Decision Group2013

Network ForensicsForense de Rede

DECISION GROUP INC.

O que é Forense de Rede?

Apresentar conteúdo original através da reconstrução de dados por cada camada de comunicação de rede, com a finalidade de zelar pela segurança do ambiente de TI ou por cumprimento de

exigência judicial

Captura de Tráfego de rede•Rede cabeada•Rede Wireless

Checagem de pacotes IP•Integridade de pacote

•Gravação de IP, Timestamp, Conta … do cabeçalho

Análise de pacotes de dados•Leitura de cabeçalho TCP

•Indentificação de número de porta

•Sequenciamento de sessão

Reconstrução de dados•Gravação de cabeçalho em BD

•Gravação de conteúdo em arquivo multimídia

Utilitário de Relatórios•Apresentação de registros individuais

•Análise primária de dados

Manipulação de dadosTecnologia Deep Packet Inspection

• Empresa com sede em Taiwan, estabelecida em 1986• Possui duas divisões de negócios:

– Desenvolvimento e fabricação de placas multisseriais, dispositivos para aquisição de dados e controle, para automação industrial

– Em 2000, a partir de demanda do mercado, deu início à divisão que desenvolve soluções de monitoramento de Internet e Forense Digital, hoje principal negócio da empresa

• Seus sistemas, principalmente os componentes com tecnologia de decodificação sem precedentes, hoje são fornecidos em acordos OEM/ODM para vários provedores de soluções de Forense Digital no mundo todo

• Decision Group também oferece treinamentos especializados para profissionais do ramo de investigação digital– Treinamento de Análise Forense de Pacotes de Rede– Treinamento de Técnicas de Investigação de Crimes Cibernéticos– Treinamento para Agentes de Segurança Nacional

3

Introdução Decision Group

DECISION GROUP INC.

2013 Entrada no Brasil através de parceria de representação pela Base Informática2012 Anúncio de Sistema Central de Gerenciamento (CMS) com Sistema de Retenção de Dados (DRMS) e

Sistema de Decodificação HTTPS/SSL (ED2S) para infra-estrutura de 3 camadas e implantação em redes distribuídas em grande porte

2011 Anúncio de sistema E-Detective para Intercepção Legal, em conformidade com ETSI, com capacidade para redes fixas e 3G, e do sistema “Enterprise Data Guard System” com auditoria de transações em banco de dados

2010 Lançamento de Sistema de Retenção e Gerenciamento de Dados, e empresa recebe prêmio de reconhecimento pela autoridade nacional de segurança em Taiwan, pela contribuição de seus sistemas E-Detective e serviços na área de investigação e combate à crimes digitais

2009 Anúncio de centro de decodificação VoIP2007 Disponibilização para o mercado de centro de decodificação off-line multi-protocolo2006 Patente reconhecida e anúncio de primeira solução Forense multi-estação para redes 802.11 a/b/g/n

com capacidade de quebra de chaves WEP/WPA e quebra de código HTTPS/SSL2005 Solução ganha notoriedade mundial com sua contribuição decisiva na investigação pela polícia de Taiwan

e conseqüente prisão de Chang Hsi-ming, conhecido “Evil Dragon”, criminoso procurado há anos, líder de quadrilha especializada em sequestros

2004 Primeira empresa a lançar centro de decodificação HTTPS/SSL no mercado2002 Anúncio inédito de solução para Forense de Rede Wireless na Ásia 2000 Lançamento da primeira solução para Forense de Rede cabeada na Ásia

4

Marcos Divisão Forense Digital

DECISION GROUP INC.

Captura de Tráfego de Rede

Rede Cabeada Rede Wireless

DECISION GROUP INC.

• Checagem de cabeçalho do pacote de dados em cada camada– Camada IP: endereço IP, time

stamp, conta na rede…– Camada TCP (UDP): número de

porta, encriptação, número de sessão, conta AP…

– Camada Aplicação: tipo de dado, status…

• Localiza o conteúdo significante de serviço em cada pacote

• Reconstrói o conteúdo por sessão e tipo de serviço

Aplicação

Representação

Sessão

Transporte

Rede

6

Tecnologia Deep Packet Inspection

DECISION GROUP INC.

Camada IP

Camada TCP

Camada de Aplicação

Informação

7

Suporte a Múltiplos Protocolos

DECISION GROUP INC.

IM/Chat(Yahoo,

MSN, ICQ,QQ, IRC,

Google TalkEtc.)

EmailWebmail

HTTP(Link, Conteúdo,Reconstrução,

UploadDownload)

Transferência de ArquivosFTP, P2POutros

Games OnlineRedes Sociais etc.

• Decodificação de mais de 180 protocolos/serviços

• Cobertura de serviços móveis

Apresentação de Dados

Mostra registros individuais

• Dados estatísticos• Agrupamento por tipo de

serviço• Apresentação de conteúdo

com informação por registro

Análise primária de dados

• Procura Full Text• Data Scoping • Análise primária de Link de

dados• Registered File Tracking• Interface aberta para

análise Data Mining externa

8DECISION GROUP INC.

• Data Scoping por IP, nome de conta, duração, tipo de serviço, palavra-chave…

• Análise de Link por palavra-chave, tipo de serviço online, endereço IP, nome de conta, lista de contatos…

• Mapeamento de identidade por IP, nome de conta, endereço MAC…

• Estatísticas em serviços Online, consumo de banda, IP…• Interface aberta para integração com sistemas de Data

Mining / Text Mining Analysis

DECISION GROUP INC.

Manipulação de Dados

Fato:• 80% dos dados dentro do PC ou laptop são da rede• Rede é a maior ferramenta de comunicação das pessoas no

cyber-espaço

Necessidade na Interceptação Legal:• Investigação não-intrusiva deve ser conduzida• Ambos dados voláteis e não-voláteis devem ser adquiridos

Necessidade de conhecer:• Conteúdo trafegado nos serviços de comunicação• Rota de transmissão de dados• Relacionamentos sociais entre alvos em redes

10

Por que é necessário Forense de Rede?

DECISION GROUP INC.

• Agentes de Órgãos de Aplicação da Lei• Gerentes de Segurança em TI nas Empresas• Gestores de Marketing em Provedores de

Serviços de Telecomunicação• Auditores de TI em Empresas de Auditoria• Diretores de Estabelecimentos de Ensino • Pais, zelando pela uso seguro da rede doméstica

11

Quem precisa de Forense de Rede

DECISION GROUP INC.

Finalidades

• Investigação de Crimes Cibernéticos– VoIP Phishing, Fraudes na Rede…

• Gerenciamento de Segurança em TI– Violação de Dados, Abuso no uso de recursos de rede, Acesso a conteúdo

pornográfico & jogos…• Auditoria e Gerenciamento de Riscos

– Instituições de serviços financeiros, Bancos, Seguradoras, Gestão de ativos, Provedores de serviços de telecomunicação…

• Cumprimento de Mandato– ISO 27000, SOX, HIPPA…

• Segurança Nacional– Monitoramento da Internet, Anti-terrorismo…

• Controle de Comportamento Anormal– Cyber bullying, Abuso Sexual, Chantagem…

• Muitas outras…DECISION GROUP INC.

Não é fácil implantar um sistema de forense de rede operacional com sucesso, porque …

Agilidade na

Infraestrutura de Rede Limitação

na largura de banda da rede

Manuseio de

múltiplos protocolos

Criptografia nos

pacotes de dados

ou transmiss

ão

Perdas de pacotes

na transmiss

ão de dados

Diferentes meios de

rede – cabeada,

WiFi, WiMAX/LTE,

HSDPA…

13

Dificuldades em Forense de Rede

DECISION GROUP INC.

Decision Group proporciona um portfolio completo de soluções para forense de rede

Sistema E-Detective

A melhor solução tática de Forense de Rede para:• Decodificação de Protocolos de Rede e Reconstrução de Conteúdo• Monitoramento de Internet• Análise Forense e Investigação Cibernética

Sistema Essencial para Monitoramento de Internet e Análise Forense

Dispositivo Avançado para Monitoramento de Rede, Interceptação Legal e Forense de Rede

DECISION GROUP INC.

Visão Geral de Produtos e Soluções

E-Detective Data Retention & Management System (ALL) Backup e arquivamento de dados de sistemas E-Detective Revise, procure e execute buscas nos dados

E-Detective Data Guard System (ALL) Monitora transações em Bases de Dados heterogeneas (MySQL, MS SQL, Oracle DB, DB2, Sybase). Monitora atividades Windows CIFS – atividades

de compartilhamento de arquivos MS Windows. Monitora servidores internos de E-Mail – POP3, SMTP

Sistema E-Detective (ALL) Sistema de monitoramento Ethernet LAN, Auditoria de Internet, Detecção de vazamento e retenção de dados, Manutenção de Registros. Também utilizado pelos Agentes da Lei para Interceptação Legal, implementado nas redes dos provedores e gateways Internacionais.

Interceptação em Ethernet cabeada & Reconstrução em tempo real

Decision Group

Visão Geral de Produtos e Soluções

E-Detective Backup Server (ALL) Backup de dados de sistemas E-Detective Revise, procure e execute buscas nos dados

HTTPS/SSL MITM Interception System (LEA) Interceptação de tráfego Ethernet LAN HTTPS como Gmail incluindo nome e senha HTTPS Também utilizado pelos Agentes da Lei para Interceptação Legal, implementado nas redes dos provedores.

Interceptação em Ethernet cabeada & Reconstrução em tempo real

Decision Group

E-Detective Central Management System (ALL) Gerencie múltiplos sistemas E-Detective, ED Backup Server,EDDC com um único login e GUI Execução de buscas centralizadas

Wireless-Detective System (LEA) Sistema de interceptação passiva Wi-Fi IEEE 802.11 a/b/g/n Alvo pode ser um AP, um Cliente ou um Canal inteiro Capaz de quebrar chaves WEP Sistemas WD x 4 Extreme inclui funções de Captura Distribuída, Bloqueio e Localizador.

WPA-PSK Password Recovery System (LEA) Recuperação de frase-chave WPA1-PSK e WPA2-PSK Usa Aceleração via Hardware GPU Usa Dicionário Inteligente (Mutação) Usa Macaramento (Ataque de Força Bruta)

Interceptação em Redes Wireless & Reconstrução em tempo real

Visão Geral de Produtos e Soluções

Decision Group

Network Investigation Toolkit – NIT (LEA) Sistema de interceptação passiva e ativa em Ethernet LAN Interceptação passiva e ativa Wi-Fi IEEE 802.11 a/b/g/n Para interceptação passiva Wi-Fi, alvos podem ser até 4 AP, 4 Clientes ou 4 Canais. Capaz of quebrar chaves WEP Recuperação de senhas WPA-PSK (opcional) Decifra tráfego HTTPS incluindo usuário e senha através de

implementação ativa em ambos ambientes LAN e Wi-Fi Capaz de reconstrução manual de arquivos de dados PCAP

Interceptação Integrada & Reconstrução em tempo real

Visão Geral de Produtos e Soluções

Decision Group

E-Detective Decoding Centre - EDDC (ALL)/ EDDC-LEMF (LEA) Proporciona gestão de Casos e gerenciamento de usuários para

diferentes investigadores e em diferentes casos. Análise e reconstrução de arquivos PCAP pré-obtidos manualmente.

Forensics Investigation Toolkit – FIT (ALL) Única aplicação de software para Windows Desenvolvido para usuário único Análise e reconstrução de arquivos PCAP

pré-obtidos manualmente.

Reconstrução manual de pacotes offline

Visão Geral de Produtos e Soluções

Decision Group

ALL= Disponível para o mercado em geralLEA = Law Enforcement Agency. Fornecimento exclusivo à Órgãos e Agentes da Lei

Soluções Distribuídas E-Detective

Solução de Forense de Rede em Redes de grande porte

DECISION GROUP INC.

21

Oportunidade para canais em todo o Brasil

DECISION GROUP INC.

Representante no Brasilparcerias@base.inf.br www.basetecnologia.com

Seja nosso parceiro e leve

aos seus clientes

tecnologia referência

mundial em Forense de

Redes