AUDITORIA E FORENSE
COMPUTACIONAL – PGN0014
AUDITORIA E FORENSE COMPUTACIONAL –
PGN0014
• Profª. Alex Casañas, M.Sc.
2
@brulex@brulex
3
Prof. M.Sc. Alex Casañas +55(61) 84130351 (OI)
SKYPE [email protected]
Páginas oficiais:
www.brulex.com.br – BRULEX VANTANGENS – “Vantagem mesmo e
ter descontos para o resto da sua vida...”
http://www.agencialan.com.br Empresa de marketing digital e
captação de clientes através das tecnologias digitais.
Redes Sociais e Parcerias
Facebook: Brulex https://www.facebook.com/alex.casanas1
LinkedIn: Brulex http://br.linkedin.com/in/brulex
Twitter: @brulex https://twitter.com/#!/brulex
Compre com Segurança Aqui Parceria entre o Professor Alex com
o site Submarino desde 1999
http://www.submarino.com.br/menu/1060/Livros/?franq=1315314
Unidade 02
• Objetivos a serem alcançados:
•Auditoria, monitoramento, técnicas de teste de
penetração, ameaças e contra medidas para evitar
espionagem, hackeamento e códigos maliciosos. Leis
de diversos países, Evidência, investigação e forense
computacional, cadeia de custódia, metodologia de
uma investigação forense e ferramentas para análise
forense.
5
Unidade 02
• Objetivos a serem alcançados:
UNIDADE II
•Principais Ameaças e Teste de Penetração;
•Teste de Penetração;•Principais ameaças;
•Contra medidas para evitar espionagem e códigos
maliciosos.
6
Unidade 02• Bibliografia:
CISSP – Certified Information Systems Security
Professional, James Stewart, Ed Tittel & Mike Chapple,
Sybex: 2008.
CISSP Certification AllinOne Exam Guide, 4th Ed., Shon
Harris, McGrawHill: 2008.
Computer Forensics: Principles and Practices, Linda
Volonino, Reynaldo Anzaldua & Jana Godwin, Prentice
Hall: 2006. AddisonWesley: 2005.7
Unidade 02
• Bibliografia:
Computer Forensics: Computer Crime Scene
Investigation, John R. Vacca, Charles River Media:
2005
Real Digital Forensics: Computer Security and
Incident Response, Keith J. Jones, Richard Bejtlich
& Curtis W. Rose, AddisonWesley: 2005.
8
Unidade 02
• Bibliografia:
FOROUZAN, Behrouz A. Comunicação de dados e
redes de computadores. 4. ed. São Paulo:
McGrawHill, 2008.
KUROSE, James F. e ROSS, Keith W. Redes de
Computadores e a Internet: uma abordagem top
down. 4. ed. São Paulo: Addison Wesley, 2009.
Tanenbaum, Andrew S. Redes de Computadores.
5. ed. Rio de Janeiro: Campus, 2007.9
10
Unidade 02• WEB+Bibliografia:
http://download.volcon.org/volday1/arquivos/palestr
as/luizvieiraferramentaslivresparatestede
invasao.pdf
http://intranet.londonmet.ac.uk/module
catalogue/record.cfm?mc=CCP117 Material Inglaterra
ftp://ftp.os3.nl/forensics Máquinas Virtuais acessar
http://www.clir.org/pubs/reports/reports/pub149/
Livro http://www.chrysocome.net/dd
11
Unidade 02• WEB+Bibliografia:
• http://www.chrysocome.net/dd
•www.datasecutity.com.br Estudo de caso reais –
Vídeos e materias de apoio;
•http://convergenciadigital.uol.com.br/cgi/cgilua.exe/
sys/start.htm?sid=34#espionagemdigital
•Artigos 02 Semestre 2015.
12
• Toda organização utiliza diferentes tipos de avaliaçõesde segurança para avaliar o nível de segurança deseus sistemas.
• As categorias de avaliações são: análise devulnerabilidades, auditoria de segurança e teste deinvasão.
• Cada tipo de avaliação requer que as pessoas queconduzemna, tenham diferentes habilidades.
Categorias de Avaliações
13
• Um teste de invasão avalia o modelo de segurançada organização como um todo.
• Revela potenciais consequências de um ataque realque obtêm sucesso ao “quebrar” a segurança darede.
• Um profissional que realiza testes de invasão sediferencia de um atacante apenas por seu intento eausência de atitudes maliciosas.
Teste de Invasão
14
• Teste Externo
Avalia a disponibilidade de informações públicas, enumera
os serviços da rede, e o comportamento dos dispositivos de
segurança analisados.
• Teste Interno
Realizado a partir de pontos de acesso na rede,
representando cada segmento físico e lógico.
Black box = zero conhecimento
Grey box = conhecimento parcial
White box = conhecimento total
Tipos de Testes de Invasão
15
Metodologias• OSSTMM Open Source Security
Testing Methodology Manual
• OWASP – Open Web Application Security Project
• NIST 800.42 Guideline on Network Security Testing
• ISSAF Information Systems Security Assessment
Framework
16
• Determinar o escopo do teste de invasão é essencial para
decidir se o teste será um teste direcionado ou um teste
global.
• Avaliações globais, são esforços coordenados pelo
profissional para descobrir tantas vulnerabilidades quanto
possível no sistema/organização avaliado.
• O teste direcionado, buscará identificar vulnerabilidades em
um sistema específico.
Definição do Escopo
17
• A definição de escopo determinará também:
• A extensão do teste;
• O quê será avaliado;
• A partir de onde será testado;
• Por quem será avaliado.
Definição do Escopo
18
� Realiza o teste de invasão com oconhecimento e consentimento do setor de TIda organização.
� Tem menor custo e é o mais frequentementeutilizado.
� O papel primário é pensar sobre como ataquessurpresa podem ocorrer.
Equipe Azul
19
• Realiza o teste de invasão sem o conhecimento dosetor de TI da empresa, e com o consentimento da altagerência.
• Pode ser conduzido com ou sem o aviso. (testeanunciado ou não).
• Propõese a detectar vulnerabilidades da rede e dosistema, e avaliar a segurança pelo ponto de vista doatacante no que diz respeito à rede, ao sistema ou oacesso a informação.
Equipe Vermelha
20
• I. Aquisição de informação
• II. Varredura
• III. Ganhar acesso
• IV. Manter acesso
• V. Apagar rastros
Fases do Teste de Invasão
21
• Pesquisa passiva;
• Monitoramento de atividades públicas;
• Mapeamento de rede e SO’s;
• Spoofing;
• Sniffing de rede;
• Ataques com trojan;
• Ataques de força bruta;
• Análise de vulnerabilidades;
• Análise de cenário.
Técnicas Comuns para Teste de Invasão
22
• Maltego O Maltego é simplesmente uma das melhoresferramentas open source de network discovery e relationalnetworks que permite reunir vários tipos deinformações.
http://www.paterva.com/web4/index.php/maltego
• Binging – Binging é uma ferramentas simples de busca nosistema Bing.
http://www.blueinf.com/tools.html
Aquisição de Informações
23
• Nmap Network Mapper é uma ferramenta livre e decódigo aberto para exploração de rede e auditoria desegurança.
http://www.nmap.org
• Netifera Netifera é uma plataforma modular de códigoaberto para a criação de ferramentas de segurança de rede.
http://netifera.com
Sanner de rede e enumerção
24
• AutoScan AutoScanNetwork é um scaner de rede. Seuprincipal objetivo é gerar uma lista de equipamentosconectados na rede.
http://autoscannetwork.com
• Angry IP Scanner Angry IP Scanner é um scanner de redemultiplataforma desenvolvido para ser simples e rápido.Varre IP’s e portas e outras características.
http://www.angryip.com
Sanner de rede e enumerção
25
• Nessus – É um scanner de vulnerabilidades quepossui, inclusive, uma linguagem própria para odesenvolvimento de plugins próprios, a NAShttp://www.nessus.org
• NeXpose NeXpose é uma solução unificada queescanea a rede para identificar os dispositivosexecutados para testálos em busca devulnerabilidades. http://community.rapid7.com
Scanner de Vulnerabilidades
26
• OpenVAS Open Vulnerability Assessment System éum scanner de segurança de rede com ferramentasassociadas como uma GUI, por exemplo:http://www.openvas.org
• SARA O Security Auditor's Research Assistant(SARA) é uma ferramentas de rede para análise de
segurança:http://wwwarc.com/sara/
Scanner de Vulnerabilidades
27
Wireshark – Ferramenta para análise de
protocolo de rede:
http://www.wireshark.org/
Tcpdump Captura tráfego de rede:
http://www.tcpdump.org/
Análise de Tráfego
28
Ettercap Ettercap é uma suite para ataques
man in the middle em LAN’s. Fareja conexõpes
ativas, filtra conteúdos “on the fly” e muitas
outras coisas interessantes:
http://ettercap.sourceforge.net/
Dsniff dsniff é uma coleção de ferramentas de
rede para auditoria e teste de invasão:
http://monkey.org/~dugsong/dsniff/
Análise de Tráfego
29
• W3AF w3af é o Web Application Attack and AuditFramework. O objetivo do projeto é criar um
framework para buscar e explorar vulnerabilidades
de aplicações web. http://w3af.sourceforge.net
• Samurai WTF O Samurai Web Testing Framework é
um ambiente live Linux previamente configurado
para funcionar como um ambiente de web pen
testing. http://samurai.inguardians.com
Scanner de Aplicação Web
30
• Nikto – Scanner de servidor que realiza testes
contra múltiplos ítens em servidores web.
http://cirt.net/nikto2
• Paros – Através do proxy Paros, todos os dados
HTTP e HTTPS, entre o cliente e o servidor, incluindo
cookies e campos de formulários, podem ser
interceptados e alterados.
http://www.parosproxy.org/
Scanner de Aplicação Web
31
• Metasploit – Este projeto foi criado para fornecerinformações sobre técnicas de exploração e criar umareconhecida base funcional para desenvolvedores deexploits e profissionais de segurança.http://www.metasploit.org
• Exploit DB – Arquivo de exploits e software vulneráveis.Uma imensa fonte para pesquisadores devulnerabilidades e interessados por segurança.http://www.exploitdb.com
Framework para Exploração
(Exploits)
32
• OSWA Organizational Systems Wireless Auditor
http://securitystartshere.org/pagetrainingoswa.htm
• AirCrack-NG Suite Aircrackng é um programa paraquebra de chaves 802.11 WEP e WPAPSK que podecapturálas uma vez que um número suficiente depacotes de dados tenha sido capturado.http://www.aircrackng.org
Wireless Hacking
33
• AiroScript-NG Airoscript é “textuserinterface”para aircrackng. Uma ótima ferramentas paratornar sua vida mais fácil durante um pen test emredes wireless. http://airoscript.aircrackng.org
Wireless Hacking
34
• BackTrack 5 BackTrack é uma distribuição Linux quepossui um arsenal de ferramentas para testes de invasão.http://www.backtracklinux.org/
• Katana – Katana é uma suíte portátil multiboot desegurança. Inclui distribuições com foco em Teste deInvasão, Auditoria, Forense, Recuperação de Sistema,Análise de Rede, Remoção de Malware e outras coisasmais. http://www.hackfromacave.com/katana.html
Live CDs
35
• Matriux É uma distribuição de segurança, caracterizandose inteiramente em ferramentas gratuitas, poderas e opensource, que podem ser usadas para os mais diversos fins,como por exemplo, testes de invasão, para hackers éticos,para adminstração de sistemas e rede, para investigaçõesforenses de crimes cybernéticos, análise devulnerabilidades e muito mais. http://www.matriux.com
Live CDs
36
• Oval Interpreter – O Open Vulnerability andAssessment Language Interpreter é umaimplementação livre de referência que demonstra aavaliação das OVAL Definitions. Baseado noconjunto de definições o interpretador coletainformações do sistema, avaliaas e gera um arquivodetalhado de resultado. http://oval.mitre.org
• Nessus Local Plug-ins http://www.nessus.org
Auditoria de Sistemas Windows
37
• Lynis Lynis é uma ferramentas para auditoria Unixs.
Vasculha o sistema e software disponíveis para detectar
problemas de segurança. Além de informações sobre
segurança, também varre em busca de informações gerais
do sistema, pacotes instalados e erros de configuração.
http://www.rootkit.nl
• CIS Scoring Tools CISCAT é uma ferramenta de auditoria e
análise de configuração de hosts. Inclui tanto uma interface
de comando, quanto interface gráfica.
http://www.cisecurity.org
Auditoria de Sistemas Unix
38
• OpenSCAP SCAP é um conjunto de padrões gerenciados
pelo NIST com o objetivo de prover uma linguagem
padronizada relacionada à Defesa de Redes de
Computadores. OpenSCAP é um conjunto de bibliotecas de
código aberto que permite uma fácil integração do padrão
SCAP. http://www.openscap.org
Auditoria de Sistemas Unix
39
• BurpSuite – é uma plataforma integrada para ataque eteste de aplicações web. http://portswigger.net
• Websecurify – automaticamente identifica aplicaçõesweb vulneráveis através da utilização de tecnologiafuzzing e advanced discovery.http://www.websecurify.com
• CAT The Manual Web Application Audit é umaaplicação para facilitar testes de invasão manuais emaplicações web. http://cat.contextis.co.uk
Avaliação de Aplicações
40
• OphCrack – programa livre para quebra de senhas Windowsbaseado em rainbow tables http://ophcrack.sourceforge.net
• http://www.baixaki.com.br/download/ophcracklivecd.htm
• John the Ripper – programa rápido para quebra de senhas.http://www.openwall.com/john
• THC-Hydra network logon cracker multiplataforma que fazataques de força bruta contra uma gama considerável deserviços. http://www.thc.org/thchydra/
Análise de Senhas
41
• DB Audit Free Edition – ferramenta de auditoria eanálise de segurança para bancos de dados Oracle,Sybase, DB2, MySQL e Microsoft SQL Server.http://www.softtreetech.com
• SQL Map – ferramenta automática em linha decomando para testes de sql-injection.http://sqlmap.sourceforge.net
• Wapiti Wapiti permite realizar auditoria de segurançade aplicações web. http://wapiti.sourceforge.net
Auditoria de Bancos de Dados
45
• VAST Viper VAST é uma distribuição que contémferramentas desenvolvidas pela VIPER tais comoUCsniff, videojak, videosnarf e outras mais. Juntamentecom as ferramentas VIPER e outras ferramentasessenciais de segurança VOIP, também há ferramentasde testes de invasão tais como Metasploit, Nmap eHydra. http://vipervast.sourceforge.net
• WarVox – é uma suíte de ferramentas para explorarclassificar e auditor sistemas de telefonia.http://warvox.org
Auditoria de Telefonia VOIP
46
• Larga experiência em WEB;
• Desenvolvimento, Segurança e Linux;
• Proteção de Perímetro;
• Hardening de Servidores;
• Experiencia em Pen Testing;
• Autodidata em Forense Computacional;
• Análise de Malware;• Experiências em Consultoria na área de Segurança da
Informação.
• Pesquisas de vulnerabilidades e desenvolvimento de exploits. Certificações recomendadas:
• LPI CLA CHFI CEH ISO 27002
Características do Perito
47
• Problema: Grande número de usuários de serviçosfinanceiros on-line vulneráveis, facilidade de criarsites falsos;
• Soluções: Implantar software antiphishing eserviços e sistema de autenticação multinível paraidentificar ameaças e reduzir tentativas dephishing;
• Implantar novas ferramentas, tecnologias eprocedimentos de segurança, além de educar osconsumidores, aumenta a confiabilidade e aconfiança dos clientes.
Phishing: um Novo e Caro Hobby da Internet
48
• Demonstra o papel da TI no combate aos crimes deinformática;
• Ilustra a tecnologia digital como parte de umasolução multinível assim como suas limitações emconquistar consumidores desconfiados.
Phishing: um Novo e Caro Hobby da Internet
49
• Discuta sobre emails suspeitos que os participantes da
classes têm recebido:
• O que torna determinado email suspeito?
• Você costuma abrir emails suspeitos? Quais são
as conseqüências dessa ação?
• Você costuma reportar emails suspeitos a
alguém?
• Que medidas você tem adotado para proteger
se do phishing?
Sessão Interativa: PhishingSessão Interativa: Phishing
Phishing: um Novo e Caro Hobby da Internet
50
Vulnerabilidade dos Sistemas e Uso Indevido
• Um computador desprotegido conectado à Internet pode
ser danificado em poucos segundos;
• Segurança: políticas, procedimentos e medidas técnicas
usados para impedir acesso não autorizado, alteração,
roubo ou danos físicos a sistemas de informação;
• Controles: métodos, políticas e procedimentos
organizacionais que garantem a segurança dos ativos da
organização, a precisão e a confiabilidade de seus
registros contábeis e a adesão operacional aos padrões
administrativos.
51
Por que os Sistemas São VulneráveisPor que os Sistemas São Vulneráveis
• Problemas de hardware (quebras, erros de configuração,
danos por uso impróprio ou crime);
• Problemas de software (erros de programação, erros de
instalação, mudanças não autorizadas);
• Desastres (quedas de energia, enchentes, incêndios etc.);
• Vulnerabilidades da Internet;
• Desafios da segurança sem fio.
Vulnerabilidade dos Sistemas e Uso Indevido
52
Vulnerabilidades e Desafios de Segurança Vulnerabilidades e Desafios de Segurança
ContemporâneosContemporâneos
Vulnerabilidade dos Sistemas e Uso Indevido
53
Vulnerabilidades e Desafios de Segurança Vulnerabilidades e Desafios de Segurança
ContemporâneosContemporâneos
Normalmente, a arquitetura de uma aplicação baseada na
Web inclui um cliente Web, um servidor e sistemas de
informação corporativos conectados a bancos de dados.
Cada um desses componentes apresenta vulnerabilidades e
desafios de segurança. Enchentes, incêndios, quedas de
energia e outros problemas técnicos podem causar
interrupções em qualquer ponto da rede.
Vulnerabilidade dos Sistemas e Uso
Indevido
54
Software MalSoftware Malintencionado: Vírus, Worms, Cavalos intencionado: Vírus, Worms, Cavalos
de Tróia e Spywarede Tróia e Spyware
• Malware
• Vírus;
• Worms;
• Cavalos de Tróia;
• Spyware;
• Key loggers (registradores de teclas).
Vulnerabilidade dos Sistemas e Uso Indevido
55
SessãoSessão InterativaInterativa: Software Mal: Software Malintencionadointencionado
• Visite o site do Panda Software em www.pandasoftware.com
• Quais são os principais vírus em termos de taxa de
infecção?
• Quais são as ameaças de vírus mais recentes?
• Leia descrições dos principais vírus e das ameaças mais
recentes
• O que os downloads do Panda Software oferecem para
ajudar os usuários a proteger e a reparar seus
computadores?
• Compare e contraste o conteúdo disponível no site do
Panda Software com as ofertas do site da Symantec em
www.symantec.com
Vulnerabilidade dos Sistemas e Uso Indevido
56
Hackers e CibervandalismoHackers e Cibervandalismo
• Hackers versus crackers;
• Cibervandalismo;
• Spoofing;
• Sniffing;
• Ataque de recusa de serviço (DoS);
• Ataque Distribuído de Recusa de Serviço (DDoS);
• Botnets (‘redes de robôs’).
Vulnerabilidade dos Sistemas e Uso Indevido
57
• Qual problema as empresas deste estudo de casoenfrentaram? Como elas o detectaram? Como eleafetou seus negócios?
• Quais eram as soluções disponíveis para resolver oproblema?
• Que outras soluções poderiam ter sido consideradas?
• Como as questões humanas, organizacionais etecnológicas contribuíram para o problema?
Chantagem Cibernética e Redes de Zumbis: Novas Ameaças dos Chantagem Cibernética e Redes de Zumbis: Novas Ameaças dos
Ataques DoSAtaques DoS
Vulnerabilidade dos Sistemas e Uso Indevido
58
Crimes de Informática e Crimes de Informática e CiberterrorismoCiberterrorismo
• Crime de informática: ‘Quaisquer violações da legislação
criminal que envolvam um conhecimento de tecnologia
da informática em sua perpetração, investigação ou
instauração de processo’ – Departamento de Justiça dos
Estados Unidos;
• As empresas norteamericanas perdem 14 bilhões de
dólares por ano para o cibercrime;
• Roubo de identidade (phishing, evil twins, pharming,
uso indevido do computador [spamming]);
• Ciberterrorismo e guerra cibernética.
Vulnerabilidade dos Sistemas e Uso Indevido
59
Ameaças Internas: FuncionáriosAmeaças Internas: Funcionários
• Ameaças à segurança freqüentemente se
originam dentro da empresa;
• Engenharia social.
Vulnerabilidades do SoftwareVulnerabilidades do Software
• Softwares comerciais contêm falhas que criam
vulnerabilidades de segurança;
• Patches (remendos).
Vulnerabilidade dos Sistemas e Uso Indevido
60
• O não funcionamento dos sistemas de computador pode
levar a perdas significativas ou totais das funções
empresariais;
• As empresas estão agora mais vulneráveis do que nunca;
• Uma brecha de segurança pode reduzir o valor de
mercado de uma empresa quase imediatamente;
• Segurança e controles inadequados também produzem
problemas de confiabilidade.
Valor Empresarial da Segurança e do Controle
61
Controle de AcessoControle de Acesso
Tecnologias e Ferramentas para Garantir a
Segurança
• Autenticação;
• Tokens;
• Smart cards;
• Autenticação biométrica.
62
Novas Soluções para o Gerenciamento de IdentidadeNovas Soluções para o Gerenciamento de Identidade
•
• Quais problemas as empresas estão enfrentando com o
gerenciamento de identidade?
• Qual era o impacto desses problemas? Como eles foram
resolvidos?
• Quais eram as soluções disponíveis às empresas?
• Quais questões humanas, organizacionais e tecnológicas
precisaram ser abordadas no desenvolvimento das soluções?
• Você acha que as soluções escolhidas foram apropriadas? Por quê?
Tecnologias e Ferramentas para Garantir a Segurança
63
• Firewall: a combinação de hardware e software
que controla o fluxo de tráfego que entra ou sai da
rede;
• Sistemas de detecção de invasão monitoram em
redes corporativas para detectar e deter intrusos;
• Software antivírus e antispyware software verifica
a presença de malware em computadores e
freqüentemente também é capaz de eliminálo.
Firewalls, Sistemas de Detecção de Invasão e Firewalls, Sistemas de Detecção de Invasão e
Software AntivírusSoftware Antivírus
Tecnologias e Ferramentas para Garantir a Segurança
64
UmUm FirewallFirewall CorporativoCorporativo
O firewall é colocado entre aInternet pública ou outra redepouco confiável e a rede privadada empresa, com a intenção deproteger esta contra tráfego nãoautorizado.
Tecnologias e Ferramentas para Garantir a Segurança
65
• A segurança WEP pode ser melhorada quando usada
com a tecnologia VPN;
• Especificações WiFi Alliance/Acesso Protegido (WPA);
• Protocolo de Autenticação Extensível (EAP);
• Proteção contra redes falsas.
Segurança em Redes Sem FioSegurança em Redes Sem Fio
Tecnologias e Ferramentas para Garantir a Segurança
66
• Você utiliza tecnologia sem fio?
• Em caso positivo, que tipos de informação você
transmite através da rede sem fio?
• Que tipos de informação você evita enviar através
de redes sem fio? Por que você se preocupa em
enviar esses tipos de informação?
• Se você não tem acesso a uma rede sem fio, isso se
deve a questões de segurança?
Sessão Interativa: Sessão Interativa: Segurança em Redes Sem FioSegurança em Redes Sem Fio
Tecnologias e Ferramentas para Garantir a Segurança
67
• Criptografia: transformar textos comuns ou dados em um
texto cifrado, que não possa ser lido por ninguém a não
ser o remetente e o destinatário desejado
• Secure Sockets Layer (SSL);
• Transport Layer Security (TLS);
• Secure Hypertext Transfer Protocol (SHTTP);
• Criptografia de chave pública;
• Assinatura digital;
• Certificado digital;
• Intraestrutura de chave pública (PKI).
Criptografia e InfraCriptografia e InfraEstrutura de Chave PúblicaEstrutura de Chave Pública
Tecnologias e Ferramentas para Garantir a Segurança
68
• Ao término desta Unidade você deverá ser capaz deexplanar sobre:
• Principais Ameaças e Teste de Penetração;
•Teste de Penetração;
•Principais ameaças;
•Contra medidas para evitar espionagem e códigos
maliciosos.
Unidade 02
69
�����������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������