Avanços Tecnológicos em Perícia Computacional e Resposta a Incidentes Sandro Süffert, CTO Techbiz Forense Digital http://blog.suffert.com
Oct 19, 2014
Avanços Tecnológicos em
Perícia Computacional e Resposta a Incidentes
Sandro Süffert,
CTO Techbiz Forense Digital
http://blog.suffert.com
ICCyber 2007: SOC BrT (Guarujá) ICCyber 2008: Processos Investigação (RJ)
ICCyber 2009: RoadMap AD, GS (Natal)
ICCyber 2010 Avanços Tecnológicos
(Brasília)
A TechBiz Forense Digital faz parte do grupo TechBiz,
que tem 15 anos de história.
Sediada em São Paulo, a TechBiz Forense Digital tem
escritórios em Belo Horizonte, Rio de Janeiro, Brasília
e Florianópolis
1995
Fundação da
TechBiz Informática 2005
TechBiz Forense Digital é
concebida
Distribuidora Exclusiva
Guidance Software,
Intelligent Computer
Solutions,
MicroSystemation
2006
Início formal das operações,
com escritório em Belo
Horizonte e São Paulo 2008
Torna-se 1º Guidance
Authorized PSD (Professional
Services Division) no mundo
Distribuidora exclusiva
Digital Intelligence, LTU
Technologies, Veresoftware,
Wiebetech, Tableau
2007 2009
Distribuidora exclusiva
de Access Data,
ArcSight, NetWitness
2010
Duplicação do Time de
Profissionais para atender o
Brasil inteiro
Executa o maior projeto
mundial de Encase
Forensics
Novos escritórios em
Brasília e Rio de Janeiro
AGENDA:
1 – aumento do tamanho das mídias
2 – aumento das fontes de dados
3 – novidades tecnológicas
4 – melhorias de performance de ferramentas
5 – melhor triagem antes da coleta de dados
6 – evolução de técnicas de análise
7 – melhorias na taxonomia e compartilhamento de dados
Avanços Tecnológicos em
Perícia Computacional e Resposta a Incidentes
“Computer Forensics: Results of Live Response Inquiry vs Memory Image Analysis”
Resposta a Incidentes e Forense Computacional – Abordagem Híbrida
1 – aumento do tamanho das mídias (HDs) a serem analisadas:
- Lei de Moore -> número de transistores de chips dobram a cada 18 meses
- Lei de Kryder -> discos rígidos dobram de tamanho a cada 18 a 24 meses
- velocidade de acesso à disco (I/O) não cresce tão rapidamente..
- maioria dos hds possuem mais de um milhão de itens
- indexação, carving, análise de assinatura
Motivadores de Avanços Tecnológicos
1 – aumento do tamanho das mídias (HDs)
Fonte: Han-Kwang Nienhuys – http://en.wikipedia.org/wiki/File:Hard_drive_capacity_over_time.svg
1 – aumento do tamanho das mídias (HDs)
Motivadores de Avanços Tecnológicos
1 – aumento do tamanho das mídias (HDs)
2 – aumento das fontes de dados a serem analisadas:
- Análise de mídias removíveis
- Análise de computadores remotos
- Análise de memória
- Análise de sessões de rede
- Análise de registros/logs e auditoria
- Análise de dispositivos móveis
- outros: ebook readers, mp3 players, GPS,video-games, TVs, ...
2 – aumento das fontes de dados
HD: Bit Byte Setor Cluster Arquivo1 8bits 512B 8 setores / 4kb 1-n clusters
+ d a d o s + c o m p l e x i d a d e
Memória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threads
Rede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams
Outras Fontes de Dados:
Análise de Memória – ex 1 (pdgmail.py)
Outras Fontes de Dados:
Análise de Memória – ex 2 (Ftk 3.x)
Outras Fontes de Dados:
Análise de Memória – ex 3 (HBGary Responder)
Outras Fontes de Dados
Análise de Sessões de Rede – ex. 4
Outras Fontes de Dados
Análise de Sessões de Rede
Motivadores de Avanços Tecnológicos
1 – aumento do tamanho das mídias (HDs) a serem analisadas:
2 – aumento das fontes de dados a serem analisadas:
3 – necessidade de adequação diante de novidades tecnológicas
- Novos Sistemas Operacionais: Windows 7 – UserAssist, usrclass.dat, Roaming, ..
- Novos Sistemas de Arquivo: ext4 – (2.6.28, dez/2008) => Suporte FTK 3.2 / Encase 7
- Mobile Forensics – ex: variedade de S.Os, aplicações e conectividade
- Necessidade de análise de artefatos de mídias sociais: Orkut/Facebook/Twitter/..
Novidades Tecnológicas:
Novos sistemas operacionais – ex 1 (Win 7)
Estatísticas da execução de programas via Windows Explorer (NTUSER.DAT)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
Windows XP – UserAssist:
Cifra - ROT13 (A->N, B->O, ...)
Inicia o contador em 5.
Windows 7/2008 beta – UserAssist:
Cifra – Vignère (key: BWHQNKTEZYFSLMRGXADUJOPIVC)
Windows 7/2008 – UserAssist:
Cifra – ROT13 / inicia o contador em 0.
Análise dos metadados de MAC Times (Modificação, Acesso e Criação)
Unix Millenium Bug (Y2K38) - até ext3 – 32 bit signed integer
Segundos desde 00:00:00 de 1º de janeiro de 1970 (unix/epoch)time
Limite: 03:14:07 de 19 de janeiro de 2038 (+1s => ano 1901)
bits: 1111111111111111111111111111111
ext4 – lançado em 25 de dezembro de 2008, estende timestamps para nanoseg (10-9) e + 2 bits foram adicionados ao campo dos segundos do “expanded timestamp”, aumentando o limite para o ano 2242.
Suporte completo a ext4: FTK 3.2 (beta) e Encase 7 (n/d)
Novidades Tecnológicas:
Novos sistemas de arquivo – ex 2 (ext4)
1 – aumento do tamanho das mídias
2 – aumento das fontes de dados
3 – adequação diante de novidades tecnológicas
4 – melhorias de performance de ferramentas:
- Uso de Banco de Dados como BackEnd: ECC - MSSQL/ FTK 3.x – Oracle
- Aquisição Remota: dados voláteis, memória, discos, artefatos específicos
- Processamento Distribuído: DNA -> FTK 3.x -> AD LAB
- Utilização de Programação CUDA para criptoanálise (Fred SC + EDPR)
Motivadores de Avanços Tecnológicos
4 - Melhoria de Performance
BackEnd Oracle / Processamento Distribuído – FTK
4 - Melhoria de Performance
CriptoAnálise – FRED-SC + EDPR - CUDA
Avanços Tecnológicos - Triagem
1 – aumento do tamanho das mídias
2 – aumento das fontes de dados
3 – adequação diante de novidades tecnológicas
4 – melhorias de performance de ferramentas:
5 – melhor triagem antes da coleta de dados
- Remota – FTK 3.x/AD Enterprise, Encase FIM/Platform
- Na ponta – Encase Portable
- Conceito: Arquivos de evidência lógica (LEF/L01, AD1)
Dongle / (Security key)
4-Port USB
Hub
EnCase
Portable
USB – 4GB
PenDrive/Disco – 1 Gb- > 2Tb
5 – Melhor Triagem: ex 1 – em campo
Servlets Installed on Computers
5 - Melhor Triagem: ex 2 – remota
Avanços Tecnológicos
1 – aumento do tamanho das mídias
2 – aumento das fontes de dados
3 – novidades tecnológicas
4 – melhorias de performance de ferramentas
5 – melhor triagem antes da coleta de dados
6 – evolução de técnicas de análise
- hashing: MD5/SHA1 -> ssdeep/fuzzy -> entropy -> file block
- indexação de textos em imagens (OCR)
- Super Timelines (log2timeline – Kristinn Guðjónsson):
Browser Hist, Bookmarks / EVT / EXIF / W3C Log / Proxy / FW / AV /
OpenXML (Office2007) / PCAP / PDF Metadata / Prefetch / Lixeira /
Restore Points / FlashCookies (LSO) / SetupApi / UserAssist / LNK
Evolução de Técnicas de Análise - Hashes
Uso de Hashes Criptográficos
- arquivo de evidencia .e01 vs .dd:
- arquivos (md5/sha1/sha256):
whitelisting (NIST NSRL / AD KFF)
blacklisting (Bit9, Gargoyle)
- Outros tipos de Hashing:
Fuzzy hashing | File block hash analysis | Entropy
Fuzzy Hashing
- ssdeep – Jesse Kornblum - http://ssdeep.sourceforge.net
- FTK 3.x
Hashes - Entropy
File Block Hash Analysis
https://support.guidancesoftware.com/forum/downloads.php?do=file&id=657
1 – aumento do tamanho das mídias (HDs)
2 – aumento das fontes de dados
3 – novidades tecnológicas
4 – melhorias de performance de ferramentas
5 – melhor triagem antes da coleta de dados
6 – evolução de técnicas de análise
7 – melhorias na taxonomia e compartilhamento de dados
- Taxonomia Incidentes
- Atribuição de Origem (Táticas, Técnicas e Procedimentos)
- Indicadores de Comprometimento - OpenIOC
- Framework de Compartilhamento de dados - VerIS
Avanços Tecnológicos
Objetivos
INCIDENTE / CRIME
Agente
Resultado não
autorizado
ATAQUE / VIOLAÇÃO
Ferramentas Falha
John D. Howard e Thomas A. Longstaff
A Common Language for Computer Security Incidents
http://www.cert.org/research/taxonomy_988667.pdf
Alvo
EVENTO
Ação
Taxonomia – Evento/Ataque/Incidente
An
ális
e d
e In
cid
en
tes
-T
TPs
Táti
cas,
Té
cnic
as, e
Pro
ced
ime
nto
s
Mike Cloppert – Lockheed Martin
Indicators of Compromise - OpenIOC
http://www.mandiant.com/uploads/presentations/SOH_052010.pdf
Táticas, Técnicas e Procedimentos
VerIS – Incident Sharing - Framework
http://securityblog.verizonbusiness.com/wp-content/uploads/2010/03/VerIS_Framework_Beta_1.pdf
Utilização do compartilhamento de dadosAnálise de Sessões de Rede – ex. ?
Obrigado!
Sandro Süffert,
CTO Techbiz Forense Digital
http://blog.suffert.com
Parceiros de Tecnologia