Apresentação SegInfo

Desafios em Computação Forense e Resposta a Incidentes de Segurança

Sandro Süffert

http://blog.suffert.com

Mobile  Forensics  

Equipamentos  de  Laboratórios  de  Perícia    Computação  Forense  é  só  isto?  

Bloqueadores  de  Escrita  

Duplicadores  de  Mídias      

Softwares  de    Análise  Pericial  Armazenamento  Portátil    

Aquisição  em  campo      

Computadores    Especializados  

Áreas usuárias de Tecnologias de Computação Forense e Investigação Digital:

Perícia  Criminal   Segurança  da  Inf.  

Anti-­‐Fraude  

Jurídico  

Auditoria  

Inteligência  

Defesa  Cibernética  

Fiscalização  

Compliance  

Algumas modalidades de Forense Computacional

Forense  Post-­‐Mortem  

HDs,  CDs,  Pen-­‐Drives,  Disquetes,  etc  Telefones,  GPS,  Tablets,  etc  

Forense  de  Rede  Redes  Cabeadas  Redes  Sem  Fio  Reconstrução  de  Sessões  Geração  de  Metadados    

Forense  Remota  Conexão  online  Silenciosa  Stealth  Capacidade  de  obtenção  de  dados  voláteis  Possibilidade  de  Remediação  

Forense  Colaborativa  Múltiplas  Investigações    Múltiplos  Investigadores  Interface  de  Investigação  Amigável  Grupo  Especialista  

Objetivos

INCIDENTE

Agente Resultado não autorizado

ATAQUE / VIOLAÇÃO

Ferramentas Falha Alvo

EVENTO

Ação

Taxonomia:  Evento>Ataque>Incidente>Crime  

Crime

Agente    

Ferramentas  

Falha   Ação  

Ataque Físico Hackers

Espiões

Terroristas

Vândalos

Voyeurs

Mercenários

Troca de Inf.

Eng. Social

Programas

Toolkit

Interceptação

Ataque Distribuido

Design

Implementação

Configuração

Probe  

Scan  

Flood  

Autenticação

Bypass  

Spoof  

Leitura

Cópia

Roubo

Modificação

Remoção

Funcionários

Alvo   Resultado    não  autorizado   Objetivos  

Aumento níveis

de acesso

Contas

Processos

Dados

Computadores

Redes Locais

Redes WAN

Obtenção informação confidencial Corrupção de informação

Negação de Serviço

Roubo de Recursos

 Ganho    

Financeiro  

Ganho Político

Dano

Desafio, status

John  D.  Howard  e  Thomas  A.  Longstaff  

A  Common   Language   for  Computer   Security   Incidents  

http://www.cert.org/research/taxonomy_988667.pdf    

Central Telefônica

Dinâmicas  de    

Atribuição  de  Autoria/Responsabilidade      Muito  além  da  identificação  de  endereços   IP  

1)Timing,  2)  Vítimas/Alvos,  3)  Origem,  4)  Mecanismo  de  Entrada,  5)  Vulnerabilidade  ou  Exposição,  6)  Exploit  ou  Payload,  7)  Weaponization,  8)  Atividade  pós-­‐exploração,  9)  Método  de  Comando  e  Controle,  10)  Servidores  de  Comando  e  Controle,    

11)  Ferramentas,  12)  Mecanismo  de  Persistência,  13)  Método  de  Propagação,  14)  Dados  Alvo,  15)  Compactação  de  Dados,  16)  Modo  de  Extrafiltração,  17)  Atribuição  Externa,  18)  Grau  de  Profissionalismo,    19)  Variedade  de  Técnicas  utilizadas,    20)  Escopo  

Identificação  das  consequências  do  ataque  pode  ser  mais  fácil  que  detectar  o  ataque  

(R.  Beitlich,  M.  Cloppert)  

Agente

Diferentes  Níveis  de  Importância  Estratégica  Diferentes  Categorias  de  Agentes  e  Objetivos  

diagrama:  -­  David  Ross    GFIRST/Mandiant  

Processos de Investigação Digital

Exemplo  de  Processo  de  Investigação    

CheckList de Abertura Requisitar Autorização Designar responsáveis

Preservação e Coleta Acompanhamento

Efetuar

Inventário Enviar para Análise

Tratamento  >  Coleta  Presencial  

Tratamento  >  Coleta  Presencial  

Tratamento  >  Coleta  Presencial  

PADRONIZAR o processamento, gerando CONTROLE MINIMIZAR ao máximo a PERDA de dados

EVITAR a CONTAMINAÇÃO de dados / informações

Tratamento  >  Coleta  Remota  

INFORMAÇÃO  sobre  as  FERRAMENTAS   utilizadas    INFORMAÇÕES  sobre  a  REDE  

INFORMAÇÕES  sobre  a  AQUISIÇÃO    INFORMAÇÕES  sobre  ARQUIVAMENTO    

Processos Forenses

Processo de Investigação

Tratamento Análise RelatórioTriagem

Detecção

Notificação

Encerramento

Autorizado?[Não]

[Sim]

RequisiçãoForense

Definir o que coletar

Coleta Remota

Inventariar

FORM01 - Autorização

FORM02 - Questionário

FORM07

Requisitar Autorização

FORM10 FORM11

Renegociar Requisição

Remoto?

[Sim]

Processo de Coleta Presencial[Não]

IniciarAnálise

Checklist de Abertura de Caso

FORM06 FORM-CAC

Mais Evidências a

coletar?

[Não]

[Sim]Novos Alvos

Identificados?

[Não]

[Sim]

Iniciar Análise

Dados Suficientes?

Reiniciar Tratamento [Não]

[Sim]

Processos de Análise

Responder:Quem/O que?, Quando?, Onde?, Como?, Por que?

Utilizar os processos de análise para obter as respostas

Análise de Emails

Análise de Documentos

Análise de Artefatos Web

Análise de Artefatos de SO

Recuperação de Arquivos Apagados

Análise de Hash

Comparação de Baseline

FORM05 Notas de Lab.

Existe Informação Incriminante fora do

escopo inicial?[Sim]Abrir uma Nova

Investigação

[Não]

Requisitar Informações

[Sim]

Se obtidas, analisar relevância dos dados

levantados e relacionamento com

dados atuais

Preparar Relatório

Informações Suficientes para Concluir?

[Sim]

[Não][Não]

Outras Análises Específicas

NecessárioInformações fora das permissões diretas do

investigador?

Arquivar Documentação na

Pasta do Caso

Encerramento

Preencher ficha de acompanhamento

gerencial

Registrar/Comunicar o Término do caso

Necessário Acionar Autoridades Externas?

[Não]

Enviar Informações para Autoridades[Sim] Aguardar

Instruções

Sanitizar mídias de armazenamento

temporário (trabalho)

Arquivar mídias de armazenamento longo (originais/cópias backup)

Fim daInvestigação

Resposta  a  Incidentes  e  Forense  Computacional    Abordagem  Híbrida  

Cyber  Segurança    uma  crise  de  priorização  

NCO/NITRD   National  Coordination  Office  /  Networking  and  Information  Technology  Research  and  Development  

Priorizações  Recomendadas  pelo  Comitê  de  T.I.  do  Gov.  Americano  

NCO/NITRD.GOV  -­  Cyber  Security  A  Crisis  of  Prioritization:  pg  43  

Pessoas:  A  crise  de  capital  humano  em  CiberSegurança  

1 aumento do tamanho das mídias 2 aumento das fontes de dados 3 novidades tecnológicas 4 melhorias de performance de ferramentas 5 melhor triagem antes da coleta de dados 6 evolução de técnicas de análise 7 melhorias na taxonomia e compartilhamento de dados

Alguns Desafios em Perícia Computacional e Resposta a Incidentes

1 aumento do tamanho das mídias (HDs) a serem analisadas: -‐ Lei de Moore -‐> número de transistores de chips dobram a cada 18 meses -‐ Lei de Kryder -‐> discos rígidos dobram de tamanho a cada 18 a 24 meses -‐ velocidade de acesso à disco (I/O) não cresce tão rapidamente.. -‐ maioria dos hds possuem mais de um milhão de itens -‐ indexação, carving, análise de assinatura

Desafios Tecnológicos

1 aumento do tamanho das mídias (HDs)

Fonte:  Han-­‐Kwang   Nienhuys    http://en.wikipedia.org/wiki/File:Hard_drive_capacity_over_time.svg  

1 aumento do tamanho das mídias (HDs)

   Discos:  aumento  de  +576%.  Estações  de  Trabalho:  +29,7%  

PDA/Blackberry/Assemelhados:  +859%    

Motivadores de Avanços Tecnológicos

1 aumento do tamanho das mídias (HDs)

2 aumento das fontes de dados a serem analisadas: -‐ Análise de discos de Estado Sólido (SSD) -‐ Análise de mídias removíveis -‐ Análise de computadores remotos -‐ Análise de memória -‐ Análise de sessões de rede -‐ Análise de registros/logs/BD -‐ Análise de dispositivos móveis (celulares, tablets, gps) -‐ outros: ebook readers, mp3 players, GPS,video-‐games, TVs, ...

2 aumento das fontes de dados

HD:       Bit     Byte       Setor       Cluster         Arquivo       1   8bits   512B   8  setores  /  4kb   1-­‐n  clusters  

    +    d    a    d    o    s                                                                      +    c    o    m    p    l    e    x    i    d    a    d    e  

Memória:     Bit     Byte     Página        Thread       Processo         1   8bits    4kB      n  páginas     n  threads  

Rede:       Bit   Byte     Pacote       Stream     Sessão         1   8bits    n  bytes   n  pacotes     n  streams  

Outras Fontes de Dados: Análise de Memória ex 1 (pdgmail.py)

Outras Fontes de Dados: Análise de Memória ex 2 (Ftk 3.x)

Outras Fontes de Dados: Análise de Memória ex 3 (HBGary Responder)

Outras Fontes de Dados Análise de Sessões de Rede

Outras Fontes de Dados Análise de Sessões de Rede ex. 4

Motivadores de Avanços Tecnológicos

1 aumento do tamanho das mídias (HDs) a serem analisadas: 2 aumento das fontes de dados a serem analisadas:

3 necessidade de adequação diante de novidades tecnológicas

-‐ Novos Sistemas Operacionais: Windows 7 UserAssist, usrclass.dat, Roaming, .. -‐ Novos Sistemas de Arquivo: ext4 (2.6.28, dez/2008) => (..) -‐ Mobile Forensics ex: variedade de S.Os, aplicações e conectividade -‐ Necessidade de análise de artefatos de mídias sociais: Orkut/Facebook/Twitter/..

Novidades Tecnológicas: Novos sistemas operacionais ex 1 (Win 7)

Estatísticas da execução de programas via Windows Explorer (NTUSER.DAT) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

Windows XP UserAssist: Cifra -‐ ROT13 (A-‐>N, B-‐>O, ...) Inicia o contador em 5. Windows 7/2008 beta UserAssist: Cifra Vignère (key: BWHQNKTEZYFSLMRGXADUJOPIVC) Windows 7/2008 UserAssist: Cifra ROT13 / inicia o contador em 0.

Análise dos metadados de MAC Times (Modificação, Acesso e Criação) Unix Millenium Bug (Y2K38) -‐ até ext3 32 bit signed integer Segundos desde 00:00:00 de 1º de janeiro de 1970 (unix/epoch)time Limite: 03:14:07 AM de 19 de janeiro de 2038 (+1s => ano 1901) bits: 1111111111111111111111111111111 ext4 lançado em 25 de dezembro de 2008, estende timestamps para

nanoseg (10-‐9) e + 2 bits foram adicionados ao campo dos segundos do

Suporte completo a ext4: FTK 3.3 e Encase 7

Novidades Tecnológicas: Novos sistemas de arquivo ex 2 (ext4)

1 aumento do tamanho das mídias 2 aumento das fontes de dados 3 adequação diante de novidades tecnológicas

4 melhorias de performance de ferramentas: -‐ Uso de Banco de Dados como BackEnd: ECC -‐ MSSQL/ FTK 3.x Oracle -‐ Aquisição Remota: dados voláteis, memória, discos, artefatos específicos -‐ Processamento Distribuído: DNA -‐> FTK 3.x -‐> AD LAB -‐ Utilização de Programação CUDA para criptoanálise (Fred SC + EDPR) -‐ Utilização de Cloud Computing para criptoanálise (Passware Kit + EC2)

Motivadores de Avanços Tecnológicos

4 -‐ Melhoria de Performance BackEnd Oracle / Processamento Distribuído AD

LAB

4 -‐ Melhoria de Performance CriptoAnálise FRED-‐SC + EDPR -‐ CUDA

Avanços Tecnológicos -‐ Triagem

1 aumento do tamanho das mídias 2 aumento das fontes de dados 3 adequação diante de novidades tecnológicas 4 melhorias de performance de ferramentas:

5 melhor triagem antes da coleta de dados

-‐ Remota FTK 3.x/AD Enterprise, Encase FIM/Platform -‐ Na ponta Encase Portable -‐ Conceito: Arquivos de evidência lógica (LEF/L01, AD1)

Dongle / (Security key) 4-­Port USB Hub

EnCase Portable USB 4GB

PenDrive/Disco 1 Gb-­ > 2Tb

5 Melhoria na Triagem: ex 1 em campo

5 Melhoria na Triagem: ex 2 em campo

Servlets Installed on Computers

5 Melhoria na Triagem: ex 3 remota

Forense Remota / Remediação

Auditoria   Logical  Evidence  File  

ResultLog  

Quem? Quando? Onde?

Garantia de integridade

Materialização de prova Tamanho reduzido

Existência ou não de arquivos responsivos

Avanços Tecnológicos

1 aumento do tamanho das mídias 2 aumento das fontes de dados 3 novidades tecnológicas 4 melhorias de performance de ferramentas 5 melhor triagem antes da coleta de dados

6 evolução de técnicas de análise -‐ hashing: MD5/SHA1 -‐> ssdeep/fuzzy -‐> entropy -‐> file block hash analysis -‐ indexação de textos em imagens (OCR); Novos algorítimos de análise -‐ Super Timelines (Enscripts + log2timeline Kristinn Guðjónsson): Browser Hist, Bookmarks / EVT / EXIF / W3C Log / Proxy / FW / AV / OpenXML (Office2007) / PCAP / PDF Metadata / Prefetch / Lixeira / Restore Points / FlashCookies (LSO) / SetupApi / UserAssist / LNK

Evolução de Técnicas de Análise -‐ Hashes

Uso de Hashes Criptográficos -‐ Arquivos de Evidência .e01 vs .dd: -‐ E0x1,L0x1: bzip, AES-‐256, MD5+SHA1 -‐ arquivos (md5/sha1/sha256): whitelisting (NIST NSRL / AD KFF) blacklisting (Bit9, Gargoyle) -‐ : Fuzzy hashing | File block hash analysis | Entropy

Fuzzy Hashing

-‐ ssdeep Jesse Kornblum -‐ http://ssdeep.sourceforge.net

-‐ FTK 3.x

context triggered piecewise hashes (CTPH)

Hashes -‐ Entropy

File Block Hash Analysis

https://support.guidancesoftware.com/forum/downloads.php?do=file&id=657    

Algorítimos de Comparação de Vídeos

Identificação/categorização  de  vídeos  tolerante  a  mudança  de:    

 Formato;  Cor;  Brilho;  Contraste;  Compressão;    Espelhamento;  Cortes;  Distorção;  Mudança  de  proporção;  Edições  (~  2  seg)  

1 aumento do tamanho das mídias (HDs) 2 aumento das fontes de dados 3 novidades tecnológicas 4 melhorias de performance de ferramentas 5 melhor triagem antes da coleta de dados 6 evolução de técnicas de análise

7 melhorias na taxonomia e compartilhamento de dados -‐ Taxonomia Incidentes -‐ Atribuição de Origem (Táticas, Técnicas e Procedimentos) -‐ Indicadores de Comprometimento -‐ OpenIOC -‐ Framework de Compartilhamento de dados -‐ VerIS

Avanços Tecnológicos

Utilização do compartilhamento de dados Análise de Sessões de Rede ex. ?

Correlação  de  Milhões  de  Eventos  Diários  

Anti Virus Anti Virus Bancos de Dados

Applications Applications Applications Applications Applications Applications Applications Applications Applications Aplicações Anti-Virus SO de Servers e Desktop

Equipamentos De Rede

Vulnerability Assessment

Intrusion Detection Systems

Firewalls Firewalls Firewalls Firewalls Firewalls Firewalls/ VPN

Sign-On Sign-On Gerenciamento De Identidade

Serviços de Diretório

Atributos de Usuários

Infraestrutura Física

Processos de Negócio Mainframes

Correlação de Eventos para apoio à Decisão T.I/S.I./Fraude/Auditoria/Inteligência

54  

Monitoração de Infra-‐Estruturas Críticas (PLCs)

15/08/2011  

55  

Inteligência para Investigações e apoio à Decisão

TBS    Time  Based  Security:  Pt  ~  Dt  +  Rt  

Proteção  =  Tempo  Detecção  +  Tempo  Reação  suficientes  

Exposição  =  Tempo  Detecção  +  Tempo  Reação  tardios  

diagramas:  Mike  Cloppert    Lockheed  Martin  

-­‐ Fórmula  Tradicional  de  Risco  =  Ameaça  x  Vulnerabilidade  x  Impacto  

-­‐ Kill  Chain    sequência  de  eventos  para  uma  ameaça  afetar  um  alvo:  

Foco  de  Atenção:  Ênfase  na  *Ameaça*  

Conceito  TBS::  Winn  Schwartau  

Evolução  de  um  Ataque  Temporalmente  

Análise  de

 Incide

ntes  -­‐  TTPs    

Táticas,  Técnicas,  e  Procedimen

tos  

Mike  Cloppert    Lockheed  Martin  

Indicators  of  Compromise  -­‐  OpenIOC  

http://www.mandiant.com/uploads/presentations/SOH_052010.pdf  

Táticas, Técnicas e Procedimentos VerIS Incident Sharing -‐ Framework

http://securityblog.verizonbusiness.com/wp-­‐content/uploads/2010/03/VerIS_Framework_Beta_1.pdf  

Alguns casos 2011

Heterogeneidade de Casos: EBCDIC 3270 rede (fraude externa) Solaris adm (sabotagem) Java boleto (fraude interna) Invasão de site / vazamento de dados Clipper (fraude interna) MSDOS 16bit -‐ Video poker (Forças da Lei) Sistema Web .NET + SQL Server (Fraude Votação)

Maturidade em Investigação Computacional

Desenvolvimento e Integração de Tecnologia

Obrigado!

Sandro Süffert, CTO Techbiz Forense Digital

http://blog.suffert.com