uso de ferramentas opensource para análise forense (pós mortem)
DESCRIPTION
Palestra feita no DebianDay 2011 em Porto Alegre/RS.Autoria de Leandro GodoyTRANSCRIPT
1 1
2
Sumário
• Apresentação Institucional• Conceitos de Forense• Metodologia– Live forensics – Post mortem forensics
• Ferramentas• Teste Prático
2
3
Institucional
• Fundada em 2003 com Foco em Soluções de Rede e Conectividade em Ambiente OpenSource - Gnu/Linux
• A partir de 2005 nos tornamos uma empresa de Consultoria em Segurança da Informação, Governança de TI, Processos Organizacionais e Auditoria;
• Equipe de Especialistas formada por Profissionais Experientes e com as principais Certificações do Mercado.
3
4
Serviços & Produtos
4
5
Consultoria e Auditoria de TI
5
• Gestão de Serviços de TI – ITIL V3• Segurança da Informação – ISO 27001• Governança de TI e Planejamento Estratégico (BSC e
COBIT)• Gerenciamento de Projetos – PMI• Gestão de Risco e Continuidade de Negócios• InfraEstrutura de TI
6
Capacitação
6
• Treinamentos In-Company e em nossa Sede.• Gnu/Linux– Preparatório para Certificação
• Governança de TI– ITIL e COBIT
• Gerenciamento de Projetos• Administração de InfraEstrutura de TI
7
Serviços
7
• Centro de Gerência de Rede (NOC) - 24x7x365• Gap Analisys– Análise de Conformidade com Normas Internacionais:
SOX, Basileia, ISO e BS
• Virtualização de Servidores– XEN e VmWare
• Serviços de Suporte: Implantação e Configuração de Servidores Gnu/Linux (Debian)
8
Vamos ao que interessa …
8
9
Conceitos de Forense Computacional
9
• É uma Ciência Interdisciplinar• Utilizada para investigações digitais• Tem como principal objetivo a compreensão dos
eventos ocorridos e para tanto aplica as etapas da forense clássica
• Alguns cenários de aplicação:– Espionagem industrial– Crimes de fraude– Investigação de pedofilia– Invasão de sistemas … etc
10
Etapas da Forense Clássica
10
11
Etapas da Forense Computacional
• Coleta dos Dados– Planejamento
• Volatilidade• Esforço• Valor estimado
– Coleta • Como evitar a poluição do artefato/fonte?
– Garantia de Integridade• Uso de algorítimos de hash (MD5, SHA256, Crypt)
11
12
Etapas da Forense Computacional• Exame dos dados– Automatização através de ferramentas– Uso de Expressões regulares– Exige tempo e conhecimento técnico
• Análise dos dados obtidos– Depende do que fator causador– Correlação de eventos e datas– Pode retornar a etapa anterior dependendo do encontrado
• Resultados obtidos– Gera o Laudo Pericial
12
13
Metodologias• Post mortem foresics– Ocorre após o incidente ou crime– Não há coleta de dados voláteis– Responde por 99% dos casos
• Live forensics– Coleta de informações “on the fly”– Coleta de dados voláteis:
• Conexões estabelecidas, processos em execução, portas abertas, tabela de roteamento
• Dados sendo trafegados, logs, histórico de comandos• Conteúdo da memória, imagem do disco rígido
13
14
Metodologias
• Principais diferenças– Em Live deve-se tomar cuidado em não alterar ou
modificar os dados– Em Live comandos do sistema podem ter sido alterados– Rootkits podem ter sido instalados e mascarar o resultado
da coleta: Gerar dados errados ou omitir outros.– A confiança no resultado da coleta é fator muito relevante
entre Live e Post-mortem forensics.
14
Na Live Foresnics, qual o melhor procedimento para desligar o sistema?
Puxar o cabo de força ou desligar usando o processo normal?
15
Ferramentas• Existem dezenas de ferramentas;• A grande maioria roda em sistemas Gnu/Linux e
existem pacotes .deb (Debian);• Distribuições Linux especializadas em Segurança da
Informação:– SIFT (SANS Investigate Forense Toolkit)– CAINE (Computer Aided Investigative Environment)– DEFT Linux (voltado para Forense Digital)– Helix 3 - Efense– Backktrack 5(voltado para testes de penetração)
15
16
Ferramentas• Sleuth Kit - Análise de Sistemas de arquivos• Foremost/scalpel – busca de arquivos (carving)• Ssdeep/md5deep – hash• Wireshark – network forensics• Pasco – examina os dados do IE• Rifiuti2 – verifica arquivo do Recycle Bin• PTK / Autopsy – Interface para o sleuth kit• Rdd – com o que falta para o dd• PyFlag – ambiente completo para forense digital
16
17
Teste Prático• Post mortem forensics;• Examinando a imagem de um disquete e de um
dump da memória Ram;• Usando: rdd, foremost, sleuthkit, autopsy
17