ferramentas para resposta a incidentes - ago12
DESCRIPTION
Ferramentas para Resposta a Incidentes - ago12TRANSCRIPT
![Page 1: Ferramentas para Resposta a Incidentes - ago12](https://reader036.vdocuments.net/reader036/viewer/2022062614/546c42edb4af9f702c8b4fb9/html5/thumbnails/1.jpg)
Ferramentas Avançadas
para Resposta a Incidentes
Luiz Sales Rabelohttp://4n6.cc
![Page 2: Ferramentas para Resposta a Incidentes - ago12](https://reader036.vdocuments.net/reader036/viewer/2022062614/546c42edb4af9f702c8b4fb9/html5/thumbnails/2.jpg)
Luiz Sales Rabelo
•Coordenador de Prevenção a Fraudes – Nextel
(2012)
•Consultor TechBiz Forense Digital (2009 a 2012)
•Certificações internacionais EnCE e ACE
•Membro Comissão Crimes Alta Tecnologia OAB/SP
•Membro HTCIA – U.S. Investigation Association
•NÃO SOU ADVOGADO!!
![Page 3: Ferramentas para Resposta a Incidentes - ago12](https://reader036.vdocuments.net/reader036/viewer/2022062614/546c42edb4af9f702c8b4fb9/html5/thumbnails/3.jpg)
Conceitos Básicos
Como responder a um incidente??
O que é um incidente?
![Page 4: Ferramentas para Resposta a Incidentes - ago12](https://reader036.vdocuments.net/reader036/viewer/2022062614/546c42edb4af9f702c8b4fb9/html5/thumbnails/4.jpg)
Conceitos Básicos
Reconhecendo um incidente (ISO 17799:2005)
•Perda de serviço
•Mal funcionamento ou sobrecarga de sistema
•Falha humana
•Vulnerabilidades no controle do acesso físico
•Violação de Acesso
![Page 5: Ferramentas para Resposta a Incidentes - ago12](https://reader036.vdocuments.net/reader036/viewer/2022062614/546c42edb4af9f702c8b4fb9/html5/thumbnails/5.jpg)
Ciência Forense
Metodologia científica aplicada, que atua em conjunto
com o Investigador e é utilizada para esclarecer
questionamentos jurídicos:
Toxicologia Forense, Genética e Biologia Forense,
Psiquiatria Forense, Antropologia Forense, Odontologia
Forense, Entomologia Forense, Balística Forense,
Tanatologia Forense...
![Page 6: Ferramentas para Resposta a Incidentes - ago12](https://reader036.vdocuments.net/reader036/viewer/2022062614/546c42edb4af9f702c8b4fb9/html5/thumbnails/6.jpg)
Dispositivos Móveis
Na atualidade, os celulares são verdadeiros computadores, e em alguns casos
guardam muito mais sobre nossas vidas do que nossos computadores. Ex:
• E-mails
• Contatos / Agenda
• Fotos, imagens e vídeos
• Ring Tones e Jogos (copyright)
• Histórico, cookies, senhas de navegação (browser)
• Chamadas (discadas e recebidas) em determinada
data/hora
• Detalhes de mensagens SMS (data, origem/destino,
templates)
![Page 7: Ferramentas para Resposta a Incidentes - ago12](https://reader036.vdocuments.net/reader036/viewer/2022062614/546c42edb4af9f702c8b4fb9/html5/thumbnails/7.jpg)
Perícia em dispositivo Móveis
7
![Page 8: Ferramentas para Resposta a Incidentes - ago12](https://reader036.vdocuments.net/reader036/viewer/2022062614/546c42edb4af9f702c8b4fb9/html5/thumbnails/8.jpg)
Perícia em dispositivo Móveis - GPS
![Page 9: Ferramentas para Resposta a Incidentes - ago12](https://reader036.vdocuments.net/reader036/viewer/2022062614/546c42edb4af9f702c8b4fb9/html5/thumbnails/9.jpg)
O que não é Forense Digital? O “Efeito” CSI
•Adaptação livre do tema para televisão
•Relata fatos no formato de série de TV
•Diferença quanto a métodos, organização e tempos
![Page 10: Ferramentas para Resposta a Incidentes - ago12](https://reader036.vdocuments.net/reader036/viewer/2022062614/546c42edb4af9f702c8b4fb9/html5/thumbnails/10.jpg)
“Efeito” CSI
![Page 11: Ferramentas para Resposta a Incidentes - ago12](https://reader036.vdocuments.net/reader036/viewer/2022062614/546c42edb4af9f702c8b4fb9/html5/thumbnails/11.jpg)
“Efeito” CSI
![Page 12: Ferramentas para Resposta a Incidentes - ago12](https://reader036.vdocuments.net/reader036/viewer/2022062614/546c42edb4af9f702c8b4fb9/html5/thumbnails/12.jpg)
“Efeito” CSI
![Page 13: Ferramentas para Resposta a Incidentes - ago12](https://reader036.vdocuments.net/reader036/viewer/2022062614/546c42edb4af9f702c8b4fb9/html5/thumbnails/13.jpg)
“Efeito” CSI
![Page 14: Ferramentas para Resposta a Incidentes - ago12](https://reader036.vdocuments.net/reader036/viewer/2022062614/546c42edb4af9f702c8b4fb9/html5/thumbnails/14.jpg)
“Efeito” CSI
![Page 15: Ferramentas para Resposta a Incidentes - ago12](https://reader036.vdocuments.net/reader036/viewer/2022062614/546c42edb4af9f702c8b4fb9/html5/thumbnails/15.jpg)
“Efeito” CSI
![Page 16: Ferramentas para Resposta a Incidentes - ago12](https://reader036.vdocuments.net/reader036/viewer/2022062614/546c42edb4af9f702c8b4fb9/html5/thumbnails/16.jpg)
Ferramentas Avançadas
AccessData FTK – Forensic ToolkitGuidance Software – EnCase Forensic
Qual o melhor?Discussão filosófica..
![Page 17: Ferramentas para Resposta a Incidentes - ago12](https://reader036.vdocuments.net/reader036/viewer/2022062614/546c42edb4af9f702c8b4fb9/html5/thumbnails/17.jpg)
Arquivos Apagados
O espaço em disco marcado como livre na
tabela de alocação de arquivos
geralmente contém informações
essenciais para a análise: são os
dados dos arquivos removidos
![Page 18: Ferramentas para Resposta a Incidentes - ago12](https://reader036.vdocuments.net/reader036/viewer/2022062614/546c42edb4af9f702c8b4fb9/html5/thumbnails/18.jpg)
Arquivos Apagados
![Page 19: Ferramentas para Resposta a Incidentes - ago12](https://reader036.vdocuments.net/reader036/viewer/2022062614/546c42edb4af9f702c8b4fb9/html5/thumbnails/19.jpg)
“Sanitização”
•Evitar cross-contamination
•Demanda wipe completo das mídias reutilizáveis
![Page 20: Ferramentas para Resposta a Incidentes - ago12](https://reader036.vdocuments.net/reader036/viewer/2022062614/546c42edb4af9f702c8b4fb9/html5/thumbnails/20.jpg)
“Sanitização”
Visualização de
mídia no EnCase
após wipe
![Page 21: Ferramentas para Resposta a Incidentes - ago12](https://reader036.vdocuments.net/reader036/viewer/2022062614/546c42edb4af9f702c8b4fb9/html5/thumbnails/21.jpg)
“Data Hidding”
Ocultando arquivos
no disco
![Page 22: Ferramentas para Resposta a Incidentes - ago12](https://reader036.vdocuments.net/reader036/viewer/2022062614/546c42edb4af9f702c8b4fb9/html5/thumbnails/22.jpg)
File Systems
Um sistema de arquivos é um conjunto de estruturas lógicas e
de rotinas, que permitem ao sistema operacional controlar o
acesso ao disco rígido. Diferentes sistemas operacionais usam
diferentes sistemas de arquivos.
Alguns dos pontos a serem analisados são:
• Assinatura de arquivos
• ADS (Alternate Data Streams)
![Page 23: Ferramentas para Resposta a Incidentes - ago12](https://reader036.vdocuments.net/reader036/viewer/2022062614/546c42edb4af9f702c8b4fb9/html5/thumbnails/23.jpg)
Assinatura de arquivos – números mágicos
DEMO
![Page 24: Ferramentas para Resposta a Incidentes - ago12](https://reader036.vdocuments.net/reader036/viewer/2022062614/546c42edb4af9f702c8b4fb9/html5/thumbnails/24.jpg)
Assinatura de arquivos – números mágicos
São usados em arquivos para que o
formato de seu conteúdo possa ser
reconhecido independente de formas
externas. Cada sistema operacional
tenta identificar o tipo dos arquivos
de formas diferentes. O Windows
utiliza extensões, enquanto os
sistemas operacionais Mac usam
meta-dados, que são gravados na
estrutura do arquivo.
JPEG
![Page 25: Ferramentas para Resposta a Incidentes - ago12](https://reader036.vdocuments.net/reader036/viewer/2022062614/546c42edb4af9f702c8b4fb9/html5/thumbnails/25.jpg)
Assinatura de arquivos – números mágicos
![Page 26: Ferramentas para Resposta a Incidentes - ago12](https://reader036.vdocuments.net/reader036/viewer/2022062614/546c42edb4af9f702c8b4fb9/html5/thumbnails/26.jpg)
ADS – Alternate Data Stream
DEMO
![Page 27: Ferramentas para Resposta a Incidentes - ago12](https://reader036.vdocuments.net/reader036/viewer/2022062614/546c42edb4af9f702c8b4fb9/html5/thumbnails/27.jpg)
ADS – Alternate Data Stream
![Page 28: Ferramentas para Resposta a Incidentes - ago12](https://reader036.vdocuments.net/reader036/viewer/2022062614/546c42edb4af9f702c8b4fb9/html5/thumbnails/28.jpg)
ADS – Alternate Data Stream
![Page 29: Ferramentas para Resposta a Incidentes - ago12](https://reader036.vdocuments.net/reader036/viewer/2022062614/546c42edb4af9f702c8b4fb9/html5/thumbnails/29.jpg)
Obrigado!
Luiz Sales Rabelohttp://4n6.cc