Você está na página 1de 37

Computação

Forense

Conceitos sobre DFIR

1
Who am I
Sandro Melo - Profissional com experiência em empresas no
Brasil, EUA e Europa. Atualmente faz parte do time de
segurança de umas das maiores empresa de pagamentos por
meio eletrônicos de abrangência global, também é um
Cybersecurity e Linux evangelista, Professor Doutor em
Tecnologias Digitais pelo TIDD/PUC-SP, Mestre em Engenharia
da Computação pelo IPT (área de concentração Redes de
Computadores); Pós-graduado em Análise de Sistemas e
Graduação em Processamento de Dados pela Universidade
Mackenzie; curso de extensão em Cibersegurança pela
Universidade de Syracuse-USA. Possui algumas certificações,
entre elas: Eccouncil CEI, CEH, CHFI, Comptia CSAP, CCNA
CyberOPS; Exin EHF; LFCE; LP Level 3; Suse Linux Engineer entre
outras. Instrutor da ESR/RNP, CompTIA e ECCOUNCIL. É
palestrante assíduo em eventos de Software Livre e Cyber
Segurança no Brasil e no exterior, tendo realizado palestras e
workshops em diversos eventos tais como: CNASI, COALTI,
FISL, LATINOWARE e em outros países como: Paraguai, EUA,
Bélgica e Holanda, também é autor de 8 livros. Quando não está
trabalhando ou brincando com seu filho, pode ser encontrado
experimentando as mais recentes versões de ferramentas de
segurança FOSS ou instalando novas versões dos mesmos
Sistemas Operacionais como Unix, como Linux, FreeBSD ou
Mac OSX… simplesmente porque acha divertido e tem uma
paixão profunda pelo seu trabalho.

2
Introdução - parte 1

01 Conceitos
Iniciais 03 Etapas da
Computação Forense

02 04
Investigação vs
Computação Conclusão
Forense

3
Conceitos Iniciais

4
É necessário enfatizar que em
as Metodologias, técnicas e

Introdução
ferramentas de Computação
Forense, fazem parte do
contexto de Resposta a
A Computação Forense é Incidente de segurança. Essa
uma abordagem científica aula seguirá o viés técnico
que inicialmente nasceu considerando o cenário
para suportar demandas corporativo.
da área criminal.

5
Prevenir é o
melhor remédio.
Resposta a Incidentes
Quando o pior já aconteceu
o que resta é mitigar.
Computação Forense
6
Prof. Sandro Melo - sandromelo.sec@gmail.com
Introdução - parte 1

01
Conceitos
Iniciais 03 Etapas da
Computação Forense

02 04
Investigação vs
Computação Conclusão
Forense

7
Estado da Arte

8
Investigação
versus
Computação Forense

9
Investigação Digital
Procedimento em que se desenvolvem e se testam hipóteses
para comprovar se elas suportam ou desmentem os indícios
que se materializam no meio digital.
A abordagem de realizar aquisição de dados forenses, como
disco rígido e imagens de memória.
É uma abordagem comum uma investigação digital, que em
muitos cenários seria o suficiente para dar subsídios para que
seja feita uma análise da causa raiz do incidente investigado

10
Prof. Sandro Melo - sandromelo.sec@gmail.com
Investigação Digital
Em alguns ataques mais sofiticados com malware do tipo "fileless",
a abordagem tradicional pode não ser suficiente para um
entendimento mais amplo.
Malware "fileless" em geral deixam pouco rastros, quando deixam, e
a maioria das desses rastros estarão residentes na memória
principal (RAM).
Ainda que uma análise de um dump de memória possibilite a
visibilidade e conhecimento processos e outros dados coletados "in
vivo" no sistema comprometido, ainda sim é uma análise estática, ou
seja uma "fotografia" do estado do sistema operacional no momento
da coleta. Não sendo possível interagir o mesmo mensuram ações
subsequentes.
11
Prof. Sandro Melo - sandromelo.sec@gmail.com
Investigação Digital
Vincula ciência e/ou tecnologia de computação à investigação.
Apropriação da INVESTIGAÇÃO DIGITAL para confirmar fatos ou
evidências capazes de apoiar decisões judiciais.

COMPUTAÇÃO INVESTIGAÇÃO APARATO LEGAL


FORENSE = DIGITAL +

12
Prof. Sandro Melo - sandromelo.sec@gmail.com
Computação Forense
Ramo relativamente novo da Ciência da Computação no campo da
segurança digital, destinada a apoiar julgamentos de crimes.

Regula a investigação digital por meio da metodologia científica.

Cuida da consistência da apuração, visando promover suas evidências à


provas legais, passíveis de aceitação pelo júri.

13
Prof. Sandro Melo - sandromelo.sec@gmail.com
Perícia
Perícia: investigação, pesquisa, exame atento; coleta de vestígios,
análise de evidências.
Forense: relativo ao foro, tribunal, local onde se processam as ações
do poder judiciário.
Digital: método de codificação de informações baseado em números
ou dígitos

14
Prof. Sandro Melo - sandromelo.sec@gmail.com
Onde se aplica?
Em ocorrências do meio eletrônico, em sua maioria via Internet, para:
● Provar fatos;
● Combater pedofilia;
● Combater fraudes financeiras;
● Identificar espionagem industrial;
● Sustentar atos de demissão ou quebra de contrato;
● Comprovar violação de políticas da corporação;
● Comprovar autoria de invasão de privacidade;
● Ajudar na recuperação dos dados;

15
Prof. Sandro Melo - sandromelo.sec@gmail.com
PRINCÍPIO DE LOCARD

“Qualquer indivíduo ou coisa que entra no


cenário de um crime, ao sair do mesmo, leva e
deixa alguma coisa no local”.

16
Prof. Sandro Melo - sandromelo.sec@gmail.com
Boas Práticas
Do ponto de vista corporativo o uso das boas Práticas de
Computação Forense com suporte a Resposta a Incidente, torna-se
um caminho a ser seguido pelos profissionais de segurança.
A ratificação para esta afirmação está no fato de normas como
ISO27002 e a PCI-DSS dedicam tópicos a resposta da incidente.
Neste cenário a invasão de sistema é um tipo de incidente que
demanda a capacitação e uso de práticas de Forense Digital para
uma tratativa eficiente.

17
Prof. Sandro Melo - sandromelo.sec@gmail.com
Princípios Forense
Registrar tudo
Analisar todas as evidências coletadas
Relatar tudo o que encontrar
Minimizar perda de dados

18
Prof. Sandro Melo - sandromelo.sec@gmail.com
Metodologia Forense
● Verificar estações e rede
● Descrever a arquitetura do sistema
● Coletar artefatos (logs, arquivos e imagens)
● Criar e analisar “Linha de Tempo”
● Analisar o tipo de Sistema Operacional
● Recuperar dados
● Buscar palavras
● Redigir relatório

19
Prof. Sandro Melo - sandromelo.sec@gmail.com
Análise Inicial
É possível realizar vários tipos de testes com o objetivo buscar
dados periciais (pista, evidências, provas) e artefatos relacionado ao
Incidente de Segurança que está sendo Investigado.
Ter o conhecimento do Modus Operandi do invasor auxilia ao Perito
Forense Computacional em sua atividade, formas diferentes e
furtivas de agir sempre serão um desafio.
Por outro lado o Modus Operandi tradicional de invasores com
conhecimento técnicos não tão arrojados após ganhar acesso,
normalmente consiste em ações Pós-invasão, que poderam gerar
dados periciais mais consistentes..

20
Prof. Sandro Melo - sandromelo.sec@gmail.com
Modus Operandi (invasão de um sistema)

Identifica o alvo
Boas práticas de
Busca vulnerabilidades segurança sugerem
e correlaciona com registrar a atividade da
meios de exploração rede no servidor, no
sistema IDS/IPS e em
replicas de servidores.
Esses recursos permitem
Compromete estação rastrear incidentes e
Aumenta privilégios eventos ocorridos antes
da invasão se consumar
Reconhece sistema e
torna-se invisível

21
Prof. Sandro Melo - sandromelo.sec@gmail.com
Modus Operandi (invasão de um sistema)

Reconhece recursos
do sistema
Instala backdoors, A investigação forense volta-se
trojans, rootkit para o interior do sistema em
busca de artefatos (malwares
Limpa rastros instalados e scripts plantados
Mantém o privilégio pelo invasor) e modificações em
de acesso e retornar qualquer tipo de arquivo,
quando quiser e incluindo de configuração e
sem dificuldades executáveis.
pela backdoor

22
Prof. Sandro Melo - sandromelo.sec@gmail.com
Modus Operandi versus Evidências
Análise de Vulnerabilidades
Possibilidade de Evidência

Força Bruta

Enumeração
Varreduras Syscall
Buffer Proxy
Fingerprint Overflow e variantes
Footprint Engenharia Social

Modus Operandi (curso da invasão)


23
Prof. Sandro Melo - sandromelo.sec@gmail.com
Modus Operandi versus Evidências
Possibilidade de Evidência

Instalação de Malware

Técnicas de Cleanlogs

Atividade Malware Criptografados

Técnicas Anti-Forense

Modus Operandi (curso da invasão)


24
Prof. Sandro Melo - sandromelo.sec@gmail.com
Introdução - parte 1

01
Conceitos
Iniciais 03 Etapas da
Computação Forense

02 04
Investigação vs
Computação Conclusão
Forense

25
Etapas da
Computação
Forense

26
Forense
de Memória

27
Forense de Memória

Forense
Post Mortem

For de
e e
Me nse r
s
en ória
mó de o
F em
ria
Forense
M
Forense
In Vivo de Rede

28
Volatilidade

29
Volatilidade vs Tempo de Vida

Mídias NETWORK
Disco FORENSE
Tempo de Vida

Rígido Post Mortem


Estado In Vivo
do S.O. NETWORK
Tráfego FORENSE
da Rede
Memória
RAM
Memória de
periféricos
Registradores
Cache
Nível Volatilidade
30
Linux como opção

31
Linux e FreeBSB
Os Sistemas Operacionais LINUX e FreeBSD são as plataformas
muito utilizadas por Peritos Forenses, devido:
● Suportar vários sistemas de arquivos;
● Não contaminar as evidências;
● Criar ambiente para análise dinamica de artefatos
● Proporcionar total controle sobre a investigação
● Disponibilizar ferramentas FOSS
● (Free and Open Source Software);

32
Prof. Sandro Melo - sandromelo.sec@gmail.com
Distribuições Linux customizadas
- Forense de Rede
- Suporte a Resposta a Incidente
- Forense Post Mortem de mídias
- Forense de Dispositivos Móveis
- Forense de Memória
- Análise dinâmica de Malware
- Análise Estática de Malware

SIFT DEFT SANTUKO Tsurugi Security Onion REMNUX

DEBIAN/UBUNTU
33
Introdução - parte 1

01
Conceitos
Iniciais
03 Etapas da
Computação Forense

02 04
Investigação vs
Computação Conclusão
Forense

34
Conclusão
As Técnicas e Ferramentas de Computação Forense podem
ser usadas para suportar asações de uma Resposta a
Incidente.
O número de FOSS ferramentas de qualidade é significativo.

Mas antes de pensar em Computação Forense as corporações


deveriam pensar na maturidade de sua segurança e
infraestrutura.
Que a força esteja conosco!

35
Prof. Sandro Melo - sandromelo.sec@gmail.com
Dúvidas?

Por favor, levante a mão... 36


Obrigado Para manter contato:

sandromelo.sec@gmail.com
https://www.linkedin.com/in/sandromelo

CREDITS: This presentation template was


created by Slidesgo, including icons by
Flaticon, and infographics & images by Freepik

Please keep this slide for attribution

37