Desafios em Computação Forense
e Resposta a Incidentes de Segurança
Sandro Süffert
http://blog.suffert.com
Mobile Forensics
Equipamentos de Laboratórios de Perícia Computação Forense é só isto?
Bloqueadores de Escrita
Duplicadores de Mídias
Softwares de Análise Pericial Armazenamento Portátil
Aquisição em campo
Computadores Especializados
Áreas usuárias de Tecnologias de
Computação Forense e Investigação Digital:
Perícia Criminal Segurança da Inf.
Anti-Fraude
Jurídico
Auditoria
Inteligência
Defesa Cibernética
Fiscalização
Compliance
Algumas modalidades de
Forense Computacional
Forense Post-Mortem
•HDs, CDs, Pen-Drives, Disquetes, etc
•Telefones, GPS, Tablets, etc
Forense de Rede
• Redes Cabeadas
• Redes Sem Fio
• Reconstrução de Sessões
• Geração de Metadados
Forense Remota
• Conexão online
• Silenciosa
• Stealth
• Capacidade de obtenção de dados voláteis
• Possibilidade de Remediação
Forense Colaborativa
•Múltiplas Investigações
•Múltiplos Investigadores
• Interface de Investigação Amigável
•Grupo Especialista
Objetivos
INCIDENTE
Agente Resultado não
autorizado
ATAQUE / VIOLAÇÃO
Ferramentas Falha Alvo
EVENTO
Ação
Taxonomia: Evento>Ataque>Incidente>Crime
Crime
Agente
Ferramentas
Falha Ação
Ataque Físico Hackers
Espiões
Terroristas
Vândalos
Voyeurs
Mercenários
Troca de Inf.
Eng. Social
Programas
Toolkit
Interceptação
Ataque
Distribuido
Design
Implementação
Configuração
Probe
Scan
Flood
Autenticação
Bypass
Spoof
Leitura
Cópia
Roubo
Modificação
Remoção
Funcionários
Alvo Resultado
não autorizado Objetivos
Aumento níveis de acesso
Contas
Processos
Dados
Computadores
Redes Locais
Redes WAN
Obtenção
informação confidencial
Corrupção de
informação
Negação de
Serviço
Roubo de
Recursos
Ganho
Financeiro
Ganho Político
Dano
Desafio, status
John D. Howard e Thomas A. Longstaff
A Common Language for Computer Security Incidents
http://www.cert.org/research/taxonomy_988667.pdf
Central Telefônica
Dinâmicas de Incidentes ou “Crimes Digitais”
Atribuição de Autoria/Responsabilidade Muito além da identificação de endereços IP
1)Timing, 2) Vítimas/Alvos, 3) Origem, 4) Mecanismo de Entrada, 5) Vulnerabilidade ou Exposição, 6) Exploit ou Payload, 7) Weaponization, 8) Atividade pós-exploração, 9) Método de Comando e Controle, 10) Servidores de Comando e Controle,
11) Ferramentas, 12) Mecanismo de Persistência, 13) Método de Propagação, 14) Dados Alvo, 15) Compactação de Dados, 16) Modo de Extrafiltração, 17) Atribuição Externa, 18) Grau de Profissionalismo, 19) Variedade de Técnicas utilizadas, 20) Escopo
Identificação das consequências do ataque pode ser mais fácil que detectar o ataque
(R. Beitlich, M. Cloppert)
Agente
Diferentes Níveis de Importância Estratégica Diferentes Categorias de Agentes e Objetivos
diagrama: - David Ross – GFIRST/Mandiant
Processos de Investigação Digital
Exemplo de Processo de Investigação
• CheckList de Abertura
• Requisitar Autorização
• Designar responsáveis
• Preservação e Coleta
• Acompanhamento
• Efetuar
• Inventário
• Enviar para Análise
Tratamento > Coleta Presencial
Tratamento > Coleta Presencial
Tratamento > Coleta Presencial
• PADRONIZAR o processamento, gerando CONTROLE
• MINIMIZAR ao máximo a PERDA de dados
• EVITAR a CONTAMINAÇÃO de dados / informações
Tratamento > Coleta Remota
• INFORMAÇÃO sobre as FERRAMENTAS utilizadas
• INFORMAÇÕES sobre a REDE
• INFORMAÇÕES sobre a AQUISIÇÃO
• INFORMAÇÕES sobre ARQUIVAMENTO
Processos Forenses
Processo de Investigação
Tratamento Análise RelatórioTriagem
Detecção
Notificação
Encerramento
Autorizado?[Não]
[Sim]
Requisição
Forense
Definir o que
coletar
Coleta Remota
Inventariar
FORM01 -
Autorização
FORM02 -
Questionário
FORM07
Requisitar
Autorização
FORM10
FORM11
Renegociar
Requisição
Remoto?
[Sim]
Processo de
Coleta Presencial[Não]
Iniciar
Análise
Checklist de
Abertura de Caso
FORM06
FORM-CAC
Mais
Evidências a
coletar?
[Não]
[Sim]
Novos Alvos
Identificados?
[Não]
[Sim]
Iniciar Análise
Dados
Suficientes?
Reiniciar
Tratamento[Não]
[Sim]
Processos de Análise
Responder:
Quem/O que?, Quando?, Onde?, Como?, Por que?
Utilizar os processos de análise para obter as respostas
Análise de Emails
Análise de Documentos
Análise de Artefatos Web
Análise de Artefatos de SO
Recuperação de Arquivos
Apagados
Análise de Hash
Comparação de Baseline
FORM05 –
Notas de Lab.
Existe Informação
Incriminante fora do
escopo inicial?[Sim]
Abrir uma Nova
Investigação
[Não]
Requisitar
Informações
[Sim]
Se obtidas, analisar
relevância dos dados
levantados e
relacionamento com
dados atuais
Preparar
Relatório
Informações Suficientes
para Concluir?
[Sim]
[Não][Não]
Outras Análises Específicas
Necessário
Informações fora das
permissões diretas do
investigador?
Arquivar
Documentação na
Pasta do Caso
Encerramento
Preencher ficha de
acompanhamento
gerencial
Registrar/Comunicar
o Término do caso
Necessário Acionar
Autoridades Externas?
[Não]
Enviar Informações
para Autoridades[Sim]
Aguardar
Instruções
Sanitizar mídias de
armazenamento
temporário (trabalho)
Arquivar mídias de
armazenamento
longo (originais/
cópias backup)
Fim da
Investigação
“Computer Forensics: Results of Live Response Inquiry vs Memory Image Analysis”
Resposta a Incidentes e Forense Computacional – Abordagem Híbrida
Cyber Segurança – uma crise de priorização
NCO/NITRD –National Coordination Office / Networking and Information Technology Research and Development
Priorizações Recomendadas pelo Comitê de T.I. do Gov. Americano
NCO/NITRD.GOV - Cyber Security A Crisis of Prioritization: pg 43
Pessoas: A crise de capital humano em CiberSegurança
1 – aumento do tamanho das mídias
2 – aumento das fontes de dados
3 – novidades tecnológicas
4 – melhorias de performance de ferramentas
5 – melhor triagem antes da coleta de dados
6 – evolução de técnicas de análise
7 – melhorias na taxonomia e compartilhamento de dados
Alguns Desafios em Perícia
Computacional e Resposta a Incidentes
1 – aumento do tamanho das mídias (HDs) a serem analisadas:
- Lei de Moore -> número de transistores de chips dobram a cada 18 meses
- Lei de Kryder -> discos rígidos dobram de tamanho a cada 18 a 24 meses
- velocidade de acesso à disco (I/O) não cresce tão rapidamente..
- maioria dos hds possuem mais de um milhão de itens
- indexação, carving, análise de assinatura
Desafios Tecnológicos
1 – aumento do tamanho das mídias (HDs)
Fonte: Han-Kwang Nienhuys – http://en.wikipedia.org/wiki/File:Hard_drive_capacity_over_time.svg
1 – aumento do tamanho das mídias (HDs)
Discos: aumento de +576%. Estações de Trabalho: +29,7%
PDA/Blackberry/Assemelhados: +859%
Motivadores de Avanços Tecnológicos
1 – aumento do tamanho das mídias (HDs)
2 – aumento das fontes de dados a serem analisadas:
- Análise de discos de Estado Sólido (SSD)
- Análise de mídias removíveis
- Análise de computadores remotos
- Análise de memória
- Análise de sessões de rede
- Análise de registros/logs/BD
- Análise de dispositivos móveis (celulares, tablets, gps)
- outros: ebook readers, mp3 players, GPS,video-games, TVs, ...
2 – aumento das fontes de dados
HD: Bit Byte Setor Cluster Arquivo 1 8bits 512B 8 setores / 4kb 1-n clusters
+ d a d o s + c o m p l e x i d a d e
Memória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threads
Rede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams
Outras Fontes de Dados:
Análise de Memória – ex 1 (pdgmail.py)
Outras Fontes de Dados:
Análise de Memória – ex 2 (Ftk 3.x)
Outras Fontes de Dados:
Análise de Memória – ex 3 (HBGary Responder)
Outras Fontes de Dados
Análise de Sessões de Rede
Outras Fontes de Dados
Análise de Sessões de Rede – ex. 4
Motivadores de Avanços Tecnológicos
1 – aumento do tamanho das mídias (HDs) a serem analisadas:
2 – aumento das fontes de dados a serem analisadas:
3 – necessidade de adequação diante de novidades tecnológicas
- Novos Sistemas Operacionais: Windows 7 – UserAssist, usrclass.dat, Roaming, ..
- Novos Sistemas de Arquivo: ext4 – (2.6.28, dez/2008) => (..)
- Mobile Forensics – ex: variedade de S.Os, aplicações e conectividade
- Necessidade de análise de artefatos de mídias sociais: Orkut/Facebook/Twitter/..
Novidades Tecnológicas:
Novos sistemas operacionais – ex 1 (Win 7)
Estatísticas da execução de programas via Windows Explorer (NTUSER.DAT)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
Windows XP – UserAssist:
Cifra - ROT13 (A->N, B->O, ...)
Inicia o contador em 5.
Windows 7/2008 beta – UserAssist:
Cifra – Vignère (key: BWHQNKTEZYFSLMRGXADUJOPIVC)
Windows 7/2008 – UserAssist:
Cifra – ROT13 / inicia o contador em 0.
Análise dos metadados de MAC Times (Modificação, Acesso e Criação)
Unix Millenium Bug (Y2K38) - até ext3 – 32 bit signed integer
Segundos desde 00:00:00 de 1º de janeiro de 1970 (unix/epoch)time
Limite: 03:14:07 AM de 19 de janeiro de 2038 (+1s => ano 1901)
bits: 1111111111111111111111111111111
ext4 – lançado em 25 de dezembro de 2008, estende timestamps para nanoseg (10-9) e + 2 bits foram adicionados ao campo dos segundos do “expanded timestamp”, aumentando o limite para o ano 2242.
Suporte completo a ext4: FTK 3.3 e Encase 7
Novidades Tecnológicas:
Novos sistemas de arquivo – ex 2 (ext4)
1 – aumento do tamanho das mídias
2 – aumento das fontes de dados
3 – adequação diante de novidades tecnológicas
4 – melhorias de performance de ferramentas:
- Uso de Banco de Dados como BackEnd: ECC - MSSQL/ FTK 3.x – Oracle
- Aquisição Remota: dados voláteis, memória, discos, artefatos específicos
- Processamento Distribuído: DNA -> FTK 3.x -> AD LAB
- Utilização de Programação CUDA para criptoanálise (Fred SC + EDPR)
- Utilização de Cloud Computing para criptoanálise (Passware Kit + EC2)
Motivadores de Avanços Tecnológicos
4 - Melhoria de Performance
BackEnd Oracle / Processamento Distribuído – AD
LAB
4 - Melhoria de Performance
CriptoAnálise – FRED-SC + EDPR - CUDA
Avanços Tecnológicos - Triagem
1 – aumento do tamanho das mídias
2 – aumento das fontes de dados
3 – adequação diante de novidades tecnológicas
4 – melhorias de performance de ferramentas:
5 – melhor triagem antes da coleta de dados
- Remota – FTK 3.x/AD Enterprise, Encase FIM/Platform
- Na ponta – Encase Portable
- Conceito: Arquivos de evidência lógica (LEF/L01, AD1)
Dongle / (Security key)
4-Port USB
Hub
EnCase
Portable
USB – 4GB
PenDrive/Disco – 1 Gb- > 2Tb
5 – Melhoria na Triagem: ex 1 – em campo
5 – Melhoria na Triagem: ex 2 – em campo
Servlets Installed on Computers
5 – Melhoria na Triagem: ex 3 – remota
Forense Remota / Remediação
Auditoria Logical Evidence File
ResultLog
• Quem?
• Quando?
• Onde?
• Garantia de
integridade
• Materialização de
prova
•Tamanho reduzido
• Existência ou não
de arquivos
responsivos
Avanços Tecnológicos
1 – aumento do tamanho das mídias
2 – aumento das fontes de dados
3 – novidades tecnológicas
4 – melhorias de performance de ferramentas
5 – melhor triagem antes da coleta de dados
6 – evolução de técnicas de análise
- hashing: MD5/SHA1 -> ssdeep/fuzzy -> entropy -> file block hash analysis
- indexação de textos em imagens (OCR); Novos algorítimos de análise
- Super Timelines (Enscripts + log2timeline – Kristinn Guðjónsson):
Browser Hist, Bookmarks / EVT / EXIF / W3C Log / Proxy / FW / AV /
OpenXML (Office2007) / PCAP / PDF Metadata / Prefetch / Lixeira /
Restore Points / FlashCookies (LSO) / SetupApi / UserAssist / LNK
Evolução de Técnicas de Análise - Hashes
Uso de Hashes Criptográficos
- Arquivos de Evidência .e01 vs .dd:
- E0x1,L0x1: bzip, AES-256, MD5+SHA1
- arquivos (md5/sha1/sha256):
whitelisting (NIST NSRL / AD KFF)
blacklisting (Bit9, Gargoyle)
- Outros tipos de “Hashing” úteis na Forense:
Fuzzy hashing | File block hash analysis | Entropy
Fuzzy Hashing
- ssdeep – Jesse Kornblum - http://ssdeep.sourceforge.net
- FTK 3.x
context triggered piecewise hashes (CTPH)
Hashes - Entropy
File Block Hash Analysis
https://support.guidancesoftware.com/forum/downloads.php?do=file&id=657
Algorítimos de Comparação de Vídeos
Identificação/categorização de vídeos tolerante a mudança de:
• Formato; • Cor; Brilho; Contraste; • Compressão; • Espelhamento; • Cortes; • Distorção; • Mudança de proporção; • Edições (~ 2 seg)
1 – aumento do tamanho das mídias (HDs)
2 – aumento das fontes de dados
3 – novidades tecnológicas
4 – melhorias de performance de ferramentas
5 – melhor triagem antes da coleta de dados
6 – evolução de técnicas de análise
7 – melhorias na taxonomia e compartilhamento de dados
- Taxonomia Incidentes
- Atribuição de Origem (Táticas, Técnicas e Procedimentos)
- Indicadores de Comprometimento - OpenIOC
- Framework de Compartilhamento de dados - VerIS
Avanços Tecnológicos
Utilização do compartilhamento de dados Análise de Sessões de Rede – ex. ?
Correlação de Milhões de Eventos Diários
Anti Virus
Anti Virus
Bancos de Dados
Applications Applications Applications Applications Applications Applications Applications Applications Applications Aplicações Anti-Virus SO de Servers e
Desktop Equipamentos
De Rede Vulnerability Assessment
Intrusion Detection Systems
Firewalls Firewalls Firewalls Firewalls Firewalls Firewalls/ VPN
Sign-On Sign-On Gerenciamento De Identidade
Serviços de Diretório
Atributos de Usuários
Infraestrutura Física
Processos de Negócio
Mainframes
Correlação de Eventos para apoio à Decisão
T.I/S.I./Fraude/Auditoria/Inteligência
54
Monitoração de Infra-Estruturas Críticas (PLCs)
15/08/2011
55
Inteligência para Investigações e apoio à Decisão
TBS – Time Based Security: Pt ~ Dt + Rt
“Proteção requer detectar um ataque e reagir a
Tempo”.
Proteção = Tempo Detecção + Tempo Reação suficientes
Exposição = Tempo Detecção + Tempo Reação tardios
diagramas: Mike Cloppert – Lockheed Martin
- Fórmula Tradicional de Risco = Ameaça x Vulnerabilidade x Impacto
- Kill Chain – sequência de eventos para uma ameaça afetar um alvo:
Foco de Atenção: Ênfase na *Ameaça*
Conceito TBS:: Winn Schwartau
Evolução de um Ataque Temporalmente
An
ális
e d
e I
nci
de
nte
s -
TTP
s
Táti
cas,
Té
cnic
as,
e P
roce
dim
en
tos
Mike Cloppert – Lockheed Martin
Indicators of Compromise - OpenIOC
http://www.mandiant.com/uploads/presentations/SOH_052010.pdf
Táticas, Técnicas e Procedimentos
VerIS – Incident Sharing - Framework
http://securityblog.verizonbusiness.com/wp-content/uploads/2010/03/VerIS_Framework_Beta_1.pdf
Alguns casos – 2011
Heterogeneidade de Casos:
• EBCDIC 3270 rede (fraude externa)
• Solaris – adm (sabotagem)
• Java boleto (fraude interna)
• Invasão de site / vazamento de dados
• Clipper – (fraude interna)
• MSDOS 16bit - Video poker (Forças da Lei)
• Sistema Web .NET + SQL Server (Fraude Votação)
Maturidade em Investigação Computacional
Desenvolvimento e Integração de Tecnologia
Obrigado!
Sandro Süffert, CTO
Techbiz Forense Digital
http://blog.suffert.com