FOSS solutions specialization

Your specialization in FOSS solutions
"Free and Open Source Software"
Aviso
Este material foi desenvolvido como o objetivo de ser um apoio no estudo da disciplina de Segurana de Redes Linux/Unix utilizando ferramentas FOSS (Free and Open Source Software), mas em momento algum uma referncia definitiva, dessa forma as bibliografias indicadas so base para uma formao solida e coesa. Sendo relevante destacar que o Modelo Software Livre tem como princpio a segurana fundamentada na transparncia do cdigo aberto que pode ser auditado e questionado a qualquer momento. Cdigos fruto de pesquisa que na sua maioria so oriundos em
centros de pesquisas de Universidade dos quatro cantos do planeta.
Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-2
Prof. Sandro Melo

sandro@4nix.com.br
Conceitos Iniciais de Resposta a Incidente de Segurana e Computao Forense

O que ?
Forense Digital / Computao Forense / Percia Forense: Pode ser considerado uma extenso da Cincia da Computao relativamente recente no campo da segurana digital destinada a apoio a rea criminal. Investigao digital X Investigao forense digital.
Forense Digital?
No dicionrio Aurlio a palavra forense est definida com relativo ao foro judicial Foro lugar onde funcionam os rgos do poder judicirio; tribunal. Investigao por sua vez est definida seguir os vestgios de; pesquisar; examinar com ateno.
Percia Digital?
Brian Carrier, File System Forensic Analysis: Investigao digital um processo onde uma hiptese desenvolvida e testada para responder algumas questes respeito de uma ocorrncia digital. Suportam ou apresentada. desmentem a hiptese
O que a Forense Digital?
O American Heritage Dictionary define forensic como algo relacionado com o uso da cincia ou tecnologia em uma investigao. Estabelecimento de fatos ou evidncias que podem ser levados a um julgamento
Forense x Investigao Digital?
A principal diferena entre a investigao digital e a forense digital a parte legal. A Forense Digital mais restritiva do que a investigao digital e segue metodologia objetivando usar o que for apudaro como prova legal. Obs.: fato que um administrador capacitado prefere usar todo o ritual de uma Percia Forense para responder a qualquer incidente mesmo que a princpio no demande formalizao de provas para uma ao legal.
Por que Forense Computacional?
Com o grande nmero de crimes por meio eletrnico sendo eles em sua maioria via Internet, demandar em poucos anos, que todos os casos de justia venham necessitar da figura de um perito Computacional Forense, para: Demitir ou quebrar contrato; Provar fatos; Leis de privacidade; Ajudar na recuperao dos dados; Combater Pornografia Infantil; Fraudes (Financeiras);
Por que Forense Computacional?
Identificao de Espionagem Industrial; Violao de polticas de uma Corporao; Honey-pots (Aprendendo com o Modus Operandi); Resposta a incidente de Segurana; Importante: relevante destacar que a eficincia dos profissionais na Resposta a Incidente quando so devidamente capacitados em Percia Forense superior a de um profissional que possui habilidade apenas inerente a Segurana.
Princpio de Locard
Qualquer um ou qualquer coisa que entrar em um cenrio onde ocorreu algum crime, leva alguma coisa do local com ele e deixa alguma coisa dele no local quando sai do mesmo.
Tipos de Profissionais
Em um ambiente de uma rede, a trade que faz a segurana computacional:

Verificao de vulnerabilidades (Grupo 1) Gerenciamento do risco (Grupo-1) Testes de Segurana (Grupo-1) Deteco de Invasores na Rede (Grupo-2) Administrao da Segurana dos Ativos (Grupo -2) Resposta a Incidentes (Grupo-3) Investigao Computacional (Grupo-3)
O que faz cada Grupo?
Grupo-1 (Auditores e Pentesters):
Testa e verifica a integridade das estaes de trabalho e dos servidores de rede. Segurana Fsica dos sistemas, dos sistemas operacionais e das aplicaes. Realizao de Teste de Segurana para validar a infra estrutura de redes
Grupo-2 (Administradores):

Detecta ataques Usa ferramentas automticas ou processos manuais para monitoramento e leitura de logs Grupo de resposta localiza, identifica e impede que o atacante continue a causar prejuzo
Grupo-3 (Resposta a Incidentes) :
Trabalha com os dados gerados pelos outros 2 grupos. Completa o caso com a busca de evidncias Principalmente se os prejuzos forem grandes.
Forense e Segurana
Diferente de todas as outras reas da segurana; Muita ateno s leis; Voc pode us-la para proteger a sua organizao; A cada momento percebido que Incidentes de Segurana Computacional esto cada vez mais relacionados a crimes. O Servidor da empresa pode ser invadido e ter sua pgina trocada como tambm pode ser invadido para ser transformado em um repositrio de pginas forjadas de bancos para colher senhas de correntistas!
Linux e FOSS
Notoriamente os Sistemas Operacionais LINUX e FreeBSD so as melhores opes para um Perito Forense mesmo para realizao de Percia Forense em Microsoft Windows:

Fala vrias lnguas (suporte a vrios FileSystems); No monta os discos e no mexe nas evidncias; Inmeras ferramentas Forense FOSS Open Source Software); (Free and
Existe a possibilidade de usar recursos de virtualizao para criar ambiente para Anlise dinamica ou mesmo especfica de artefados onde o Perito ter total controle sobre os eventos.
No Campo de Batalha quando o pior j aconteceu o que nos resta a reatividade da Resposta aos Incidentes
Caracterizando um Incidente No necessariamente um incidente que motive uma ao de um Perito Forense Computacional uma invaso de Sistemas. Entretanto quando uma invaso a um servidor ocorrer a Pricia Forense torna-se uma habilidade importante para quem vai atuar na Resposta a Incidente. O conhecimento sobre o Modus Operandi dos invasores tambm um informao relevante no campo de batalha.
MODUS OPERANDI (INVAS0)

Identificao do Alvo. Busca e correlao de vulnerabilidades e meios de explorao.
Comprometimento Inicial. Aumento de Privilgio.

Reconhecimento do Sistemq e torna-se Invisvel.
Olhando a partir de uma tica Forense podemos assumir que essas etapas so passves de gerao de logs, nos servidores, nos IDS e se a segurana de Permetro foi bem planejda haver rplica de logs em um servidor de logs remoto.
MODUS OPERANDI (INVASO)

Levantamento de informaes. Uso de tcnicas de Fingerprinting e Footprinting. Engenharia Social.
Sondagem da Rede. Levantamento(Varreduras e Enumerao Servios).

Scanners de Vulnerabilidade. Explorao de Vulnerabilidades conhecidas..
Todas essas atividades so passiveis de gerao de registro dos respectivos eventos (logs), todavia isso depender de como foi realizada a implementao dos servios em questo. O que seria tambm artefatos para uma percia Forense. Servios de Rede. Aplicaes Web. Escala de Privilgio (Ganhando Acesso a Shell).
Cracking de Senhas / Brute Force de Servios. Teste de Negao de Servio (DOS).
Modus Operandi vs Evidncia

Possibilidade de Evidncia
Varreduras de Vulnerabilidade BruteForce de Servio Varreduras Enumerao
Fingerprint Footprint Engenharia Social
Nvel de Refinamento

ganha de acesso via BruteForce de Servio
Explorao de uma falha de configurao Explorao de falha na aplicao. (Buffer Overflow)
Nvel de Refinamento
MODUS OPERANDI (Ps invaso)

A tica Forense nesse momento se volta para o sistema, em busca de arterfatos (binrios instalados, fontes) deixados pelo invasor) e tambm, modificaes e arquivos de configurao e binrios do sistemas.
Reconhecimento dos recursos do Sistema. Instalao de Backdoors / Trojans Rootkit. Limpeza de Rastros. Retorno por uma Backdoor.

Instalao de Malware
Tcnicas de Cleanlogs Instalaao de Malware que use Criptografia Tcnicas Anti-Forense no Sistema de Arquivo
Nvel de Refinamento
Resposta a Incidentes
Em redes grandes, pequenos Incidentes como varreduras so constantes e outras atividades de Script Kiddies! Por outro lado quando o potencial invasor buscar violar a segurana buscando ganhar acesso de alguma forma hora de agir. Inicialmente foca na verificao do incidente Tcnicas que enfatizam a coleta de evidncias:

Mitigar a perda de dados e evidncias Evitar adicionar dados ao sistema
Preocupao maior na recuperao rpida Ter a preocupao de fazer uma triagem no incidente
Processo de Resposta a Incidente

Resoluo; Recuperao; Implementao de medidas de Segurana
Preparao pr-incidente
Deteco
Resposta Inicial
Estratgia de reao
Relatrio Final
Processo de Resposta a Incidente

Resoluo; Recuperao; Implementao de medidas de Segurana
Preparao pr-incidente
Deteco
Resposta Inicial
Estratgia de reao
Percia Computacional Forense Relatrio Final Coleta de Artefatos Anlise de Artefatos
O que fazer efetivamente aps um incidente ? (1/2)

Mesmo tomado pela emoo ps uma invaso em seu servidor, no tome nenhuma ao no sistema como aplicar patchs ou voltar backups... A aquisio de Provas a tarefa inicial de um Perito; No inicie uma anlise de forma no planejada; Desconectar o sistema de rede de Possvel (controvsias!); Captar informao de atividades de Redes (TCP, UDP, RAW) Utilizando PortScanners para levantar portas ativas (remotamente), comunicaes ativas.
O que fazer efetivamente aps um incidente ? (2/2)

Se possvel coletar informaes da atividades em memria, troca arquivos, e nvel de uso do processador. Captura lista de processos ativos, arquivos e os respectivos usurios responsveis por tais atividades. Aps reunir toda informao voltil do sistema realiza um cpia do mesmo byte a byte. Capturar informaes sobre o disco rgido (particionamento, utilizao)
Erros comuns
A falta de habilidade durante a Resposta a um Incidente, poder motivar a falhar que podero at mesmo desqualificar as evidncias. Vide alguns exemplos: Introduzir dados no sistema; Matar processo no sistema; Alterar o timestamp; Usar comandos e ferramentas no confiveis; Tentar aplicar correes no sistema antes de arrecadar as evidncias; Obs.: Muito desses erros so cometidos pela simples falta de habilidades de Percia Forense Computacional.
O Processo Forense Computacional

Conceituando
Podemos dividir a partir de um ponto de vista macro o processo de Percia Forense em quatro etapas: Aquisio Identificao Avaliao Apresentao
Conceituando
Aquisio Identificao Avaliao Apresentao
AQUISIO
Consiste em reunir o mximo possvel de provas (artefatos a serem analisados). E a fase inicial do processo. Para que tenhamos sucesso em todos os processos de uma anlise pericial, o momento da aquisio de provas torna-se fundamental. Diante disso, o perito tem que ter uma metodologia clara e objetiva de coleta de dados.
IDENTIFICAO
Consiste na anlise encontrados. percial dos artefatos
Ser claro e metdico durante o processo de identificao de cada artefato digital (trojan, backdoors, rootkits). A documentao clara de cada artefato identificado ser cruxial para a elaborao do laudo pericial.
Avaliao
Esse ponto o objetivo principal de um perito computacional. Ser a anlise de artefatos e enumerao de eventos de dentro de uma linha de tempo. Tarefa dficil de dimencionar em horas pois cada Percia Forense embora possa ser executado utilizando um ferramental e metodologia em comum, nica diante do contexto de como ocorreu o incidente.
Apresentao
Apresentar um relatrio de tudo que foi encontrado, e se possvel tentar identificar o Modus Operandi do potencial atacante. Enumera possvel origem do ataque. No cabe ao Perito (Computacional) definir o culpado, mas as informaes por ele enumeradas ,sero ferramentas para esse propsito.
Apresentao das Evidncias
Original deve ser apresentado como prova; Cpias, testemunhos, somente se no estiver disponvel o original; Em um sistema os dados apresentados de forma precisa; devem ser
Dados extrados devem ser apresentados como evidncia

Apresentao das Evidncias

Muitos dados encontrados podem ser interessantes o suficiente ao ponto de ser considerado uma evidncia. Em alguns casos, os dados encontrados demandaro uma anlise mais detalhada. Em outros casos, essa anlise dever ser por outro perito para que seja considerada uma evidncia vlida. O Perito deve ser capaz de defender a metodologia utilizada para garantir a veracidade das evidncias identificadas mediante a anlise de cada artefato.
Metodologia de Percia Forense Computacional

4 Princpios Forenses
(1) Minimizar perda de dados (2) Registrar tudo (3) Analisar todas as evidncias coletadas (4) Relatar tudo que encontrar
Metodologia Forense
(1) Verificao (host / rede) (2) Descrio do sistema (3) Coleta de evidncias (logs, arquivos e imagens (4) Criao e anlise de um timeline (5) Anlise focada no tipo de Sistema Operacional (6) Recuperao dos dados (7) Busca por palavras (8) Relatrio
Definies Importantes Evidncia Melhor Evidncia Intergridade da Evidncia Cadeia de Custdia Anlise das mdias Imagens Lista de palavras procuradas
Evidncia Digital
A Percia Forense requer a combinao de tcnicas de investigao com as exigncias das leis e normas de cada instituio somando-se tambm a habilidade tcnica para sua execuo. Poucos investigadores possuem uma idia clara sobre evidncia, tecnologia envolvida e problemas legais relacionadas com as evidncias digitais o que motiva erros que acabam por comprometer as evidncias levantadas quanto a sua intergridade.
Evidncia Digital
Busca-se alguma coisa que estabelece ou desmente um fato como verdade em um ou mais computadores e seus perifricos. Que tamanho poder uma Evidncia Digital? 4 bytes Nmero IP em hex Isto mostra o desafio que tem um Perito Forense, pois ter em muitos momentos diante de si um volume muito grande de dados para analisar e identificar as evidncias.
Evidncia Digital
Vantagens da Evidncia Digital: Pode ser duplicada exatamente como o original; Pode ser examinada como o original; Pode ser verificada se a evidncia digital foi alterada; Pode-se ter vrias cpias. Possibilita ao Perito Computacional Forense em muitos momento reproduzir o ocorrido com qualidade.
Evidncia Digital
No caso o computador esteja ligado, deve-se retirar o mximo de informao possvel da memria RAM do computador; O computador deve ser desligado aps a coleta das Evidncias e guardado em lugar seguro; Uma cpia da evidncia digital do HD deve ser realizada. Lei da coleta e da preservao da evidncia digital: Sempre faa duas cpias de todas as evidncias digital e faa HASH de tudo
Intergridade da Evidncia
Certificar que a evidncia no foi alterada; Clone (bit a bit); Local reservado; Uso de algoritmos de hash para garantir a integridade do original e do clone;
Intergridade da Evidncia
O uso de HASH regra sempre que uma evidncia digital for coletada e apresentada No reversvel; Arquivos diferentes geram hashes diferentes mesmo no caso de MD5 que pode permitir dentro de cenrio ideal similaridade com vriao de 8 bits; Faa mais de um HASH, use MD5 e SHA1 no mnimo;
Desafios
Todo hardware possui uma quantidade de evidncias muito grande; Deve-se examindo em ambiente controlado; Sempre que possvel o Computador e demais perifricos devem ser confiscado; No caso de um servidor existe o desafio de Interrompe a tarefa do mesmo por muito tempo;
Desafios
Para anlise' demandado Laboratrio com hardware e software especiais; Demanda capacidade tcnica do Perito;
Forense S.O.
A expertise no Sistema Operacional onde o Perito vai realizar a coleta de evidncia um fator critico de sucesso, pois o nvel de comprometimento do sistema pode torna a coleta de informaes volteis imprecisa. O Perito dever ter a viso do sistema alvo tanto da informaes que buscar na Userland como tambm informaes mais especificas relacionadas com a comunicao da Kernel Space e a Userland.
Colhendo informaes Volteis

USERLAND (ou userspace) rea de Atuao do usurio KERNEL SPACE anlise na camada de Kernel (/proc e /boot)
reas que sero Periciadas no Sistema

Coleta de Evidncia
Obter dados pertinentes Obter dados volteis Processos Memria Conexes de rede Obter uma imagem forense
Coleta de Dados
A documentao mostrando a evidncia no seu estado original uma prtica para mostrar que a mesma autntica e se mantem inalterada; Nmero de srie, fabricante do disco rgido, capacidade do HD. Fotos Digitais, (Filmagens), testemunhas, anotaes detalhadas, tais como: Data-hora do computador; Quem est fazendo a cpia; O programa ou comando usado para copiar os arquivos;
Volatilidade vs Tempo de Vida

Mdias Disco Rgido Estado FORENSE de Rede do S.O. Trfego da Rede Memria RAM Memria de perifricos Registradores Cache FORENSE de Rede Post Mortem Analisys Forense In Vivo
Tempo de Vida
Nvel Volatilidade
Trs Situaes
Post Mortem Analysis - Sistema morto:
Fora desligada Sistema computacional no atuante HD, Floppy, CD-Roms
Forense In Vivo - Live Analysis - Sistema vivo

Fora ligada Processos rodando Disco sendo acessado Mdias sendo inseridas e removidas no sistema
Forense de Rede - Network Forensic Analysis

Logs (Correlao) Informaes de todos os ativos de Rede Conexes de Rede Capturadas
Forense In Vivo
Forense de Rede
Forense Post Mortem
Cruzamento de Dados
Forense Post Mortem Forense In Vivo Forense de Rede
Volatilidade vs Tempo de Vida

Mdias Disco Rgido Estado do S.O. Trfego da Rede Memria RAM Memria de perifricos Registradores Cache NETWORK FORENSE Post Mortem Analisys Live Analisys NETWORK FORENSE
Tempo de Vida
Nvel Volatilidade
Evidncia Voltil
Destrudos se a energia for cortada: Memria Conexes de rede Processos que estavam rodando Tambm contm informaes volteis: HD Espao de swap Mdia removvel
O que deve ser colhido?

Informaes sobre os Processos ativos Arquivos abertos Conexes de rede Tabelas e caches de Rede Atividades de comunicao de Rede Memria Espao de swap Imagem do Disco e mdias removveis
Informaes Volteis
Ateno: Para realizao da coleta de evidncias de informaes volteis o Perito Forense deve ter em mente da possibilidade do comprometimento do sistema ao ponto de qualquer system call que venha a ser executada poderia ser interceptada e manipulada.

Todavia existe a possibilidade do comprometimento ter sido somente na Userland ou mesmo na Kernel Space de forma amadora.

Coleta de Volteis
Em quaisquer dos cenrios demanda-se o uso de ferramental compilado estaticamente para realizao da tarefa. Algumas pacotes importantes:

Outros Ativos
Como ter certeza que alguma ao maliciosa aconteceu e a coleta informao de um servidor em questo fundamental. Todavia a correlao de informao com outras fontes como dos ativos da rede e da equipe de Segurana ser fundamental. Dessa forma o Perito Forense deve buscar informao tambm em: IDS logs Firewall logs Entrevistas e-mails, admin da rede, usurios, ISP, etc...
Dificuldades na verificao Alguns desafios durante a coleta podero surgir, cabe ao Perito Forense engenhosidade para resolver. Maiores obstculos no Incident Handling: Mquinas crticas; Grande capacidade dos HD, dispositivos, etc; Impossibilidade de desligar a mquina; Sistema Operacional no qual o Perito no tem habilidade;
Cuidados na verificao
Durante a coleta deve-se evitar a presena de muitas pessoas no ambiente; A falta de uma poltica de incidentes a ser seguida por motivar administradores com pouca experincia a cometer aes que possam comprometer as evidncias; O administrador em a alguns casos pode ser o pior inimigo pois a tendncia do mesmo tentar cobrir furos na segurana, tentar voltar backup;
Desconectar da rede?
Quando possvel desconectar da rede aps coleta de dados significativos das atividades de rede atuais e conectar em um hub sem conexo com a rede; Caso no tiver na rede vo escrever msg de erro no arquivo de log; Tentar enganar o computador que acha que ainda est conectado na rede objetivando captura atividades de redes relacionadas com o incidente;
Cadeia de Custdia
Registra como e por quem a evidncia foi manuseada Deve haver continuidade Prova da integridade no masueio da evidncia
Itens da Cadeia de Custdia

Data e hora Local e proprietrio Marca, modelo e nmero de srie Nome do perito Descrio da evidncia
Itens da Cadeia de Custdia

Nome e assinatura das pessoas que recebem a evidncia Etiquetas Hash (MD5sum e/ou SHA1 e/ou SHA256) Qualquer outro dado tcnico
Timeline
Realizar uma anlise dos horrios dos arquivos: MAC time (Modified, Accessed, Created/changed) Quando o sistema operacional foi instalado Quando a maioria das atualizaes foram realizadas Quando o sistema foi utilizado pela ltima vez Incluir qualquer outro detalhe que possa estar relacionado com a utilizao do sistema
Anlise das Mdias

O trabalho de Anlise de Mdias um parte muito importante da Percia Forense, demanda expertise em Sistema de Arquivos: Fazer cpia bit-a-bit das evidncias coletadas; Usado para achar dados especficos; Usar ferramentas automticas e tcnicas forenses para analisar gigabytes de informao;
Anlise da Mdia
Examinar a mdia com uma ferramenta escolhida pelo perito; Descrever o sistema analisado em detalhes; Descrever cada ferramenta utilizada; Descrever porque da utilizao da ferramenta; Mostrar como a ferramenta utilizada no alterou a evidncia;
Anlise da Mdia
Examinar o sistema de arquivo em busca de alterao no programa ou configurao do Sistema Operacional; Examinar o sistema em busca de backdoor (arquivos setuid e setgid); Examinar no sistema de arquivo sinais de utilizao de sniffers, rootkits; Arquivos history de Internet e outros; Sistema de registros ou /proc; Examinar os arquivos de inicializao e os processos;
Strings Chaves
A busca de informaes durante a Post Mortem Analise demanda sutileza e bons conhecimentos de Regex so fundamentais para usar o poder de ferramentas como grep, egrep, awk. Lista das palavras (strings chaves); Palavras chaves especficas para o caso; Devido ao dinamismo, registrar as novas palavras; Utilizar a lista de palavras chaves e examinar a evidncia no baixo nvel (bit-a-bit);
Recuperao de dados
Recuperar arquivos ou dados nos slacks; Identificar quando os arquivos foram deletados; Recuperar arquivos pertinentes; Identificar arquivos criptografados; Identificar arquivos esteganografados; Descrever os mtodos utilizandos detalhadamente; no relatrio Percial;
Relatrio
Momento final na Percia Forense, quando Perito dever compor seu laudo sobre todos os procedimentos utilizados e informaes correlacionadas acerda do caso. Baseando-se totalmente na anlise realizada: Evidncias que Evidncias que Tudo que pode Tudo que pode comprovem a hiptese; desmintam a hiptese; ser usado posteriormente em um foro; ser explorado pelo outro lado;
Resumo da Metodologia
Todos os casos seguiro a mesma metodologia Depende do tipo de invaso? Depende do tipo de crime/investigao? Mesmo mtodo / diferentes ferramentas Depende do Sistema Operacional? Depende do sistema de arquivo?
CATCH-22
Catch-22 Segundo a Wikipedia (en.wikipedia.org) entre outras coisas tambm significa um momento crtico de uma operao burocrtica e de raciocnio. Foi catch-22 introduzida como uma regra militar para impedi que qualquer um evite misses de combate em um momento de crise.
Tudo que se fizer no sistema ir alter-lo de alguma forma. Qualquer ao ir modificar o sistema Desligar a mquina? Deix-la ligada e conectada? Fazer um backup? Desconectar da rede?
Shutdown limpo?
Shutdowns limpos modificam o disco do sistema e a memria O mesmo pode colocar o Perito em um situao ainda mais dificil pois muito comum invasores de sistema deixarem bombas para serem acionadas no momento do Shutdown do sistema ou na nova inicializao.
Dedoff - Puxar a tomada
Mtodo preferencial se o perito entender os prs e os contras
Pode-se agora mover o sistema para um lugar mais seguro Pode mover o HD Perde-se evidncias de todos os processos e da memria No se pode escutar o trfego entre o atacante e a mquina
Bibliografia / Links
Melo, Sandro, Computao Forense com Software Livre, Ed. Altabooks, 2008 FREITAS, Andrey, Percia Forense Aplicada Informtica, Ed. Brasport, 2006 LEE, Rob, System Forensics, Investigation & Response, SANS Institute, 2005 MONTEIRO, Valter, Notas de Aulas - Curso de Investigao Forense Digital, 2006 Sleuthkit Informer (www.sleuthlit.org) Computer Forensic Tool Testinf (CFTT) Linux Forensic Group Grupo Forense Computacional (Yahoo Groups) www.cybercrime.gov

FOSS solutions specialization

Diunggah oleh

Informasi Dokumen

Deskripsi Asli:

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

FOSS solutions specialization

Diunggah oleh

Hak Cipta:

Format Tersedia

Your specialization in FOSS solutions

"Free and Open Source Software"

centros de pesquisas de Universidade dos quatro cantos do planeta.

Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-2

Prof. Sandro Melo

Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-3

Conceitos Iniciais de Resposta a Incidente de Segurana e Computao Forense

Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-5

Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-6

Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-7

O que a Forense Digital?

Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-8

Forense x Investigao Digital?

Por que Forense Computacional?

Por que Forense Computacional?

Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-12

Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-13

O que faz cada Grupo?

Grupo-1 (Auditores e Pentesters):

Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-14

O que faz cada Grupo?

Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-15

O que faz cada Grupo?

Grupo-3 (Resposta a Incidentes) :

Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-16

MODUS OPERANDI (INVAS0)

Comprometimento Inicial. Aumento de Privilgio.

MODUS OPERANDI (INVASO)

Sondagem da Rede. Levantamento(Varreduras e Enumerao Servios).

Cracking de Senhas / Brute Force de Servios. Teste de Negao de Servio (DOS).

Modus Operandi vs Evidncia

Fingerprint Footprint Engenharia Social

Modus Operandi vs Evidncia

Explorao de uma falha de configurao Explorao de falha na aplicao. (Buffer Overflow)

MODUS OPERANDI (Ps invaso)

Modus Operandi vs Evidncia

Mitigar a perda de dados e evidncias Evitar adicionar dados ao sistema

Processo de Resposta a Incidente

Processo de Resposta a Incidente

Percia Computacional Forense Relatrio Final Coleta de Artefatos Anlise de Artefatos

O que fazer efetivamente aps um incidente ? (1/2)

O que fazer efetivamente aps um incidente ? (2/2)

Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-31

O Processo Forense Computacional

Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-34

Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-36

Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-37

Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-38

Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-39

Apresentao das Evidncias

Dados extrados devem ser apresentados como evidncia

Apresentao das Evidncias

Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-41

Metodologia de Percia Forense Computacional

Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-43

Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-44

Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-45

Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-46

Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-48

Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-50

Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-52

Prof. Sandro Melo sandro@4nix.com.br -- www.4nix.com.br A-53