Anรกlise forense
Objetivos do curso Obter uma visão geral e conceitos de análise forense Apresentar os principais procedimentos que devem ser seguidos pelo investigador Compreender as particularidades do processo de análise forense em Linux e Windows e as informações que devem ser coletadas em cada situação enfrentada Aprender a coletar evidências em uma imagem de disco de um sistema comprometido Recuperar evidências que possam fornecer pistas dos invasores
Ao final do curso o aluno terá aprendido a Criar um CD de ferramentas forenses que poderá ser utilizado durante uma investigação Elaborar uma cronologia, descrevendo o que aconteceu e quando ocorreu cada evento do comprometimento investigado Conhecer a coleta de informações relacionadas aos programas executados, às bibliotecas do sistema e portas relacionadas Identificar o tipo de auditoria a ser realizada
Análise forense
Sessão de aprendizagem 1 Princípios de análise forense
Sumário Princípios de análise forense Conceito de análise forense Motivação Modo de ação dos atacantes Tipos de sistemas comprometidos Procedimentos Cadeia de custódia de evidências Metodologia para análise forense
Princípios de análise forense Resposta a incidentes de segurança Preparação Identificação Contenção Erradicação Recuperação Acompanhamento
Princípios de análise forense A empresa deve definir o que é um incidente de segurança de acordo com os ativos que deseja proteger. Incidentes de segurança são eventos que interrompem o procedimento normal de operação de uma empresa e causam algum tipo de crise. Podem ser ataques à infra-estrutura de informação de uma empresa. A prevenção dos incidentes é crucial.
Princípios de análise forense Análise forense é o segundo passo no processo de resposta a incidentes. Existe uma sobreposição com o primeiro e com o terceiro passo: o analista forense deve participar do processo de preparação pré-incidente, e também do processo de contenção pós-incidente. Recuperar e analisar dados da maneira mais imparcial e livre de distorções possível, para reconstruir os dados ou o que aconteceu a um sistema no passado.
Princípios de análise forense Minimizar perda de dados Evitar contaminação dos dados Registrar e documentar todas as ações Analisar, impreterivelmente, dados em cópias Reportar as informações coletadas Principalmente: manter-se imparcial “É um erro capital teorizar antes de obter todas as evidências.” Sherlock Holmes
Motivações para investigar um incidente Razões para não investigar um incidente: Custo Demora Falta de objetividade Disponibilização de recursos importantes Processo que demanda tempo e recursos, nem sempre útil para a empresa. É mais fácil reinstalar um computador do que realizar uma investigação.
Motivações para investigar um incidente Então, por que investigar? Identificar sinais de ataque Determinar a extensão do comprometimento Reconstruir a ordem dos eventos Entender o modus operandi do atacante Responder: O quê? Quando? Onde? Como?
Modo de ação dos atacantes Informação é a sua maior arma. Conhecendo o modo de operação dos invasores, você pode melhorar suas defesas; facilita o trabalho de investigação, porque você já sabe o que procurar. Técnicas de engenharia social são difíceis de combater: somente um treinamento adequado pode diminuir esse risco. A maior parte dos ataques segue um mesmo padrão.
Modo de ação dos atacantes Identificação do alvo Coleta de informações Identificação de vulnerabilidades Comprometimento do sistema Controle do sistema Instalação de ferramentas Remoção de rastros Manutenção do sistema comprometido
Detecção de ataques Padrão para detectar mais facilmente um ataque : Monitoramento da rede Detecção de assinaturas de ataques e modificações no sistema Utilização de ferramentas de auditoria Principalmente, conhecimento de seus sistemas e de sua rede
Tipos de sistemas comprometidos Sistema desligado: Sem atividade no disco rígido Evidências voláteis perdidas Sem atividade do invasor Sem necessidade de contenção do ataque Possivelmente algumas evidências foram modificadas
Tipos de sistemas comprometidos Sistema ligado: Atividade no disco rígido Atividade de rede Evidências voláteis Possibilidade de atividade do invasor Necessidade de conter o ataque Modificação das evidências
Tipos de sistemas comprometidos Sistema ligado: Verificar se o sistema está comprometido Não comprometer as evidências Conter o ataque Coletar evidências Power-off ou shutdown? Power-off: não modifica evidências, mas pode corromper os dados Shutdown: garante integridade dos dados, mas pode modificar evidências
Procedimentos para análise forense A reação precisa ser rápida, por isso esteja preparado Tenha em mãos um checklist de ações e todas as ferramentas necessárias Esterilize as mídias antes de coletar evidências Colete primeiro as evidências mais voláteis Crie e utilize uma dirt list: uma lista de palavras, termos e nomes que podem indicar um comprometimento Esta lista deve ser utilizada em todo o processo de investigação e atualizada constantemente Crie um registro para cada evidência e faça um relatório da sua investigação
Procedimentos para análise forense Ordem de coleta de evidências: Informações sobre o ambiente (ambiente operacional, fotos da sala e da tela do computador) Cópia binária da memória RAM Informações sobre processos em execução, conexões de rede, registros, cache etc. Informações sobre o tráfego de rede Cópias dos discos rígidos Possíveis mídias removíveis (fitas, disquetes, CD-ROM) Material impresso (adesivos, folhas impressas)
Procedimentos para análise forense Criar registro para cada evidência Criar assinatura das evidências: MD5 SHA1 SHA256
Evitar comprometer evidências Criar relatório detalhado da investigação: Comandos executados Pessoas entrevistadas Evidências coletadas
Cadeia de custódia de evidências Registro detalhado do modo como as evidências foram tratadas durante a análise forense, desde a coleta até os resultados finais. Este registro deve conter informações sobre quem teve acesso às evidências ou às cópias utilizadas. Durante um processo judicial, este registro vai garantir que as provas não foram comprometidas. Cada evidência coletada deve ter um registro de custódia associada a ela.
Cadeia de custódia de evidências Um registro de custódia deve conter pelo menos os seguintes itens: Data e hora de coleta da evidência De quem a evidência foi apreendida Informações sobre o hardware, como fabricante, modelo, números de série etc. Nome da pessoa que coletou a evidência Descrição detalhada da evidência Nome e assinatura das pessoas envolvidas Identificação do caso e da evidência (tags) Assinaturas MD5/SHA1 das evidências, se possível Informações técnicas pertinentes
Metodologia para análise forense Procedimentos do analista forense são invariáveis Utilidade de metodologia bem definida Os passos de uma investigação são cíclicos: Cada passo alimenta o conjunto de evidências e fornece novas bases para o investigador procurar por mais evidências na próxima fase. Os passos devem ser repetidos até que: Chegue-se a uma conclusão Não existam mais informações úteis a encontrar
Metodologia para anรกlise forense
Conclusões O sucesso da investigação depende de uma preparação prévia Informação é a melhor arma contra os invasores Tenha em mãos: Todas as informações sobre o sistema comprometido Todas as ferramentas necessárias Não comprometa as evidências A cadeia de custódia de evidências garante uma representação fiel dos dados originais Adote uma metodologia e seja imparcial e preciso em suas ações