1 1

2

Sumário

• Apresentação Institucional• Conceitos de Forense• Metodologia– Live forensics – Post mortem forensics

• Ferramentas• Teste Prático

2

3

Institucional

• Fundada em 2003 com Foco em Soluções de Rede e Conectividade em Ambiente OpenSource - Gnu/Linux

• A partir de 2005 nos tornamos uma empresa de Consultoria em Segurança da Informação, Governança de TI, Processos Organizacionais e Auditoria;

• Equipe de Especialistas formada por Profissionais Experientes e com as principais Certificações do Mercado.

3

4

Serviços & Produtos

4

5

Consultoria e Auditoria de TI

5

• Gestão de Serviços de TI – ITIL V3• Segurança da Informação – ISO 27001• Governança de TI e Planejamento Estratégico (BSC e

COBIT)• Gerenciamento de Projetos – PMI• Gestão de Risco e Continuidade de Negócios• InfraEstrutura de TI

6

Capacitação

6

• Treinamentos In-Company e em nossa Sede.• Gnu/Linux– Preparatório para Certificação

• Governança de TI– ITIL e COBIT

• Gerenciamento de Projetos• Administração de InfraEstrutura de TI

7

Serviços

7

• Centro de Gerência de Rede (NOC) - 24x7x365• Gap Analisys– Análise de Conformidade com Normas Internacionais:

SOX, Basileia, ISO e BS

• Virtualização de Servidores– XEN e VmWare

• Serviços de Suporte: Implantação e Configuração de Servidores Gnu/Linux (Debian)

8

Vamos ao que interessa …

8

9

Conceitos de Forense Computacional

9

• É uma Ciência Interdisciplinar• Utilizada para investigações digitais• Tem como principal objetivo a compreensão dos

eventos ocorridos e para tanto aplica as etapas da forense clássica

• Alguns cenários de aplicação:– Espionagem industrial– Crimes de fraude– Investigação de pedofilia– Invasão de sistemas … etc

10

Etapas da Forense Clássica

10

11

Etapas da Forense Computacional

• Coleta dos Dados– Planejamento

• Volatilidade• Esforço• Valor estimado

– Coleta • Como evitar a poluição do artefato/fonte?

– Garantia de Integridade• Uso de algorítimos de hash (MD5, SHA256, Crypt)

11

12

Etapas da Forense Computacional• Exame dos dados– Automatização através de ferramentas– Uso de Expressões regulares– Exige tempo e conhecimento técnico

• Análise dos dados obtidos– Depende do que fator causador– Correlação de eventos e datas– Pode retornar a etapa anterior dependendo do encontrado

• Resultados obtidos– Gera o Laudo Pericial

12

13

Metodologias• Post mortem foresics– Ocorre após o incidente ou crime– Não há coleta de dados voláteis– Responde por 99% dos casos

• Live forensics– Coleta de informações “on the fly”– Coleta de dados voláteis:

• Conexões estabelecidas, processos em execução, portas abertas, tabela de roteamento

• Dados sendo trafegados, logs, histórico de comandos• Conteúdo da memória, imagem do disco rígido

13

14

Metodologias

• Principais diferenças– Em Live deve-se tomar cuidado em não alterar ou

modificar os dados– Em Live comandos do sistema podem ter sido alterados– Rootkits podem ter sido instalados e mascarar o resultado

da coleta: Gerar dados errados ou omitir outros.– A confiança no resultado da coleta é fator muito relevante

entre Live e Post-mortem forensics.

14

Na Live Foresnics, qual o melhor procedimento para desligar o sistema?

Puxar o cabo de força ou desligar usando o processo normal?

15

Ferramentas• Existem dezenas de ferramentas;• A grande maioria roda em sistemas Gnu/Linux e

existem pacotes .deb (Debian);• Distribuições Linux especializadas em Segurança da

Informação:– SIFT (SANS Investigate Forense Toolkit)– CAINE (Computer Aided Investigative Environment)– DEFT Linux (voltado para Forense Digital)– Helix 3 - Efense– Backktrack 5(voltado para testes de penetração)

15

16

Ferramentas• Sleuth Kit - Análise de Sistemas de arquivos• Foremost/scalpel – busca de arquivos (carving)• Ssdeep/md5deep – hash• Wireshark – network forensics• Pasco – examina os dados do IE• Rifiuti2 – verifica arquivo do Recycle Bin• PTK / Autopsy – Interface para o sleuth kit• Rdd – com o que falta para o dd• PyFlag – ambiente completo para forense digital

16

17

Teste Prático• Post mortem forensics;• Examinando a imagem de um disquete e de um

dump da memória Ram;• Usando: rdd, foremost, sleuthkit, autopsy

17

18

Obrigado

18

Leandro Godoy

leandro@opencode.com.brIT Consultant