Avanços tecnológicos em perícia computacional e resposta a incidentes

Avanços Tecnológicos em

Perícia Computacional e Resposta a Incidentes

Sandro Süffert,

CTO Techbiz Forense Digital

http://blog.suffert.com

ICCyber 2007: SOC BrT (Guarujá) ICCyber 2008: Processos Investigação (RJ)

ICCyber 2009: RoadMap AD, GS (Natal)

ICCyber 2010 Avanços Tecnológicos

(Brasília)

A TechBiz Forense Digital faz parte do grupo TechBiz,

que tem 15 anos de história.

Sediada em São Paulo, a TechBiz Forense Digital tem

escritórios em Belo Horizonte, Rio de Janeiro, Brasília

e Florianópolis

1995

Fundação da

TechBiz Informática 2005

TechBiz Forense Digital é

concebida

Distribuidora Exclusiva

Guidance Software,

Intelligent Computer

Solutions,

MicroSystemation

2006

Início formal das operações,

com escritório em Belo

Horizonte e São Paulo 2008

Torna-se 1º Guidance

Authorized PSD (Professional

Services Division) no mundo

Distribuidora exclusiva

Digital Intelligence, LTU

Technologies, Veresoftware,

Wiebetech, Tableau

2007 2009

Distribuidora exclusiva

de Access Data,

ArcSight, NetWitness

2010

Duplicação do Time de

Profissionais para atender o

Brasil inteiro

Executa o maior projeto

mundial de Encase

Forensics

Novos escritórios em

Brasília e Rio de Janeiro

AGENDA:

1 – aumento do tamanho das mídias

2 – aumento das fontes de dados

3 – novidades tecnológicas

4 – melhorias de performance de ferramentas

5 – melhor triagem antes da coleta de dados

6 – evolução de técnicas de análise

7 – melhorias na taxonomia e compartilhamento de dados

Avanços Tecnológicos em

Perícia Computacional e Resposta a Incidentes

“Computer Forensics: Results of Live Response Inquiry vs Memory Image Analysis”

Resposta a Incidentes e Forense Computacional – Abordagem Híbrida

1 – aumento do tamanho das mídias (HDs) a serem analisadas:

- Lei de Moore -> número de transistores de chips dobram a cada 18 meses

- Lei de Kryder -> discos rígidos dobram de tamanho a cada 18 a 24 meses

- velocidade de acesso à disco (I/O) não cresce tão rapidamente..

- maioria dos hds possuem mais de um milhão de itens

- indexação, carving, análise de assinatura

Motivadores de Avanços Tecnológicos

1 – aumento do tamanho das mídias (HDs)

Fonte: Han-Kwang Nienhuys – http://en.wikipedia.org/wiki/File:Hard_drive_capacity_over_time.svg

1 – aumento do tamanho das mídias (HDs)

Motivadores de Avanços Tecnológicos

1 – aumento do tamanho das mídias (HDs)

2 – aumento das fontes de dados a serem analisadas:

- Análise de mídias removíveis

- Análise de computadores remotos

- Análise de memória

- Análise de sessões de rede

- Análise de registros/logs e auditoria

- Análise de dispositivos móveis

- outros: ebook readers, mp3 players, GPS,video-games, TVs, ...

2 – aumento das fontes de dados

HD: Bit Byte Setor Cluster Arquivo1 8bits 512B 8 setores / 4kb 1-n clusters

+ d a d o s + c o m p l e x i d a d e

Memória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threads

Rede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams

Outras Fontes de Dados:

Análise de Memória – ex 1 (pdgmail.py)

Outras Fontes de Dados:

Análise de Memória – ex 2 (Ftk 3.x)

Outras Fontes de Dados:

Análise de Memória – ex 3 (HBGary Responder)

Outras Fontes de Dados

Análise de Sessões de Rede – ex. 4

Outras Fontes de Dados

Análise de Sessões de Rede

Motivadores de Avanços Tecnológicos

1 – aumento do tamanho das mídias (HDs) a serem analisadas:

2 – aumento das fontes de dados a serem analisadas:

3 – necessidade de adequação diante de novidades tecnológicas

- Novos Sistemas Operacionais: Windows 7 – UserAssist, usrclass.dat, Roaming, ..

- Novos Sistemas de Arquivo: ext4 – (2.6.28, dez/2008) => Suporte FTK 3.2 / Encase 7

- Mobile Forensics – ex: variedade de S.Os, aplicações e conectividade

- Necessidade de análise de artefatos de mídias sociais: Orkut/Facebook/Twitter/..

Novidades Tecnológicas:

Novos sistemas operacionais – ex 1 (Win 7)

Estatísticas da execução de programas via Windows Explorer (NTUSER.DAT)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

Windows XP – UserAssist:

Cifra - ROT13 (A->N, B->O, ...)

Inicia o contador em 5.

Windows 7/2008 beta – UserAssist:

Cifra – Vignère (key: BWHQNKTEZYFSLMRGXADUJOPIVC)

Windows 7/2008 – UserAssist:

Cifra – ROT13 / inicia o contador em 0.

Análise dos metadados de MAC Times (Modificação, Acesso e Criação)

Unix Millenium Bug (Y2K38) - até ext3 – 32 bit signed integer

Segundos desde 00:00:00 de 1º de janeiro de 1970 (unix/epoch)time

Limite: 03:14:07 de 19 de janeiro de 2038 (+1s => ano 1901)

bits: 1111111111111111111111111111111

ext4 – lançado em 25 de dezembro de 2008, estende timestamps para nanoseg (10-9) e + 2 bits foram adicionados ao campo dos segundos do “expanded timestamp”, aumentando o limite para o ano 2242.

Suporte completo a ext4: FTK 3.2 (beta) e Encase 7 (n/d)

Novidades Tecnológicas:

Novos sistemas de arquivo – ex 2 (ext4)

1 – aumento do tamanho das mídias

2 – aumento das fontes de dados

3 – adequação diante de novidades tecnológicas

4 – melhorias de performance de ferramentas:

- Uso de Banco de Dados como BackEnd: ECC - MSSQL/ FTK 3.x – Oracle

- Aquisição Remota: dados voláteis, memória, discos, artefatos específicos

- Processamento Distribuído: DNA -> FTK 3.x -> AD LAB

- Utilização de Programação CUDA para criptoanálise (Fred SC + EDPR)

Motivadores de Avanços Tecnológicos

4 - Melhoria de Performance

BackEnd Oracle / Processamento Distribuído – FTK

4 - Melhoria de Performance

CriptoAnálise – FRED-SC + EDPR - CUDA

Avanços Tecnológicos - Triagem

1 – aumento do tamanho das mídias

2 – aumento das fontes de dados

3 – adequação diante de novidades tecnológicas

4 – melhorias de performance de ferramentas:

5 – melhor triagem antes da coleta de dados

- Remota – FTK 3.x/AD Enterprise, Encase FIM/Platform

- Na ponta – Encase Portable

- Conceito: Arquivos de evidência lógica (LEF/L01, AD1)

Dongle / (Security key)

4-Port USB

Hub

EnCase

Portable

USB – 4GB

PenDrive/Disco – 1 Gb- > 2Tb

5 – Melhor Triagem: ex 1 – em campo

Servlets Installed on Computers

5 - Melhor Triagem: ex 2 – remota

Avanços Tecnológicos

1 – aumento do tamanho das mídias

2 – aumento das fontes de dados

3 – novidades tecnológicas

4 – melhorias de performance de ferramentas

5 – melhor triagem antes da coleta de dados

6 – evolução de técnicas de análise

- hashing: MD5/SHA1 -> ssdeep/fuzzy -> entropy -> file block

- indexação de textos em imagens (OCR)

- Super Timelines (log2timeline – Kristinn Guðjónsson):

Browser Hist, Bookmarks / EVT / EXIF / W3C Log / Proxy / FW / AV /

OpenXML (Office2007) / PCAP / PDF Metadata / Prefetch / Lixeira /

Restore Points / FlashCookies (LSO) / SetupApi / UserAssist / LNK

Evolução de Técnicas de Análise - Hashes

Uso de Hashes Criptográficos

- arquivo de evidencia .e01 vs .dd:

- arquivos (md5/sha1/sha256):

whitelisting (NIST NSRL / AD KFF)

blacklisting (Bit9, Gargoyle)

- Outros tipos de Hashing:

Fuzzy hashing | File block hash analysis | Entropy

Fuzzy Hashing

- ssdeep – Jesse Kornblum - http://ssdeep.sourceforge.net

- FTK 3.x

Hashes - Entropy

File Block Hash Analysis

https://support.guidancesoftware.com/forum/downloads.php?do=file&id=657

1 – aumento do tamanho das mídias (HDs)

2 – aumento das fontes de dados

3 – novidades tecnológicas

4 – melhorias de performance de ferramentas

5 – melhor triagem antes da coleta de dados

6 – evolução de técnicas de análise

7 – melhorias na taxonomia e compartilhamento de dados

- Taxonomia Incidentes

- Atribuição de Origem (Táticas, Técnicas e Procedimentos)

- Indicadores de Comprometimento - OpenIOC

- Framework de Compartilhamento de dados - VerIS

Avanços Tecnológicos

Objetivos

INCIDENTE / CRIME

Agente

Resultado não

autorizado

ATAQUE / VIOLAÇÃO

Ferramentas Falha

John D. Howard e Thomas A. Longstaff

A Common Language for Computer Security Incidents

http://www.cert.org/research/taxonomy_988667.pdf

Alvo

EVENTO

Ação

Taxonomia – Evento/Ataque/Incidente

An

ális

e d

e In

cid

en

tes

-T

TPs

Táti

cas,

Té

cnic

as, e

Pro

ced

ime

nto

s

Mike Cloppert – Lockheed Martin

Indicators of Compromise - OpenIOC

http://www.mandiant.com/uploads/presentations/SOH_052010.pdf

Táticas, Técnicas e Procedimentos

VerIS – Incident Sharing - Framework

http://securityblog.verizonbusiness.com/wp-content/uploads/2010/03/VerIS_Framework_Beta_1.pdf

Utilização do compartilhamento de dadosAnálise de Sessões de Rede – ex. ?

Obrigado!

Sandro Süffert,

CTO Techbiz Forense Digital

http://blog.suffert.com

Parceiros de Tecnologia