![Page 1: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/1.jpg)
Avanços Tecnológicos em
Perícia Computacional e Resposta a Incidentes
Sandro Süffert,
CTO Techbiz Forense Digital
http://blog.suffert.com
![Page 2: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/2.jpg)
ICCyber 2007: SOC BrT (Guarujá) ICCyber 2008: Processos Investigação (RJ)
ICCyber 2009: RoadMap AD, GS (Natal)
ICCyber 2010 Avanços Tecnológicos
(Brasília)
![Page 3: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/3.jpg)
A TechBiz Forense Digital faz parte do grupo TechBiz,
que tem 15 anos de história.
Sediada em São Paulo, a TechBiz Forense Digital tem
escritórios em Belo Horizonte, Rio de Janeiro, Brasília
e Florianópolis
![Page 4: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/4.jpg)
1995
Fundação da
TechBiz Informática 2005
TechBiz Forense Digital é
concebida
Distribuidora Exclusiva
Guidance Software,
Intelligent Computer
Solutions,
MicroSystemation
2006
Início formal das operações,
com escritório em Belo
Horizonte e São Paulo 2008
Torna-se 1º Guidance
Authorized PSD (Professional
Services Division) no mundo
Distribuidora exclusiva
Digital Intelligence, LTU
Technologies, Veresoftware,
Wiebetech, Tableau
2007 2009
Distribuidora exclusiva
de Access Data,
ArcSight, NetWitness
2010
Duplicação do Time de
Profissionais para atender o
Brasil inteiro
Executa o maior projeto
mundial de Encase
Forensics
Novos escritórios em
Brasília e Rio de Janeiro
![Page 5: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/5.jpg)
![Page 6: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/6.jpg)
AGENDA:
1 – aumento do tamanho das mídias
2 – aumento das fontes de dados
3 – novidades tecnológicas
4 – melhorias de performance de ferramentas
5 – melhor triagem antes da coleta de dados
6 – evolução de técnicas de análise
7 – melhorias na taxonomia e compartilhamento de dados
Avanços Tecnológicos em
Perícia Computacional e Resposta a Incidentes
![Page 7: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/7.jpg)
“Computer Forensics: Results of Live Response Inquiry vs Memory Image Analysis”
Resposta a Incidentes e Forense Computacional – Abordagem Híbrida
![Page 8: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/8.jpg)
1 – aumento do tamanho das mídias (HDs) a serem analisadas:
- Lei de Moore -> número de transistores de chips dobram a cada 18 meses
- Lei de Kryder -> discos rígidos dobram de tamanho a cada 18 a 24 meses
- velocidade de acesso à disco (I/O) não cresce tão rapidamente..
- maioria dos hds possuem mais de um milhão de itens
- indexação, carving, análise de assinatura
Motivadores de Avanços Tecnológicos
![Page 9: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/9.jpg)
1 – aumento do tamanho das mídias (HDs)
Fonte: Han-Kwang Nienhuys – http://en.wikipedia.org/wiki/File:Hard_drive_capacity_over_time.svg
![Page 10: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/10.jpg)
1 – aumento do tamanho das mídias (HDs)
![Page 11: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/11.jpg)
Motivadores de Avanços Tecnológicos
1 – aumento do tamanho das mídias (HDs)
2 – aumento das fontes de dados a serem analisadas:
- Análise de mídias removíveis
- Análise de computadores remotos
- Análise de memória
- Análise de sessões de rede
- Análise de registros/logs e auditoria
- Análise de dispositivos móveis
- outros: ebook readers, mp3 players, GPS,video-games, TVs, ...
![Page 12: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/12.jpg)
2 – aumento das fontes de dados
HD: Bit Byte Setor Cluster Arquivo1 8bits 512B 8 setores / 4kb 1-n clusters
+ d a d o s + c o m p l e x i d a d e
Memória: Bit Byte Página Thread Processo 1 8bits 4kB n páginas n threads
Rede: Bit Byte Pacote Stream Sessão 1 8bits n bytes n pacotes n streams
![Page 13: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/13.jpg)
Outras Fontes de Dados:
Análise de Memória – ex 1 (pdgmail.py)
![Page 14: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/14.jpg)
Outras Fontes de Dados:
Análise de Memória – ex 2 (Ftk 3.x)
![Page 15: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/15.jpg)
Outras Fontes de Dados:
Análise de Memória – ex 3 (HBGary Responder)
![Page 16: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/16.jpg)
Outras Fontes de Dados
Análise de Sessões de Rede – ex. 4
![Page 17: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/17.jpg)
Outras Fontes de Dados
Análise de Sessões de Rede
![Page 18: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/18.jpg)
Motivadores de Avanços Tecnológicos
1 – aumento do tamanho das mídias (HDs) a serem analisadas:
2 – aumento das fontes de dados a serem analisadas:
3 – necessidade de adequação diante de novidades tecnológicas
- Novos Sistemas Operacionais: Windows 7 – UserAssist, usrclass.dat, Roaming, ..
- Novos Sistemas de Arquivo: ext4 – (2.6.28, dez/2008) => Suporte FTK 3.2 / Encase 7
- Mobile Forensics – ex: variedade de S.Os, aplicações e conectividade
- Necessidade de análise de artefatos de mídias sociais: Orkut/Facebook/Twitter/..
![Page 19: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/19.jpg)
Novidades Tecnológicas:
Novos sistemas operacionais – ex 1 (Win 7)
Estatísticas da execução de programas via Windows Explorer (NTUSER.DAT)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
Windows XP – UserAssist:
Cifra - ROT13 (A->N, B->O, ...)
Inicia o contador em 5.
Windows 7/2008 beta – UserAssist:
Cifra – Vignère (key: BWHQNKTEZYFSLMRGXADUJOPIVC)
Windows 7/2008 – UserAssist:
Cifra – ROT13 / inicia o contador em 0.
![Page 20: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/20.jpg)
Análise dos metadados de MAC Times (Modificação, Acesso e Criação)
Unix Millenium Bug (Y2K38) - até ext3 – 32 bit signed integer
Segundos desde 00:00:00 de 1º de janeiro de 1970 (unix/epoch)time
Limite: 03:14:07 de 19 de janeiro de 2038 (+1s => ano 1901)
bits: 1111111111111111111111111111111
ext4 – lançado em 25 de dezembro de 2008, estende timestamps para nanoseg (10-9) e + 2 bits foram adicionados ao campo dos segundos do “expanded timestamp”, aumentando o limite para o ano 2242.
Suporte completo a ext4: FTK 3.2 (beta) e Encase 7 (n/d)
Novidades Tecnológicas:
Novos sistemas de arquivo – ex 2 (ext4)
![Page 21: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/21.jpg)
1 – aumento do tamanho das mídias
2 – aumento das fontes de dados
3 – adequação diante de novidades tecnológicas
4 – melhorias de performance de ferramentas:
- Uso de Banco de Dados como BackEnd: ECC - MSSQL/ FTK 3.x – Oracle
- Aquisição Remota: dados voláteis, memória, discos, artefatos específicos
- Processamento Distribuído: DNA -> FTK 3.x -> AD LAB
- Utilização de Programação CUDA para criptoanálise (Fred SC + EDPR)
Motivadores de Avanços Tecnológicos
![Page 22: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/22.jpg)
4 - Melhoria de Performance
BackEnd Oracle / Processamento Distribuído – FTK
![Page 23: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/23.jpg)
4 - Melhoria de Performance
CriptoAnálise – FRED-SC + EDPR - CUDA
![Page 24: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/24.jpg)
Avanços Tecnológicos - Triagem
1 – aumento do tamanho das mídias
2 – aumento das fontes de dados
3 – adequação diante de novidades tecnológicas
4 – melhorias de performance de ferramentas:
5 – melhor triagem antes da coleta de dados
- Remota – FTK 3.x/AD Enterprise, Encase FIM/Platform
- Na ponta – Encase Portable
- Conceito: Arquivos de evidência lógica (LEF/L01, AD1)
![Page 25: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/25.jpg)
Dongle / (Security key)
4-Port USB
Hub
EnCase
Portable
USB – 4GB
PenDrive/Disco – 1 Gb- > 2Tb
5 – Melhor Triagem: ex 1 – em campo
![Page 26: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/26.jpg)
Servlets Installed on Computers
5 - Melhor Triagem: ex 2 – remota
![Page 27: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/27.jpg)
Avanços Tecnológicos
1 – aumento do tamanho das mídias
2 – aumento das fontes de dados
3 – novidades tecnológicas
4 – melhorias de performance de ferramentas
5 – melhor triagem antes da coleta de dados
6 – evolução de técnicas de análise
- hashing: MD5/SHA1 -> ssdeep/fuzzy -> entropy -> file block
- indexação de textos em imagens (OCR)
- Super Timelines (log2timeline – Kristinn Guðjónsson):
Browser Hist, Bookmarks / EVT / EXIF / W3C Log / Proxy / FW / AV /
OpenXML (Office2007) / PCAP / PDF Metadata / Prefetch / Lixeira /
Restore Points / FlashCookies (LSO) / SetupApi / UserAssist / LNK
![Page 28: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/28.jpg)
Evolução de Técnicas de Análise - Hashes
Uso de Hashes Criptográficos
- arquivo de evidencia .e01 vs .dd:
- arquivos (md5/sha1/sha256):
whitelisting (NIST NSRL / AD KFF)
blacklisting (Bit9, Gargoyle)
- Outros tipos de Hashing:
Fuzzy hashing | File block hash analysis | Entropy
![Page 29: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/29.jpg)
Fuzzy Hashing
- ssdeep – Jesse Kornblum - http://ssdeep.sourceforge.net
- FTK 3.x
![Page 30: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/30.jpg)
Hashes - Entropy
![Page 31: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/31.jpg)
File Block Hash Analysis
https://support.guidancesoftware.com/forum/downloads.php?do=file&id=657
![Page 32: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/32.jpg)
1 – aumento do tamanho das mídias (HDs)
2 – aumento das fontes de dados
3 – novidades tecnológicas
4 – melhorias de performance de ferramentas
5 – melhor triagem antes da coleta de dados
6 – evolução de técnicas de análise
7 – melhorias na taxonomia e compartilhamento de dados
- Taxonomia Incidentes
- Atribuição de Origem (Táticas, Técnicas e Procedimentos)
- Indicadores de Comprometimento - OpenIOC
- Framework de Compartilhamento de dados - VerIS
Avanços Tecnológicos
![Page 33: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/33.jpg)
Objetivos
INCIDENTE / CRIME
Agente
Resultado não
autorizado
ATAQUE / VIOLAÇÃO
Ferramentas Falha
John D. Howard e Thomas A. Longstaff
A Common Language for Computer Security Incidents
http://www.cert.org/research/taxonomy_988667.pdf
Alvo
EVENTO
Ação
Taxonomia – Evento/Ataque/Incidente
![Page 34: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/34.jpg)
An
ális
e d
e In
cid
en
tes
-T
TPs
Táti
cas,
Té
cnic
as, e
Pro
ced
ime
nto
s
Mike Cloppert – Lockheed Martin
![Page 35: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/35.jpg)
Indicators of Compromise - OpenIOC
http://www.mandiant.com/uploads/presentations/SOH_052010.pdf
![Page 36: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/36.jpg)
Táticas, Técnicas e Procedimentos
VerIS – Incident Sharing - Framework
http://securityblog.verizonbusiness.com/wp-content/uploads/2010/03/VerIS_Framework_Beta_1.pdf
![Page 37: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/37.jpg)
Utilização do compartilhamento de dadosAnálise de Sessões de Rede – ex. ?
![Page 38: Avanços tecnológicos em perícia computacional e resposta a incidentes](https://reader034.vdocument.in/reader034/viewer/2022051411/54440c22b1af9f700a8b4753/html5/thumbnails/38.jpg)
Obrigado!
Sandro Süffert,
CTO Techbiz Forense Digital
http://blog.suffert.com