Segurança da Informação

A forense computacional foi criada com o objetivo de suprir as necessidades das instituições legais no que se refere à manipulação das novas formas de evidências eletrônicas. Ela é a ciência que estuda a aquisição, preservação, recuperação e análise de dados que estão em formato eletrônico e armazenados em algum tipo de mídia computacional.

A forense computacional pode produzir informações diretas, que por sua vez, podem ser decisivas em um dado caso.

É importante salientar que a veracidade dessas informações também são passíveis de validação como em qualquer outro tipo de análise forense, pois dependendo das circunstâncias, as informações coletadas podem ter sido manipuladas de forma a induzir o perito a tirar conclusões erradas sobre o caso.

Para resolver um mistério computacional nem sempre é fácil; deve se analisar o sistema como um detetive que examina a cena de um crime, e não como um usuário comum. Muitas das habilidades necessárias para se procurar um erro em um código fonte são também necessárias para uma análise forense, tais como: raciocínio lógico, entendimento das relações de causa e efeito em sistemas computacionais e talvez a mais importante, ter uma mente aberta.

Perícia em um computador suspeito envolve uma série de conhecimentos técnicos e a utilização de ferramentas adequadas para a análise, que é justificado pela necessidade indiscutível de não alterar o sistema que está sendo analisado. Tais alterações, se efetuadas, podem ser traduzidas como mudanças nos tempos de acesso aos arquivos, prejudicando assim uma das mais poderosas formas de se reconstituir o que aconteceu na máquina em um passado próximo. Geralmente as ferramentas convencionais não têm a preocupação de manter a integridade dos tempos de acesso.

Alguns procedimentos devem ser seguidos pelo perito para garantir que a evidência não seja comprometida, substituída ou perdida, pois, se estes não forem seguidos, num tribunal, os juízes poderão considerar que essas evidências são inválidas e os advogados de defesa poderão contestar sua legitimidade, prejudicando assim o caso. Em muitos casos, as únicas evidências disponíveis são as existentes em formato digital. Isto poderia significar que a capacidade de punição a um invasor pode estar diretamente relacionada com a competência do perito em identificar, preservar, analisar e apresentar as evidências.

Sendo assim, é notória a importância do perito e a responsabilidade a ele confiada. Tal postura, se seguida, produzirá um trabalho revestido de incontestabilidade diante do tribunal. A perícia forense possui quatro procedimentos básicos: identificação, preservação, análise e apresentação. As tarefas envolvidas em uma investigação se enquadram em um desses grupos, como podem ser realizadas através da maioria ou de todos eles.

Identificando as evidências

Dentre as várias tarefas envolvidas no caso, é necessário estabelecer quais são as informações mais relevantes, como datas, horários, nomes de pessoas, empresas, endereços eletrônicos, nome do responsável ou proprietário pelo computador e etc.

Diferentes crimes resultam em diferentes tipos de evidência, e, por este motivo, cada caso deve ser tratado de forma específica. Por exemplo, em um caso de acesso não autorizado, o perito deverá procurar por arquivos log, conexões e compartilhamentos suspeitos; já em casos de pornografia, buscará por imagens armazenadas no computador, histórico dos sites visitados recentemente, arquivos temporários e etc. A velocidade do perito em identificar as evidências vai depender do seu conhecimento sobre o tipo de crime que foi cometido e dos programas e Sistemas Operacionais envolvidos no caso. Para encontrar possíveis evidências deve se:
- Procurar por dispositivos de armazenamentos (hardware): laptops, HDs, disquetes, CDs, DVDs, drives Zip/Jaz, memory keys, pendrives, câmeras digitais, MP3 player, fitas DAT, Pocket PC, celulares, dispositivos de backup ou qualquer equipamento que possa armazenar evidências;

- Procurar por informações relacionadas ao caso como: anotações, nomes de pessoas, datas, nomes de empresas e instituições, números de telefones, documentos impressos etc.;

- Distinguir entre evidências relevantes e irrelevantes em uma análise.

Cadeia de custódia

Segundo o princípio de Locard, através do contato entre dois itens, irá haver uma permuta. Este princípio é aplicável nas cenas do crime, no qual o interveniente da cena do crime entra em contato com a própria cena onde o crime foi executado, trazendo algo para este. Cada contato deixa o seu rastro.

Sendo assim, todo contato entre quaisquer pessoas ou objetos com a cena do crime pode produzir vestígios, que por mínimos que sejam, poderão servir como base para elucidação dos fatos de um crime. A regra número um em uma investigação é não destruir ou alterar as provas, ou seja, as evidências precisam ser preservadas de tal forma que não haja qualquer dúvida sobre a sua veracidade. A inobservância de certos procedimentos no momento da coleta de dados e no transcorrer da análise forense pode significar a diferença entre o sucesso e o fracasso de uma perícia, pois, além de comprometer a veracidade de uma prova, o que a colocaria em dúvida perante o tribunal, poderia também comprometer a sua integridade.

Devido ao uso do contraditório, num tribunal, a defesa pode questionar a legitimidade dos resultados de uma investigação, alegando que as evidências foram alteradas ou substituídas por outras.

Devido a essa possibilidade, é de total importância que o perito faça uso da cadeia de custódia, que, é utilizada para provar onde as evidências estavam em um determinado momento e quem era o responsável por elas durante o curso da perícia. Tal documentação é de suma importância para garantir que as evidências não foram comprometidas e para mapear individualmente os responsáveis num dado momento.

Para que as evidências não sejam comprometidas, substituídas ou perdidas durante o transporte ou manuseio no laboratório, é recomendável que sejam seguidos os seguintes passos:

- Criar imagens do sistema investigado, também conhecido como duplicação pericial, para que as evidências digitais possam ser analisadas posteriormente;

- Se o caso necessitar de uma análise ao vivo, salvar as evidências em um dispositivo externo e bloqueálos contra regravação;

- Todas as evidências físicas deverão ser lacradas em sacos e etiquetadas;

- A etiqueta deverá conter um número para a identificação das evidências, o número do caso, a data e o horário em que a evidência foi coletada, e o nome da pessoa que está manuseandoa;

- Etiquetar todos os cabos e componentes do computador, para que depois possam ser montados corretamente quando chegar ao laboratório;

- Os HDs deverão ser armazenados em sacos antiestáticos, para evitar danos e corrompimento dos dados;

- Durante o transporte das provas, tomar cuidado com líquidos, umidade, impacto, sujeira, calor excessivo, eletricidade e estática;

- Quando já tiverem sido transportadas, as evidências deverão ser armazenadas e trancadas para evitar a adulteração até o momento em que poderão ser examinadas e analisadas;

- Todas as mudanças feitas durante esta fase deverão ser documentadas e justificadas no documento referente à cadeia de custódia.

Analisando as evidências

O propósito desta fase é tentar identificar quem fez, quando fez, que dano causou e como foi realizado o crime. Mas, para isso, o perito deverá saber o que procurar, onde procurar e como procurar. Após analisar as evidências o perito poderá responder às seguintes questões:

- Qual a versão do Sistema Operacional que estava sendo investigado?

- Quem estava conectado ao sistema no momento do crime?

- Quais arquivos foram usados pelo suspeito?

- Quais portas estavam abertas no Sistema Operacional?

- Quem logou ou tentou logar no computador recentemente?

- Quem eram os usuários e a quais grupos pertenciam?

- Quais arquivos foram excluídos?

Esta fase será a pesquisa propriamente dita, em que praticamente todos os filtros de informação já foram executados. A partir deste ponto o perito poderá focalizar se nos itens realmente relevantes ao caso em questão. É nesta fase que os itens farão sentido e os dados e fatos passarão a ser confrontados.

Apresentando a análise

O laudo pericial é um relatório técnico sobre a investigação, no qual são apontados os fatos, procedimentos, análises e o resultado. O perito faz o laudo, e, a partir das evidências, a decisão é da Justiça.

- O laudo deve ser claro, conciso, estruturado e sem ambigüidade, de tal forma que não deixe dúvida alguma sobre a sua veracidade;

- Deverão ser informados os métodos empregados na perícia, incluindo os procedimentos de identificação, preservação e análise, e o software e hardware utilizados;

- O laudo pericial deve conter apenas afirmações e conclusões que possam ser provadas e demonstradas técnica e cientificamente.

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

O que é Pentesting?

- É o ” Teste da Caneta ” ? Você errou.
- É a ” Caneta de Testes” ? Negativo.
- Ok. É a equipe de Controle de Qualidade de uma fábrica de canetas ? Piorou..rss

Pentesting ou Penetration-test é o método usado para testar e descobrir vulnerabilidades numa rede (servidores, cameras de segurança, voip, equipamentos e outros) na possibilidade de ver como está e até que ponto podem ser exploradas ou corrigidas.

Fase do Processo

Para se fazer um teste de penetração é necessário passar diversas fases:

- Fase 1 – Enumeração (Reconhecimento dos ativos digitais)
- Fase 2 – Scanning (Varreduras)
- Fase 3 – Ataque (Intrusão)
- Fase 4 – Mantendo o Acesso
- Fase 5 – Limpando Evidências

Fase 1 – Enumeração

- 70 % tempo de gasto em um processo de
intrusão;
- conseguir o maior numero de informações:
- organização ou pessoa alvo
- servidores da organização
- conseguir o maior numero de informações:
- roteadores e firewalls da organização
- funcionários da organização
- amigos e pessoas chaves
- e-mail e telefones
- outra informações

- É sempre mais fácil para o atacante conhecer o perfil tecnológico da empresa, mapear seus funcionários chave, como diretores, gerentes e
administradores de sistemas/redes para então lançar mão de ataques de engenharia social.

Fase 2 – Scanning

- O atacante usa as informações descobertas na fase 1, para para examinar o alvo, conduzindo uma série de buscas, procurando obter as versões de sistemas operacionais e serviços que possam ser explorados
- Sistemas operacionais utilizados e suas versões
- Serviços utilizados e suas versões
- Quantidade de hosts ativos, quando dentro da rede
- IDS/IPS e firewall’s, quando possível

Fase 3 – Ataque

- Nesta fase é onde a invasão realmente acontece. Vulnerabilidades descobertas durante as fases de Levantamento de Informações e
Varreduras agora são exploradas para obter acesso ao sistema.
- Todo Pen Tester tem autorização para realizar o ataque sobre o alvo e devido a esse motivo, não precisa ocultar seus rastros. Cabe ao
Pen Tester nessa etapa, verificar os mecanismos responsáveis pela gravação de registros e verificar se seria possível em um ataque real haver a ocultação do ataque.

Fase 4 – Mantendo o Acesso

- Esta fase seguinte diferenciam os ”Pen Testers” dos ”Crackers” também, pois um profissional autorizado não precisará instalar um RootKit ou uma Backdoor para manter acesso na máquina alvo.
- Porém, é extremamente importante que o Pen Tester verifique se é possível inserir algum código malicioso na máquina, pois isso poderá ser feito em um ataque real. Uma vez que um atacante ganhou acesso ao sistema, normalmente ele deseja manter essa condição para futuros ataques ou explorações.
- Ele pode ser feito apenas pra “pegar” informações e algumas vezes acontece de os próprios atacantes acabarem corrigindo as vulnerabilidades exploradas para não permitir que outras pessoas ganhem acesso à esse mesmo sistema, garantindo assim que ninguém removerá seus trojans, backdoors e rootkits.
- Em conclusão, o atacante pode até ajudar, mas é muito mais prejudicial do que benéfico.
- Porém nem todos ataques prejudicam o sistema!
- Em conclusão, o atacante pode até ajudar, mas é muito mais prejudicial do que benéfico.
- Porém nem todos ataques prejudicam o sistema!

Fase 5 – Limpando Evidências- É nessa fase em que o atacante buscará remover todas as informações sobre as suas tentativas de ataque, protegendo assim o seu acesso no sistema, a fim de evitar que seja detectado, além de se envolver em problemas legais.

Tipos de Pentesting:

- Blind (o mais usado): o pentester não conhece nada sobre o alvo que irá atacar, porém o alvo sabe que será atacado e o que será feito durante o teste.

- Double Blind: o pentester não conhece nada sobre o alvo, e o alvo não sabe que será atacado e tão pouco sabe quais testes o pentester irá realizar.

- Gray Box: o pentester tem conhecimento parcial do alvo, e o alvo sabe que será atacado e também sabe quais testes serão realizados.

- Double Gray Box: o pentester tem conhecimento parcial do alvo, e o alvo sabe que será atacado, porém, não sabe quais testes serão executados.

- Tandem ou White Box: o pentester tem total conhecimento sobre o alvo, o alvo sabe que será atacado e o que será feito durante o ataque.

- Reversal: o pentester tem conhecimento total do alvo, porém o alvo não sabe que será atacado, e tão pouco sabe quais testes serão executados.

Justificando o uso de Pentesting

- Por que uma organização decide realizar um Pentesting?
- Conhecer a situação real de um sistema e melhorá-lo.
- Demonstrar os riscos existentes.
- Justificar a obtenção de mais recursos econômicos.
- Verificar que os mecanismos de segurança se encontrem funcionando corretamente.
- Por regulamentos e/ou obrigação.
- Como um seguro para poder cobrir-se ante auditorias.
- Para poderem dormir à noite.

O que o cliente espera do Pentesting?

- conhecer os riscos aos quais se vem submetidos os sistemas digitais e outros relacionados.
- A experiência demonstra que a maioria das vezes, as empresas que pedem Pentesting estão em um certo grau de amadurecimento em relação à segurança digital.
- Salvo alguns casos, as organizações esperam que os resultados do Pentesting sejam positivos para eles (ou seja que esteja todo bem e não se encontre nada). Mas a maioria das vezes as organizações não estão preparadas para receber maus resultados.

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

No vídeo a seguir apresenta-se um panorama de crescimento das ameaças na Internet, assista e faça bom proveito das informações.

Segurança na Internet –>

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

O ataque MITM acontece quando um atacante realiza conexões independentes com as vítimas e repassa mensagens entre elas, fazendo-as acreditar que estão conversando diretamente uma com a outra sobre uma conexão privada, quando na verdade toda a conversação está sendo observada pelo atacante. O responsável pelo ataque deve ser capaz de interceptar todas as mensagens trocadas pelas vítimas e se for necessário manipula-las.
Geralmente o atacante insere-se no meio de comunicação entre dois nós, fazendo parte do canal de comunicação.

Em um ataque local, o atacante e as vítimas pertencem à mesma rede e os pacotes trocados têm origem e destino nessa rede. No ataque remoto o atacante e a vítima pertencem a redes diferentes, assim como o destinoda comunicação. O fluxo do ataque pode ser full-duplex, quando ambos os sentidos da comunicação aos dos interceptados pelo atacante, ou half-duplex, quando apenas um sentindo é interceptado, mantendo-se o outro intacto.

ARP Spoofing e NDP Spoofing são ataques deste tipo e são realizados explorando falhas no processo de resolução de endereços. No IPv4, mensagens ARP Request e ARP Reply são utilizadas para tornar a máquina da vítima vulnerável à captura de informações. De forma semelhante, no IPV6 são utilizadas mensagens NDP Solicitation e NDP Advertisement para realizar a mesma tarefa.

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

SEGR no Youtube, acesse e coloque seu comentário:

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/