quinta-feira, 27 de agosto de 2015

Proteja seus dados críticos das ameaças internas

Neste White Paper, o time de especialistas da Nuix, parceira da TechBiz Forense Digital, mostra o caminho sobre como desenvolver e implementar um programa contra os invasores internos 



Mais de um terço de todos os incidentes digitais e brechas de segurança são causados pelos chamados insiders, que possuem motivações variadas: financeiras, políticas e mesmo emocionais. Mas, o fator em comum é que todos acessam inapropriadamente dados de valor crítico para uma organização.

Enquanto os governos de todo o mundo divulgam a importância de se atentar e agir contra as ameaças internas, os esforços reais por parte das organizações ainda são desiguais. É fácil entender por que algumas organizações têm evitado a questão: o desafio de detectar e deter as ameaças internas parece enorme e é difícil saber por onde começar. 

A resposta é focar os esforços em alvos bastante específicos e definidos: os dados vitais e críticos de sua organização e as muitas maneiras nas quais um ator responsável por ameaças internas pode acessar, reunir e vazar os dados da rede. 

Utilizando este foco, sua organização pode desenvolver um programa de mitigação contra ameaças internas que combine 3 elementos: 

• Entendimento e foco: identifica onde os dados valiosos e críticos estão localizados, quem os acessou e como; 
• Proteger e quebrar: utiliza a inteligência e a análise para identificar ameaças internas dentro de sistemas e redes; 
• Prevenir e detectar de forma apurada e atualizada políticas de cibersegurança e TI, treinamento e ferramentas forenses. 

O diferencial é que se trata de um programa e não apenas de um software. Um bem-sucedido programa requer o apoio das lideranças executivas, políticas e direcionamentos claros e educação da força de trabalho através de treinamentos. Também é preciso unir os públicos de interesse de dentro da organização incluindo as áreas de recursos humanos, administração, jurídico, segurança física e tecnologia da informação. Com esses elementos, sua organização pode lidar com as ameaças internas antes que elas se tornem uma bagunça e gerem problemas públicos. 

Entendendo as ameaças internas 


Mais de um terço de todos os cibercrimes e brechas de segurança são causados por insiders (i). O dano causado pelas brechas de segurança, roubo de propriedade intelectual, perdas de informações financeiras e outros dados de valor crítico para uma organização é epidêmico. O resultado é um prejuízo financeiro para governos, corporações e indivíduos que somam centenas de bilhões de dólares anualmente (ii). Tão importante quanto, são os danos que afetam a reputação, a confiança e o valor da empresa. 

Existem muitos exemplos de insiders que usaram sua posição para expor agendas pessoais, políticas e de Estados. 

• Edward Snowden e Chelsea Manning são exemplos bastante públicos de insiders que exploraram seu acesso a informações altamente sensíveis para vazá-las a terceiros. 
• O Departamento Australiano de Imigração e Proteção de Fronteiras sofreu com brechas de segurança em 2014 e 2015 como resultado da ação de funcionários. Apesar de se acreditar que foi um vazamento por negligência, a informação vazada era altamente sensível. 
• A agente russa Anna Chapman e seus compatriotas era agentes infiltrados que conquistaram a confiança e o acesso interno aos setores financeiros e do governo nos Estados Unidos para roubar informações que eram encaminhadas aos seus patrocinadores. 

Insiders também roubam ou vazam dados financeiros valiosos, tais como números de cartão de crédito e informações de identificação pessoal, que pode ser usada para cometer fraudes ou serem vendidas no mercado negro. Exemplos recentes incluem: 
• A Comissão Federal de Comunicação dos Estados Unidos multou a empresa de telecomunicações AT&T em US$ 25 milhões depois que empregados do call center roubaram e revenderam os números de CPF de aproximadamente 300 mil clientes (iii). 

• Um empregado aposentado do UMass Memorial Medical Group, uma aliança de hospitais, acessou 14 mil registros de contas de pacientes e utilizou um número desconhecido desses números para cometer fraudes (iv). 

• O banco de investimento Morgan Stanley demitiu um dos seus conselheiros financeiros depois de acusá-lo de roubar dados da conta de 350 mil clientes e postar alguns desses dados para venda (v).

Organizações que possuem valiosa propriedade intelectual sofrem com o roubo de seus segredos comerciais, comumente denominados espionagem industrial (vi). Por exemplo, em Maio de 2015, o Departamento de Justiça dos EUA apresentou acusação contra seis cidadãos chineses que se empregaram em companhias de microeletrônicas do Vale do Silício para roubar segredos de mercado relativos a filtros acústicos para celulares. Eles usaram a tecnologia roubada para produzir os seus próprios circuitos que venderam para clientes dos setores militar e comercial da China (vii). 


Uma vez lá dentro, você é um Insider 

As motivações, alvos e métodos dos insiders são variados. Ao definir uma “ameaça interna” acreditamos que não importa como alguém ganhou acesso, ou se já se trata de um funcionário, ou de algum aposentado da empresa, ou ainda de um fornecedor externo. Uma vez que um usuário está dentro do sistema, ele é uma ameaça interna. Consequentemente, definimos uma ameaça interna como: 

 um indivíduo que abusa do acesso autorizado aos sistemas ou informações; permite que outras pessoas não autorizadas acessem o sistema ou informação por meio de um comportamento impróprio; é um usuário não autorizado; ou quem usa de forma maliciosa ou ganha acesso aos sistemas ou informações para manipular ou extrair dados de valor crítico para uma organização. Dados de valor crítico para uma organização incluem recursos internos, informação de identificação pessoal, informação financeira, registros pessoais, sistemas de segurança, sistemas de informação, equipamentos de negócio, propriedade intelectual, segredos comerciais, cadeia de suprimentos ou qualquer outra informação de valor para a organização. 


Respostas para as ameaças internas 


O presidente dos Estados Unidos Barack Obama voltou sua atenção às ameaças internas na Ordem Executiva 13587, publicada em Outubro de 2011 (viii). Essa Ordem Executiva procurou por em prática “reformas estruturais para melhorar a segurança das redes confidenciais e o compartilhamento responsável e salvaguardar as informações confidenciais”. Isso foi o começo de um esforço governamental para reconhecer, definir e mapear um programa para deter a maré das ameaças internas. 

A Ordem Executiva estabeleceu a Força-Tarefa Nacional contra as Ameaças Internas (National Insider Threat Task Force - NITTF), sob a liderança conjunta do Procurador-Geral e do Diretor de Inteligência Nacional, com a missão principal de prevenir, deter e detectar o comprometimento de informações confidenciais por insiders mal-intencionados. 

Enquanto líderes políticos ressaltam a importância de se lidar com as ameaças internas, uma conscientização mais ampla sobre o problema e os esforços para mitigá-lo ainda são desiguais. É fácil entender porque algumas organizações têm evitado a questão: o desafio de detectar e deter as ameaças internas parece gigantesco; muitas companhias simplesmente não sabem por onde começar. Sob a luz desses desafios fazemos as seguintes perguntas: 

• Como uma organização pode preencher a lacuna entre o ataque inicial, a descoberta do insider e de suas ações nocivas e a tomada de ações para encerrar ou mitigar o evento? 

• Como podemos parar os Snowdens dentro de nossos próprios sistemas e redes? 

Foco no Insider 

Detectar e romper os vazamentos de insiders é a clássica busca da “agulha no palheiro”. É fácil se intimidar face a tão complexa tarefa. Isso nos requer aplicar nossa inteligência em ambos os sentidos – esforço mental e fontes de informação – em direção à tarefa de focar no que o insider deseja e as formas com que ele age para conseguir o que deseja. 

É importante entender que enquanto a tecnologia da informação é virtualmente ilimitada, a interação humana com a tecnologia é limitada. Em outras palavras, existem apenas algumas tantas maneiras de acessar, juntar e extrair dados de valor crítico de um sistema ou rede. Focar os nossos esforços no uso limitado da tecnologia e no relativamente pequeno número de formas pelas quais as pessoas podem mover campos de dados costumar ser mais eficiente e trazer resultados mais rápidos do que uma abordagem generalizada e indiscriminada. 

Para alcançar esse foco, devemos reunir as múltiplas áreas de uma organização. Por exemplo: 

• É mais fácil identificar um insider vazando dados se limitarmos as maneiras como as pessoas podem interagir com o sistemas e redes. Uma forma de se obter isso é com as políticas de uso da TI e medidas técnicas que previnam os empregados de conectar um storage USB em suas estações de trabalho. 

• Para concentrar-se em proteger informações importantes (não necessariamente todos os dados), é necessário identificar e localizar qualquer dado de valor crítico para a empresa, a joia da coroa. Isso requer cooperação e geralmente negociação entre os detentores dos dados por uma organização. 

Sem tempo de ser reativo 

Também é importante entender que as organizações não podem arcar em tomar apenas posturas puramente reativas diante de uma ameaça interna. As medidas que a organização coloca em prática depois que uma brecha já ocorreu virão, em geral, tarde demais para prevenir constrangimentos, perda de informações valiosas ou mesmo um escândalo público. 

Defesa de perímetro, resposta contra incidentes e centros de operação de segurança são por sua natureza medidas defensivas – elas tipicamente alertam e respondem após a ocorrência do evento. Defesas de perímetro são desenvolvidas para manter os invasores externos longe dos sistemas da organização; elas são quase sempre ineficazes contra os mal-intencionados que se encontram dentro da rede e geralmente possuem credenciais legítimas para acessar dados de valor crítico. 

Organizações podem se tornar mais pró-ativas ampliando o escopo das suas atividades de cibersegurança das defesas do perímetro tradicional para estabelecer políticas e processos que limitem as oportunidades das brechas internas e torne mais fácil a identificação dos malfeitores. 

Desenvolvendo um programa contra as ameaças internas 


A resposta ao desafio de desenvolver um programa contra ameaças internas é usar uma pequena e limitada quantidade de dados - partes específicas de informação – para encontrar fatos pertinentes no atual universo do Big Data. A metodologia que aplicamos nas grandes agências do governo americano operacionaliza o conceito da mitigação da ameaça interna descrito pela NITTF; uma abordagem holística que incorpora políticas e orientações, educação e treinamentos e tecnologia. 

Focamos os nossos esforços na mitigação da ameaça interna ao responder rapidamente e de forma eficiente a questão sobre quem de dentro da rede pretende nos fazer mal. Combinamos “entendimento e foco”, “proteção e rompimento” e “deter e detectar”, elementos que criam um ambiente organizacional amplamente focado em se defender contra as ameaças internas (veja Figura): 



• O processo de “Entendimento e Foco” é usado para identificar usuários autorizados que têm acesso a dados de valor crítico. Precisamos determinar a joia da coroa de uma organização, onde os dados críticos estão localizados, que tem acesso a eles, como se dá esse acesso. Isso inclui compreender quem pode estar ameaçado, quais opções e métodos o autor da ameaça interna pode usar e os indicadores observáveis tais como atividades ameaçados criadas. 

• "Proteger e Quebrar utiliza inteligência e análise para clarificar e focar as atividades investigativas na identificação dos autores das ameaças internas dentro dos sistemas e redes. Isso significa estar atento para identificar quem é esse insider, como ele opera dentro da rede, quem está associado a ele e quais são as técnicas já utilizadas por esse insider que podem ser capturadas e compreendidas. 

• ”Deter e Detectar” ou informação de ciberdefesa inclui possuir políticas atualizadas e precisas sobre cibersegurança e TI, treinamento, boas ferramentas de forense e banners apropriados para login de usuários. 

O conhecimento obtido ao combinar esses três elementos ajuda a definir o foco: 
• Quem está tentando descobrir e roubar as joias da coroa 
• Qual método eles pretendem utilizar 
• Onde eles pretendem toma-los. 

A chave é que isso é um programa e não um software. Somente aspectos técnicos são insuficientes para deter as ameaças internas. 

Organizações devem criar um ambiente que seja hostil ao invasor interno através de um quadro de políticas eficientes e focando sua energia e escassos recursos nos dados mais importantes. 

Segurança é um trabalho de todos 

Quem é responsável por criar um ambiente onde sua organização possa ser pró-ativa contra as ameaças internas? Quem é responsável por garantir que a cibersegurança e as políticas contras ameaças internas estejam valendo, propriamente coordenadas e sendo utilizadas efetivamente? 

Em nossa experiência, o envolvimento de lideranças executivas é um fator crítico no sucesso do programa. Executivos devem estar ativamente envolvidos, defender o programa para estabelecer as condições para o sucesso. Políticas e orientações claras, educação e treinamento da força de trabalho e linhas distintas de autoridades e responsabilidades são elementos importantes para um bem-sucedido programa contras as ameaças internas. O programa também deve envolver uma ampla gama de stakeholders, incluindo Recursos Humanos, setor administrativo, jurídico, segurança física, segurança da informação e Tecnologia da Informação. 

Outra área chave para o sucesso é o conhecimento da força de trabalho. Um programa de treinamentos e de educação que efetivamente instrui todas as pessoas sobre o papel de cada um e de suas responsabilidades individuais permite que todos sejam parte da solução em identificar e defender-se de ameaças. Resumindo: segurança é um trabalho de todos. 

Comece agora 

Para mitigar ameaças internas, organizações precisam primeiro reconhecer que a ameaça existe. Depois precisa colocar em prática políticas, processos e tecnologias para evitar as brechas que dão acesso às ameaças internas, antes que elas se tornam um problema público. É tarde demais estabelecer medidas depois de um ataque. E defesas de perímetro são designadas para manter os caras maus fora da rede, não para proteger a informação dos que já possuem acesso de dentro da empresa. 

Cibersegurança e mitigação de ameaças internas apoiam-se mutuamente. Consequentemente, as empresas devem combinar esses programas de forma que encoraje a colaboração em direção a um objetivo comum de proteger os dados de valor crítico das ameaças internas e externas. Pense em focar o poder de sua organização em pequenos dados. Mais importante, saiba que você não pode resolver esse problema com uma peça de software ou ferramenta, isso requer um programa. 

O sucesso começa a partir do topo da organização. O programa deve ser defendido pelos líderes executivos, deve focar em uma capacidade de resposta simplificada e promover a educação e treinamentos aplicados. Isso determinará as condições de sua organização em confrontar as ameaças internas. 


Referências 


(i) CERT Program at Carnegie Mellon University, 2014 US State of Cybercrime Survey, Abril de 2014 
(ii) Center for Strategic and International Studies and McAfee, Net Losses: Estimating the Global Cost of Cybercrime, Junho de 2014 
(iii) Rebecca R. Ruiz, FCC Fines AT&T $25 Million for Privacy Breach, The New York Times, 8 de Abril de 2015 
(iv) Jeff Goldman, Insider Breach Exposes 14,000 UMass Memorial Patients’ Data, eSecurityPlanet, 4 de Fevereiro de 2015 
(v) Justin Baer, Morgan Stanley Fires Employee Over Client-Data Leak, The Wall Street Journal, 5 de Janeiro de 2015 
(vi) Federal Bureau of Investigation, Economic Espionage: Protecting American’s Trade Secrets 
(vii) David E. Sanger And Nicole Perlroth, 6 Chinese Men Indicted in Theft of Code From U.S. Tech Companies, The New York Times, 19 de Maio de 2015 
(viii) President Barack Obama, Executive Order 13587—Structural Reforms to Improve the Security of Classified Networks and the Responsible Sharing and Safeguarding of Classified Information, 7 de Outubro de 2011 

Sobre o time Nuix para análise e inteligência de ameaças aos negócios 

O time da Nuix para análise e inteligência de ameaças aos negócios ajuda as organizações entenderem, deterem, detectarem, desmantelarem e responderem as ameaças surgidas a partir de brechas internas. Os especialistas do time Nuix já trabalhou com investigação e desenvolveu programas contra ameaças internas para grandes agências de governo dos Estados Unidos e corporações 

  • Keith Lowry 

Keith possui mais de 25 anos de experiência em implementar, gerenciar e direcionar ameaças internas, contra-inteligência e programas de coleção de inteligência em organizações incluindo U.S. Food and Drug Administration, Office of the Director of National Intelligence, Office of the Under Secretary of Defense for Intelligence e o Departmento de Polícia de San Jose (California). 

  • Keith Thomas 

Keith possui 25 anos de experiência em forense digital e de dispositivos móveis em forças da lei local, estadual e federal. Sua experiência inclui o trabalho como Agente Especial no Serviço de Investigação Criminal da Marinha dos EUA, promotorias estaduais e Departamento de Defesa. 

  •  Chris Newsom 

Chris possui 15 anos de experiência em computação forense, resposta a incidentes e avaliação de ameaças internas, descoberta e mitigação para forças da lei e governo federal, incluindo U.S. Food and Drug Administration, e o Departamento de Computação Forense dos Estados Unidos. U.S. Department of Defense Computer Forensic Laboratory e o Departamento de Polícia de Baltimore. 

  • Joe Hoofnagle 

Joe possui mais de 20 anos de experiêncua desenvolvendo e liderando grupos de ação contra ameaças internas, de computação forense, resposta a incidentes, eDiscovery e segurança da informação. Já trabalhou no U.S. Food and Drug Administration, Magellan Health Services e várias organizações da Fortune 10-1000. Joe também atuou como editor técnico d quarta edição do guia Shon Harris All-in-One CISSP. 

  • Kevin Frank 

Com mais de 30 anos de experiência, Kevin trabalhou em escritórios militar e civil de inteligência, oferecendo inteligência operacional para decisores sênior nas áreas militar, Departamento de Estado dos Estados Unidos, parceiros estrangeiros, organizações internacionais e Agências de Inteligência de Defesa. 

Para saber mais sobre o programa contra ameaças internas da Nuix visite nuix.com/BTIAT 

SOBRE A NUIX 

A Nuix permite que as pessoas tomem decisões rápidas a partir de dados estruturados. A patenteada tecnologia Nuix Engine facilita o trabalho de lidar com e o enorme complexo conjunto de dados gerados na atualidade. Organizações ao redor do mundo migraram para o software Nuix quando decidiram por obter respostas rápidas e precisas em investigações digitais, sobre cirbersegurança, eDiscovery, governança da informação, migração de email, privacidade e mais.

terça-feira, 18 de agosto de 2015

Forense móvel: sua evidência digital se sustenta em um Tribunal?

Essa é a pergunta que a Cellebrite faz em seu mais recente paper “Will Your Mobile Evidence Stand Up in Court? 4 Questions to Ask When Evaluating the Forensic Soundness of Mobile Forensics Tools”, que a TechBiz Forense Digital traduz livremente aqui neste artigo. Como pode-se perceber pelo próprio nome do paper, após a pergunta inicial, a Cellebrite propõe ainda outras quatro questões para se avaliar uma ferramenta forense de análise de dispositivos móveis.

 Segundo o artigo, para se ter certeza de que uma ferramenta é de fato forense, de que mesmo com o seu uso a evidência permanece inalterada e de que os dados do relatório resultante da investigação são verdadeiros e correspondem a uma exata representação do que existe no dispositivo de evidência, é preciso responder as quatro perguntas a seguir:


  1. Trata-se do resultado de uma teoria testada ou da análise de uma ferramenta? 
  2. É uma tecnologia revisada de forma independente? 
  3. A tecnologia dará suporte tanto ao fato quanto ao testemunho do perito no julgamento? 
  4. É uma solução usualmente aceita pela comunidade forense? 


 “Da mesma forma como acontece com as evidências físicas, a admissibilidade de uma evidência digital depende de boas práticas de manipulação por toda a cadeia de custódia. Cada elo da cadeia é responsável pela preservação apropriada, pela coleta e pelas práticas de documentação que demonstram que a evidência está mais próxima possível do seu estado original”, diz o documento. 

Apesar de não existir nenhum padrão internacional para governar as práticas da forense digital, as cortes e os praticantes da forense têm confiado em uma mistura de precedentes legais e de orientações de terceiros para governar as suas práticas. Este paper baseia-se em dois testes legais dos Estados Unidos: Daubert v. Merrell Dow Pharmaceuticals (92-102), 509 U.S. 579 (1993) e Frye v. United States. 293 F. 1013 (D.C. Cir 1923). Tratam-se de testes que endereçam questões que podem afetar a admissibilidade de uma evidência extraída de um dispositivo de móvel.


1. Trata-se do resultado de uma teoria testada ou da análise de uma ferramenta? 


Com a exceção de algum software open source, a maioria das ferramentas forenses é comercial, o que significa que o seu código-fonte é proprietário. Por uma questão de vantagem competitiva, esse código não é aberto para avaliação. Portanto é extremamente difícil falsificar os resultados dessas ferramentas. Abaixo, a Cellebrite lista uma série de técnicas capazes de a evidência extraída de um dispositivo móvel:


  • Visualização manual dos resultados – por exemplo, comparar o conteúdo de mensagens de texto, ou informações sobre data e hora de um email com o relatório gerado pela ferramenta. (Isso não será possível com dados deletados) 
  • Testar a ferramenta em dois dispositivos do mesmo fabricante e de mesmo modelo. Devido a riscos de replicação de erros, é sábio criar conteúdo em um (ou mais) dispositivo(s) teste em que se possa comparar com extrações de evidências – e usar métodos de validação adicionais. É importante que os investigadores não usem os seus dispositivos pessoais. Isso arriscaria a serem solicitados a introduzir os seus dados pessoais em um julgamento. 
  • Comparar os resultados do dispositivo de evidência com os resultados de uma ou mais ferramentas de forense móvel adicionais. 
  • Comparar logs de mensagens de texto e de voz com detalhes de registros de chamadas. 
  • Para sistemas de arquivo e extrações físicas, ir até o código hexadecimal e utilizar métodos de decodificação manual para verificar os resultados. 
  • Além de validar o funcionamento apropriado de sua(s) ferramenta(s), você deve autenticar a evidência, tanto de forma independente quanto em colaboração com investigadores do caso, referente a regras relevantes da evidência. Valores de hash, depoimentos de testemunhas e processos são explorados em detalhes no informativo de 2011 da Guidance, o EnCase Legal Journal.




2. A tecnologia foi revisada de forma independente? 


O instituto americano de padrões e tecnologia (U.S. National Institute of Standards and Technology - NIST) avalia regularmente hardware e software de computação forense como parte de seu projeto Computer Forensic Tool Testing (CFTT). Outros órgãos governamentais, tais como o Instituto Nacional de Justiça (National Institute of Justice - NIJ), centro de excelência em tecnologias de crime eletrônico (Electronic Crime Technology Center of Excellence - ECTCoE), instituições acadêmica e pesquisadores privados podem também conduzir testes independentes.

 O projeto CFTT do NIST pesquisa um amplo espectro de tecnologias forenses e segue um conjunto de padrões desenvolvidos pelo próprio NIST. De acordo com os relatórios de 2010 e 2012, o NIST informa:

 “Casos de testes usados para verificar a aquisição em dispositivos móveis pelas ferramentas forenses estão definidos no Smart Phone Tool Test Assertions and Test Plan Version 1.0. Para testar uma ferramenta, os casos de testes são selecionados no documento Test Plan, baseado em funcionalidades oferecidas pela ferramenta. Nem todo caso de teste ou afirmações de testes são apropriadas para todas as ferramentas. Existe um núcleo de conjunto de casos-base que são executados para cada ferramenta testada. As funcionalidades das ferramentas guiam a seleção de casos de testes adicionais. Se uma dada ferramenta implementa uma determinada funcionalidade, então os casos de testes associados a essa funcionalidade serão rodados.”

No geral, associações de testes devem revelar suas metodologias baseando-se em bancos de ensaio e procedimentos de instalação. Eles podem ou não indicar como selecionam os casos de teste. Os relatórios devem mencionar não apenas como a ferramenta se desenvolveu no geral, mas também relatar quaisquer erros ou anomalias, e o que significavam caso tenham ocorrido. O ideal é que os resultados sejam divididos em extração lógica, sistema de arquivo e extração física.

Em sua avaliação dos relatórios, é importante entender a natureza das anomalias e o contexto do relatório CFTT do NIST. Primeiramente, a maioria das ferramentas de forense móvel deve ser frequentemente atualizada para suportar novos dispositivos, sistemas operacionais, aplicativos etc., bem como para aumentar a performance, introduzir novas funcionalidades e ajustar bugs.

Em segundo lugar, o projeto CFTT não pode suportar todos os dispositivos, modelos, sistemas operacionais ou protocolos de rede que existem; ao contrário, o protocolo independente que o NIST desenvolveu existe para avaliar a performance da ferramenta como um todo. Assim, o uso dos relatórios do NIST serve como referência e não deve incidir tanto sobre se o dispositivo (s) que você está introduzindo como evidência no julgamento foi ou não testado pelo NIST.

Em vez disso, foque no significado mais amplo do relatório. Ferramentas de forense móvel não devem reportar a existência de um conteúdo em algum lugar em que ele realmente não esteja (se é parte de uma estrutura de sistema de arquivo ou espaço não alocado). Ferramentas de forense móvel também não devem reportar um tipo de dado como sendo outro, mensagens de texto como email, por exemplo.

Muitas vezes, a atribuição equivocada – relatar uma mensagem de texto como enviada quando na verdade foi recebida, ou não reportar parte dos metadados de uma mensagem ou imagem, mesmo quando o conteúdo e sua localização estão corretos— pode ter mais a ver com o dispositivo do que com a ferramenta forense. Uma extração lógica, por exemplo, baseia-se na API de fabricação do dispositivo para requerer dados do dispositivo. Se a API não suportar a transferência deste pedaço de dado em particular, o UFED não pode reportá-lo. Além disso, os sistemas operacionais de smartphones devem fazer atribuições ou interpretações (por exemplo, uma localização de uma torre de celular) que o UFED simplesmente irá relatar, e não interpretar.

Nesses casos, o foco deve estar no fato de que o conteúdo foi encontrado no dispositivo durante uma extração forense, e não poderia ter sido colocado lá durante uma extração anterior ou outra manipulação. Testemunhas especialistas devem ser capazes de ajudar a explicar como os dispositivos móveis armazenam dados, como as suas ferramentas forenses extraem e reportam esses dados, o que pode resultar em erros no processo e, mais uma vez, como se valida esses processos.

Quando for possível para o modelo, a extração física pode identificar a localização dos dados dentro da memória do dispositivo, quando há relatos não procedentes oriundos de uma extração lógica. Neste ponto, você deve usar o seu conhecimento pessoal para identificar todos os dados, metadados e atributos.

Finalmente, qualquer relatório de revisão independente deve estar disponível no domínio público, com possibilidade de download gratuito.

3. A tecnologia dará suporte tanto ao fato em si quanto ao testemunho do perito no julgamento? 


Como qualquer ferramenta técnica ou específica de forense digital, você não deve confiar em uma única solução para interpretar dados. A ferramenta deve possibilitar que um treinado e experiente examinador valide o que está no dispositivo e onde está localizado, especialmente depois de realizar uma extração física.

 As atualizações devem ser frequentes e devem estar rapidamente disponíveis, divulgadas via alertas de email, de maneira que você seja encorajado a atualizar (e validar) o firmware e/ou software regularmente.

 Não é possível em uma atualização de firmware ou software perder artefatos que uma versão anterior da solução já extraiu ou realizou o parse. Nesses casos, a ferramenta do fabricante deve tornar disponível um sistema de suporte robusto através do qual você pode alertar o fabricante de qualquer problema potencial.

 Finalmente, o mecanismo de relatório da ferramenta deve tornar possível a você logar e documentar seus procedimentos por seu padrão organizacional de operação e melhores práticas de forense digital, resultando assim em um processo reprodutível e que possa ser repetido. O relatório deve também ser fácil de explicar e, se necessário, fácil de demonstrar ao vivo ou via vídeo nos Tribunais.

 Isso pode ser valioso ao se explicar a evidência extraída dos dispositivos móveis ou a evidência autenticada por outras ferramentas, incluindo outras ferramentas de forense móvel, suporte a detalhes dos registros de chamadas, entrevistas com testemunhas, detalhes conhecidos do caso, decodificação manual do código hex etc.

 O fabricante oferece treinamento adequado que prepara o examinador a testemunhar? 

 Enquanto muitos fabricantes oferecem treinamento para o uso do seu produto forense, preparar os examinadores a testemunhar em tribunais é outra questão. Orientações para avaliar o treinamento podem começar com os três princípios do Guia de Boas Práticas para a Evidência Digital da Associação dos Chefes de Polícia (Association of Chief Police Officers - ACPO).

Princípio 1: nenhuma ação tomada pelas agências de forças da lei ou por seus agentes deve mudar os dados armazenados em um computador ou mídia de storage que devem, consequentemente, serem confiáveis diante de um Tribunal. Treinamento apropriado é desenvolvido para cada nível de investigador, desde os primeiros respondentes até examinadores e times de comando.

Princípio 2: Em circunstâncias onde uma pessoa acha necessário acessar dados originais armazenados em um computador ou mídia de armazenamento, essa pessoa deve ser competente para fazer isso e deve ser capaz de dar explicações sobre a relevância e as implicações de seus atos. Indiscutivelmente este é um problema comum em medicina forense móvel. Cada ato de criar uma imagem forense possui o potencial de alterar o dado original, ou no mínimo o dado original ficará diferente de uma imagem para outra. O treinamento apropriado permite ao examinador explicar como e porque isso pode acontecer.

Princípio 3: Uma trilha de auditoria ou outro tipo de registro de todo o processo aplicados à evidência eletrônica baseada em computador devem ser criados e preservados. Uma terceira parte independente deve ser capaz de examinar esses processos e arquivar o mesmo resultado. Um bom treinamento prepara os investigadores, mais uma vez em todos os níveis, para documentar suas ações e as razões que os levaram a tomá-las. Idealmente, o treinamento de um fabricante de ferramenta de forense digital inclui certificação que possa ser referenciada no currículo do examinador. Certificações devem refletir que o examinador passou por um conhecimento extensivo e testes práticos para se qualificar. 


4. Esta ferramenta é geralmente aceita dentro da comunidade forense? 


Nenhum padrão independente, nacional ou internacional, existe para o desenvolvimento de ferramentas de extração e análise forense em dispositivos móveis. No entanto, um processo de extração forense deve em geral ser aceito como um processo científico válido destinado a validar a transferência de dados somente leitura do dispositivo fonte ao drive-alvo, e seu software “visualização hexadecimal” para análise física. A visualização hexadecimal permite checar dados subjacentes do dispositivo para verificar informações em parse de um dump de dados brutos ou extração.

Os softwares e hardwares de forense móvel devem ser usados por uma ampla variedade de investigadores tanto nos setores públicos quanto no setor privado em todo o mundo. Esses investigadores devem ser representados por forças da lei em níveis local, municipal, estadual e federal; times jurídicos e de segurança em corporações; investigadores privados e consultores; e pessoal das forças militares que atuam em campo. Segurança de Valores Mobiliários, alfândegas e proteção das fronteiras, imigração e várias forças-tarefa podem usar a ferramenta para investigar casos de tráfico de seres humanos, fraude, homicídio, exploração sexual entre outros.

Garanta que a sua evidência se sustente no tribunal 

 Optar por uma ferramenta de forense móvel demanda uma avaliação de longo prazo, além de considerações de curto prazo como custo, facilidade de uso, treinamento disponível, suporte a dispositivos e assim por diante. A visão de longo prazo antecipa que, em último caso, a evidência irá para o Tribunal e os examinadores necessitarão estar aptos a testemunhar sobre como chegaram ali. Com mais tribunais lançando controles mais rigorosos sobre a busca, apreensão, e validade de provas em dispositivo móvel, estar preparado para encontrar a ferramenta que melhor pode reforçar o seu testemunho é crucial.

Questões fundamentais 


Você pode ter que responder a uma grande variedade de questões sobre as provas extraídas e analisadas a partir de dispositivos móveis e sobre a ferramenta utilizada na extração e análise. Não pretendemos ser exaustivos, mas esta lista é uma amostra que pode agregar questões propostas pelos advogados Algumas questões podem ser considerados "pegadinhas" e você deve estar preparado para lidar com isso.

• O que é esta ferramenta?

• Esta ferramenta é comumente utilizada por forças da lei para extrair dados de telefones celulares?

• Você está treinado e possui experiência no uso do dispositivo?

• Você está certificado para utilizar este dispositivo no nível de extração que foi usado? Quando você obteve sua certificação?

• Existem artigos, white papers, ou publicações sobre essa ferramenta?

• Será que o dispositivo foi aceito como uma ferramenta forense em outros tribunais em todo o país?

• Existe alguma ferramenta que pode extrair todos os dados de um telefone?

• É normal que examinadores forenses utilizem ferramentas diferentes dependendo da marca ou modelo do telefone em questão?

• Você usou essa ferramenta para extrair dados neste caso?

• Você já validou que a ferramenta não é capaz de gravar dados no dispositivo de evidência?

• Que tipo de telefone que você examinou neste caso?

• Que tipo de informação a ferramenta indicou ser capaz de extrair do telefone do réu?

• Você foi capaz de extrair essas informações utilizando esta ferramenta?

• Que tipo de extração que você executar usando essa ferramenta?

• Você já validou se essa ferramenta extrai os dados que diz extrair neste dispositivo?

• Será que você também já verificou se a ferramenta analisa as informações corretamente (mesmo número de mensagens de texto, informações de contato, histórico de chamadas)?

• Durante esta validação, a ferramenta alterou ou eliminou qualquer um dos dados do telefone celular?

• Se o aparelho é GSM, você examina o cartão SIM e o handset separadamente?

• Se a ferramenta não extraiu todos os dados do telefone ou do cartão SIM, qual outro método você usou para extrair essa informação? • Você bloqueou o dispositivo com as evidências? Como?

• Esta ferramenta aplica o hash à evidência? • Você capturou a memória RAM?

• Isso são conversas de bate-papo, mensagens instantâneas, iMessage ou SMS? São apresentadas em ordem cronológica? • Pode explicar melhor o que é memória flash e coleta de lixo?

• Como poderia um exame realizado hoje ser diferente dos resultados do seu relatório de X meses atrás? Por quê?

quinta-feira, 13 de agosto de 2015

“EULA”

Por Renato Maia*

“Software is eating the world”, já disse Marc Andreessen. Construção intelectual humana, o software permeia todos os aspectos da sociedade moderna. Porém, assim como seus criadores, são invariavelmente imperfeitos. Normalmente, cheios de falhas ou “bugs”. Em alguns casos, falhas que se tornam vulnerabilidades que podem ser exploradas por adversários. Aplicando Pareto, não é difícil perceber que motivos históricos respondem por boa parte do problema. É simples: antigamente todo esforço e dedicação se concentravam em fazer aquilo funcionar. O que não era pouco. Parecia mágica. Software era desenvolvido para ser usado em condições normais de temperatura e pressão.

Ninguém imaginava que, alguns anos depois, este uso seria complementado por abusos. Dia sim, outro também, descobre-se uma nova falha em algum software conhecido e mundialmente utilizado, que coloca em risco desde a privacidade de seus usuários até “a nossa própria existência”. Algumas falhas são batizadas – Heartbleed, Stagefright... -, viram celebridades, ganham logomarcas e páginas no Facebook. A imprensa adora e, mesmo sem ter ideia do que se trata, amedronta os leigos pintando cenários apocalípticos.

Falhas supostamente mais inofensivas podem facilmente expor aquelas suas fotos comprometedoras na Internet, como no fatídico “The Fapening”, do caso Apple/iCloud. Outras, mais sérias e complexas, são exploradas na calada da noite, dando origem ao software como arma. Usados em espionagem, sabotagem ou mesmo atos de guerra entre nações. Como o Stuxnet, obra prima norte-americana e israelense, que sabotou o programa nuclear iraniano. Nosso telhado é de vidro. Realidade aceita por toda empresa de software. Ou quase toda...

Nesta terça feira, enquanto Microsoft, Adobe e, pasmem, até mesmo fabricantes de carros como Chrysler e Tesla, lançavam atualizações de segurança corrigindo dezenas de falhas em seus produtos, a Oracle inovou. Na contramão da indústria, parece ter descoberto como resolver o problema, com uma canetada. Estilo avestruz.

Sua CSO – principal executiva de segurança da informação – publicou um estranho texto atacando quem se sente no direito de (responsavelmente) procurar falhas em seus produtos. Além de considerar estas pesquisas desnecessárias e inconvenientes – ignorando completamente a realidade – ela notifica (em tom ameaçador) clientes e pesquisadores de que tais ações violam a licença de uso do software Oracle, a “famosa” EULA (End User License Agreement), o texto mais ignorado desde a invenção da escrita.

A reação foi imediata. E não poderia ter sido mais engraçada. Enquanto a Oracle se esforçava em “apagar” a bobagem da Internet, experts e especialistas do mundo inteiro se dedicaram a fazer piadas sobre o tema: hashtag ‪#‎oraclefanfic‬. É rir para não chorar - como já nos acostumamos, em tempos de crise.





*Renato Maia é diretor técnico do Grupo TechBiz. 

terça-feira, 4 de agosto de 2015

Uma questão de inteligência

Neste paper, livremente traduzido pela TechBiz Forense Digital, o diretor de cibersegurança e serviços de investigação da Nuix, *Stuart Clarke mostra como a inteligência (humana e tecnológica) pode alterar a relação 80:20 nas investigações digitais. Segundo ele, os analistas gastam 80% do seu tempo encontrando dados e apenas 20% analisando esses dados. É preciso inverter essa lógica desenvolvendo conhecimento, experiência e expertise na resposta a incidentes de segurança 


Quanto mais rápido os investigadores da área de cibersegurança forem capazes de deter as brechas que permitem o vazamento de dados, menos custos e danos terá uma companhia. Ser capaz de acessar inteligência para alavancar uma investigação garante aos investigadores economia de tempo na pesquisa e, melhor ainda, na análise e resolução de problemas. Mas, de onde vem essa tecnologia? 

Saber onde procurar e quais perguntas fazer em uma investigação, a partir do conhecimento e experiência do investigador é parte essencial da chamada inteligência. No entanto, são poucos os que possuem essa habilidade e a crescente demanda por investigação digital pode tornar altos os custos desse serviço. As organizações precisam, de algum modo, encapsular esse conhecimento especializado e transformá-lo em um framework de tecnologia. A tecnologia, por sua vez, deve preencher duas funções essenciais: 

  • Entregar acesso abrangente e detalhado ao conteúdo dos repositórios de dados e artefatos forenses de todas as fontes de evidência relevantes. 
  • Aplicar inteligência para eliminar itens irrelevantes e focar em pistas vitais do incidente que está sendo investigado. 


Este paper analisará como este framework tecnológico pode mostrar-se vantajoso ao investigar dois cenários comuns: 
  • Uma brecha interna de segurança, identificando rapidamente os artefatos forenses que mostram onde um arquivo de interesse foi acessado, quando e por quem. 
  • Um ataque externo ao servidor web, decodificando e identificando entradas de logs que indicam ataque SQL injection. 


Também discutiremos como os responsáveis pelas respostas aos incidentes de cibersegurança podem incorporar alimentadores de inteligência de terceiros para, posteriormente, aprimorar o processo investigativo. Com esses multiplicadores de inteligência, os investigadores estão muito melhor posicionados identificar as brechas antes que elas se tornem de fato importantes e contê-las antes que se tornem um grande problema. 

INTELIGÊNCIA E CIBERSEGURANÇA 

O conceito de inteligência no suporte da cibersegurança tornou-se uma buzzword; todo mundo precisa disso ou quer vender isso. Não obstante, a inteligência utilizada de forma apropriada para orientar decisões pode ser uma parte crítica da capacidade de cibersegurança de uma organização. Como os analistas de cibersegurança podem despender menos tempo pesquisando e garantir mais tempo na detecção e mitigação dos incidentes? Com inteligência! 

Inteligência é gerar conhecimento sobre dado bruto. A comunidade de inteligência possui uma máxima de que os analistas gastam 80% do seu tempo encontrando dados e apenas 20% analisando esses dados. Aplicar inteligência para reduzir o tempo gasto em pesquisa e garantir mais tempo para a análise, pode aumentar consideravelmente a velocidade com que os analistas de cibersegurança podem resolver os problemas. 

Bem utilizada, a inteligência pode poupar dinheiro e proteger a reputação das organizações e seus bens. Uma pesquisa do Instituto Ponemon com 350 organizações em 11 países revelou que o custo médio anual dos incidentes com cibercrime é de US$ 3,8 milhões por organização ou US$ 154 por registro roubado. 

Segundo o relatório, os ataques maliciosos levam em média 256 dias para serem identificados e 82 dias para serem contidos. Vazamento de dados causados por erro humano levam em média 158 dias para serem encontrados e 57 dias para serem resolvidos. Os pesquisadores encontraram estatísticas significativas entre o tempo gasto para se identificar e conter as brechas de segurança e os custos gerais para uma organização. Em outras palavras, o quão mais rápido uma organização resolva um incidente, menor é o seu prejuízo. 

O Relatório do Instituto Ponemon (Live Threat Intelligence Impact Report) descobriu que, se as organizações possuírem inteligência acionável sobre os ataques cibernéticos nos primeiros 60 segundos do comprometimento, elas podem reduzir o custo total da brecha em 40%, em média. 

Identificar ameaças e alertar os tomadores de decisão em uma companhia em um tempo razoável é um elemento chave para se reduzir os efeitos das ameaças cibernéticas. No Relatório do Instituto Ponemon, 84% dos entrevistados disseram que o maior problema com a inteligência contra as ameaças é a dificuldade em disseminar essa inteligência aos principais públicos de interesse. 

Uma grande razão é que os analistas de cibersegurança e os investigadores se deparam com um grande volume de informações que devem ser coletado e analisado; preenchendo facilmente 80% do seu tempo. De acordo com um relatório, 5.998.685 novas linhagens de malware emergiram em 2014, um aumento de 77% em relação ao ano anterior. Na segunda metade de 2014, os pesquisadores descobriam um novo tipo de malware, em média, a cada 3,75 segundos. 

Então, como os analistas de cibersegurança podem despender menor tempo pesquisando e mais rapidamente detectarem incidentes e informando os tomadores de decisão sobre as suas opções de mitigação? Com inteligência! 

Os números do cibercrimes

  • US$ 3,8 milhões por organização é o custo gerado por incidentes de segurança
  • 256 dias é o tempo médio para se identificar um ataque
  • 5.998.685 novas linhagens de malware emergiram em 2014


CONSTRUINDO INTELIGÊNCIA EM CIBERSEGURANÇA 


Como a inteligência pode ajudar a acelerar as investigações de resposta a incidentes? Considere a forma como os investigadores da polícia responderiam a um incêndio criminoso ou a um roubo. Ambas as situações envolveriam entrevistas com as testemunhas e exames das câmeras de segurança. Ambas envolveriam coletar dados, desenvolver uma hipótese e testar tal hipótese contra a evidência disponível. Mas a forma como os investigadores aplicam essa metodologia muda dependendo de seu conhecimento e experiência sobre a evidência requerida para provar ou não um caso. 

Por exemplo, em um incêndio criminoso é preciso olhar para a origem, a causa que levou o fogo a espalhar, enquanto a investigação de um roubo focaria no ponto e no método de entrada e em evidências como impressões digitais, de pegada, marcas de uso de ferramentas, fibras e sangue.

Aplicar conhecimento e saber fazer as perguntas corretas requer experiência e conhecimento. Compartilhar essa inteligência pode apenas ajudar outros investigadores a solucionarem crimes rapidamente. 

Contrate mais especialistas 

Entender para onde olhar, que perguntas fazer e outros truques que podem acelerar análises investigativas é algo que se obtém com vivência, prática. A solução óbvia, no caso da cibersegurança, é que as organizações contratem profissionais experientes que possam aplicar seu conhecimento para identificar, investigar e resolver brechas de segurança. 

O problema é que não existem tantos experts assim no mercado. Uma pesquisa global com membros da ISACA, uma associação de profissionais de governança de TI, revelou que 86% dos entrevistados acreditam que há escassez de profissionais qualificados de cibersegurança. Mais de um terço dos entrevistados (34%) disse que pretende contratar equipe de cibersegurança em 2015 mas esperava encontrar dificuldade – apenas 3% disseram que facilmente conseguiriam encontrar candidatos qualificados. 

Na ausência de especialistas rapidamente disponíveis, de qual outra forma podemos construir capacidade analítica? 

Soluções tecnológicas 

Tecnologia é definitivamente parte da solução, mas também cria um dos maiores problemas para os investigadores digitais: a forma com que o conjunto de dados de uma organização cresce rapidamente e se altera frequentemente. Isso dificulta saber exatamente onde os dados importantes estavam armazenados e quem tinha acesso a eles no momento em que uma brecha acontece. Sem esse conhecimento seria extremamente difícil, por exemplo, mapear o caminho de números de cartões de crédito que vazaram devido a ação de um malware instalado em caixas registradores até credenciais de rede roubadas por um fornecedor de ar-condicionado. 

Tecnologias de governança de informação estão crescendo em popularidade graças à sua habilidade em oferecer conhecimento detalhado de repositórios de dados e seus conteúdos. Essas tecnologias podem rastrear informações de alto risco armazenadas em locais acessíveis a pessoas que não necessitam delas para realizar o seu trabalho, ou mesmo acessíveis ao público em geral. Isso garante a oportunidade de remediar questões de vazamento de dados antes que uma brecha ocorra ou informar aos investigadores os primeiros locais em que eles devem procurar por dados perdidos. 

Combine tecnologia e experiência humana

Considere uma atividade típica que pode levar a uma brecha de segurança, tais como navegar pela rede. Analistas de forense digital já aprenderam como e onde os web browsers e sistemas operacionais armazenam os artefatos relacionados à atividade de navegação. Eles sabem quais desses artefatos podem oferecer pistas e sobre client-side, browser hooking ou ataque man-in-the middle. Eles também sabem que os atacantes devem se preocupar em ocultar os seus rastros e quais artefatos são mais difíceis de manipular ou destruir. 

Analistas forenses em comunidades, geralmente, compartilham essa inteligência entre si. Mas e se esse conhecimento for encapsulado e utilizado para automatizar e aprimorar o processo de investigação de brechas? 

Por exemplo, se os investigadores sabem que podem contabilizar e seguramente ignorar 90% dos artefatos que são gerados durante uma navegação web, eles podem aplicar essa inteligência em uma tecnologia de forense digital e resposta a incidentes? Isso permitiria que 90% de uma investigação fosse realizada por uma máquina, deixando o remanescentes 10% para um humano. Em outras palavras, estamos começando a mudar a relação de 80:20 da relação procura e análise. 


APLICANDO INTELIGÊNCIA PARA A RESPOSTA A INCIDENTES


Para explicar como você pode usar a inteligência a favor da resposta a incidentes, este paper trabalhará com dois cenários: 

  • Um agente malicioso interno acessou e extraiu dados confidenciais da empresa 
  • Um atacante tem explorado um servidor externo web para extrair material sensível 


Roubo de dados interno 

Neste cenário um atacante interno acessou e extraiu dados sensíveis e confidenciais de dentro da organização. O responsável por responder a este incidente parece estar interessado em artefatos forenses associados a um usuário acessando arquivos, bem como dados associados a formas de extrair tais dados como email, armazenadores USB e armazenadores em nuvem. O investigador também deve estar interessado em explorar evidências do intruso conspirando com os outros para esconder suas ações. 

Quando um usuário acessa um arquivo, o sistema operacional gera vários artefatos que documentam a ação. Isso é verdade em todos os sistemas operacionais. Na comunidade de investigadores, é de conhecimento comum onde encontrar a maioria desses artefatos. Nos sistemas Microsoft Windows, as típicas localizações incluem o Windows Registry, Windows Prefetch, atalhos Windows (arquivos LNK) e arquivo de acesso a registros Windows Explorer. Em sistemas operacionais Mac OS, arquivos de listas específicas de propriedades (.plist) são uma fonte de informações forenses importante. Os mesmos princípios se aplicam para os dispositivos USB, embora eles gerem artefatos diferentes. 

No entanto, encontrar a evidência relevante não é tão simples como inspecionar alguns artefatos. Cada um deve ser interpretado no contexto do incidente. Alguns desses artefatos, como listas MRU e chaves UserAssist no Windows Registry, armazenam uma grande número de entradas. Pode levar um longo tempo para um investigador agrupar manualmente os artefatos relevantes e extrair inteligência substancial. 

A Nuix alimentou o seu software com inteligência, para que o investigador possa deixá-lo fazer o trabalho por ele e assim possa focar em oferecer o contexto para a evidência, o que é uma parte muito importante de uma análise baseada em inteligência. Encontrar evidências de que um usuário em particular acessou um arquivo ou conectou um dispositivo USB é um começo importante de uma investigação. Mas o que aconteceu imediatamente antes ou depois de eventos notáveis? Quais dados estão associados a este evento baseados em atributos comuns e relacionamentos? 

O Nuix Incident Response possui uma nova interface de contexto para ajuda-lo a responder essas exatas questões. Ele automaticamente aplica inteligência pré-definida de forma que evidências-chaves venham à tona. Ele então dá poder ao analista para entender o contexto acerca da atividade. 

Usando a interface de contexto, em apenas alguns cliques você pode achar a evidência de um usuário conectando um drive USB a um sistema ao examinar os artefatos agrupados sob “Device Access” (Acesso ao Dispositivo – veja Figura 1). 

Figura 1:  a interface de contextualização do  Nuix Incident Response utiliza inteligência para agrupar itens relevantes


Ao selecionar um evento de interesse, o investigador pode usar a função Pivot para rapidamente estabelecer o que aconteceu depois que o dispositivo USB foi conectado (veja Figura 2). O Nuix Incident Response pode construir uma atividade cronológica no computador onde a atividade inicial apareça. Pode inclusive construir a atividade cronológica por entre muitos computadores e outras fontes de evidência. Assim, os investigadores conseguem rapidamente obter um entendimento amplo dos eventos, incluindo arquivos acessados ou lançados, tráfego de rede e atividades de email e de internet. 



Figura 2: A função pivot cria uma cronologia dos eventos relacionados ao incidente


Na Figura 3 vemos as ligações traçadas entre alguns artefatos. O Nuix Incident Response automaticamente faz ligação entre os itens a partir de critérios que incluem texto, sistema de arquivo, atributos, endereço IP e endereço de email e outras conexões. Nesse caso, os links agrupam vários arquivos de sistema para oferecer detalhes sobre onde um arquivo de interesse foi acessado, quando e por quem. 


Figura 3: Nuix Incident Response automaticamente associa itens relacionados


Ataque web externo 

Respondendo ao cenário de um atacante explorando externamente um servidor web para extrair material sensível, um profissional de resposta a incidentes deve focar em diferentes artefatos, predominantemente arquivos de log. Os logs contam uma história de uma atividade mas são bem “verborrágicos”. Além disso podem ser complicados e consumirem bastante tempo para serem examinados. 

Um exploit comum contra um servidor web é um ataque SQL injection. Isso envolve executar dados maliciosos contra uma interface web pouco segura com a intenção de extrair informações sobre uma base de dados back-end a qual o servidor web está conectado. Isso pode permitir que um atacante extraia, por exemplo, dados privados, financeiros e de saúde desta base de dados. 

Na maioria das vezes, os profissionais de resposta a incidentes sabem como se parecem essas consultas maliciosas e como encontrá-las em arquivos de logs. Em nossa experiência, no entanto, percebemos que os atacantes agora tendem a codificar essas consultas, o que torna as tradicionais buscas por palavras-chaves ineficazes. 

A inteligência coletiva dos especialistas da Nuix capturou essa informação. Como resultado o Nuix Incident Response primeiro decodifica qualquer consulta codificada antes de aplicar pesquisas por ataques SQL injection (veja Figura 4). Ele então apresenta apenas os logs de entradas relevantes ao investigador (veja Figura 5). 



Figura 4: Os resultados de decodificação de uma query SQL injection. 
Figura 5:  Uma lista filtrada com as entradas de logs mostrando os ataques  SQL injection . 


Inteligência de terceiros 


Informações sobre ameaças cibernética tornam possível aumentar o nosso próprio conhecimento com a experiência de outros da comunidade. Fontes populares de informação incluem: 

  • Serviços de análise online de malware tais como VirusTotal (www.virustotal.com) que oferecem um ótimo conhecimento sobre ameaças conhecidas e softwares maliciosos. Este serviço gratuito agrega informações sobre malware e websites perigosos de mais de 100 software de fabricantes de antivirus e mecanismos de verificação de website. Para cada item de malware identificado, o site tem hashes MD5 ou arquivos, endereços IP associados e URLs, e classificações do nível de risco do item. 
  • Repositórios de listas difusas de hashs (tais como a coleção da National Software Reference Library) que são outras formas de identificar arquivos de malware executáveis. Essas tem vantagens sobre os hashes MD5 por analisar partes pequenas de cada arquivo. Torna possível identificar arquivos que são substancialmente similares, mas não idênticos, tais como malware que se modificam ao se replicarem. 
  • Regras YARA são outra forma de identificar malware. Analistas de cibersegurança e pesquisadores criaram essas regras ao identificarem linhas únicas de texto, expressões regulares e outras assinaturas de malwares executáveis. 
  • Indicadores de frameworks comprometidos tais como OpenIOC (www. openioc.org) permitem que pesquisadores descrevam e compartilhem características técnicas que identificam uma ameaça conhecida, uma metodologia de atacante ou outras evidências de comprometimento. 



O valor real dessas fontes é que elas permitem o compartilhamento de inteligência por entre diferentes disciplinas. Elas oferecem um portal para grandes silos de inteligência sobre ameaças e softwares maliciosos. Porque eles tipicamente oferecem aplicações de interfaces de programação em suas bases de dados, os profissionais de resposta a incidentes podem integrar suas fontes em seu fluxo de trabalho investigativo utilizando Nuix scripting API. É importante notar que tais serviços vêm com um nível de risco que os respondentes devem entender plenamente antes de confiarem neles. 

Um multiplicador de inteligência 

É preciso ter mais do que uma única janela para compreender e investigar um incidente de cibersegurança. Ser capaz de combinar uma inteligência humana com tecnologia poderosa é multiplicar inteligência. Isso nos traz mais perto do objetivo final de qualquer investigação de cibersegurança, que é identificar as brechas antes que elas se tornem críticas ou contê-las, antes que gerem problemas. 

Acesse aqui o White Paper original, em inglês. 

* Stuart Clarke Diretor de cibersegurança e serviços de investigação da Nuix Stuart Clarke é um consultor experiente que já encontrou evidências periciais em processos civis e criminais por diferentes jurisdições.