segunda-feira, 1 de dezembro de 2014

HP ArcSight Express e EnCase® Cybersecurity: priorização e resposta efetivas contra incidentes de segurança

Por Anthony Di Bello*

Existe uma percepção equivocada e difundida com frequência de que grandes companhias desenvolvem soluções de software que tentam resolver todas as questões de todos os clientes. Nós, da Guidance Software, trabalhamos com alguns dos maiores provedores de tecnologia do mundo, como HP, Blue Coat Systems e IBM, entre outros, para integrar nossa tecnologia de resposta a incidentes, que é líder no mercado, com o que há de melhor em SIEM e soluções de detecção de ameaças.

Isso porque nós e nossos parceiros sabemos que soluções para os desafios modernos da segurança da informação não podem ser fornecidas por um único desenvolvedor. Através do EnCase® Cybersecurity, solução de resposta a incidentes, ajudamos os nosso clientes a preencherem a lacuna entre a detecção e a resposta a incidentes. A ausência de uma solução de resposta a incidentes ou de qualquer grau de automação da resposta (organizações que confiam apenas na intervenção humana) pode acarretar em altos custos para uma companhia – mais de US$ 5,5 milhões por incidente, de acordo com recente pesquisa do Ponemon Institute. 

Rápida detecção de eventos com soluções SIEM 

Para garantir que a resposta a incidentes seja direcionada às ameaças que mais claramente representam perigo aos dados sensíveis, uma solução SIEM precisa ser capaz de coletar e gerenciar dados de centenas de dispositivos pela rede corporativa de forma rápida e efetiva. Quanto mais dados você for capaz de coletar e agregar, mais eficaz é o trabalho das ferramentas de SIEM na detecção de eventos e incidentes antes que eles representem uma brecha real.

Muitos clientes nos perguntam se podem usar tecnologias de busca de TI para coletar logs e agregar dados, já que são abordagens mais baratas e fáceis. Temos ajudado a HP difundir o custo-benefício do  HP ArcSight Express: pelo menos 30 vezes menos caro para executar qualquer caso em qualquer volume, com até 75% de economia quando se trata de instalações maiores.

Calculadora TCO 

A HP desenvolver uma calculadora TCO (Total cost of ownership ou custo total da posse) para ajudar os consumidores que estão querendo implementar as capacidades de agregar, correlacionar e responder eventos e ao mesmo tempo estimar o custo de aquisição baseado em suas necessidades atuais, custo de operação e custos de escalabilidade futura. Essa ferramenta ajuda os consumidores a estimar os custos de análise de segurança de big data por três anos e depois compará-los a soluções que não foram programadas para gerenciar a segurança de dados, tais como soluções de busca de TI. 

Essa economia e eficiência são maiores quando há a integração HP ArcSight e o EnCase Cybersecurity. A combinação das soluções reduz ainda mais falsos positivos, prioriza respostas para as mais críticas áreas de risco e oferece os meios para recuperar remotamente de ameaças zero-day sem ter que limpar ou reconstruir sistemas.

Nossos clientes relatam redução de 90% no tempo para remediar brechas com o EnCase Cybersecurity, e taxas de 388% de ROI após três anos, segundo o estudo Total Economic Impact conduzido pelo Forrester Research.

Você pode saber mais sobre a solução de SIEM e gerenciamento de logs da HP ArcSight aqui. Para aprender mais sobre como o EnCase Cybersecurity pode reduzir dramaticamente o tempo de resposta, visite essa página.

Comentários? Dúvidas? Como integrar as soluções SIEM com as melhores ferramentas? Escreva para a gente.

* Anthony di Bello é diretor de parcerias estratégicas da Guidance Software. Escreve no blog EndPoint Intelligence. Leia texto original. 

quarta-feira, 12 de novembro de 2014

Busca de evidências em iOS com o IEF e o UFED Cellebrite

A TechBiz publica o terceiro e último post do blog da Magnet Forensics sobre o uso em conjunto do IEF (Internet Evidence Finder) e da tecnologia UFED Cellebrite para se obter mais evidências em investigações forenses de dispositivos móveis. No post anterior, o consultor forense Jamie McQuaid explicou como encontrar mais evidências em dispositivos Android utilizando o IEF e o Cellebrite. Hoje, ele fará o mesmo com o sistema operacional iOS.


"Os investigadores forense devem estar preparados para adquirir imagens de uma ampla gama de dispositivos móveis; depois, analisá-los para encontrar tanto dados nativos quanto dados de aplicativos de terceiros. Quanto mais eficiente for o seu fluxo de trabalho e o conjunto de ferramentas em cada momento da investigação, mais chances você terá de encontrar evidências. Nós o desafiamos a usar a ferramenta forense de aquisição da sua escolha (como o UFED, da Cellebrite) juntamente com o IEF e ver o que consegue", escreve Jamie McQuaid.


 Aqui está o fluxo de trabalho recomendado por McQuaid:



Tendo isso em mente, o consultor apresenta o passo a passo sobre como usar as duas tecnologias (IEF e Cellebrite) para adquirir e analisar dispositivos iOS, incluindo aquisições físicas e lógicas.

Aquisição física 

A tecnologia Cellebrite é capaz de realizar a aquisição física em iPhone 4 ou em modelos mais antigos utilizando o software Physical Analyzer, instalado na máquina examinadora. Para iniciar o processo de aquisição, abra o software e selecione “iOS Device Extraction” dentro da pasta “Extract”.



Um tutorial será iniciado, conduzindo-o aos passos da aquisição. Siga as instruções detalhadas na tela para o modo de recuperação. Carregue o bootloader customizado e inicie a extração.



Uma vez que tudo esteja carregado e preparado, a extração física irá começar.


Quando a extração estiver completa, você receberá um arquivo .ufd contendo detalhes sobre o equipamento e os resultados da busca. Em vez de usar uma variedade de arquivos .bin fragmentados como os da extração física em Android, a Cellebrite cria um arquivo grande .img para dispositivos iOS que pode ser carregado para a análise posterior do IEF.



Aquisição lógica 

Similar à aquisição em Android, a tecnologia Cellebrite possui opções lógicas para extrações de sistemas de arquivo (copiar um file system inteiro) e para file dumps (copiar apenas os dados relevantes dos usuários, tais como logs de ligações, contatos de SMS, fotos etc.). Como mencionado anteriormente, a aquisição lógica é a única opção para se obter uma imagem de um dispositivo iPhone 4s ou um mais recente. Como na aquisição lógica em Android, o UFED da Cellebrite carrega um software no dispositivo móvel para baixar os dados requisitados.

Para uma extração de arquivos de sistema, todos os dados lógicos são baixados do dispositivo iOS pelo UFED e apresentados em vários formatos como especificado abaixo.  Neste exemplo, fiz uma imagem lógica de um iPhone 5. Todo o conteúdo foi armazenado em arquivos zip e dependendo do tamanho da aquisição, você pode notar vários outros arquivos zip terminados em z01, z02, etc. Esses arquivos são fragmentados em pedaços de 2GB para suportar limitações de tamanhos de arquivos em certos sistemas de arquivos tais como FAT32. Você também irá encontrar um arquivo .ufd, , criado pela Cellebrite, que contém detalhes da aquisição.


Quando faz um dump de arquivo de um dispositivo iOS, o UFED recupera dados pertencentes a SMS, logs de ligação, imagens etc. Os resultados também incluem todos os dados de backup, bem como vários relatórios html que detalham os resultados dos arquivos recuperados. Na imagem abaixo estão os resultados obtidos a partir de um dump de arquivos realizado no mesmo iPhone 5 em que fiz a extração de sistema de arquivos.



Neste momento, podemos pegar as nossas imagens (no formato que quisermos) e colocá-las no IEF para a análise e a recuperação detalhada.

Análise do iOS com o IEF 

Para iniciar sua análise, carregue a recém-criada imagem gerada pelo UFED da Cellebrite no IEF. Se você gerou um dump físico, você deverá usar um arquivo .img durante a aquisição física. Se você criou uma imagem lógica, adicione primeiramente o arquivo zip da extração do sistema de arquivo ou carregue os arquivos relevantes do dump de arquivos que você deseja examinar.


Com o IEF aberto, selecione “Mobile” e escolha “iOS” como o sistema operacional. Para extrações físicas ou de sistemas de arquivo, selecione “Image” como a sua fonte. Isso permitirá que você selecione tanto os arquivos .img de uma aquisição física ou os arquivos .zip de uma extração de sistema de arquivo. Para um dump de arquivo, você deverá escolher “File Dump” e selecionar as pastas relevantes. Depois que sua imagem for carregada, você pode identificar quais artefatos você deseja procurar em um iOS e colocar quaisquer detalhes do caso que achar necessários. Finalmente, você pode selecionar o botão “Find Evidence” no IEF e iniciar sua pesquisa.


Quando a sua pesquisa estiver completa, você poderá analisar os seus dados como em qualquer outra investigação com o IEF. Os artefatos serão extraídos e categorizados pelo investigador e todos os detalhes serão classificados em colunas para fácil análise e organização.

Em caso de dúvidas ou comentários:
jamie.mcquaid@magnetforensics.com.

Leia também: "IEF supre o desafio da busca por evidências da web"

segunda-feira, 3 de novembro de 2014

Como usar o IEF e o Cellebrite para encontrar mais evidências em dispositivos Android

A TechBiz Forense Digital publica hoje o segundo post do consultor forense Jamie McQuaid, da Magnet Forensics, sobre como o IEF e a tecnologia Cellebrite podem juntas oferecer mais evidências nas investigações forenses de aparelhos móveis.

No primeiro post, McQuaid falou sobre a necessidade da comunidade forense em encontrar mais evidências na análise de dispositivos móveis, especialmente em aplicativos de terceiros e como a Magnet Forensics supriu essa demanda. Os investigadores mostravam-se satisfeitos com o processo de aquisição das evidências por ferramentas como o UFED, mas queriam saber como ir além na investigação de aplicativos de terceiros. Aqui está o workflow recomendado:



Tendo isso em mente, o consultor apresenta agora um passo a passo sobre como usar o IEF e a tecnologia Cellebrite juntos para adquirir e analisar dispositivos Android, incluindo aquisições físicas, arquivos de sistema e rápidos dumps de arquivos.

Aquisição física

Para demonstrar o processo de aquisição física, escolhi coletar fisicamente dados de um Samsung Galaxy S Relay 4G com o Cellebrite UFED (veja imagem abaixo).



Quando o UFED realiza uma aquisição física, todos os dados disponíveis no dispositivo móvel suspeito são copiados, incluindo todas as partições e espaços não alocados. Para iniciar o processo de aquisição, conecte o aparelho ao dispositivo UFED e selecione o modelo de aparelho a ser analisado. O sistema Cellebrite o conduzirá a uma série de opções, incluindo a definição de um local-alvo para armazenar os dados recuperados.

Quando todas as opções forem selecionadas, o UFED começará a puxar os dados do dispositivo. As imagens do telefone são armazenadas como dados brutos em arquivos .bin fragmentados, juntamente com arquivos contendo detalhes do caso com a extensão .ufd.

Aquisição lógica 

A aquisição lógica em dispositivos Android deve ser escolhida quando não for possível realizar uma aquisição física ou essa não for requisitada. Com o Cellebrite UFED, você poderá escolher “Extract Phone Data” (extrair dados de telefone) ou “File System Extraction” (extração de arquivos de sistema), caso você queira ou não recuperar apenas os arquivos de usuário ou o todo o file system. 

Semelhante ao processo de aquisição física, é preciso selecionar o modelo de telefone e a saída alvo no UFED. Para um dump de arquivo, você precisa selecionar quais itens gostaria de copiar (logs de ligações, SMS, calendário, contatos, etc.) e a Cellebrite fará então o upload do software para o dispositivo, permitindo baixar esses dados como backup. Para demonstrar uma aquisição lógica, escolhi o HTC One e fiz o dump dos dados em um pen drive. Uma vez que o processo esteja completo, o investigador recebe uma pasta contendo os dados abaixo.



Para a aquisição de arquivos de sistema, você receberá um arquivo .ufd e um arquivo zip com o conteúdo do dispositivo.



Aquisição lógica e dumps de arquivos retornam uma boa quantidade de arquivos para o investigador; no entanto, a aquisição física é sempre mais recomendada para maximizar a recuperação de qualquer dado potencial deletado e que se encontra em um espaço não alocado. Uma aquisição física, no entanto, é sempre recomendada para maximizar a recuperação de qualquer dado potencial deletado e armazenado em espaço não alocado.

A análise com o IEF

Uma vez que os dados foram adquiridos com o UFED, é possível carregá-los para o IEF e iniciar a análise. Esse processo se diferencia um pouco, dependendo do tipo da imagem adquirida (física, file system ou dump). Em caso de uma extração física, abra o IEF e selecione “Mobile.” Depois escolha o sistema operacional relacionado à sua captura (em nosso exemplo, selecionaríamos Android”) e clique em “Image”.



Para a aquisição física, você encontrará uma pasta com uma quantidade de arquivos .bin e .ufd (como mencionado anteriormente). Os arquivos .ufd são usados pelo software da Cellebrite para carregar detalhes e imagens do caso. Para fazer a análise com o IEF, você precisará acessar os arquivos .bin. Se os arquivos estiverem fragmentados devido ao seu tamanho, selecione o primeiro deles e o IEF automaticamente carregará os arquivos bin adicionais.




Se você está realizando aquisições de arquivos de sistema, você precisará localizar e selecionar os arquivos zip que foram criados pelo Cellebrite. O IEF irá extrair depois esse arquivo e automaticamente pesquisará pelo conteúdo recuperado.

Finalmente, se você escolher extrair dados do telefone como um dump de arquivo você terá que escolher “File Dump” em vez de “Image” ao completar as opções de setup, depois navegar até a pasta contendo os dados que foram extraídos por dump.


Assim que a imagem desejada for carregada é possível fazer a análise como qualquer outro exame com o IEF. Tenha certeza de que todos os artefatos que você deseja pesquisar incluem quaisquer detalhes do caso relevantes à sua investigação. O IEF rodará essa pesquisa e carregará os resultados no IEF Report Viewer para a análise.

Pelo Report Viewer, os resultados serão ordenados e categorizados para o investigador. Além de recuperar dados de aplicativos nativos, o IEF também puxará artefatos de aplicativos terceiros instalados no dispositivo.



Encontre mais evidências de dispositivos móveis com IEF e Cellebrite UFED 

Investigadores forense precisam estar preparados para adquirir imagens de uma ampla gama de dispositivos móveis; depois analisá-los para encontrar tanto os dados de aplicativos nativos quanto de terceiros. Quanto mais efetivo for o seu workflow e suas ferramentas, mais chances terá de encontrar evidências móveis.

Nós o desafiamos a usar a ferramenta de aquisição da sua escolha (como o UFED) combinada com o IEF e ver o que consegue obter!

Quaisquer dúvidas, comentários ou sugestões jamie. mcquaid@magnetforensics.com.

Jamie McQuaid é consultor forense da Magnet Forensics

quarta-feira, 29 de outubro de 2014

Workflow aprimorado para análise de dispositivos móveis

O blog da Magnet Forensics está publicando uma série de posts sobre a utilização do IEF (Internet Evidence Finder) e da tecnologia da Cellebrite para se obter mais evidências de dispositivos móveis em investigações de forense digital. A TechBiz Forense Digital fará, ao longo das próximas semanas, uma livre tradução desse conteúdo produzido pelo consultor forense da Magnet Forensics Jamie McQuaid. Aí vai o primeiro post. Boa leitura!

Encontrar e analisar evidências oriundas de dispositivos móveis é provavelmente uma das mais importantes habilidades que os examinadores forenses podem possuir na atualidade. Celulares, tablets e derivados estão enraizados em nossas vidas pessoais e profissionais; nos colocam em contato com o mundo exterior e é o modo primário com que nos conectamos com nossas redes de contato. Trocamos e-mails com colegas, batemos papo com amigos, navegamos na internet e realizamos transações bancárias cotidianas com os aplicativos de telefones e tablets. Consequentemente, dispositivos móveis (e os aplicativos neles contidos) transformaram-se em minas de ouro para a análise forense – muitas vezes mais importantes do que as máquinas pessoais e profissionais de um suspeito.

Quando se trata das ferramentas para dispositivos móveis, soluções da Cellebrite são capazes de processar a maioria dos casos. A Cellebrite é especialmente boa em aquisição do conteúdo proveniente de uma impressionante gama de modelos de aparelhos móveis. Mas, como o investigador pode encontrar evidências de aplicativos importantes de terceiros que estão nesses aparelhos?

Um fluxo de trabalho forense aprimorado 

Na primavera de 2012, ouvimos rumores de comunidades forenses de que era difícil recuperar evidências de uma série de aplicativos de terceiros em dispositivos iOS e Android. As ferramentas que estavam à época no mercado faziam um ótimo trabalho de coleta de uma grande variedade de dispositivos, mas a capacidade de analisar essas imagens e de abranger importantes artefatos se perdia. Foi quando nós, da Cognitech, decidimos adicionar um módulo para dispositivos móveis em nosso software de forense digital, o Internet Evidence Finder. Esse módulo permitiria ao investigador fazer uma busca  por centenas de aplicativos na imagem de dispositivo móvel gerada pelas tecnologias de extração.

Logo após o lançamento, o retorno dos clientes começou a aparecer. A nova capacidade do IEF alterou o fluxo de trabalho em investigações forenses de aparelhos móveis e permitiu aos clientes encontrar ainda mais evidências.  Veja como eles estão fazendo as investigações envolvendo aparelhos móveis.  

Passo 1: Capturam uma imagem com o Cellebrite UFED (ou outra ferramenta de coleta) 
Passo 2: rodam o IEF sobre essa imagem – nossa busca automatizada procurará por mais de 165 tipos de artefatos para dispositivos móveis.

 *Se você é capaz de fazer uma aquisição física, lógica ou dump de arquivo, o IEF suportará saídas do UFED para muitos dispositivos diferentes, incluindo dispositivos iOS e Android.

Passo 3: Iniciar a análise com o visualizador IEF Report, onde é possível analisar os resultados da pesquisa, que são organizados por categoria e contêm todos os campos importantes do artefato.

Passo 4: exportar os relatórios de forma a compartilhar insights preliminares, ou inclui-los em nosso relatório forense final sobre o que foi encontrado na investigação.

Para recapitular, aqui está um workflow visual:



Por que você deveria adicionar o IEF ao seu workflow de investigação de dispositivos móveis? 

Algumas pessoas podem questionar porque devem incorporar IEF em sua análise de evidências oriundas de dispositivos móveis após o estágio de aquisição, já que a tecnologia Cellebrite também obtém dados de aplicativos de terceiros. A resposta: cada ferramenta retorna resultados diferentes e são especializadas em diferentes áreas (como é o caso de todas as ferramentas de seu kit). A tecnologia Cellebrite é o que há de melhor para aquisição de imagens de dispositivos móveis de uma ampla variedade de dispositivos, enquanto o IEF oferece um retorno da maioria das evidências oriundas de aplicativos de terceiros utilizados nos aparelhos móveis.

Veja o feedback de alguns clientes:

“Já utilizamos ferramentas forenses para análise de dispositivos móveis, mas elas não recuperam apps baseados em internet, como o BBM. Eu, recentemente, investiguei um Samsung S4 mini, que não apresentava BBMs; mas com o IEF, consegui recuperar quase 7.000 mensagens que desvendaram o caso.” 

“Geralmente, o UFED Physical Analyzer realiza um bom trabalho de análise dos chips, mas ele não obtém os vídeos. O IEF é capaz de pegar um vídeo e realiza um melhor trabalho com os artefatos web, especialmente com o Kik Messenger.” 

A verdade é que você precisa ver para acreditar. Nós o desafiamos a utilizar a ferramenta de aquisição forense da sua escolha (como o UFED da Cellebrite) com o IEF para ver o que consegue fazer! No próximo post, mostrarei como usar exatamente o IEF e o Cellebrite para adquirir e analisar dispositivos Android para obter mais evidências digitais, depois iremos para o iOS.

Quaisquer dúvidas e sugestões: jamie.mcquaid@magnetforensics.com.

Jamie McQuaid é consultor forense da Magnet Forensics, parceira da TechBiz Forense Digital. 

quarta-feira, 1 de outubro de 2014

Como detectar o Bash ShellShock com o RSA Security Analytics?


Por Luiz Henrique Borges*
O que é o Bash ShellShock? 
O Bash ShellShock é uma grave vulnerabilidade encontrada no Bash, principal interpretador de comandos dos sistemas operacionais do tipo Unix-like. A vulnerabilidade explora a forma como o Bash processa as variáveis de ambiente, permitindo que códigos maliciosos sejam executados remotamente.

Como verificar se estou vulnerável? 
Execute o comando: curl https://shellshocker.net/shellshock_test.sh | bash












segunda-feira, 22 de setembro de 2014

A importância da coleta e monitoração de logs


Renato Maia*

Em relatório recente, o renomado Gartner fez a previsão: “em 2020, prevenção será inútil”. E emendou a orientação para planejamento estratégico: “60% do orçamento das áreas de segurança da informação será destinado à detecção e às respostas rápidas, saindo dos 10% dedicados atualmente”. Estas declarações embasam a visão que motivou a criação da TechBiz Forense Digital, quase 10 anos antes, em 2004: o reconhecimento de que existe uma desproporcional alocação dos recursos – financeiros, humanos, tecnológicos – na tentativa de evitar o “incidente de segurança”,  e quase nenhuma capacidade de reagir e respondê-los, quando  ocorrem.

Os recentes casos de invasões e roubos de dados que ganharam destaque na imprensa mundial – da rede varejista Target, das lojas de departamento de luxo Neiman Marcus, da cadeia de restaurantes PF Chang e mesmo, mais recentemente, da rede Home Depot – têm um elemento comum que salta aos olhos: o longo período – de semanas ou meses – entre a ação inicial dos criminosos e o efetivo vazamento dos dados. 

O desenvolvimento de capacidades organizacionais focadas na área de detecção, reação e resposta, mesmo em estágios iniciais, potencialmente poderiam ter impedido o roubo dos dados de clientes, ainda que não impedissem o comprometimento inicial. A cegueira profunda causada pela ilusão da prevenção total potencializa os danos causados pelos inevitáveis incidentes. Reconhecer esta verdade – que incidentes de segurança são inevitáveis – é o primeiro passo da reabilitação organizacional.

Acreditamos que a capacidade de detectar e reagir rapidamente envolve processos, procedimentos e tecnologias que permitam coletar e analisar rapidamente os dados digitais, nos seus diversos “estados” de existência:

Dado “em descanso”: quando armazenados em mídias digitais como HDs, SSDs, cartões de memória.
Dado “em movimento”: quando em transito, transmitidos por redes de computadores e enlaces de telecomunicações.
Dado “em uso”: quando em processamento, normalmente em memórias voláteis.

O ponto de partida para esta coleta e análise envolve, normalmente, a coleta e monitoração constante de arquivos de logs gerados pelos elementos que compõem esta infraestrutura digital. Este “inconsciente digital”, gerado constantemente quando servidores, softwares, e roteadores “falam” sobre si próprios, precisa ser coletado, armazenado de forma centralizada, monitorado, analisado e correlacionado de maneira integrada. Desenvolver esta capacidade significa percorrer uma escala de maturidades em Gerenciamento de Logs que culmina com o Gerenciamento Integrado de Eventos de Segurança.

 Figura 1 - Maturidade em Gerenciamento de Logs



No dia 3 de outubro, a TechBiz Forense Digital e a HP realizam uma manhã de treinamento prático da ferramenta ArcSight. O objetivo do nosso evento é, através de breves apresentações conceituais complementadas com cenários “hands on”, apresentar a plataforma HP de gerenciamento de Logs (HP Logger) e gerenciamento de eventos de segurança da informação (HP ArcSight), destacando como ela pode ser posicionada como o núcleo fundamental para o desenvolvimento da capacidade de sua organização detectar e reagir com rapidez.

Hands on HP ArcSight

Na sede da TechBiz, em Belo Horizonte
Inscrições: forensedigital@techbiz.com.br
Informações: (31) 3211-8100, com Antônio Eustáquio

Agenda: 

9:00 – 9:20: Café da manhã e abertura
9:20 – 9:50: APT – Ameaças Persistentes e Avançadas – Um estudo de Caso, com Renato Maia, diretor técnico da TechBiz
9:50 – 11:00: Cenários práticos, com uso das ferramentas de:

  • Gerenciamento centralizado de logs 
  • Casos de uso SIEM 
  • Correlações e integrações avançadas 
  • Conformidade com regulamentações


Perguntas relevantes: 

  • Sua organização possui uma política clara e definida de coleta, retenção e análise de logs? 
  • Os logs de seus servidores, sistemas, roteadores, ativos de segurança são coletados e armazenados em local centralizado e seguro? 
  • Sua equipe de TI/Segurança consegue, com facilidade e rapidez, pesquisar em quais servidores um determinado evento foi registrado em um determinado período no passado? 
  • Já se deparou com cenários que demandavam cruzar (ou correlacionar) logs de sistemas aparentemente independentes para se obter dado relevante? 
  • Possui diversas soluções preventivas mas não consegue ter uma visão integrada das informações fornecidas por cada uma?
* Renato Maia é diretor técnico do Grupo TechBiz

segunda-feira, 4 de agosto de 2014

“No man is an island”

TechBiz lança a campanha: Nenhum perito é uma ilha

Por Renato Maia*


Queremos estimular a revisão de processos, procedimentos e tecnologias em uso para incorporar definitivamente fluxos de trabalhos colaborativos


“No man is an island”, já dizia o poeta, destacando a importância das conexões sociais e, por que não, da nossa capacidade de, ao colaborar, alcançar resultados muito superiores que a soma das partes individuais. A área de perícia digital entretanto vive - teorizo baseado em minha experiência pessoal -, uma crise de desconexão. Em organizações ligadas a Secretarias de Segurança Pública me parece que a desconexão tem razões históricas e simbólicas, associadas à independência funcional do Perito. Outro aspecto importante para explicar o atual estado é, “mea culpa” incluso, potenciais limitações tecnológicas.

A busca por softwares, hardwares e infraestrutura de apoio quase sempre seguia um caso de uso clássico e desconectado: dados digitais nos mais variados formatos e “containers” são apreendidos, duplicados de maneira válida, pré-processados, analisados por um expert ou perito que, finalmente, gera um relatório e, tipicamente, exporta partes dos dados para devolução à área demandante. Repete-se, isoladamente e independentemente, este padrão, mesmo que envolva múltiplos casos e/ou mais de um expert/perito. Em alguns casos, questionamentos adicionais feitos pela área demandante geram uma repetição do processo de maneira independente da primeira análise. Quase como se fosse um novo caso. Entre envio de laudos, dados, relatórios e novas solicitações e demandas, existe uma enorme lacuna. De tempo, eficiência, comunicação... Um sério problema e ao mesmo tempo uma enorme oportunidade de ganhos de produtividade e qualidade.

Passou da hora de alterarmos este quadro, acabar com este paradoxo irônico: passamos as últimas décadas – a área macro de Tecnologia da Informação – informatizando as mais diversas áreas, “vendendo o peixe” da colaboração através de sistemas interconectados e operacionalizamos as perícias, auditorias e investigações destes mesmos sistemas em ilhas, ignorando os enormes ganhos de produtividade potenciais.

Oficializamos esta urgente necessidade com uma campanha “Nenhum Perito é uma Ilha” cujo foco é estimular a revisão de processos, procedimentos e tecnologias em uso para incorporar definitivamente fluxos de trabalhos colaborativos. Temos convicção de que esta mudança de paradigma será essencial para continuarmos produtivos nesta nova era em que Perícia/Forense/Investigações Digitais se fundem com Big Data.

* Renato Maia é sócio-fundador e diretor técnico do Grupo TechBiz

terça-feira, 1 de julho de 2014

CEO na linha de frente contra os ciberataques

Artigo da McKinsey&Company mostra a importância do envolvimento dos executivos seniores na questão da defesa cibernética; cedo ou tarde, as consequências das ameaças digitais podem chegar ao alto escalão 

O alto escalão executivo de grandes companhias está diretamente relacionado aos incidentes de segurança, especialmente os que ganham os holofotes da mídia. “Cibersegurança é uma questão para o CEO (Chief Executive Officer)”, afirmou a McKinsey&Company em artigo recente dos consultores Tucker Bailey, James Kaplan e Chris Rezek. Para o bem e para o mal. E os exemplos estão aí.

Cinco meses após a sofisticada operação de hackers que vitimou 110 milhões de clientes da Target, o presidente da gigante do varejo, Greegg Steinhafel foi demitido. Antes dele, a CIO Beth Jacob havia assinado a sua renúncia ao cargo. “Ser vítima de um crime digital que afeta clientes nestas proporções é análogo a ser uma petrolífera e ter um navio vazando petróleo no mar”, compara o diretor de tecnologia da TechBiz Forense Digital, Renato Maia.

 Mas, a máxima do envolvimento do CEO ainda não faz parte da realidade de grandes corporações. O engajamento dos gerentes seniores varia dramaticamente de empresa para empresa, segundo pesquisa realizada pela McKinsey&Company (Risk and Responsibility in a Hyperconnected World). “Em algumas companhias, o CISO (Chief Information Security Officer) reúne-se como o CEO em intervalo de poucas semanas. Já em outras, o CISO nunca encontrou o CEO. Na verdade, o CISO reporta-se ao CTO (Chief Technology Officer), que por sua vez dirige-se ao CIO (Chief Information Officer), que depois reporta-se ao CFO (Chief Financial Officer)”, escreveram Bailey, Kaplan e Rezek.

Segundo o artigo, as companhias devem realizar progressos rápidos em direção à ‘ciberresiliência’ e somente a sustentação e o suporte dos principais executivos podem vencer os obstáculos estruturais e organizacionais que impedem a implementação eficaz de modelos de cibersegurança direcionados ao negócio e orientados ao gerenciamento de riscos. “Sabemos que esse processo é possível – em algumas companhias ele já está em andamento. Mas, deve ser adotado em larga escala caso as empresas queiram proteger os seus bens críticos e ao mesmo tempo inovar e crescer”, diz o documento.

O caminho, segundo a McKinsey 


No estudo da McKinsey&Company, foram entrevistados executivos de mais de 200 instituições, e 60 das 500 maiores companhias mundiais foram eleitas para uma análise profunda de suas práticas de gerenciamento de riscos de cibersegurança. O tempo e atenção dedicados pelos gerentes seniores foram considerados os únicos grandes indicadores de maturidade no gerenciamento dos riscos de cibersegurança – mais importantes do que o tamanho da companhia, o setor e os recursos por elas oferecidos.

Entre aquelas empresas que estão tendo progresso no desenvolvimento da chamada “resiliência cibernética”, a McKinsey identificou quatro ações em comum praticadas pelos gestores seniores: 

Engajamento ativo na tomada de decisões estratégicas. 

Como em outros tipos de risco aos negócios, CEOs e os demais membros do time sênior de gestores aliam-se aos gerentes de cibersegurança e conscientizam os demais colaboradores sobre os riscos de perda de propriedade intelectual, exposição de dados dos clientes e interrupção das operações da empresa. Realizam negociações específicas que envolvem redução de riscos e impacto operacional. 

Cibersegurança na pauta de todas as áreas da empresas. 

Gestores seniores de companhias líderes asseguram-se que gerentes de negócios levam em considerações a cibersegurança em decisões sobre produtos, clientes e localização. E que líderes funcionais responsabilizam-se em endereçar considerações sobre cibersegurança para as áreas de Recursos humanos e Aquisições. Além disso, garantem a divulgação das prioridades em cibersegurança na agenda de relacionamentos públicos da empresa.

Mudanças no comportamento dos usuários. 

Dado o amplo relacionamento dos gerentes seniores com dados sensíveis, eles possuem a chance de alterar e modelar o próprio comportamento para o próximo nível de gerentes. Isso pode começar com passos simples, como tornar-se mais sensato no encaminhamento de documentos do e-mail corporativo para o e-mail pessoal. Além disso, gestores seniores podem e devem alertar e reforçar políticas de proteção dos dados críticos aos empregados de linha de frente.

Garantia da governança efetiva e da produção de relatórios. 

Gerentes seniores precisam ter certeza que as políticas e controles fazem sentido do ponto de vista dos negócios. Se assim for, é importante respaldar o time de cibersegurança e ajuda-lo com reforços. Além disso, o gerente sênior precisa colocar em prática relatos efetivos e granulares sobre como a companhia está se desenvolvendo em marcos específicos de seu programa de cibersegurança.

segunda-feira, 9 de junho de 2014

Ajuste de foco

Renato Maia*


Independentemente dos aparatos de segurança, APTs são complexas, direcionadas. Por trás dessas ameaças estão  profissionais engajados e, em muitos casos, financiados por nações. ¨Se os chineses são APT1, a NSA, segundo as revelações de Snowden, merece o posto de APT0¨. 


APT, Ameaça Persistente e Avançada, é o acrônimo da moda na área de segurança da informação. Usado e abusado pelo marketing de fornecedores da área, teve sua origem e valor ofuscados no processo. Na essência, APT representa uma nova categoria de ameaças aos sistemas digitais de empresas e governos e tem valor ao nos permitir visualizá-la, em contraste às tradicionais ameaças “comoditizadas” do passado recente.

Afinal, não é possível enquadrar o infame vírus ILOVEYOU, que infectou milhares de computadores pessoais Windows no ano 2000, com o avançado Stuxnet, o software malicioso descoberto em 2010 e parte fundamental de uma complexa operação com objetivo de atrasar o programa nuclear iraniano. ILOVEYOU era superficial, trivial, porém abrangente, de massa. Stuxnet, profundo e complexo, tinha apenas um único alvo de interesse: sistemas de controles usados em Usinas Nucleares do Irã.

Por trás de uma APT existem atores motivados, profissionais, engajados e, em muitos casos, financiados por nações. Um interessante relatório divulgado em 2013, pela empresa norte-americana Mandiant, intitulado APT1 – Exposing One of China Cyber Espionage Unit – é um marco para o termo. Nele a empresa “aponta o dedo”, responsabilizando uma divisão do exército chinês como a responsável direta por ataques e intrusões cibernéticas a pelo menos 141 empresas e organizações Ocidentais, com roubo de 6,5 Terabytes de informações em um período de 7 anos.

Diversos elementos são apresentados como sustentação da acusação, incluindo modo de operação similar, recursos utilizados, origem dos ataques e, até mesmo, uma forte correlação entre os setores econômicos das empresas vítimas e a lista de setores estratégicos ao crescimento chinês, destacados no 12º Plano Quinquenal deste país.

Mais recentemente, em maio de 2014, um júri nos EUA condenou cinco militares chineses por crimes digitais contra várias empresas ocidentais como Alcoa, US Steel, SolarWorld e Westinghouse, para citar algumas vítimas. Os militares aparecem hoje na lista de “Procurados” por crimes digitais do FBI e o episódio tem causado constrangimentos e preocupações diplomáticas.

 “Getting the ungettable” 

Quem é da área sabe que em TI contamos sempre a partir do zero, não do um. Lembrando disto, achei curioso a Mandiant atribuir aos chineses, em fevereiro de 2013, o termo APT 1. Alguns meses depois, em Junho de 2013, Edward Snowden veio a público revelar o enorme aparato de monitoramento e espionagem online do governo norte-americano via NSA. Claramente demonstrando ao mundo que, se os chineses são APT1, a NSA merece o justo posto de APT0.

Chamou atenção, em especial, o catálogo de serviços do TAO – o grupo de acesso sob-medida – da NSA. Parece filme do 007. O slogan do grupo é “getting the ungettable” e, uma breve análise das tecnologias à disposição no catálogo torna impossível achá-lo exagerado. “DeityBounce”, por exemplo, é o nome de um “implante” de software para servidores Dell PowerEdge – linha extremamente comum e possivelmente presente em enorme percentual de Data Centers mundo afora. Uma vez implantado, sobrevive até a atualização de BIOS do servidor. Periodicamente, busca instruções em um centro de comando online, secretamente.


Junto com o lançamento do livro “No Place to Hide”, do jornalista Glenn Greenwald que recebeu em primeira mão os documentos do Snowden, alguns novos arquivos foram liberados. Um deles mostra fotos de uma operação denominada “Supply Chain Interdition” – interdição na cadeia de suprimentos. Na foto, operadores da NSA abrem caixas de equipamentos de TI novos, em trânsito para serem entregues aos seus novos donos, realizando os “implantes” necessários. Um espanto.

Como disse um colega, CSO de uma grande empresa: “...vontade de desistir”. Na era pré-APT, segurança da informação era um conceito relativo. Quando o seu carro é o único com alarme em uma rua pouco iluminada, as chances de você ter o som roubado são muito pequenas. Efeito similar existia no mundo digital. Se as medidas preventivas de uma grande empresa industrial eram superiores à média do seu setor, sua probabilidade de virar vítima de um ataque digital externo era baixa. Pós-APT, não mais. Sua empresa pode ser o alvo escolhido de determinado adversário. Neste caso, não importa se sua grama é mais verde que a do vizinho. O adversário te escolheu, e persistirá, alterando técnicas e táticas até obter sucesso. Evidente que, neste novo cenário, as estratégias de defesa e resposta precisam mudar.





* Renato Maia é sócio-fundador e diretor técnico do Grupo TechBiz

terça-feira, 3 de junho de 2014

Não se pode controlar aquilo que não se vê


"Dados! Dados! Preciso de dados! Não posso fazer tijolos sem barro!", Sherlock Holmes
Luiz Henrique Borges

 "É um erro capital teorizar antes de ter os dados", Sherlock Holmes

 Em suma, um detetive só é bom se tiver dados para realizar uma investigação. Efetivamente, essa máxima vale para segurança da informação. Só temos sucesso na mitigação de riscos ou na investigação de incidentes se tivermos dados. De forma prática, em um processo de investigação procuramos responder ao que chamamos de five Ws – “Who, What, Why, Where, and When” – Quem, O quê, Por quê, Onde e Quando. Portanto, é extremamente importante a utilização de soluções que nos permitam capturar, armazenar e analisar as informações quando necessário.

Dentro da linha de produtos disponíveis no mercado, vamos destacar hoje o SIEM. Do inglês SIEM deriva de Security Information and Event Management, uma solução que permite que os eventos gerados por diversos ativos sejam coletados, normalizados, armazenados e correlacionados.



SIM e SEM de forma separada
SIM - Security Information Management:

Coleta de log, arquivamento, forense e relatório do passado
SEM – Security Event Management:

Coleta de log, normalização, correlação, agregação e relatório em tempo real


SIM + SEM = SIEM
Coleta de log
Normalização
Correlação
Agregação
Relatório


Soluções de SIEM são implementadas para entregar avaliação automatizada de riscos, mitigação de ameaças, detecção de fraudes, monitoramento de conteúdos, aplicações e atividades, conformidade, integração com ferramentas de gestão de negócios y otras cositas más. Porém, antes de implementar uma solução desta em seu ambiente corporativo, é preciso ter em mente que alguns pré-requisitos básicos devem ser respeitados para um melhor aproveitamento do produto.

Certifique-se de que todos os ativos são capazes de gerar mensagens de logs

  • Envie os logs através de um túnel criptografado para evitar que informações sensíveis sejam lidas por pessoas não autorizadas
  • Programe formas de controle de acesso, principalmente para evitar ataques de negação de serviço( DoS – denial of service)
  • Sincronize a data e hora de todos os ativos através de um servidor de hora confiável
  • Programe políticas de armazenamento dos logs como, tempo de retenção, compactação e encriptação
  • Trate as exceções


Outro ponto importante é saber quais informações são realmente relevantes e devem ser mantidas em foco. Você não deve simplesmente enviar todos os logs de um ativo. Sendo assim, seguem algumas sugestões do que é crítico e deve ser olhado:

  • Autorização e autenticação
  • Alteração em sistemas e dados críticos
  • Atividades de rede suspeitas
  • Acesso a recursos importantes
  • Atividades de malware
  • Falhas ou erros críticos


Lembre-se: O excesso de logs pode trazer problemas de performance aos ativos, aumentar a carga de rede e tornar difícil a extração de informações.

Finalmente, de nada adianta toda essa parafernália tecnológica se não tivermos processos desenhados e pessoas treinadas para tratar de forma adequada os incidentes. Como exemplo, podemos citar o caso Target em que diversas ferramentas detectaram atividades suspeitas que foram completamente ignoradas pelas equipes de segurança.

 *Luiz Henrique Borges é consultor forense na TechBiz Forense Digital. Especialista na solução RSA Security Analytics, possui as seguintes certificações: RSA Certified SE Professional in Security Analytics, CompTIA Security+, RHCE, RHCSA, LPIC-1, NCLA e NDTS.

quarta-feira, 21 de maio de 2014

Heartbleed, o novo bug do milênio?

Assim como o pânico do Bug do Milênio, o Heartbleed parece não ter feito o estrago anunciado. Essa é a conclusão do artigo publicado pela revista The Economist sobre a “maior brecha de segurança da história”. A vulnerabilidade no software de criptografia OpenSSL, usado para proteger dados enviados pela internet, havia sido descoberta – e secretamente explorada – por hackers anônimos antes que os especialistas em segurança se deparassem com esse erro de codificação e prontamente o corrigissem. Felizmente, a vulnerabilidade Heartbleed afetou apenas as versões mais recentes do OpenSSL, que representam cerca de 17% do total. Mesmo entre os afetados, o recurso que causou o bug Heartbleed foi desativado em inúmeros casos. Acesse aqui o artigo da The Economist e entenda porque a ameaça não foi tão grave assim.

sexta-feira, 16 de maio de 2014

Computação forense contra três ameaças atuais

Como três ameaças cibernéticas transformam a resposta a incidentes: ataques direcionados, exploração das vulnerabilidades do sistema, roubo de dados

Apesar de usarmos os mesmos nomes antigos para designá-los— vírus, cavalos de troia e worms — os malwares de hoje merecem muito mais respeito do que atualmente lhe é concedido. Enquanto os vírus tradicionais do passado tinham o objetivo principal de atrapalhar operações ou garantir fama ao seu programador, os malwares de hoje executam ataques em múltiplos estágios e são chamados Ameaças Avançadas Persistentes.

Nestes ataques cuidadosamente sequenciais, os criminosos lançam mão de malwares personalizados e em constante alteração, colocados em lugares onde passem despercebidos e devolvendo ao seu controlador os investimentos feitos. Neste documento, iremos descrever como os malwares tornam-se ameaças avançadas persistentes. Em três estudos de caso, equipes de segurança de dados das empresas e de resposta a incidentes (RI) mostram como empregar ferramentas de computação forense para minimizar os danos.

“Nunca antes ao longo das duas últimas décadas, os entrevistados das pesquisas da ISBC relataram tantas invasões. A natureza dos incidentes relatados nesta pesquisa é diferente dos incidentes das pesquisas anteriores, com grande aumento nas invasões de confidencialidade de proteção de dados, hacking e ataques que causam impedimento de serviço, além de ‘botnet’ e spyware”, Pesquisa sobre Invasões dos dados de segurança 2010.

Além do malware comum: Ameaças persistentes avançadas 

Um estudo conduzido pela PriceWaterhouseCoopers para a InfoSec Europe mostrou que “os incidentes relatados em 2010 são diferentes daqueles vistos em pesquisas anteriores, com grande aumento nas invasões de confidencialidade de proteção de dados, hacking e ataques que causam impedimento de serviço, além de ‘botnet’ e spyware.”

Hoje, os tipos de ataque são diferentes, o momento é diferente e as respostas devem ser diferentes. A maior parte das ameaças, incluindo a Operação Aurora, Zeus e os exemplos de pirataria que estamos prestes a discutir, buscam dados confidenciais encontrados em dispositivos vulneráveis. Estas ameaças sutis e frequentemente planejadas empregam múltiplas técnicas para penetrar a rede e remover dados, deixando apenas pequenos artefatos que indicam suas atividades e navegando habilmente ao longo da infraestrutura da empresa.

Cada sistema que tocam pode ser carregado com malware e alguns ataques incorporam dúzias de pedaços diferentes de códigos, tais como keyloggers, ofuscadores, rootkits e worms, que executam diferentes funções durante o ataque. O polimorfismo, alterando a cada uso, e o código personalizado capacitam estes malwares a evitar defesas com base em assinaturas.

Os ataques direcionados de hoje podem usar estágios em série para penetrar gradualmente em um sistema. Os criminosos testarão com delicadeza as fraquezas e as contramedidas disponíveis, além de fazer, ocasionalmente, que seus códigos repousem em estado de latência em um sistema de modo a escapar da percepção da rede e de sistemas de detecção de intrusos até o momento em que acordam.

De outro modo, hackers de botnet podem atacar por meio de caminhos paralelos simultâneos — e-mail, web e dispositivos USB — esperando alcançar sucesso através da combinação precisa entre malware, navegador e vulnerabilidades do sistema. É claro que os intrusos internos ainda escrevem suas próprias linhas do tempo, mas muitos agem dentro de poucas semanas após ter deixado a empresa.

Respostas eficientes
A complexidade e a diversidade destas ameaças as tornam difíceis de prever, detectar e desviar, e, portanto, também mais bem-sucedidas. Primeiro, as equipes de resposta a incidentes devem conter a fase visível do ataque, colocando suas vítimas em quarentena. Eles devem presumir que existem outras vítimas e outros estágios que precisam ser identificados, caracterizados e remediados.

A fim de retornar à normalidade, as empresas precisam saber com segurança se os sistemas estão limpos. Um bom atestado de saúde requer a remoção do arsenal completo de todos os recursos do software malicioso e de ganchos em todos os ativos da rede.

Computação forense

Recursos conhecidos como computação forense auxiliam as equipes de RI e de segurança de dados da empresa a enfrentar estas ameaças com confiança. A computação forense pode ser definida como o processo de extração ou análise de dados de um computador ou servidor de modo a garantir a integridade dos dados e do sistema.

As ferramentas da computação forense aprimoram as técnicas forenses comprovadas com tecnologias avançadas de segurança computacional a fim de conseguir uma visibilidade completa do sistema e expor, analisar, conter e remediar anomalias. A automatização e a centralização permitem que mais seja alcançado em menos tempo, enquanto mantém controles dignos de evidência.

Diferente da investigação forense tradicional do tipo “dead box”, a computação forense pode operar na rede para inspecionar os dados e o software não apenas no disco rígido, mas também na memória. Ao analisar o sistema, a computação forense busca por códigos anômalos, incluindo rootkits, códigos em bloco, arquivos com dados delicados, software de execução automática e outros artefatos relativos. Por meio desta inspeção e análise profundas, as ferramentas podem expor rapidamente o software e os códigos polimórficos suspeitos ou inapropriados que estejam em execução em um PC, laptop ou servidores compartilhados.

Recursos compartilhados, como servidores de impressão, arquivos e e-mail, são alvos excelentes para malware. Diferentes dos dispositivos fortemente monitorados, os comportamentos incomuns destes sistemas frequentemente passam despercebidos por longos períodos, aumentando os lucros do hacker por trás do bot.

Malwares em servidores de impressão foram vistos em diversos ataques recentes, incluindo um no qual a evidência foi destruída durante o processo de recuperação: “a cidade de Norfolk, na Virgínia, sofreu um grande ataque cibernético quando hackers lançaram possíveis códigos maliciosos conhecidos como “bombas relógio” nos sistemas de informática da cidade, destruindo os dados em quase 800 PCs (...). Os gestores de TI determinaram que a fonte de distribuição do malware foi o servidor de impressão responsável pelas tarefas de impressão da Prefeitura de Norfolk. Contudo, o código malicioso daquele sistema pode não ser recuperado, pois os gestores de TI destruíram-no enquanto recompilavam o servidor de impressão.”

Talvez o passo mais difícil da resposta ao incidente cibernético seja determinar a abrangência completa do ataque. É preciso descobrir todos os códigos que devem ser remediados, malwares conhecidos e desconhecidos e também dados confidenciais errantes, de forma confiável e rápida. Depois que o código for identificado em todos os sistemas comprometidos, a equipe pode coletar e preservar os dados para análise, aprimorar a varredura futura contra novas infecções e, se necessário, como evidência.

Finalmente, o sistema é devolvido a um estado conhecido e confiável. Historicamente, este processo é lento e calculado. Contudo, as ameaças atuais não deixam espaço para uma abordagem demorada. A velocidade e o volume dos ataques, aliados às operações distribuídas sem trégua contra as empresas, significam que a análise forense deve agora ser centralizada, sem que seja manual, e:

• Extremamente rápida
Inspeções automáticas de alto desempenho para expor e conter ameaças em todos

• Abrangente
Investigação profunda e limpeza de todos os softwares no sistema, incluindo chaves de registro, para assegurar que nenhum código malicioso foi deixado escondido para emergir no futuro

• Sutil
Operações que passam despercebidas, sem intervenção manual, para permitir execução efetiva em termos de custo e investigação discreta de incidentes suspeitos

A computação forense permite que as equipes de RI e de segurança de dados façam a triagem, determinem o alcance e corrijam rapidamente as ameaças sofisticadas. Também oferecem um modo incomum de estar à frente destas ameaças: O analista da Gartner, Jay Heiser, recomenda que as equipes de segurança e de resposta “planejem – ou mesmo instalem – os agentes de forense remota antes que sejam de fato necessários, trabalhando com os gestores de TI para assegurar a compatibilidade com a rede, a segurança, a codificação e os privilégios administrativos.”

Três estudos de caso

A importância da computação forense fica evidente quando olhamos para as respostas a três cenários comuns de ameaça crescente: ataques direcionados, exploração de vulnerabilidades do sistema e roubo de dados.

Malware executando ataques direcionados: Operação Aurora (Google etc.) 

Em janeiro de 2010, o ícone do setor, Google, abalou a comunidade de TI e virou notícia de primeira página quando admitiu ter sido vítima de um ataque direcionado, o que teria permitido a alguém roubar códigos fonte do sistema de senhas do Google e acessar conteúdos delicados relativos a ativistas chineses de direitos humanos. Mais à frente, várias outras empresas de alta tecnologia e segurança — Adobe, Intel, Juniper Networks, Symantec e outras — admitiram que foram invadidas também.

Este ataque desenrolou-se em múltiplas fases para penetrar fundo na infraestrutura das vítimas. De acordo com o New York Times, “o roubo começou com uma mensagem instantânea enviada para um funcionário do Google na China que estava usando o Messenger da Microsoft. Ao clicar em um link e conectar-se a um site “contaminado”, o funcionário permitiu inadvertidamente que intrusos acessassem seu computador pessoal e, depois, computadores de um grupo essencial de desenvolvedores de software na sede do Google, em Mountain View, na Califórnia.

Finalmente, os intrusos conseguiram tomar o controle de um repositório de software usado pela equipe de desenvolvimento”. Este ataque “usou múltiplos componentes de malware, com códigos altamente ocultos concebidos para confundir os pesquisadores de segurança”

Como a computação forense faz a diferença? A computação forense ajuda a revelar, fazer a triagem e remediar com segurança os sistemas afetados rapidamente. Uma equipe de RI com  ferramentas da computação forense poderia:


  • Determinar se malwares estavam envolvidos
  • Rastrear malwares colocados em máquinas comprometidas
  • Coletar dados de máquinas potencialmente afetadas para análise
  • Devolver as máquinas a um estado confiável


Com a computação forense, quando se identifica um sistema suspeito, é possível identificar também se o software daquele sistema é um perfil de binários conhecidos da sua empresa, bem como se são códigos conhecidos bons ou maus. Após separar o software reconhecido, restarão apenas as ameaças novas desconhecidas e, às vezes, zero-day.

Os recursos de análise ajudam a compreender as capacidades do código, levando-o a encontrar os lugares onde o malware pode ter penetrado, além de auxiliá-lo a remediar a situação. Enquanto isso, a inspeção preserva o estado forense do sistema e de seus dados, incluindo dados do disco rígido e da memória, ajudando na conformidade com a cadeia jurídica dos padrões de custódia, além de captar a evidência necessária para os procedimentos jurídicos.

Depois de coletadas as evidências necessárias dos sistemas comprometidos, a computação forense limpará o sistema, livrando os arquivos de códigos maliciosos, terminando processos e restaurando chaves de registro para bloquear a propagação.

Sistemas de exploração de vulnerabilidades por botnets e malware: Zeus 

Uma das vantagens das ferramentas forenses é que elas percebem além do óbvio. Por vezes, você sabe que algo está errado porque os sistemas simplesmente estão se comportando de maneira incomum. Por vezes, o conselho de gestão deseja provas de que a infraestrutura não foi afetada pela última inovação de crime cibernético discutida publicamente. Quando os antivírus padrão e as avaliações de vulnerabilidade falham em encontrar qualquer coisa errada, a computação forense pode ser a única maneira de restaurar a confiança de que seu sistema está limpo.

Por exemplo, códigos maliciosos podem estar conectando seus sistemas a um botnet. Cada máquina comprometida, ou zumbi, pode enviar spam ou ser usada como presa para outros ataques, colocando sua empresa em risco de confiança e danos a sua reputação. Algumas empresas apenas descobrem os zumbis quando o tráfego de suas redes é sinalizado e rebaixado como “arriscada” por serviços que calculam as reputações na internet. Estes serviços bloqueiam ou rebaixam o tráfego de endereços de IP que estão enviando spam ou comportando-se de maneira estranha. Ter seu tráfego de rede ou de e-mail recusado é algo negativo para os negócios, e restaurar sua reputação on-line adiciona aborrecimento e complexidade para a resposta aos incidentes.

O botnet Zeus é um malware predominantemente voltado para o setor financeiro e o mais perigoso da internet, com uma rede de zumbis e um conjunto de técnicas sendo usadas constantemente para atingir contas on-line e dados de contas bancárias. O malware Zeus infecta o PC, altera o registro, espera o início da sessão e envia os dados de login para um centro de comando e controle. É tão virulento quanto assustador. Ele pode ultrapassar fortíssimos sistemas de autenticação e assinatura de transações, operando de forma invisível enquanto os usuários acreditam estar protegidos. Ao mudar sua forma a cada utilização, ele engana os antivírus que procuram instâncias repetidas de códigos.

Como a computação forense faz a diferença? A inspeção profunda das ferramentas de computação forense auxiliará as equipes de segurança de dados a expor problemas de integridade do sistema causados por códigos anômalos ou desconhecidos, incluindo códigos adormecidos, permitindo que se corrija estes riscos.

Uma estratégia que ganha notoriedade rapidamente entre as empresas usa a computação forense para estabelecer um perfil “gold build” para os sistemas e depois executar varreduras frequentes para expor qualquer anomalia. Um processo típico inclui:

  • Criar perfis iniciais “confiáveis”, documentando códigos conhecidos bons e aplicativos aprovados
  • Expor dados desconhecidos residindo em qualquer sistema em rede
  • Analisar todos os bancos de dados comerciais desconhecidos para localização rápida de conteúdo suspeito, como malwares ou processos não aprovados
  • Devolver as configurações a seus estados confiáveis ao corrigir o malware, os dados inapropriados e o software desautorizado


Varreduras consistentes de dispositivos, revisões feitas automaticamente ao longo dos dispositivos em rede, sinalizam ameaças desconhecidas e aquilo que não estiver em conformidade com as políticas corporativas. É possível detectar anomalias imediatamente e tratá-las como eventos formais, o que permite que as respostas aos incidentes sejam pontuais e apropriadas.

Perda ou roubo de dados: dados regulamentados e propriedade intelectual 

Nosso último estudo de caso reflete o valor de mercado de dados delicados e confidenciais. Através de acidente ou ação deliberada, é simples para que os dados regulamentados (bancos de dados de clientes e funcionários e registros financeiros corporativos) e a propriedade intelectual (código-fonte, designs e planos de negócio) sejam alvos em violação de políticas. Por exemplo, o padrão PCI de segurança de dados (DSS) indica que dados de cartões de crédito devem ser armazenados apenas se houver uma necessidade comercial legítima.

“Comerciantes que não armazenam automaticamente os dados dos titulares, fornecem maior segurança aos clientes, pois eliminaram um alvo essencial para ladrões de dados. Para comerciantes que têm uma razão comercial legítima para armazenar os dados dos titulares, é importante compreender quais dados o PCI DSS permite que sejam armazenados e quais medidas precisam ser tomadas para protegê-los.”

Algumas vezes, a violação de políticas contorna os obstáculos operacionais, como chaves USB usadas para sneakernets. Algumas vezes, elas ocorrem para fins lucrativos. Uma pesquisa de 2010 sobre ameaças internas relatou que “o pessoal interno com mais frequência usa seus laptops ou copiam informações para dispositivos móveis como meio de cometer crimes eletrônicos contra sua empresa. A CyberSecurity Watch Survey de 2010 descobriu que os dados são frequentemente transferidos para computadores domésticos ou enviados para fora da empresa via e-mail. Isto pode causar danos a reputações empresariais e pode levar empresas à violação de leis federais ou estaduais de proteção de dados.”

Enquanto as violações de dados regulamentados requerem notificação, os vazamentos de dados e a pirataria de propriedade intelectual representam uma penalidade extra: perda de rendimentos. “Um vazamento na segurança de uma grande empresa fonográfica levou a um vazamento deliberado, anterior ao lançamento previsto, do último álbum de uma estrela do setor. Além de ter perdido rendimentos no valor de £ 100.000, também há o embaraço de ter que lidar com a mídia.” Alguns artistas tiveram que mudar as datas de lançamentos de seus álbuns para responder a estas perdas, remanejando planos e pagando um preço muito alto.

Infecções inadvertidas de malware por site comprometido, via injeção de iframe ou keylogger, permitem que um ladrão acesse o sistema do visitante, tomando-o para si e copiando dados da conta, arquivos, ações do usuário e tudo aquilo que for de seu interesse.

Como a computação forense faz diferença? A chave para reduzir a perda e o roubo de dados é reduzir a disponibilidade de exposição dos dados. A estratégia é direta: após encerrar o acesso legítimo, os dados devem ser excluídos de um dispositivo onde estejam suscetíveis a uso impróprio. O mesmo software de computação forense e os processos similares usado nos estudos de casos anteriores auxiliam, desta vez, a identificar e limpar dados confidenciais de dispositivos não autorizados. Em vez de procurar códigos maliciosos, as ferramentas procuram dados regulamentados ou confidenciais.

Os passos são um pouco diferentes, mas os resultados são os mesmos: os sistemas retornam a um estado confiável.


  • Cria parâmetros de busca com base em múltiplos critérios de busca, palavras-chave, intervalos de datas valores hash e expressões gerais
  • Busca propriedade intelectual sigilosa e informação pessoalmente identificável (PII) a partir de PCs, laptops ou servidores da rede, expondo riscos e permitindo a limpeza
  • Aplica políticas de retenção de dados e recupera remotamente dados delicados, captando seus metadados para obtenção de evidências jurídicas
  • Repete o processo frequentemente usando varreduras automáticas e agendadas.


Um produtor de videogames descobriu seu código fonte, antes do lançamento, em um site público. Usando computação forense com base em rede, eles conseguiram iniciar uma busca através da rede, varrendo 91 países, e descobriram arquivos fonte que correspondiam à versão vazada. Como a ferramenta operou na surdina, a empresa pôde evitar avisar o criminoso até que os investigadores estivessem prontos para agir.

Conclusão 
Apesar dos bilhões de dólares gastos anualmente em soluções de segurança, os ataques cibernéticos são atualmente inevitáveis. Os criminosos cibernéticos perpetuam suas atividades criando códigos personalizados e especializados não reconhecidos por ferramentas com base em assinaturas e em abrangência. Além disso, são empregadas diversas técnicas que desviam consciente e laboriosamente as camadas de defesa.

Considerando esta realidade, o objetivo deve ser preparar-se e buscar minimizar cada impacto dos ataques. As equipes de segurança de dados e de IR podem usar ferramentas avançadas de computação forense para preparar-se, além do ambiente de seus softwares, para reduzir as chances de um ataque bem sucedido, da exploração das vulnerabilidades do sistema ou da perda de dados. A aplicação pontual e efetiva da computação forense pode reduzir a área disponível para o ataque e reduzir os danos por meio da mitigação completa de ameaças ativas.

Acesse o documento da Guidance Software. 

Sobre a Guidance Software
Mundialmente reconhecida como líder do setor em soluções investigativas digitais. Sua plataforma EnCase® fornece a base para que organizações governamentais, corporativas e reguladoras façam investigações completas, habilitadas para rede e legalmente válidas, de qualquer tipo, como resposta a solicitações de investigação eletrônica (eDiscovery), realização de investigações internas, resposta a inquéritos regulamentares ou auditorias de dados e conformidade, mantendo a integridade legal dos dados periciais. Existem mais de 40.000 usuários licenciados das tecnologias EnCase ao redor do mundo.