Forense Digital: dando o quarto passo da segurança em TI Novas Dimensões de Gestão de Segurança através do uso da Forense Digital Técnicas para Forense Digital Celso Hummel Gerente Regional E-mail: celso.hummel@techbiz.com.br

Quem Somos? 1ª Empresa Brasileira a se dedicar totalmente à Forense Digital. Fornecedores das principais forças de lei, organismos de inteligência e mercado financeiro do Brasil. Representante dos maiores fabricantes mundiais de tecnologia forense digital.

Agenda Conceitos e tendências. Forense digital, como ferramenta de: Resposta a incidentes, Gestão de Conteúdo, Anti-Fraude, Compliance

Tendências e Desafios do Mundo Atual As organizações continuam a se defender contra o crescente número de ataques de rede A cada dia os ataques estão mais sofisticados e contando com adversários mais estruturados como: Crime Organizado Agências de Inteligência extrangeiras Grupos Terroristas Espionagem empresarial

Tendências e Desafios do Mundo Atual Desafios Internos também impactam: Problemas com Insiders Proteção de dados do Cliente Proteção da propriedade intelectual Compliance e Regulamentação Fluidez Tecnológica

Caso Real Atualmente 45% das quebras de segurança corporativas são geradas internamente Caso: Uma funcionária estava sendo caluniada através de emails sendo enviados por provedores externos. Esses emails tinham como remetente o próprio nome da funcionária@webmail.com, o que supostamente indicava que ela mesma enviava as mensagens. Problema: Essa funcionária não tinha um bom relacionamento com o restante da equipe, logo todos eram suspeitos da armação. Solução: Com nossas ferramentas e equipamentos fizemos uma pesquisa nas máquinas do departamento para identificar quem havia acessado o email funcionária@webmail.com. Resultado: Em 20 minutos conseguimos identificar quem havia acessado tal email e descobrimos o verdadeiro envolvido. Conseguimos recuperar desde a criação do email até as mensagens que haviam sido enviadas

Caso Real Perfil do Fraudador*: 68% estão na Média e Alta Gerências 80% tem curso superior completo Predominantemente do Sexo Masculino Idade média entre 31 e 40 anos *Pesquisa sobre crimes econômicos - PWC 05 Algumas empresas partem do princípio que seus profissionais são corretos em postura e ações, e que são qualificados e éticos. Essa pesquisa da PWC mostra que os maiores fraudadores estão em cargos de confiança. Como fazer para rastrear essas figuras dentre seus colaboradores?! Como pegar o notebook de um diretor da empresa para fazer “manutenção preventiva” durante a noite?! Como executar o trabalho sem que ocorram indicios de inspeção não autorizada?

Caso Real Polícia prende cabeça que organizava roubo de Notebooks em Taxis em São Paulo. Os HDs eram vendidos pela quadrilha Earlier this year burglars stole a laptop from a home. The laptop contained 26 MILLION veterans’ personal information. The IT person took the laptop home. He wasn’t supposed to, but the information is gone just the same. Tapes aren’t supposed to go home either – but they do. So another consideration is what is being backed up… ---------- VA Reveals Data Theft American Forces Press Service  |  By Samantha L. Quigley  |  May 23, 2006 Washington -- Veterans Affairs officials today announced the theft of personal information on up to 26.5 million veterans. However, VA Secretary R. James Nicholson stressed there's no indication the information is being used for purposes of fraud. "We at the VA have recently learned that an employee here, a data analyst, took home a considerable amount of electronic data from the VA, which he was not authorized to do," Nicholson said. "His home was burglarized, and this data was stolen." The compromised data includes names, Social Security numbers and birthdates of veterans separating from the military since 1975, he said. The information also may have included data on veterans who separated before 1975 but who submitted a claim for VA benefits. No medical or financial information was compromised, though the files might have contained numeric disability ratings in some cases, Nicholson added. A statement issued by the department indicated that spousal information also might have been compromised in some cases. "There is no indication & that any use is being made of this data or even that (the thieves) know they have it," Nicholson said. Exercising what the secretary called "an abundance of caution," the department is working through a number of channels, including the news media, to make veterans aware of the situation. Individual notification letters also will be mailed to veterans. The department is providing more information through the www.firstgov.gov Web site and call centers that can be reached at (800) 333-4636. The call centers, which will be active today, will be able to handle more than 250,000 calls a day. "The most important priority that I have right now is to get the word out to our veterans and get them alerted and aware of this possibility," Nicholson said. The department also is encouraging veterans to watch their financial accounts carefully for any signs of fraud or identity theft. If suspicious activity is detected, veterans should contact the fraud department of one of the three major credit bureaus: Equifax, Experian or TransUnion. Nichols said the Federal Trade Commission has alerted credit bureaus of a potential increase in requests for fraud alerts and for requests for credit reports. Any accounts that have been tampered with or opened fraudulently should be closed, and the veteran should file a report with local police or the police in the community where the identity theft took place. Those who suspect identity theft also are encouraged to contact the Federal Trade Commission via its identity-theft hotline at (877) 438-4338, or through its Web site. There is no indication when the career employee removed the information from his office, but the data was stolen when his home was burglarized sometime this month, Nicholson said. He declined to identify the employee or where he lives but said law enforcement officials reported several burglaries in the area and they do not believe the stolen information was targeted. "The employee has been placed on administrative leave pending the outcome of (a full-scale) investigation," Nicholson said. All appropriate law enforcement agencies, including the FBI and the Veterans Affairs Department's Inspector General are participating in the investigation. Members of the President's Identity Theft Task Force will meet today to coordinate a comprehensive response, recommend ways to further protect affected veterans, and increase safeguards to prevent the reoccurrence of such incidents, Nicholson said. VA officials also moved up the date by which all department employees must complete the "VA Cyber Security Awareness Training Course" and the "General Employee Privacy Awareness Course." Both must be completed by June 30. Additionally, Veterans Affairs will immediately begin conducting a review of all current positions requiring access to sensitive information. All employees requiring access to such data will undergo updated law enforcement and background checks.

Caso Real

Forense Digital & Segurança Defesa de Perímetro Avaliação de vulnerabilidades Detecção de Intrusos Resposta a Incidentes. e Forense Firewalls VPNs Controle de Acesso Autenticação Scanners de vulnerabilidade Levantamento de ameaças IDS Sniffers Pessoas e processos Defesa de Redes Investimentos consolidados Pouca estimativa de novos investimentos Detecção Em investimento Dinheiro perdido sem a resposta à incidentes Resposta Sem investimentos

ganhos e riscos Roubo Produtividade Decorrentes Exposição legal Dinheiro, informações confidenciais ou de clientes Produtividade Dados destruídos, tempo para recuperação Decorrentes perda de vendas potenciais, vantagem competitiva, impacto na marca Exposição legal falha em fechar contratos, falha em atingir regulamentação de privacidade Redução de custos Fidelização de clientes Aumento de receitas Expansão de mercados Novos modelos de negócio Vantagem competitiva

Caso Real

O quarto passo: “Investigação forense” Termo utilizado para definir qualquer tipo de investigação na qual seja necessário conhecimento técnico.

Forense Digital Faz parte da Resposta/Reação Conjunto de técnicas 26/03/201726/03/2017 Forense Digital Faz parte da Resposta/Reação Conjunto de técnicas Coleta e armazenagem (cadeia de custódia) Análise Apresentação/Relatórios Ser juridicamente aceito

Uma Nova Profissão: Perito digital Profissional que segue metodologias e procedimentos técnicos bem definidos e aceitos

Porque Forense Digital? 26/03/201726/03/2017 Porque Forense Digital? Conflito entre funcionários Vazamento de informação Uso indevido de aplicações legítimas Vírus e outros malwares Uso de aplicações não autorizadas Disseminação de conteúdo impróprio Quem apagou esse documento? Fraude

Porque Forense Digital? 26/03/201726/03/2017 Porque Forense Digital? Atendimento a normalizações de melhores práticas para resposta a incidentes: SOX, 3380, ISO 27001, etc... (Auto-proteção) Resposta adequada Deixar claro na corporação que as análises são feitas profundamente. A rede é sua... E está em suas mãos. (não há prevenção melhor que a certeza de punição) Tornar a atividade de análise de conformidade uma rotina automatizada.

Como Começar? Planejamento administrativo Planejamento Tecnológico 26/03/201726/03/2017 Como Começar? Planejamento administrativo Criar estrutura na política de segurança Consolidar a metodologia Designar os papéis da “legislação interna” Planejamento Tecnológico Treinamento conceitual Orçamento ferramental Estabelecimento de Métricas

Quais os seus requisitos? 26/03/201726/03/2017 Quais os seus requisitos? É necessário duplicar discos? Existem missões externas? É necessário forense on-line em disco? Processos em execução em RAM? Armazenar tráfego de rede? (Cabo e WiFi) Há riscos de uso de técnicas anti-forense avançadas? Os processos podem ser levados à justiça?

O Essencial Preservar original (duplicação) Recuperar arquivos Busca por palavras-chave Análise de assinatura Análise de hash

Salvaguarda dos Dados Bloqueio de escrita durante o processo de análise Software e Hardware para prevenção à contaminação de dados

Complexidade Diversidade tecnológica Volume de dados No de incidentes No de “vítimas” e “suspeitos”

Auditoria Corporativa Software, Serviços e Best Practices A Solução Completa Investigação & Auditoria Corporativa Detecção e Resolução de Fraudes Resposta a Incidentes Auditoria Atraves de uma solucao de Investigacao Digital e auditoria corporativa sua organizacao sera capaz de: Conter e reduzir fraudes Reduzir perda de produtividades proveniente de performace de usuario ou incidentes de seguranca Proteger seus dados confidenciais Exterminar atividades e processos que nao estao autorizados em sua rede Conduzir Busca e coleta de informacoes em todo o seu grande volume de dados Obter TOTAL CONTROLE SOBRE SEUS DADOS< ATIVIDADES E PROCESSOS DE SUA REDE Software, Serviços e Best Practices

Alguns Casos

Assédio Moral Caso No. #1 Recuperação de emails apagados Procura por palavras-chave Identificação de navegação com a internet Caso: Uma funcionária estava sendo caluniada através de emails sendo enviados por provedores externos. Esses emails tinham como remetente o próprio nome da funcionária@webmail.com, o que supostamente indicava que ela mesma enviava as mensagens. Problema: Essa funcionária não tinha um bom relacionamento com o restante da equipe, logo todos eram suspeitos da armação. Solução: Com nossas ferramentas e equipamentos fizemos uma pesquisa nas máquinas do departamento para identificar quem havia acessado o email funcionária@webmail.com. Resultado: Em 20 minutos conseguimos identificar quem havia acessado tal email e descobrimos o verdadeiro envolvido. Conseguimos recuperar desde a criação do email até as mensagens que haviam sido enviadas

Identificação de Vazamento de Informação Caso No. #2 Identificação de Vazamento de Informação USB Celular Caso: Ao chegar para trabalhar em uma segunda-feira um presidente de uma empresa encontrou um USB Drive caído no chão de sua sala. Problema: De onde veio tal dispositivo? Como rastrear o responsável pela invasão da sala do CEO? Solução: Todo dispositivo USB tem um nome único que fica armazenado no registro do Windows toda vez que é inserido na máquina. Com nossas ferramentas conseguimos identificar qual o ID único do referido dispositivo e por quais máquinas da empresa ele havia passado. Resultado: Em menos de 2 dias de trabalho identificamos por todas as máquinas pelas quais o dispositivo havia passado e quem foi o último responsável pelo mesmo

Coleta de informações para utilização na justiça Caso No.#3 Coleta de informações para utilização na justiça Busca de padrões Recuperação de informações “apagadas” Caso: Ao chegar para trabalhar em uma segunda-feira um presidente de uma empresa encontrou um USB Drive caído no chão de sua sala. Problema: De onde veio tal dispositivo? Como rastrear o responsável pela invasão da sala do CEO? Solução: Todo dispositivo USB tem um nome único que fica armazenado no registro do Windows toda vez que é inserido na máquina. Com nossas ferramentas conseguimos identificar qual o ID único do referido dispositivo e por quais máquinas da empresa ele havia passado. Resultado: Em menos de 2 dias de trabalho identificamos por todas as máquinas pelas quais o dispositivo havia passado e quem foi o último responsável pelo mesmo

Infraestrutura de Investigações Investiguar qualquer máquina, em qualquer lugar a qualquer momento Eliminar a necessidade de trazer um disco físico para investigações Identifique discretamente os envolvidos em fraudes Encontre documentos,emails apagados, artefatos de internet (Webmail, MSN, etc) Procure por padrões de aplicativos em execução Rastreabilidade de tempos de acesso á aplicações Compliance / Auditoria Adequação às demandas executivas para demonstrar capacidade de diminuir perdas Valide e imponha a aplicação das políticas internas Rastreamento de mídias removíveis (USB, CD/DVD, etc)

GUIDANCE Encase Forensics – Análise Pericial Investigação reativa Provas não repudiáveis Reforça Metodologia Internacional Acesso a informações escondidas Automatização de pesquisas Encase Enterprise Resposta a Incidentes e combate a fraudes Investigação pró-ativa Resposta a incidentes após a última linha de defesa Documentação de incidentes Discrição Assertividade no processo de recuperação ICS Equipamentos de forense digital. Permitem duplicação em alta velocidade com bloqueio fisico de escrita cálculo de de hash. Duplicação em larga escala para operações em fábricas e distribuição de imagens Wipe de Disco em larga escala e alta velocidade. A maneira mais rápida e segura para apagar definitivamente os dados de um HD. MICRO SYSTEMATION .XRY Análise Forense em aparelhos celulares. Permite compartilhamento de informações e análise rápida de diversos modelos de aprarelhos. SIM ID CLONER Permite a análise em chip´s bloqueados ou danificados.