A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense O que é, formalmente? –“Uma abordagem metodológica para a apreensão e preservação.

Apresentações semelhantes


Apresentação em tema: "Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense O que é, formalmente? –“Uma abordagem metodológica para a apreensão e preservação."— Transcrição da apresentação:

1

2 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense O que é, formalmente? –“Uma abordagem metodológica para a apreensão e preservação de informação e obtenção de provas informáticas para incriminação legal” –“Ciência de encontrar, recolher, analisar e preservar registos informáticos que sejam admissíveis em tribunal ou outros ambientes legais”

3 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense Quem é o analista forense informático, então? –Um investigador que, no âmbito informático, desempenha as mesmas funções de um detective clássico

4 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense A quem interessam os serviços de um analista forense? –Investigadores Criminais –Companhias de Seguros –Empresas em geral –Indivíduos em geral

5 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense “Quando se procura algo específico, as hipóteses de o encontrar são reduzidas. De todas as coisas do mundo, estar-se-á à procura de apenas uma delas. Quando não se procurar rigorosamente nada, a probabilidade de encontrar algo será muito mais elevada. De todas as coisas do mundo, encontrar-se-á certamente algumas.”

6 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense Anti-análise forense –Desenvolve métodos de resistência à análise forense...

7 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense Anti-análise forense? Aqui?!! –A melhor forma de se apanhar um criminoso é conseguindo pensar da mesma forma que ele.

8 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense Honey Pots (um pequeno parêntesis…) –Muito úteis para perceber formas típicas de actuação do “lado inimigo” honeyd VMware

9 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense Honey Pots – honeyd create windows set windows personality "Windows NT 4.0 Server SP5- SP6" set windows default tcp action reset set windows default udp action reset add windows tcp port 80 "perl scripts/iis-0.95/iisemul8.pl" add windows tcp port 139 open add windows tcp port 137 open add windows udp port 137 open add windows udp port 135 open set windows uptime bind windows

10 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense Honey Pots – honeyd create linux set linux personality "Linux " set linux default tcp action reset set linux default udp action reset add linux tcp port 110 "sh scripts/pop3.sh" add linux tcp port 25 "sh scripts/smtp.sh" add linux tcp port 21 "sh scripts/ftp.sh" set linux uptime bind linux

11 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense Honey Pots – honeyd create router set router personality "Cisco IOS (11)" set router default tcp action reset set router default udp action reset add router tcp port 23 "/usr/bin/perl scripts/router-telnet.pl" set router uid gid set router uptime bind router

12 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense Tipos clássicos de “criminosos” –Script Kiddies –Crackers –Hackers

13 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense A integridade do seu sistema foi comprometida!! Foi chamado o Analista Forense…e… a sua primeira preocupação é…

14 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense Capturar uma imagem do sistema, na sua globalidade, tão livre quanto o possível de distorções e lacunas

15 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense Mas: –As ferramentas do sistema serão de confiança? –Será preferível manter ligado, ou desligar o sistema da rede?

16 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense O que acontece quando se executa um comando? –Shell (inc. variáveis de ambiente) –Comando, propriamente dito –Bibliotecas dinâmicas –Drivers de dispositivos –Kernel –Controladores –Hardware

17 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense Solução: –Tipicamente, é preferível utilizar um “kit pessoal” –Composição do kit: Colecção de ferramentas compiladas estaticamente (dd, cp,cat, ls, …) Formas alternativas de obter ferramentas adicionais Ferramentas específicas –TCT – “The Coroners Toolkit”

18 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense E depois? Dever-se-á fazer a análise sobre o original, ou sobre uma cópia? –Nem tudo pode ser feito sobre cópias –Não trabalhando sobre o sistema real, podem ser perdidos alguns aspectos –Ao trabalhar sobre o original, podem ser destruídos aspectos igualmente importantes

19 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense Genericamente, poder-se-á considerar: –Desligar o sistema da rede (caso se aplique) –NÃO DESLIGAR A ALIMENTAÇÃO!! –Tentar a cópia integral do sistema, respeitando a ordem de volatilidade –Não ceder à tentação de tentar analisar imediatamente –Registar todas as operações efectuadas

20 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense Cópia de conteúdos em RAM: – #dd kmem.save Cópia simples de ficheiros via rede: – #cat file|nc –w 3 to 1234 – #nc –p 1234 –l>file.save Genericamente, o dd é nosso amigo!!

21 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense Guardar estado de canais de comunicação –netstat –route –Arp –ifconfig –Informação de kernel

22 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense Processos –ps –/proc –Lsof –netstat

23 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense Outros –rpm –Patches –Portscans –Configuração de kernel

24 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense E então… –Congelar o sistema, se for caso disso… Power Management! Ou… –Passemos à acção! Utilização de toolkits para procura de rastos mal apagados Se existir no sistema um IDS (Intrusion Detection System), podem verificar-se assinaturas na procura de ficheiros alterados, criados ou eliminados

25 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Anti-análise Forense Anti-análise forense (novamente…) –Analisando as formas de actuação dos analistas forenses, observam-se falhas e tenta-se conseguir formas de as contornar!

26 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense Os analistas forenses tentam encontrar informação –Os atacantes têm necessidade de esconder informação Rootkits Logs de um sniffer Outra informação diversa

27 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Anti-análise Forense Como esconder essa informação? –Em pequenos espaços que existam livres, dentro ou fora do sistema de ficheiros Espaço fora de partições Sectores marcados como livres Slack Space

28 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Anti-análise Forense Como esconder essa informação? –Em pequenos espaços que existam livres, dentro ou fora do sistema de ficheiros Espaço fora de partições Sectores marcados como livres Slack Space

29 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Anti-análise Forense Como esconder essa informação? –SlackSpace Ext2 –blocos de 4KB FAT32 – <= 260 MB 4 KB – <= 8 GB 8 KB – <= 60 GB 16 KB – <= 2 TB 32 KB NTFS –Entre 512 bytes ( 32GB)

30 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Anti-análise Forense Como esconder essa informação (2)? –Utilizando recursos pouco conhecidos ADS (em NTFS)

31 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Anti-análise Forense Como esconder essa informação (3)? –Se não for mais necessária, eliminando-a convenientemente “TDT – The Defilers Toolkit” –necrofile –klismafile

32 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Anti-análise Forense Como esconder essa informação (3)? –Se não for mais necessária, eliminando-a convenientemente

33 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Anti-análise Forense Como esconder essa informação (3)? –necrofile (antes) – root]$./ils /dev/hda6 –class|host|device|start_time –ils|XXX|/dev/hda6| –st_ino|st_alloc|st_uid|st_gid|st_mtime|st_atime|st_ctime|st_dtime|st_mode|st_nlink|st_size|st_block0|st_block1 –12|f|0|0| | | | |100644|0|86|545|0 –13|f|0|0| | | | |100644|0|86|546|0 –14|f|0|0| | | | |100644|0|86|547|0 –15|f|0|0| | | | |100644|0|86|548|0 –16|f|0|0| | | | |100644|0|86|549|0 –17|f|0|0| | | | |100644|0|86|550|0 –... –36|f|0|0| | | | |100644|0|86|569|0 –37|f|0|0| | | | |100644|0|86|570|0 root]$

34 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Anti-análise Forense Como esconder essa informação (3)? –necrofile (durante) – root]$./necrofile -v -v -v -v /dev/hda6 –Scrubbing device: /dev/hda6 –12 = m: 0x3d334d4d a: 0x3d334d4d c: 0x3d334d4f d: 0x3d334d4f –13 = m: 0x3d334d4d a: 0x3d334d4d c: 0x3d334d4f d: 0x3d334d4f –14 = m: 0x3d334d4d a: 0x3d334d4d c: 0x3d334d4f d: 0x3d334d4f –15 = m: 0x3d334d4d a: 0x3d334d4d c: 0x3d334d4f d: 0x3d334d4f –36 = m: 0x3d334d4d a: 0x3d334d4d c: 0x3d334d4f d: 0x3d334d4f –…–… –37 = m: 0x3d334d4d a: 0x3d334d4d c: 0x3d334d4f d: 0x3d334d4f root]$

35 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Anti-análise Forense Como esconder essa informação (3)? –necrofile (depois) root]$./ils /dev/hda6 –class|host|device|start_time –ils|XXX|/dev/hda6| –st_ino|st_alloc|st_uid|st_gid|st_mtime|st_atime|st_ctime|st_dtime|st_mode|st_nlink|st_size|st_block0|st_block1 root]$

36 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Anti-análise Forense Como esconder essa informação (3)? –klismafile (antes) root]$./fls -d /dev/hda6 2 –? * 0: a –? * 0: b –? * 0: c –? * 0: d –... –? * 0: x –? * 0: y –? * 0: z root]$

37 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Anti-análise Forense Como esconder essa informação (3)? –klismafile (durante) root]$./klismafile -v /mnt –Scrubbing device: /dev/hda6 –cleansing / –-> a –-> b –-> c –... –-> y –-> z –Total files found: 29 –Directories checked: 1 –Dirents removed : 26 root]$

38 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Anti-análise Forense Como esconder essa informação (3)? –klismafile (depois) root]$./fls -d /dev/hda6 2 root]$

39 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Anti-análise Forense Como esconder essa informação (4)? –Escondendo-a onde menos se pensaria encontrá-la Esteganografia

40 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Anti-análise Forense Esteganografia –Deramatus e a comunicação da iminência de uma invasão (480 AC) Tábuas enceradas

41 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Anti-análise Forense Esteganografia –Johannes Trithemius ( ) " Steganographia:hoe est ars per occultam scripturam animi sui voluntatem absentibus aperiendi certa" "The bearer of this letter is a rogue and a thief. Guard yourself against him. He wants to do something to you."

42 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Anti-análise Forense Esteganografia –Mensagem alemã, publicada durante a segunda guerra mundial: “Apparently neutral’s protest is thoroughly discounted and ignored. Isman hard hit. Blockade issue affects pretext for embargo on by-products, ejecting suets and vegetable oils.” Pershing sails from NY June I

43 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Anti-análise Forense Esteganografia –Actualmente, aparece frequentemente com a denominação “watermarking” –Muito utilizada para copyrights –Aparece sob os mais diversos disfarces Ficheiros multimedia Imagem Texto Outros

44 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Anti-análise Forense Esteganografia Sob ficheiros de imagem

45 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Anti-análise Forense Esteganografia Sob ficheiros de imagem

46 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Anti-análise Forense Esteganografia Sob ficheiros de som –Modelo Psicoacústico e auditory masking

47 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Anti-análise Forense Esteganografia Outros –Codificação em bits de cabeçalhos IP –Submodulação em canais audio de brodcasts de televisão e rádio –Utilizando LSb de uma comunicação telefónica através de RDIS (DigiStilz) –Métodos semelhantes em VoIP

48 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense Novamente??!!!! –Contra os métodos de eliminação eficaz de informação, os métodos de recuperação ainda mais eficazes

49 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense Contra os métodos de eliminação eficaz de informação, os métodos de recuperação ainda mais eficazes –MFM –Magnetic Force Microscopy –SPM – Scanning Tunneling Microscopy

50 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense Bits na superfície de um disco rígido??!!!

51 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense Bits na superfície de um DVD-RW??!!!

52 Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense Contra os métodos de eliminação eficaz de informação, os métodos de recuperação ainda mais eficazes


Carregar ppt "Análise ForenseAntónio José Marques/Luis Miguel Silva 2003 Análise Forense O que é, formalmente? –“Uma abordagem metodológica para a apreensão e preservação."

Apresentações semelhantes


Anúncios Google