Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Minicurso – Forense computacional “Análise de redes”

767 Aufrufe

Veröffentlicht am

Minicurso básico de Segurança Forense computacional, como foco em “Análise de redes”
www.jeffersoncosta.com.br

Veröffentlicht in: Technologie
  • Loggen Sie sich ein, um Kommentare anzuzeigen.

  • Gehören Sie zu den Ersten, denen das gefällt!

Minicurso – Forense computacional “Análise de redes”

  1. 1. • Jefferson Costa • Formado em Eletrônica, Pedagogia, Gestão de negócios em informática. • Especialista em Segurança da informação, atua como Perito Forense, Ethical hacker e como consultor de TI há 23 anos, onde um dos pontos fortes do seu trabalho é analisar o uso da Engenharia Social através de meios cibernéticos. • Também é docente da área há 22 anos. www.jeffersoncosta.com.br www.youtube.com.br/jcosta20 www.facebook.com.br/jeffersoncosta.com.br PALESTRANTE
  2. 2. NBR ISO/IEC 17799:2005 Segurança da informação é obtida a partir da implementação de uma série de controles, que podem ser políticas, práticas, procedimentos, estruturas organizacionais e funções de software. Estes controles precisam ser estabelecidos para garantir que os objetivos de segurança específicos da organização sejam atendidos.
  3. 3. Os atributos básicos são os seguintes: • Confidencialidade • Integridade • Disponibilidade Segurança da informação
  4. 4. • Vulnerabilidades • Ameaça • Risco Segurança da informação
  5. 5. • A arte de manipular, enganar ou explorar a confiança das pessoas • O termo engenharia social ficou mais conhecido em 1990, através do famoso hacker Kevin Mitnick Engenharia Social
  6. 6. • Existem dois tipos de ataques de engenharia social, os ataques diretos e indiretos: • Ataque direto • Ataque indireto Engenharia Social
  7. 7. • Coleta de informações • Desenvolvimento de relacionamento • Exploração de um relacionamento • Execução do ataque Engenharia Social
  8. 8. • Spear Pishing • Fraudes por email • Erros de digitação Tipos de engenharia social Engenharia Social
  9. 9. Exemplo de engenharia social
  10. 10. Exemplo de engenharia social
  11. 11. Exemplo de engenharia social
  12. 12. • Vírus • Worm • Trojan (Cavalo de Tróia) • Spyware • Keylogger • Phishing • E-mail spoofing • Sniffing • Brute force • DoS e DDoS • Scripts (Backdoors, etc) • Defacement • Ransomware
  13. 13. Investigação do ataque
  14. 14. Ciência Forense é a aplicação de um conjunto de técnicas científicas para responder a questões relacionadas ao Direito, podendo se aplicar a crimes ou atos civis. O esclarecimento de crimes é a função de destaque da prática forense. Através da análise dos vestígios deixados na cena do crime, os peritos, especialistas nas mais diversas áreas, conseguem chegar a um criminoso. http://www.significados.com.br/forense/ Pericia forense computacional
  15. 15. “Todo contato deixa vestígio” Edmond Locard  Definição: Aquilo que determina ou estabelece a verdade de um fato ocorrido no ambiente digital  Características: Dado + Contexto + Fator Tempo Análise forense
  16. 16. • Levantar evidências que contam a história do fato: • Quando? • Como? • Por quê? • Onde? Pericia forense computacional
  17. 17. Dentre outras: • Violação de dados • Roubo / Sequestro de Dados e/ou Negação de Serviço • E-mails falsos (Phishing Scam, Difamação, Ameaças) • Transações bancárias (Internet Banking) • Disseminação de Pragas Virtuais, Pirataria e Pedofilia • Crimes comuns com evidências em mídias digitais Motivação
  18. 18. O que Coletar? • Mídias: Hds, pendrives, cds, dvds... • Dados em memória: “Live Forensics” • Dados trafegando pela rede • Dispositivos não convencionais: • Câmeras digitais, óculos, etc. Aquisição
  19. 19.  Em alguns casos é necessário uma Ordem Judicial para se ter acesso aos dados: ◦ Sistemas de arquivos remotos ◦ Backups em provedores de conteúdo ◦ Servidores corporativos externos ◦ Datacenters internacionais Tratamento de evidências
  20. 20. • Todo o material coletado para análise deve ser detalhadamente relacionado em um documento (Cadeia de Custódia) Identificação – Cadeia de Custódia
  21. 21. • Endereço IP inválido ou suspeito (endereços reservados ou conhecidos de outros ataques) • Portas suspeitas • Tráfego intenso com pacotes incomuns à rede ou que deveriam estar desabilitados • Análise dos pacotes capturados • Reprodução da sessão capturada • Reconstrução de arquivos que foram transferidos durante a sessão capturada (imagens, dados) Coleta – Análise de Tráfego
  22. 22.  A alteração de dados pode ser comparada a alteração da cena de um crime no mundo real.  Impedir alteração da mídia original antes e durante os procedimentos de aquisição  Assinaturas hash são utilizadas para garantir a integridade dos dados coletados Preservação
  23. 23. • Sistemas operacionais forenses • BackTrack • CAINE • DEFT • Forense Digital ToolKit (FDTK) • Helix • Knoppix Linux • PeriBR • Kali • Análise de Rede • tcpdump • Wireshark • xplico Exemplos de ferramentas forenses
  24. 24. Captura e análise de Dump de Redes
  25. 25. Um dump é um conjunto de pacotes que trafegam pela rede. Uma das ferramentas mais comuns para capturar e analisar dumps é o tcpdump. http://www.tcpdump.org/ Dump
  26. 26. Captura de Dump
  27. 27. • A ferramenta chamada tcpdump é um sniffer utilizado em sistemas GNU/Linux. Como todo sniffer, ele é usado para realizar análises de redes e solucionar problemas, seu funcionamento é bem simples, bastando apenas conhecer os conceitos básicos de redes TCP/IP. http://www.vivaolinux.com.br/dica/tcpdump-Monitorando-conexoes/ tcpdump
  28. 28. Para capturar pacotes de uma rede: # tcpdump –v net <IPdaREDE/Bits> –w arquivo.dump • tcpdump = comando que aciona a ferramenta • -v = comando usado para visualizar, o andamento dos pacotes capturados. • net = indica que serão capturados pacotes de toda a rede (ex: 192.168.0.0/24) • -w = comando que indica que os pacotes serão gravados em um arquivo especifico, no exemplo de sintaxe acima, o arquivo foi chamado de arquivo.dump. tcpdump - sintaxe
  29. 29. Para capturar pacotes de um computador especifico: # tcpdump –v host <IP_host> –w arquivo.dump Onde: • tcpdump = comando que aciona a ferramenta • -v = comando usado para visualizar, o andamento dos pacotes capturados. • host = indica que serão capturados pacotes de uma máquina especifica • -w = comando que indica que os pacotes serão gravados em um arquivo especifico, no exemplo de sintaxe acima, o arquivo foi chamado de arquivo.dump. tcpdump - sintaxe
  30. 30. tcpdump - Interface
  31. 31. Análise de Dump
  32. 32. A ferramenta de gerência de rede WireShark não é nada mais que uma ferramenta para o administrador da rede monitorar e controlar os dados transmitidos entre qualquer protocolo de transmissão.http://www.wireshark.org/ Wireshark
  33. 33. Wireshark - interface
  34. 34. • O Xplico é uma Ferramenta de Análise Forense de Rede usado para extrair todos o conteúdo de um dump de redes http://www.xplico.org/ xplico
  35. 35. • Essa ferramenta consegue extrair informações dos protocolos. • Ele roda uma série grande de plugins que podem “decodificar” o tráfego de rede, por exemplo, de um arquivo capturado pcap, o Xplico pode extrair dos protocolos (POP, IMAP, e SMTP), conteúdo HTTP, cada chamada VoIP (SIP) , FTP, TFTP. xplico
  36. 36. Xplico - interface
  37. 37. • Criptografia • Esteganografia Ferramentas antiforenses
  38. 38. • O arquivo de texto videoaula será esteganografado no arquivo de imagem chamado forense.jpg steghide embed -ef videoaula -cf forense.jpg • O arquivo será esteganografado em um novo arquivo chamado importante.jpg steghide embed -ef videoaula -cf forense.jpg -sf importante.jpg • O arquivo forense.jpg terá seu conteúdo extraído no arquivo jeffersoncosta steghide extract -sf forense.jpg -xf jeffersoncosta Esteganografia - Exemplo
  39. 39. • -ef, --embedfile filename: Especifica o nome do arquivo cuja mensagem será incorporada. • -cf, --coverfile filename: Especifica o nome do arquivo que será usado para esconder os dados. • -sf, --stegofile filename: Especifica o nome para o arquivo esteganografado que será criado. • -xf, --extractfile filename: Cria um arquivo com um determinado nome e escreve os dados escondidos nele. Esteganografia - Opções
  40. 40. •Formação Acadêmica •Experiência profissional •Conhecimentos complementares O Profissional do Futuro “CyberSecurity”
  41. 41. Obrigado!

×