Minicurso Forense Digital (Sbseg 07)

Download Minicurso Forense Digital (Sbseg 07)

Post on 18-Nov-2014

5.331 views

Category:

Education

1 download

Embed Size (px)

DESCRIPTION

 

TRANSCRIPT

<ul><li> 1. Forense Computacional: fundamentos, tecnologias e desafios atuais Evandro Della Vecchia Pereira, Leonardo Lemes Fagundes, Paulo Neukamp, Glauco Ludwig, Marlom Konrath Universidade do Vale do Rio dos Sinos (UNISINOS) evandrodvp@unisinos.br SBSeg 2007 </li> <li> 2. Autores Mestre em Cincia da Computao pela UFRGS, Bacharel em Cincia da Computao pela PUCRS. Atualmente perito criminal do Estado do Rio Grande do Sul (SSP/IGP Instituto Geral de Percias) e professor da Graduao Tecnolgica em Segurana da UNISINOS. Contato: evandrodvp@unisinos.br Mestre em Computao Aplicada e Bacharel em Informtica - Hab. Anlise de Sistemas pela Universidade do Vale do Rio dos Sinos UNISINOS. Atualmente coordenador executivo e professor da Graduao Tecnolgica em Segurana da UNISINOS. Contato: llemes@unisinos.br Tecnlogo em Segurana da informao Graduado na Universidade do Vale do Rio dos Sinos UNISINOS. Criador e mantenedor da distribuio FDTK- UbuntuBr (Forense Digital ToolKit), Analista de suporte em uma multinacional qumica em Novo Hamburgo - RS. Contato: pneukamp@gmail.com Mestre em Computao Aplicada e Especialista em Redes de Computadores pela Universidade do Vale do Rio dos Sinos UNISINOS. Atualmente professor da Graduao Tecnolgica em Segurana, Desenvolvimento de Jogos e Engenharia da Computao desta instituio. Contato: glaucol@unisinos.br Mestre em Computao Aplicada e Bacharel em Informtica (Anlise de Sistemas) pela Universidade do Vale do Rio dos Sinos UNISINOS. Atualmente trabalha em uma empresa de desenvolvimento de software em So Paulo. Possui interesse nas reas: Peer-to-Peer, Redes e Segurana. Contato: marlomk@unisinos.br 2 </li> <li> 3. Roteiro Introduo Cdigos maliciosos (malware) Forense computacional Tcnicas forenses Exame dos dados Ferramentas forenses Estudos de caso Desafios atuais em forense computacional Consideraes finais 3 </li> <li> 4. Introduo Cyber crime: so utilizados dispositivos eletrnicos, computadores e Internet Mais difcil de ser investigado devido possibilidade de anonimato As evidncias podem estar distribudas em diversos servidores Segundo estatsticas, em 2006, aproximadamente U$200.000.000,00 foram perdidos em fraudes eletrnicas Ex.: Nigerian Letter Fraud Cerca de 76% dos casos reportados tiveram o e-mail como meio de comunicao com a vtima 4 </li> <li> 5. Introduo Ocorrncias mais comuns: Calnia, difamao e injria via e-mail Roubo de informaes confidenciais Remoo de arquivos Outros crimes: Pedofilia Fraudes Trfico de drogas via Internet 5 </li> <li> 6. Introduo Investigaes comeam a depender de conhecimento tcnico para desvendar crimes cibernticos forense computacional Forense Computacional pode ser definida como a inspeo cientfica e sistemtica em ambientes computacionais, com a finalidade de angariar evidncias derivadas de fontes digitais para que seja possvel promover a reconstituio dos eventos encontrados (podendo assim, determinar se o ambiente em anlise foi utilizado na realizao de atividades ilegais ou no autorizadas) 6 </li> <li> 7. Cdigos maliciosos (Malware) Conjunto de instrues executadas em um computador e que fazem o sistema realizar algo que um atacante deseja Cada malware classificado em uma ou mais categorias, de acordo com aes que este realiza Geralmente conhecidos como vrus ou trojans (cavalos de tria), mas existem outras categorias: Backdoors Spywares Worms Keyloggers Rootkits Bots 7 </li> <li> 8. Cdigos maliciosos - Vrus Possuem a capacidade de se auto-replicarem Um vrus considerado uma funo computvel que infecta qualquer programa. Um programa infectado pode realizar trs aes, disparadas conforme as entradas: Ser executado para propagar a infeco Danificar o sistema Se faz passar por algum programa Uma das caractersticas de um vrus: necessidade de anexar-se a um arquivo hospedeiro Arquivo executvel Setor de inicializao Documento que suporte macros 8 </li> <li> 9. Cdigos maliciosos - Vrus Propagao de vrus: Mdias removveis E-mails Downloads Diretrios compartilhados Os vrus possuem diferentes classificaes, de acordo com autores de publicaes Vrus acompanhantes: no infectam arquivos executveis, mas utilizam o mesmo nome, com extenso diferente (aquela que tem prioridade) Ex.: Se o usurio clicar em Iniciar Executar, e digitar notepad, ser executado um arquivo com nome notepad e com qual extenso? 9 </li> <li> 10. Cdigos maliciosos - Vrus 10 </li> <li> 11. Cdigos maliciosos - Vrus Nos vrus que infectam um arquivo executvel, modificando seu cdigo, a infeco pode ser feita: No incio do arquivo. Ex.: Nimda No fim do arquivo (mais utilizado). Ex.: Natas Alguns vrus podem se instalar nos primeiros setores lidos durante a inicializao de um S.O. (vrus de boot) Ex.: Michelangelo Vrus de macro so executados em softwares que tm a capacidade de interpretar cdigo presente dentro dos arquivos de dados Microsoft Word, ex.: Melissa 11 </li> <li> 12. Cdigos maliciosos - Vrus Vrus simples: no fazem nada muito significativo alm de replicar- se, podendo consumir toda memria. Ex.: Jerusalem. Vrus com auto-reconhecimento: detectam um sistema j infectado atravs de alguma assinatura, no gerando duplicidade de infeco. Ex.: Lehigh. Vrus invisveis: interceptam chamadas de sistemas para tentar esconder a sua presena. Ex.: Tequila, Frodo. Vrus com arsenal: empregam tcnicas para dificultar a anlise de seu cdigo e podem atacar antivrus presentes no sistema. Ex.: Whale, Samara.1536. Vrus polimrficos: infectam novos alvos com verses modificadas ou criptografadas de si mesmo. Ex.: V2P6, Nuah. 12 </li> <li> 13. Cdigos maliciosos - Backdoor Software que permite uma entrada pela porta dos fundos Habilita um atacante a furar os controles normais de segurana de um sistema, ganhando acesso ao mesmo atravs de um caminho alternativo Normalmente opera sobre Telnet, rlogin ou SSH Tipicamente fornece uma das seguintes funcionalidades ao atacante: Aumento dos privilgios locais Acesso remoto e execuo de comandos Controle remoto da interface grfica 13 </li> <li> 14. Cdigos maliciosos - Backdoor Netcat (canivete suio): pode ser utilizado como um backdoor Pode executar praticamente qualquer comando em uma mquina e desvia a entrada/sada padro para uma conexo de rede Pode-se programar para escutar em uma porta UDP ou TCP (mquina alvo) Exemplo: -l = listening, -p = porta, -e = comando, -vv = modo detalhado de visualizao 14 </li> <li> 15. Cdigos maliciosos - Backdoor Virtual Network Computing (VNC): utilizado comumente para administrao remota 15 </li> <li> 16. Cdigos maliciosos Cavalo de Tria Comumente chamado de trojan (trojan horse) um programa que se mascara ou aparenta possuir um propsito benigno, mas que arbitrariamente realiza aes maliciosas Normalmente no capaz de replicar-se automaticamente As aes de um cavalo de tria podem variar, mas geralmente instalam backdoors Para no ser descoberto, comum que cavalos de tria tentem disfarar-se de programas legtimos 16 </li> <li> 17. Cdigos maliciosos Cavalo de Tria 17 </li> <li> 18. Cdigos maliciosos Cavalo de Tria Outra prtica comum um programa cavalo de tria ser combinado com um programa executvel normal em um nico executvel Programas que juntam dois ou mais executveis so chamados de wrappers, ex.: File Joiner 18 </li> <li> 19. Cdigos maliciosos Spyware Software que auxilia a coleta de informaes sobre uma pessoa ou organizao sem o seu conhecimento Pode enviar informaes a algum sem o consentimento do proprietrio Pode tomar o controle do computador sem que o usurio saiba Pesquisa conduzida pela Dell (set/2004) Aproximadamente 90% dos PCs com Windows possuam no mnimo um spyware Este tipo de software foi responsvel por metade das falhas em ambientes Windows reportados por usurios da Microsoft 19 </li> <li> 20. Cdigos maliciosos Spyware Advertising displays: cdigos que mostram anncios de vrios tipos no PC do usurio; Automatic download software: instalam outros softwares sem o conhecimento e consentimento do usurio; Autonomous spyware: programas que so executados fora de um navegador Web, normalmente sendo executados na inicializao e permanecendo indetectveis pelo usurio; Tracking software: programas que monitoram os hbitos de um usurio ou os dados fornecidos por ele em pginas web e enviam estas informaes pela Internet para algum servidor remoto; 20 </li> <li> 21. Cdigos maliciosos Spyware 21 </li> <li> 22. Cdigos maliciosos Spyware Anti-spywares mais conhecidos: Spybot Search and Destroy Ad-Aware Pest Patrol Microsoft Windows Defender Recentemente os softwares de antivrus comearam tambm a detectar e remover este tipo de cdigo malicioso 22 </li> <li> 23. Cdigos maliciosos Worm Caracterizados como programas que se auto-propagam por meio de uma rede de computadores explorando vulnerabilidades em servios usados em larga escala No necessita de interveno humana para se disseminar Considerados uma das maiores ameaas virtuais No Brasil chega a atingir 65% dos incidentes de segurana (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil (CERT.br) - perodo de Janeiro a Maro de 2007) Um worm pode ter as mais diversas finalidades: espalhar-se consumindo largura de banda causar ataques de negao de servio apagar arquivos enviar arquivos por e-mail instalar outros malwares como keyloggers, rootkits e backdoors 23 </li> <li> 24. Cdigos maliciosos Worm Exemplo: Code red 1. O worm tenta conectar-se na porta TCP 80 de mquinas selecionadas aleatoriamente. No caso de obter conexo, o atacante envia uma requisio HTTP GET para o alvo. A presena da seguinte string em um log de um servidor web pode indicar o comprometimento do servidor por parte do Code Red: /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u 6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090 %u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00 =a 24 </li> <li> 25. Cdigos maliciosos Worm 2. Uma vez executado, o worm faz uma busca pelo arquivo c:notworm. Caso esse arquivo seja encontrado, a execuo do Code Red cancelada. Caso contrrio, o worm gera 100 threads; 3. Se a data do sistema invadido for anterior ao dia 20 do ms, 99 threads so usadas para a tentativa de invadir mais sistemas; 4. A centsima thread responsvel por modificar a pgina principal do servidor Web (caso a linguagem padro do sistema seja o ingls), a qual passar a exibir a mensagem: HELLO! Welcome to http://www.worm.com! Hacked by Chinese!. Essas alteraes so realizadas sem modificar o arquivo da pgina no disco fsico, mas sim, na memria; 5. Caso a data do sistema for entre os dias 20 e 28, o worm tenta ento disparar um ataque de negao de servio ao domnio www.whitehouse.com; 6. Caso a data seja superior ao dia 28, a execuo do worm cancelada. 25 </li> <li> 26. Cdigos maliciosos Keyloggers Tipo de spyware cuja finalidade capturar tudo o que for digitado em um determinado computador As intenes no uso de um keylogger podem ser as mais diversas: monitorar as atividades dos funcionrios de uma determinada empresa capturar conversas em programas de mensagens instantneas capturar informaes e senhas bancrias As informaes obtidas podem ento ser enviadas pela Internet para: o gerente da empresa (com ou sem consentimento do funcionrio) um atacante...</li></ul>

Recommended

View more >