Network Forensics Forense de Rede

Decision Group 2013

O que Forense de Rede?

Apresentar contedo original atravs da reconstruo de dados por cada camada de comunicao de rede, com a finalidade de zelar pela segurana do ambiente de TI ou por cumprimento de exigncia judicial

Captura de Trfego de rede

Rede cabeada Rede Wireless

Checagem de pacotes IP
Integridade de pacote Gravao de IP, Timestamp, Conta do cabealho

Anlise de pacotes de dados

Leitura de cabealho TCP Indentificao de nmero de porta Sequenciamento de sesso

Reconstruo de dados
Gravao de cabealho em BD Gravao de contedo em arquivo multimdia

Utilitrio de Relatrios
Apresentao de registros individuais Anlise primria de dados

Tecnologia Deep Packet Inspection

Manipulao de dados
DECISION GROUP INC.

Introduo Decision Group

Empresa com sede em Taiwan, estabelecida em 1986 Possui duas divises de negcios: Desenvolvimento e fabricao de placas multisseriais, dispositivos para aquisio de dados e controle, para automao industrial Em 2000, a partir de demanda do mercado, deu incio diviso que desenvolve solues de monitoramento de Internet e Forense Digital, hoje principal negcio da empresa Seus sistemas, principalmente os componentes com tecnologia de decodificao sem precedentes, hoje so fornecidos em acordos OEM/ODM para vrios provedores de solues de Forense Digital no mundo todo Decision Group tambm oferece treinamentos especializados para profissionais do ramo de investigao digital Treinamento de Anlise Forense de Pacotes de Rede Treinamento de Tcnicas de Investigao de Crimes Cibernticos Treinamento para Agentes de Segurana Nacional

DECISION GROUP INC.

Marcos Diviso Forense Digital

2013 Entrada no Brasil atravs de parceria de representao pela Base Informtica 2012 Anncio de Sistema Central de Gerenciamento (CMS) com Sistema de Reteno de Dados (DRMS) e Sistema de Decodificao HTTPS/SSL (ED2S) para infra-estrutura de 3 camadas e implantao em redes distribudas em grande porte 2011 Anncio de sistema E-Detective para Intercepo Legal, em conformidade com ETSI, com capacidade para redes fixas e 3G, e do sistema Enterprise Data Guard System com auditoria de transaes em banco de dados 2010 Lanamento de Sistema de Reteno e Gerenciamento de Dados, e empresa recebe prmio de reconhecimento pela autoridade nacional de segurana em Taiwan, pela contribuio de seus sistemas E-Detective e servios na rea de investigao e combate crimes digitais 2009 Anncio de centro de decodificao VoIP 2007 Disponibilizao para o mercado de centro de decodificao off-line multi-protocolo 2006 Patente reconhecida e anncio de primeira soluo Forense multi-estao para redes 802.11 a/b/g/n com capacidade de quebra de chaves WEP/WPA e quebra de cdigo HTTPS/SSL 2005 Soluo ganha notoriedade mundial com sua contribuio decisiva na investigao pela polcia de Taiwan e conseqente priso de Chang Hsi-ming, conhecido Evil Dragon, criminoso procurado h anos, lder de quadrilha especializada em sequestros 2004 Primeira empresa a lanar centro de decodificao HTTPS/SSL no mercado 2002 Anncio indito de soluo para Forense de Rede Wireless na sia 2000 Lanamento da primeira soluo para Forense de Rede cabeada na sia

DECISION GROUP INC.

Captura de Trfego de Rede

Rede Cabeada Rede Wireless

DECISION GROUP INC.

Tecnologia Deep Packet Inspection

Checagem de cabealho do pacote de dados em cada camada
Camada IP: endereo IP, time stamp, conta na rede Camada TCP (UDP): nmero de porta, encriptao, nmero de sesso, conta AP Camada Aplicao: tipo de dado, status
Informao

Aplicao

Representao

Camada de Aplicao

Sesso

Localiza o contedo significante de servio em cada pacote Reconstri o contedo por sesso e tipo de servio

Transporte

Camada TCP

Rede

Camada IP

DECISION GROUP INC.

Suporte a Mltiplos Protocolos

Email Webmail
IM/Chat (Yahoo, MSN, ICQ, QQ, IRC, Google Talk Etc.) Outros Games Online Redes Sociais etc.
Decodificao de mais de 180 protocolos/servios Cobertura de servios mveis

HTTP (Link, Contedo, Reconstruo, Upload Download)

Transferncia de Arquivos FTP, P2P

7 DECISION GROUP INC.

Apresentao de Dados
Mostra registros individuais Dados estatsticos Agrupamento por tipo de servio Apresentao de contedo com informao por registro Anlise primria de dados

Procura Full Text Data Scoping Anlise primria de Link de dados Registered File Tracking Interface aberta para anlise Data Mining externa

DECISION GROUP INC.

Manipulao de Dados
Data Scoping por IP, nome de conta, durao, tipo de servio, palavra-chave Anlise de Link por palavra-chave, tipo de servio online, endereo IP, nome de conta, lista de contatos Mapeamento de identidade por IP, nome de conta, endereo MAC Estatsticas em servios Online, consumo de banda, IP Interface aberta para integrao com sistemas de Data Mining / Text Mining Analysis
DECISION GROUP INC.

Por que necessrio Forense de Rede?

Fato:
80% dos dados dentro do PC ou laptop so da rede Rede a maior ferramenta de comunicao das pessoas no cyber-espao

Necessidade na Interceptao Legal:

Investigao no-intrusiva deve ser conduzida Ambos dados volteis e no-volteis devem ser adquiridos

Necessidade de conhecer:
Contedo trafegado nos servios de comunicao Rota de transmisso de dados Relacionamentos sociais entre alvos em redes
DECISION GROUP INC. 10

Quem precisa de Forense de Rede

Agentes de rgos de Aplicao da Lei Gerentes de Segurana em TI nas Empresas Gestores de Marketing em Provedores de Servios de Telecomunicao Auditores de TI em Empresas de Auditoria Diretores de Estabelecimentos de Ensino Pais, zelando pela uso seguro da rede domstica

DECISION GROUP INC.

11

Finalidades
Investigao de Crimes Cibernticos
VoIP Phishing, Fraudes na Rede

Gerenciamento de Segurana em TI
Violao de Dados, Abuso no uso de recursos de rede, Acesso a contedo pornogrfico & jogos

Auditoria e Gerenciamento de Riscos

Instituies de servios financeiros, Bancos, Seguradoras, Gesto de ativos, Provedores de servios de telecomunicao

Cumprimento de Mandato
ISO 27000, SOX, HIPPA

Segurana Nacional
Monitoramento da Internet, Anti-terrorismo

Controle de Comportamento Anormal

Cyber bullying, Abuso Sexual, Chantagem

Muitas outras
DECISION GROUP INC.

Dificuldades em Forense de Rede

No fcil implantar um sistema de forense de rede operacional com sucesso, porque

DECISION GROUP INC.

13

Sistema E-Detective
Sistema Essencial para Monitoramento de Internet e Anlise Forense
A melhor soluo ttica de Forense de Rede para: Decodificao de Protocolos de Rede e Reconstruo de Contedo Monitoramento de Internet Anlise Forense e Investigao Ciberntica

Dispositivo Avanado para Monitoramento de Rede, Interceptao Legal e Forense de Rede

DECISION GROUP INC.

Viso Geral de Produtos e Solues

Interceptao em Ethernet cabeada & Reconstruo em tempo real
Sistema E-Detective (ALL) Sistema de monitoramento Ethernet LAN, Auditoria de Internet,
Deteco de vazamento e reteno de dados, Manuteno de Registros. Tambm utilizado pelos Agentes da Lei para Interceptao Legal, implementado nas redes dos provedores e gateways Internacionais.

E-Detective Data Guard System (ALL)

Monitora transaes em Bases de Dados heterogeneas (MySQL, MS SQL, Oracle DB, DB2, Sybase). Monitora atividades Windows CIFS atividades de compartilhamento de arquivos MS Windows. Monitora servidores internos de E-Mail POP3, SMTP

E-Detective Data Retention & Management System (ALL)

Backup e arquivamento de dados de sistemas E-Detective Revise, procure e execute buscas nos dados

Decision Group

Viso Geral de Produtos e Solues

Interceptao em Ethernet cabeada & Reconstruo em tempo real
HTTPS/SSL MITM Interception System (LEA)
Interceptao de trfego Ethernet LAN HTTPS como Gmail incluindo nome e senha HTTPS Tambm utilizado pelos Agentes da Lei para Interceptao Legal, implementado nas redes dos provedores.

E-Detective Backup Server (ALL)

Backup de dados de sistemas E-Detective Revise, procure e execute buscas nos dados

E-Detective Central Management System (ALL)

Gerencie mltiplos sistemas E-Detective, ED Backup Server, EDDC com um nico login e GUI Execuo de buscas centralizadas

Decision Group

Viso Geral de Produtos e Solues

Interceptao em Redes Wireless & Reconstruo em tempo real

Wireless-Detective System (LEA)

Sistema de interceptao passiva Wi-Fi IEEE 802.11 a/b/g/n Alvo pode ser um AP, um Cliente ou um Canal inteiro Capaz de quebrar chaves WEP Sistemas WD x 4 Extreme inclui funes de Captura Distribuda, Bloqueio e Localizador.

WPA-PSK Password Recovery System (LEA)

Recuperao de frase-chave WPA1-PSK e WPA2-PSK Usa Acelerao via Hardware GPU Usa Dicionrio Inteligente (Mutao) Usa Macaramento (Ataque de Fora Bruta)

Decision Group

Viso Geral de Produtos e Solues

Interceptao Integrada & Reconstruo em tempo real

Network Investigation Toolkit NIT (LEA)

Sistema de interceptao passiva e ativa em Ethernet LAN Interceptao passiva e ativa Wi-Fi IEEE 802.11 a/b/g/n Para interceptao passiva Wi-Fi, alvos podem ser at 4 AP, 4 Clientes ou 4 Canais. Capaz of quebrar chaves WEP Recuperao de senhas WPA-PSK (opcional) Decifra trfego HTTPS incluindo usurio e senha atravs de implementao ativa em ambos ambientes LAN e Wi-Fi Capaz de reconstruo manual de arquivos de dados PCAP

Decision Group

Viso Geral de Produtos e Solues

Reconstruo manual de pacotes offline
E-Detective Decoding Centre - EDDC (ALL)/ EDDC-LEMF (LEA)
Proporciona gesto de Casos e gerenciamento de usurios para diferentes investigadores e em diferentes casos. Anlise e reconstruo de arquivos PCAP pr-obtidos manualmente.

Forensics Investigation Toolkit FIT (ALL)

nica aplicao de software para Windows Desenvolvido para usurio nico Anlise e reconstruo de arquivos PCAP pr-obtidos manualmente.
ALL= Disponvel para o mercado em geral LEA = Law Enforcement Agency. Fornecimento exclusivo rgos e Agentes da Lei

Decision Group

Solues Distribudas E-Detective

Soluo de Forense de Rede em Redes de grande porte

DECISION GROUP INC.

Oportunidade para canais em todo o Brasil

Representante no Brasil
parcerias@base.inf.br www.basetecnologia.com
21 DECISION GROUP INC.