido pelos profissionais de segurança.
A ratificação para esta afirmação está no fato de normas como
ISO27002 e a PCI-DSS dedicam tópicos a resposta da incidente.
Neste cenário a invasão de sistema é um tipo de incidente que
demanda a capacitação e uso de práticas de Forense Digital para
uma tratativa eficiente.
17
Princípios Forense
Registrar tudo
Analisar todas as evidências coletadas
Relatar tudo o que encontrar
Minimizar perda de dados
18
Metodologia Forense
● Verificar estações e rede
● Descrever a arquitetura do sistema
● Coletar artefatos (logs, arquivos e imagens)
● Criar e analisar “Linha de Tempo”
● Analisar o tipo de Sistema Operacional
● Recuperar dados
● Buscar palavras
● Redigir relatório
19
Análise Inicial
É possível realizar vários tipos de testes com o objetivo buscar
dados periciais (pista, evidências, provas) e artefatos relacionado ao
Incidente de Segurança que está sendo Investigado.
Ter o conhecimento do Modus Operandi do invasor auxilia ao Perito
Forense Computacional em sua atividade, formas diferentes e
furtivas de agir sempre serão um desafio.
Por outro lado o Modus Operandi tradicional de invasores com
conhecimento técnicos não tão arrojados após ganhar acesso,
normalmente consiste em ações Pós-invasão, que poderam gerar
dados periciais mais consistentes..
20
Modus Operandi (invasão de um sistema)
Identifica o alvo
Boas práticas de
Busca vulnerabilidades segurança sugerem
e correlaciona com registrar a atividade da
meios de exploração rede no servidor, no
sistema IDS/IPS e em
replicas de servidores.
Esses recursos permitem
Compromete estação rastrear incidentes e
Aumenta privilégios eventos ocorridos antes
da invasão se consumar
Reconhece sistema e
torna-se invisível
21
Modus Operandi (invasão de um sistema)
Reconhece recursos
do sistema
Instala backdoors, A investigação forense volta-se
trojans, rootkit para o interior do sistema em
busca de artefatos (malwares
Limpa rastros instalados e scripts plantados
Mantém o privilégio pelo invasor) e modificações em
de acesso e retornar qualquer tipo de arquivo,
quando quiser e incluindo de configuração e
sem dificuldades executáveis.
pela backdoor
22
Modus Operandi versus Evidências
Análise de Vulnerabilidades
Possibilidade de Evidência
Força Bruta
Enumeração
Varreduras Syscall
Buffer Proxy
Fingerprint Overflow e variantes
Footprint Engenharia Social
Modus Operandi (curso da invasão)

23
Modus Operandi versus Evidências
Possibilidade de Evidência
Instalação de Malware
Técnicas de Cleanlogs
Atividade Malware Criptografados
Técnicas Anti-Forense
Modus Operandi (curso da invasão)

24
01
Conceitos
02 04
Investigação vs
Forense
25
Etapas da
Computação
Forense
26
Forense
de Memória
27
Forense de Memória
Forense
Post Mortem
For de
e e
Me nse r
s
en ória
mó de o
F em
ria
Forense
M
Forense
In Vivo de Rede
28
Volatilidade
29
Volatilidade vs Tempo de Vida
Mídias NETWORK
Disco FORENSE
Tempo de Vida
Rígido Post Mortem

Estado In Vivo
do S.O. NETWORK
Tráfego FORENSE
da Rede
Memória
RAM
Memória de
periféricos
Registradores
Cache
Nível Volatilidade
30
Linux como opção
31
Linux e FreeBSB
Os Sistemas Operacionais LINUX e FreeBSD são as plataformas
muito utilizadas por Peritos Forenses, devido:
● Suportar vários sistemas de arquivos;
● Não contaminar as evidências;
● Criar ambiente para análise dinamica de artefatos
● Proporcionar total controle sobre a investigação
● Disponibilizar ferramentas FOSS
● (Free and Open Source Software);
32
Distribuições Linux customizadas
- Forense de Rede
- Suporte a Resposta a Incidente
- Forense Post Mortem de mídias
- Forense de Dispositivos Móveis
- Forense de Memória
- Análise dinâmica de Malware
- Análise Estática de Malware
SIFT DEFT SANTUKO Tsurugi Security Onion REMNUX
DEBIAN/UBUNTU
33
01
Conceitos
Iniciais
03 Etapas da
02 04
Investigação vs
Forense
34
Conclusão
As Técnicas e Ferramentas de Computação Forense podem
ser usadas para suportar asações de uma Resposta a
Incidente.
O número de FOSS ferramentas de qualidade é significativo.
Mas antes de pensar em Computação Forense as corporações

deveriam pensar na maturidade de sua segurança e
infraestrutura.
Que a força esteja conosco!
35
Dúvidas?
Por favor, levante a mão... 36

Obrigado Para manter contato:
sandromelo.sec@gmail.com
https://www.linkedin.com/in/sandromelo
CREDITS: This presentation template was

created by Slidesgo, including icons by
Flaticon, and infographics & images by Freepik
Please keep this slide for attribution
37

Computação Forense - Conceitos e Etapas

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Computação Forense - Conceitos e Etapas

Enviado por

Direitos autorais:

Formatos disponíveis

Computação

Conceitos sobre DFIR

COMPUTAÇÃO INVESTIGAÇÃO APARATO LEGAL

Regula a investigação digital por meio da metodologia científica.

Cuida da consistência da apuração, visando promover suas evidências à

“Qualquer indivíduo ou coisa que entra no

Modus Operandi (curso da invasão)

Atividade Malware Criptografados

Modus Operandi (curso da invasão)

Rígido Post Mortem

SIFT DEFT SANTUKO Tsurugi Security Onion REMNUX

Mas antes de pensar em Computação Forense as corporações

Por favor, levante a mão... 36

CREDITS: This presentation template was

Please keep this slide for attribution

Você também pode gostar