Prévia do material em texto
Curso preparatório oficial para os exames da certificação Cybersecurity Analyst (CCSA) Conteúdo • Cybersecurity Foundation • Normas • Principais normas na área de segurança da informação • Principais termos e definições relacionados com segurança da informação • Golpes na Internet • Ataques na Internet • Códigos maliciosos (Malware) • Mecanismos de segurança • Simulados • Ethical Hacking Essentials e PenTest Essentials • Introdução a Ethical Hacking • Penetration Testing • Tipos de Penetration Testing • Fases da realização de um Penetration Testing • Análise de vulnerabilidades • Ataques • Cross Site Scripting • SQL Injection • Session Hijacking • Buffer Overflow • Spoofing • Métodos para descobrir senhas • Ferramentas • Simulados • Computer Forensics Foundation • Introdução a Computação Forense • Normas • Termos e definições • Locais de crime envolvendo equipamentos computacionais • Fases do exame forense em dispositivos de armazenamento • Principais desafios • Principais ferramentas • Simulados Cybersecurity Foundation (ISO/IEC 27032) Normas • Normas • Normas são documentos estabelecidos por consenso e aprovado por um organismo reconhecido, que fornece, para uso comum e repetitivo, regras, diretrizes ou características para atividades ou seus resultados, visando a obtenção de um grau ótimo de ordenação em um dado contexto. • Normas da família ISO/IEC 27000 • As normas da família ISO/IEC 27000 são normas internacionais que apresentam os requisitos necessários para a implementação de um Sistema de Gestão da Segurança da Informação (SGSI) em qualquer organização por meio do estabelecimento de políticas de segurança, controles e gerenciamento de risco. Principais normas na área de segurança da informação • ISO/IEC 27000 • Overview and vocabulary (Termos e definições aplicáveis a todas as normas da família 27000) • Referência normativa indispensável para aplicação de todas as normas da família 27000) • ISO/IEC 27001 • Sistemas de gestão da segurança da informação — Requisitos • ISO/IEC 27002 • Código de prática para controles de segurança da informação • ISO/IEC 27003 • Diretrizes para implantação de um sistema de gestão da segurança da informação • ISO/IEC 27004 • Gestão da segurança da informação — Medição • ISO/IEC 27005 • Gestão de riscos de segurança da informação • ISO/IEC 27007 • Segurança da informação, segurança cibernética e proteção da privacidade - Diretrizes para auditoria de sistemas de gestão da segurança da informação. Principais normas na área de segurança da informação • ISO/IEC 27014 • Tecnologia da Informação - Técnicas de Segurança - Governança de segurança da informação • ISO/IEC 27032 • A norma ISO/IEC 27032 fornece diretrizes para tratamento de riscos relacionados à segurança cibernética (cybersecurity), incluindo Malwares, Ataques de Engenharia Social, Hacking e Spywares. • ISO/IEC 27037 • Tecnologia da informação - Técnicas de segurança - Diretrizes para identificação, coleta, aquisição e preservação de evidência digital (Computação Forense). Principais termos e definições relacionados com segurança da informação • Ameaça • Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização. • Ameaças podem ser de origem natural ou humana e podem ser acidentais ou intencionais. • Convém que tanto as fontes de ameaças acidentais, quanto as intencionais, sejam devidamente identificadas. • Exemplos de ameaças • Acesso não autorizado • Espionagem industrial • Ações de hackers • Fraude • Roubo de documentos confidenciais • Enchente • Incêndio, etc... Principais termos e definições relacionados com segurança da informação • Ataque • Qualquer tentativa, bem ou mal sucedida, de acesso ou uso não autorizado de um serviço, computador ou rede. • Ativo • Algo que tenha valor para a organização e que, portanto, requer proteção. • Ativos primários • Processos e atividades de negócio • Informação • Ativos de suporte e infraestrutura • Hardware e software • Rede • Recursos Humanos • Instalações físicas Principais termos e definições relacionados com segurança da informação • Conformidade • Atendimento a um requisito. • Controle • Medida que está modificando o risco. • DNS (Domain Name System) • Sistema de nomes de domínios, responsável pela tradução, entre outros tipos, de nome de máquinas/domínios para o endereço IP correspondente e vice-versa. • Incidente de segurança da informação • Qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores. • Política • Intenções e direção de uma organização formalmente expressa pela sua alta direção. • Risco • Probabilidade de uma ameaça explorar uma vulnerabilidade de um ativo, causando danos ou perdas à organização. Principais termos e definições relacionados com segurança da informação • Risco Residual • Risco remanescente após o tratamento do risco. • Segurança Cibernética (Cybersecurity) • Preservação da confidencialidade, integridade e disponibilidade das informações na Internet. • Tratamento do Risco • Processo de seleção e implementação de medidas para modificar um risco. • Vetor de ataque • Meio pelo qual um atacante pode obter acesso a um computador ou servidor de rede com um objetivo mal-intencionado. • Vulnerabilidade • Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. • Vulnerabilidade Dia Zero (zero-day vulnerability) • Vulnerabilidades desconhecidas pelo fabricante. Golpes na Internet • Furto de identidade (Identity theft) • O furto de identidade, ou identity theft, é o ato pelo qual uma pessoa tenta se passar por outra, atribuindo-se uma falsa identidade, com o objetivo de obter vantagens indevidas. Alguns casos de furto de identidade podem ser considerados como crime contra a fé pública, tipificados como falsa identidade. • Malvertising • Tipo de golpe que consiste em criar anúncios maliciosos e, por meio de serviços de publicidade, apresentá-los em diversas páginas Web. 11 Golpes na Internet • Phishing • Phishing é o tipo de fraude por meio da qual um golpista tenta obter dados pessoais e financeiros de um usuário, pela utilização combinada de meios técnicos e engenharia social. • O phishing ocorre por meio do envio de mensagens eletrônicas que: • tentam se passar pela comunicação oficial de uma instituição conhecida, como um banco, uma empresa ou um site popular; • procuram atrair a atenção do usuário, seja por curiosidade, por caridade ou pela possibilidade de obter alguma vantagem financeira; • informam que a não execução dos procedimentos descritos pode acarretar sérias consequências, como a inscrição em serviços de proteção de crédito e o cancelamento de um cadastro, de uma conta bancária ou de um cartão de crédito; • tentam induzir o usuário a fornecer dados pessoais e financeiros, por meio do acesso a páginas falsas, que tentam se passar pela página oficial da instituição. 12 Golpes na Internet • Pharming • Pharming é um tipo específico de phishing que envolve a redireção da navegação do usuário para sites falsos, por meio de alterações no serviço de DNS (Domain Name System). • Neste caso, quando o usuário tenta acessar um site legítimo, o seu navegador Web é redirecionado, de forma transparente, para uma página falsa. • Boato (Hoax) • Um boato, ou hoax, é uma mensagem que possui conteúdo alarmante ou falso e que, geralmente, tem como remetente, ou aponta como autora, alguma instituição, empresa importante ou órgão governamental. • Por meio de uma leitura minuciosa de seu conteúdo, normalmente, é possível identificar informações sem sentido e tentativas de golpes, como correntes e pirâmides. • Fraude de antecipação de recursos (advance fee fraud) • Fraude na qual um golpista procura induzir uma pessoa a fornecer informações confidenciais ou a realizar um pagamento adiantado, com a promessa de futuramente receber algum tipo de benefício.13 Golpes na Internet • Scam • Esquemas ou ações enganosas e/ou fraudulentas. Normalmente, têm como finalidade obter vantagens financeiras. • Engenharia Social • Termo utilizado para descrever um método de ataque em que alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. • É considerada uma prática de má-fé, usada por golpistas para tentar explorar a ganância, a vaidade e a boa-fé ou abusar da ingenuidade e da confiança de outras pessoas, a fim de aplicar golpes, ludibriar ou obter informações sigilosas e importantes. 14 Ataques na Internet • Ataques costumam ocorrer na Internet com diversos objetivos, visando diferentes alvos e usando variadas técnicas. • Qualquer serviço, computador ou rede que seja acessível via Internet pode ser alvo de um ataque, assim como qualquer computador com acesso à Internet pode participar de um ataque. • Os motivos que levam os atacantes a desferir ataques na Internet são bastante diversos, variando da simples diversão até a realização de ações criminosas. Alguns exemplos são: • Demonstração de poder; • Motivações financeiras; • Prestígio; • Motivações ideológicas; • Motivações comerciais. 15 Ataques na Internet • Exploração de vulnerabilidades • Uma vulnerabilidade é definida como uma condição que, quando explorada por um atacante, pode resultar em uma violação de segurança. Exemplos de vulnerabilidades são falhas no projeto, na implementação ou na configuração de programas, serviços ou equipamentos de rede. • Um ataque de exploração de vulnerabilidades ocorre quando um atacante, utilizando-se de uma vulnerabilidade, tenta executar ações maliciosas, como invadir um sistema, acessar informações confidenciais, disparar ataques contra outros computadores ou tornar um serviço inacessível. • Exploit • Programa ou parte de um programa malicioso projetado para explorar uma vulnerabilidade existente em um programa de computador. 16 Ataques na Internet • Varredura em redes (Scan) • Varredura em redes, ou scan, é uma técnica que consiste em efetuar buscas minuciosas em redes, com o objetivo de identificar computadores ativos e coletar informações sobre eles como, por exemplo, serviços disponibilizados e programas instalados. • Com base nas informações coletadas é possível associar possíveis vulnerabilidades aos serviços disponibilizados e aos programas instalados nos computadores ativos detectados. • Scanner • Programa usado para efetuar varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. Amplamente usado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador. • Nmap • Ferramenta de código fonte aberto largamente utilizada para realização de varredura em redes e coleta de informações sobre hosts e serviços ativos, estado das portas e sistemas operacionais utilizados. • Possui interface gráfica e por linha de comando. • Multi plataforma(Linux, UNIX, Windows e Mac OS X). 17 Ataques na Internet • Falsificação de e-mail (E-mail spoofing) • Falsificação de e-mail, ou e-mail spoofing, é uma técnica que consiste em alterar campos do cabeçalho de um e-mail, de forma a aparentar que ele foi enviado de uma determinada origem quando, na verdade, foi enviado de outra. • Ataques deste tipo são bastante usados para propagação de códigos maliciosos, envio de spam e em golpes de phishing. • Exemplos de e-mails com campos falsificados são aqueles recebidos como sendo: • de alguém conhecido, solicitando que você clique em um link ou execute um arquivo anexo; • do seu banco, solicitando que você siga um link fornecido na própria mensagem e informe dados da sua conta bancária; • do administrador do serviço de e-mail que você utiliza, solicitando informações pessoais e ameaçando bloquear a sua conta caso você não as envie. 18 Ataques na Internet • Interceptação de tráfego (Sniffing) • Interceptação de tráfego, ou sniffing, é uma técnica que consiste em inspecionar os dados trafegados em redes de computadores, por meio do uso de programas específicos chamados de sniffers. • Man-in-the-middle • Tipo de ataque no qual o atacante se passa por uma entidade autorizada agindo como intermediário para roubar informações de identidade. • Força bruta (Brute force) • Um ataque de força bruta, ou brute force, consiste em adivinhar, por tentativa e erro, um nome de usuário e senha e, assim, executar processos e acessar sites, computadores e serviços em nome e com os mesmos privilégios deste usuário. • Apesar dos ataques de força bruta poderem ser realizados manualmente, na grande maioria dos casos, eles são realizados com o uso de ferramentas automatizadas facilmente obtidas na Internet e que permitem tornar o ataque bem mais efetivo. 19 Ataques na Internet • Desfiguração de página (Defacement) • Desfiguração de página, defacement ou pichação, é uma técnica que consiste em alterar o conteúdo da página Web de um site. • Negação de serviço (DoS e DDoS) • Negação de serviço, ou DoS (Denial of Service), é uma técnica pela qual um atacante utiliza um computador para tirar de operação um serviço, um computador ou uma rede conectada à Internet. • Quando utilizada de forma coordenada e distribuída, ou seja, quando um conjunto de computadores é utilizado no ataque, recebe o nome de negação de serviço distribuído, ou DDoS (Distributed Denial of Service). • O objetivo destes ataques não é invadir e nem coletar informações, mas sim exaurir recursos e causar indisponibilidades ao alvo. Quando isto ocorre, todas as pessoas que dependem dos recursos afetados são prejudicadas, pois ficam impossibilitadas de acessar ou realizar as operações desejadas. 20 Códigos maliciosos (Malware) • Códigos maliciosos (malware) • São programas especificamente desenvolvidos para executar ações danosas e atividades maliciosas em um computador. • Uma vez instalados, os códigos maliciosos passam a ter acesso aos dados armazenados no computador e podem executar ações em nome dos usuários, de acordo com as permissões de cada usuário. • Os principais motivos que levam um atacante a desenvolver e a propagar códigos maliciosos são a obtenção de vantagens financeiras, a coleta de informações confidenciais, o desejo de autopromoção e o vandalismo. 21 Códigos maliciosos (Malware) • Vírus • Vírus é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos. • Para que possa se tornar ativo e dar continuidade ao processo de infecção, o vírus depende da execução do programa ou arquivo hospedeiro, ou seja, para que o seu computador seja infectado é preciso que um programa já infectado seja executado. • Alguns dos tipos de vírus mais comuns são: • Vírus propagado por e-mail; • Vírus de script; • Vírus de macro; • Vírus de telefone celular. 22 Códigos maliciosos (Malware) • Worm • Worm é um programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador. • Diferente do vírus, o worm não se propaga por meio da inclusão de cópias de si mesmo em outros programas ou arquivos, mas sim pela execução direta de suas cópias ou pela exploração automática de vulnerabilidades existentes em programas instalados em computadores. • Worms são notadamente responsáveis por consumir muitos recursos, devido à grande quantidade de cópias de si mesmo que costumam propagar e, como consequência, podem afetar o desempenho de redes e a utilização de computadores. 23 Códigos maliciosos (Malware) • Bot • Bot é um programa que dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado remotamente. • Possui processo de infecção e propagação similar ao do worm, ouseja, é capaz de se propagar automaticamente, explorando vulnerabilidades existentes em programas instalados em computadores. • Computador zumbi (zombie computer) • Computador infectado por um bot, que possibilita que o equipamento seja controlado remotamente, sem o conhecimento do seu dono, normalmente para realizar um ataque a outro computador. • Botnet • Botnet é uma rede formada por centenas ou milhares de computadores zumbis e que permite potencializar as ações danosas executadas pelos bots. • Quanto mais zumbis participarem da botnet mais potente ela será. O atacante que a controlar, além de usá-la para seus próprios ataques, também pode alugá-la para outras pessoas ou grupos que desejem que uma ação maliciosa específica seja executada. 24 Códigos maliciosos (Malware) • Spyware • Spyware é um programa projetado para monitorar as atividades de um sistema e enviar as informações coletadas para terceiros. • Pode ser usado tanto de forma legítima quanto maliciosa, dependendo de como é instalado, das ações realizadas, do tipo de informação monitorada e do uso que é feito por quem recebe as informações coletadas. • Alguns tipos específicos de programas spyware são: • Keyloggers • Tipo de programa especializado em capturar e armazenar informações digitadas no teclado. • Tipos de Keyloggers • Keyloggers locais • São os tipos mais comuns de capturadores de teclas; • Rodam localmente e armazenam as informações capturadas no disco; • Programa ou dispositivo físico (USB ou PS/2). • Keyloggers remotos • Permite enviar as informações capturadas por e-mail. • Screenloggers • Similar ao keylogger, capaz de armazenar a posição do cursor e a tela apresentada no monitor, nos momentos em que o mouse é clicado, ou a região que circunda a posição onde o mouse é clicado. São bastante utilizados por atacantes para capturar as teclas digitadas pelos usuários em teclados virtuais, disponíveis principalmente em sites de Internet Banking. 25 Códigos maliciosos (Malware) • Backdoor • Backdoor é um programa que permite o retorno de um invasor a um computador comprometido, por meio da inclusão de serviços criados ou modificados para este fim. • Pode ser incluído pela ação de outros códigos maliciosos, que tenham previamente infectado o computador, ou por atacantes, que exploram vulnerabilidades existentes nos programas instalados no computador para invadi-lo. • Após incluído, o backdoor é usado para assegurar o acesso futuro ao computador comprometido, permitindo que ele seja acessado remotamente, sem que haja necessidade de recorrer novamente aos métodos utilizados na realização da invasão ou infecção e, na maioria dos casos, sem que seja notado. 26 Códigos maliciosos (Malware) • Cavalo de troia (Trojan) • Cavalo de troia ou trojan, é um programa que, além de executar as funções para as quais foi aparentemente projetado, também executa outras funções, normalmente maliciosas, e sem o conhecimento do usuário. • Exemplos de trojans são programas que você recebe ou obtém de sites na Internet e que parecem ser apenas cartões virtuais animados, álbuns de fotos, jogos e protetores de tela, entre outros. Estes programas, geralmente, consistem de um único arquivo e necessitam ser explicitamente executados para que sejam instalados no computador. • Rootkit • Rootkit é um conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido. 27 Códigos maliciosos (Malware) • Ransomware • Programa que torna inacessíveis os dados armazenados em um equipamento, geralmente usando criptografia, e que exige pagamento de resgate (ransom) para restabelecer o acesso ao usuário. • É um tipo de código malicioso • assim como vírus, trojan, backdoor, worm, bot e spyware. • Pode infectar: • computadores (desktop, notebook, servidores, etc.); • equipamentos de rede (modems, switches, roteadores, etc.); • dispositivos móveis (tablets, celulares, smartphones, etc.). • Ações mais comuns: • impede o acesso ao equipamento (Locker ransomware); • impede o acesso aos dados armazenados no equipamento, geralmente usando criptografia (Crypto ransomware). • Extorsão é o principal objetivo dos atacantes: • pagamento feito geralmente via bitcoins; • não há garantias de que o acesso será restabelecido; • mesmo que o resgate seja pago. • normalmente usa criptografia forte; • Costuma buscar outros dispositivos conectados, locais ou em rede, e criptografá-los também. 28 Códigos maliciosos (Malware) • Ransomware • Infecção pode ocorrer pela execução de arquivo infectado: • recebido: • via links em e-mails, redes sociais e mensagens instantâneas; • anexado a e-mails. • baixado de sites na Internet. • acessado: • via arquivos compartilhados; • via páginas Web maliciosas, usando navegadores vulneráveis. • Não se propaga sozinho. • Nem sempre é possível reverter as ações danosas já feitas ou recuperar totalmente os dados. 29 Códigos maliciosos (Malware) • Ransomware Como se prevenir contra ataques do tipo Ransomware • Fazer backup regularmente: • Backup é a solução mais efetiva contra ransomware; • Manter os backups atualizados e desconectados do sistema; • Fazer cópias redundantes. • Manter os programas instalados sempre atualizados: • Remover programas não utilizados; • Configurar a atualização automática dos programas; • Utilizar apenas softwares originais. • Manter um antivírus (antimalware) instalado e sempre atualizado: • Configurar o antivirus para verificar automaticamente: • toda e qualquer extensão de arquivo; • arquivos anexados aos e-mails e obtidos pela Internet; • discos rígidos e unidades removíveis. 30 Códigos maliciosos (Malware) • Ransomware • Como se prevenir contra ataques do tipo Ransomware • Assegurar-se de ter um firewall pessoal instalado e ativo. • Utilizar antispam para filtrar as mensagens indesejadas. • Desabilitar a auto-execução de mídias removíveis e arquivos anexados. • Utilizar a conta de administrador do sistema apenas quando necessário. • Ser cuidadoso ao clicar em links curtos. • Ao instalar aplicativos de terceiros, selecionar aqueles bem avaliados e com grande quantidade de usuários. 31 Outros riscos • Spam • Spam é o termo usado para se referir aos e-mails não solicitados, que geralmente são enviados para um grande número de pessoas. • Blacklist • Lista de e-mails, domínios ou endereços IP, reconhecidamente fontes de spam. • Cookies • Cookies são pequenos arquivos que são gravados em seu computador quando você acessa sites na Internet e que são reenviados a estes mesmos sites quando novamente visitados. São usados para manter informações sobre você, como carrinho de compras, lista de produtos e preferências de navegação. 32 Mecanismos de segurança • Acordo de Não-Divulgação (Non-Disclosure Agreement) • Documento que tem por objetivo garantir o tratamento adequado e proteção de informações sensíveis, pessoais e/ou confidenciais. • Política de Segurança da Informação • Documento estruturado que estabelece um conjunto de regras, normas e procedimentos que define as obrigações e as responsabilidades referentes à segurança da informação. • Política de uso aceitável (PUA) ou Acceptable Use Policy (AUP) • Também chamada de "Termo de Uso" ou "Termo de Serviço", define as regras de uso dos recursos computacionais, os direitos e as responsabilidades de quem os utiliza e as situações que são consideradas abusivas. • NTP (Network Time Protocol) • Tipo de protocolo que permite a sincronização dos relógios dos dispositivos de uma rede, como servidores, estações de trabalho, roteadores e outros equipamentos, à partir de referências de tempo confiáveis • Firewall • Dispositivo de segurança usado para dividir e controlar o acesso entre redes de computadores. • Firewall pessoal • Firewall pessoal é um tipo específico de firewall que é utilizado para proteger um computador contra acessos não autorizados vindos da Internet. 33 Criptografia• A criptografia, considerada como a ciência e a arte de escrever mensagens em forma cifrada ou em código. • É um dos principais mecanismos de segurança que você pode usar para se proteger dos riscos associados ao uso da Internet. • Termos empregados em criptografia: 34 TERMO SIGNIFICADO Texto claro Informação legível (original) que será protegida, ou seja, que será codificada Texto codificado (cifrado) Texto ilegível, gerado pela codificação de um texto claro Codificar (cifrar) Ato de transformar um texto claro em um texto codificado Decodificar (decifrar) Ato de transformar um texto codificado em um texto claro Método criptográfico Conjunto de programas responsável por codificar e decodificar informações Chave Similar a uma senha, é utilizada como elemento secreto pelos métodos criptográficos. Seu tamanho é geralmente medido em quantidade de bits Canal de comunicação Meio utilizado para a troca de informações Remetente Pessoa ou serviço que envia a informação Destinatário Pessoa ou serviço que recebe a informação Criptografia • De acordo com o tipo de chave usada, os métodos criptográficos podem ser subdivididos em duas grandes categorias: criptografia de chave simétrica e criptografia de chaves assimétricas. • Criptografia de chave simétrica: também chamada de criptografia de chave secreta ou única, utiliza uma mesma chave tanto para codificar como para decodificar informações, sendo usada principalmente para garantir a confidencialidade dos dados. • Criptografia de chaves assimétricas: também conhecida como criptografia de chave pública, utiliza duas chaves distintas: uma pública, que pode ser livremente divulgada, e uma privada, que deve ser mantida em segredo por seu dono. 35 Criptografia • Função de resumo (Hash) • Uma função de resumo é um método criptográfico que, quando aplicado sobre uma informação, independente do tamanho que ela tenha, gera um resultado único e de tamanho fixo, chamado hash. • A função de resumo (Hash) pode ser utilizada para: • verificar a integridade de um arquivo armazenado em seu computador ou em seus backups; • verificar a integridade de um arquivo obtido da Internet (alguns sites, além do arquivo em si, também disponibilizam o hash correspondente, para que você possa verificar se o arquivo foi corretamente transmitido e gravado); • gerar assinaturas digitais. 36 Criptografia • Assinatura digital • A assinatura digital permite comprovar a autenticidade e a integridade de uma informação, ou seja, que ela foi realmente gerada por quem diz ter feito isto e que ela não foi alterada. • Certificado digital • O certificado digital é um registro eletrônico composto por um conjunto de dados que distingue uma entidade e associa a ela uma chave pública. Ele pode ser emitido para pessoas, empresas, equipamentos ou serviços na rede (por exemplo, um site Web) e pode ser homologado para diferentes usos, como confidencialidade e assinatura digital. • Um certificado digital pode ser comparado a um documento de identidade, por exemplo, o seu passaporte, no qual constam os seus dados pessoais e a identificação de quem o emitiu. No caso do passaporte, a entidade responsável pela emissão e pela veracidade dos dados é a Polícia Federal. No caso do certificado digital esta entidade é uma Autoridade Certificadora (AC). • Autoridade certificadora • Entidade responsável por emitir e gerenciar certificados digitais. 37 Criptografia • SSH • Do inglês Secure Shell. Protocolo que utiliza criptografia para acesso a um computador remoto, permitindo a execução de comandos, transferência de arquivos, entre outros. 38 Uso seguro da Internet • Segurança em conexões Web • Protocolo HTTP • O protocolo HTTP, além de não oferecer criptografia, também não garante que os dados não possam ser interceptados, coletados, modificados ou retransmitidos e nem que você esteja se comunicando exatamente com o site desejado. • Por estas características, ele não é indicado para transmissões que envolvem informações sigilosas, como senhas, números de cartão de crédito e dados bancários, e deve ser substituído pelo HTTPS, que oferece conexões seguras. 39 Uso seguro da Internet • Segurança em conexões Web (cont.) • Protocolo HTTPS • O protocolo HTTPS utiliza certificados digitais para assegurar a identidade, tanto do site de destino como a sua própria, caso você possua um. • Também utiliza métodos criptográficos e outros protocolos, como o SSL (Secure Sockets Layer) e o TLS (Transport Layer Security), para assegurar a confidencialidade e a integridade das informações. • Sempre que um acesso envolver a transmissão de informações sigilosas, é importante certificar-se do uso de conexões seguras. 40 Uso seguro da Internet • Tipos de conexão • Conexão padrão: é a usada na maioria dos acessos realizados. Não provê requisitos de segurança. • Alguns indicadores deste tipo de conexão são: • o endereço do site começa com "http://"; • em alguns navegadores, o tipo de protocolo usado (HTTP), por ser o padrão das conexões, pode ser omitido na barra de endereços; • um símbolo do site (logotipo) é apresentado próximo à barra de endereço e, ao passar o mouse sobre ele, não é possível obter detalhes sobre a identidade do site. 41 Uso seguro da Internet • Conexão segura: é a que deve ser utilizada quando dados sensíveis são transmitidos, geralmente usada para acesso a sites de Internet Banking e de comércio eletrônico. Provê autenticação, integridade e confidencialidade, como requisitos de segurança. • Alguns indicadores deste tipo de conexão são: • o endereço do site começa com "https://"; • o desenho de um "cadeado fechado" é mostrado na barra de endereço e, ao clicar sobre ele, detalhes sobre a conexão e sobre o certificado digital em uso são exibidos; • um recorte colorido (branco ou azul) com o nome do domínio do site é mostrado ao lado da barra de endereço (à esquerda ou à direita) e, ao passar o mouse ou clicar sobre ele, são exibidos detalhes sobre conexão e certificado digital em uso. 42 Uso seguro da Internet • IDS (Intrusion Detection System) • Programa, ou um conjunto de programas, cuja função é detectar atividades maliciosas ou anômalas. • Log • Termo técnico que se refere ao registro de atividades gerado por programas e serviços de um computador, por exemplo, de conexão (informações sobre a conexão de um computador à Internet) e de acesso a aplicações (informações de acesso de um computador a uma aplicação de Internet). • Proxy • Servidor que atua como intermediário entre um cliente e outro servidor. Normalmente é utilizado em empresas para aumentar o desempenho de acesso a determinados serviços ou permitir que mais de uma máquina se conecte à Internet. • VPN • Do inglês Virtual Private Network. Termo usado para se referir à construção de uma rede privada utilizando redes públicas (por exemplo, a Internet) como infraestrutura. • Esses sistemas utilizam criptografia e outros mecanismos de segurança para garantir que somente usuários autorizados possam ter acesso à rede privada e que nenhum dado será interceptado enquanto estiver passando pela rede pública. 43 Ethical Hacking Essentials e PenTest Essentials Introdução a Ethical Hacking • Ethical Hacker (White Hat Hacker) • Tipo de hacker que tem por objetivo realizar testes de intrusão a fim de ajudar as organizações a identificar vulnerabilidades às quais seus ativos de informação estejam expostos para que sejam tomadas as medidas apropriadas para lidar com os riscos associados. • Black Hat Hacker • Tipo de hacker que utiliza seus conhecimentos para roubar senhas, documentos, causar danos ou mesmo realizar espionagem industrial. • Script kiddie • Termo utilizado para identificar individuos que possuem poucos conhecimentos técnicos e que geralmente não tem alvos definidos e utilizam exploits e scripts prontos ("receitas de bolo") para invadir sistemas. 45 Introdução a Ethical Hacking • Crackers • São os responsáveis pela criação dos cracks, ferramentas que quebrama ativação de um software comercial, permitindo que qualquer pessoa tenha uma versão pirata do software em seu computador. • São responsáveis pelo prejuízo das empresas de software, e também por desenvolver vírus e outras pragas como spywares e trojans. • Defacer • Pessoa responsável pela desfiguração de uma página. 46 Penetration Testing • Penetration Testing • Teste realizado por um hacker ético, cujo objetivo é tentar invadir um sistema, rede ou ambiente no qual se deseja detectar falhas a fim de gerar um relatório indicando os problemas encontrados e as recomendações para corrigi-los. • Tipos de Penetration Testing • Black box • Tipo de Penetration Testing no qual o auditor não possui qualquer conhecimento prévio sobre a estrutura, rede ou sistema alvo. • Também conhecido como “zero knowledge”. • Simula um ataque hacker real. • Tipos de Penetration Testing • Gray box • Tipo de Penetration Testing no qual o auditor possui conhecimento parcial da estrutura e da rede da empresa. • Tipos de Penetration Testing • White box • Tipo de Penetration Testing no qual o auditor possui todo conhecimento necessário sobre a estrutura, rede ou sistema alvo. 47 Penetration Testing • Fases da realização de um Penetration Testing • Planejamento/Preparação • Execução • Pós-teste 48 Penetration Testing • Planejamento/Preparação • Coleta de informações necessárias para realização do Penetration Testing (Reconnaissance). • Os funcionários e clientes da empresa serão notificados a respeito da realização do teste? • Quais são os resultados esperados? • O teste será realizado durante o expediente? • Quais sistemas serão testados? • Definição do escopo e do objetivo do teste. • Levantamento de informações (dispositivos de hardware, topologia da rede, sistemas operacionais, etc...). • Obtenção de permissão para realização do teste. • É assinado um non-disclosure agreement (NDA), também chamado de acordo de confidencialidade. 49 Penetration Testing • Execução • Etapa de realização do Penetration Testing propriamente dito. • Identificação de vulnerabilidades e falhas de segurança. • Pós-teste • Elaboração de relatório • Vulnerabilidades e falhas de segurança encontradas • Análise de risco • Matriz GUT • Recomendações 50 Penetration Testing • Etapas técnicas • (1) Footprinting • Refere-se a busca detalhada de informações iniciais sobre um determinado alvo. • É o primeiro passo para uma intrusão bem-sucedida. • Inclui recursos de mapeamento de redes e consulta a banco de dados whois (consulta de informações sobre domínios) e nslookup (consultas DNS). • OSINT (Open Source Intelligence) - coleta e análise de informações provenientes de fontes abertas/públicas. • Tem por objetivo descobrir: • Faixa de endereços IP; • Informações relacionadas à rede; • Nomes e informações sobre funcionários; • Documentos com informações úteis. • Pode ser realizada de forma manual, automatizada ou por meio de consulta a sites de busca (Google e archive.org). • O site archive.org mantém um projeto chamado WayBack Machine que mantém versões antigas de mais de 478 bilhões de páginas. 51 Penetration Testing • Etapas técnicas (cont.) • (2) Varredura • É etapa de um Penetration Testing que tem objetivo identificar hosts ativos e portas abertas na rede alvo. • Consiste em efetuar buscas minuciosas em redes, com o objetivo de identificar computadores ativos e coletar informações sobre eles como, por exemplo, serviços disponibilizados e programas instalados. • Pode se realizada manualmente ou por meio de ferramentas específicas chamadas de Scanners. 52 Penetration Testing • Etapas técnicas (cont.) • (3) Enumeração • Etapa de um Penetration Testing que tem objetivo identificar os serviços que estão rodando em determinadas portas. • Identificação do sistema operacional do alvo (Fingerprinting). • Compilação de dados sobre recursos disponíveis, compartilhamentos e usuários. 53 Penetration Testing • Etapas técnicas (cont.) • (4) Procura por falhas e problemas • Identificação de vulnerabilidades e falhas de segurança. • Utilização de scanners. 54 Penetration Testing • Etapas técnicas (cont.) • (5) Utilização de métodos para burlar proteção • Enganar o usuário • Engenharia social • Malwares • Explorar falhas • SQL Injection • Cross Site Scripting • Exploits • Explorar má configuração • Senhas fracas (Força Bruta) • Sniffing • Negação de serviço • DoS e DDoS 55 Penetration Testing 56 Footprinting Varredura Procura por Falhas e Problemas Enumeração Métodos para Burlar a Proteção Enganar usuário Explorar falhas Explorar má Configuração Negação de Serviço Exploits CSS SQL Injection Senhas fracas (Força Bruta) Malware Engenharia Social Sniffing DoS e DDoS Análise de Vulnerabilidades • Análise de vulnerabilidades • Análise de vulnerabilidades consiste na verificação da existência de falhas de segurança no ambiente analisado. • O objetivo da análise de vulnerabilidades é verificar se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços que fornece ou desempenha. 57 Ataques • Cross Site Scripting (CSS ou XSS) • Tipo de ataque que tem por objetivo roubar cookies do usuário geralmente utilizando um código em JavaScript. • SQL Injection • Tipo de ataque que consiste na injeção de comandos SQL dentro de uma consulta (query) por meio da manipulação das entradas de dados de uma aplicação. • Session Hijacking • É o sequestro de uma sessão. Ocorre quando um usuário malicioso intercepta cookies com dados do início da sessão da vítima em algum serviço online. Assim, o cracker consegue acessar a página do serviço como se fosse a vítima e realizar roubos de informações e modificações. • Buffer Overflow • Tipo de ataque que ocorre quando um programa recebe uma quantidade de dados superior à capacidade de armazenamento do buffer ocasionando comportamentos inesperados, ou mesmo o travamento do programa. 58 Spoofing • Spoofing • É a arte de criar endereços falsos e utilizá-los para diversos propósitos. • Tipo de ataque no qual uma entidade impostora se faz passar por uma entidade verdadeira. • Existem diversos tipos de ataques tipo spoofing: • MAC Spoofing: personificação de um endereço MAC ou envenenamento de tabela do switch. • ARP Spoofing: envenenamento da tabela ARP. • IP Spoofing: personificação de um endereço IP. • DNS Spoofing: falsificação de traduções DNS. 59 Spoofing • MAC Spoofing • Técnica de ataque baseando-se no envenenamento de tabela do switch, permitindo ao atacante receber pacotes direcionados a outra máquina. • Funcionamento: • Enviar ao switch um pacote ethernet falso com o endereço MAC da máquina vítima. • ARP Spoofing • Técnica de ataque de envenenamento da tabela ARP de uma máquina, permitindo ao atacante receber pacotes direcionados a outra máquina. • IP Spoofing • Técnica de invasão onde o atacante finge ser outra máquina falsificando o seu endereço IP. • Ataque simples de ser realizado principalmente se o impostor estiver na mesma rede IP da máquina verdadeira. • Diversos tipos de ataques usam o IP Spoofing, que é potencialmente perigoso em sistemas que baseiam sua segurança em endereços IP. 60 Spoofing • DNS Spoofing • Tipo de ataque no qual uma entidade impostora se faz passar por uma entidade verdadeira, enviando respostas falsas à requisições DNS legítimas. • Programa para DNS Spoofing • Necessita obter/concentrar os pacotes da rede, ou simplesmente realizar o “sniffing”. • Quando observa uma requisição válida de DNS envia imediatamente uma resposta contendo uma tradução falsa. • (1) Cliente realiza requisição DNS; • (2) Atacante envia uma resposta DNS falsa; • (3) O servidor DNS envia a resposta. Porém ela será descartada pelo cliente; • (4) O cliente contata o servidor falso. 61 Senhas • Métodos para descobrir senhas • Password guessing • Tentativa de adivinhação de senhas. • Engenharia social •Uso da persuasão. • Sniffers • Dispositivo ou programa de computador utilizado para capturar e armazenar dados trafegando em uma rede de computadores. • Keyloggers • Programas capazes de capturar e armazenar as teclas digitadas pelo usuário no teclado do computador. • Força Bruta • Tipo de ataque que consiste em adivinhar, por tentativa e erro, um nome de usuário e senha. 62 Senhas • Métodos para descobrir senhas (cont.) • Man-in-the-middle • Interceptação de dados. • Ataque de dicionários • O ataque de dicionários consiste em criar uma lista de palavras (wordlist) ou senhas muito utilizadas e valer-se dessas informações. • Rainbow Tables • Uma tabela de consulta que relaciona strings com seus respectivos hashes. 63 Senhas • Senhas mais utilizadas em 2020 Fonte: PCMagazine 64 1. 123456 11. 1234567 2. 123456789 12. qwerty 3. picture1 13. abc123 4. password 14. Million2 5. 12345678 15. 000000 6. 111111 16. 1234 7. 123123 17. iloveyou 8. 12345 18. aaron431 9. 1234567890 19. password1 10. senha 20. qqww1122 Mecanismos de Segurança • IDS • Sistema que monitora e analisa eventos de uma rede a procura de indícios de comportamento anômalo com o intuito de fornecer alertas em tempo real sobre acessos não autorizados aos recurso da rede. • Honeypots • Sistema criado com objetivo de enganar um atacante e fazê-lo pensar que conseguiu invadir o sistema, quando, na realidade, ele está em um ambiente simulado, tendo todos os seus passos registrados. • Ferramentas antimalware • Ferramentas antimalware são aquelas que procuram detectar e, então, anular ou remover os códigos maliciosos de um computador. • Antivírus, antispyware, antirootkit e antitrojan são exemplos de ferramentas deste tipo. 65 Ferramentas • Nmap (scanner de portas) • https://nmap.org/ • Network protocol analyzer (analisador de protocolo utilizado para capturar tráfego de rede) • Wireshark • https://www.wireshark.org/ • Packet generator and analyzer • hping • http://www.hping.org/ • Kali Linux • Distribuição Linux voltado para realização de Penetration Testing. • Social Engineer Toolkit (SET) • Ferramenta de código fonte aberto utilizada para realizar ataques de engenharia social durante os testes de invasão. • https://www.social-engineer.org/framework/se-tools/computer-based/social-engineer-toolkit-set/ • Scanners • GFI LanGuard • http://www.gfi.com/products-and-solutions/network-security-solutions/gfi-languard • Nessus (scanner de vulnerabilidades) • http://www.tenable.com/products/nessus-vulnerability-scanner 66 Ferramentas • Metasploit (Ferramenta de exploração de falhas) • https://www.metasploit.com/ • theHarvester (Ferramenta utilizada para descobrir endereços de e-mail válidos) • https://tools.kali.org/information-gathering/theharvester • OpenVAS (Ferramenta de varreduras e gerenciamento de vulnerabilidades open-source) • https://www.openvas.org/ • Keyloggers • Ardamax Keylogger • http://www.ardamax.com/keylogger/ • Perfect Keylogger • http://www.blazingtools.com/bpk.html • IDS • Snort • https://www.snort.org/ 67 Computer Forensics Foundation (ISO/IEC 27037) Introdução a Computação Forense • Computação Forense é uma ciência que consiste em preservar, coletar e analisar evidências digitais que possam fornecer informações sobre uso indevido ou abusivo de recursos computacionais e que possuam valor probatório. 69 Introdução a Computação Forense • Computação forense envolve os seguintes aspectos: • Adquirir a evidência sem alterar ou danificar o original; • Analisar os dados sem modificá-los; • Verificação de uma quantidade grande de dados, às vezes, gigabytes de dados; • Procura por palavras, frases ou termos específicos; • Exame de arquivos de registros ou logs para identificar o tempo em que eventos ocorreram; • Correlacionamento de eventos; • Fornecer evidências de que um usuário realizou ou não um determinado ato ilícito. 70 Introdução a Computação Forense • Principais motivações • Incidentes de segurança; • Fraudes financeiras; • Espionagem; • Uso indevido de recursos; • Violação de direito de propriedade intelectual; • Pornografia infantil; • Ameaças. 71 Introdução a Computação Forense • Âmbito da investigação • Extrajudicial • Interna à uma organização privada; • Interna à uma organização pública (sindicância); • Fiscalização (realizada por órgão de fiscalização); • Policial. • Judicial (instrução probatória) 72 Normas • ABNT NBR ISO/IEC 27037:2013 • A norma estabelece diretrizes para identificação, coleta, aquisição e preservação de evidência digital. • Fornece diretrizes para atividades específicas no tratamento de potenciais evidências digitais; • Fornece diretrizes para as pessoas responsáveis pela identificação, coleta, aquisição e preservação da potencial evidência digital; • Não ordena o uso o de ferramentas e métodos específicos. 73 Conceitos gerais • Termos e definições • Adulteração - ato de deliberadamente realizar ou permitir alterações na potencial evidência digital. • Aquisição - processo de criação de cópia de dados de uma potencial evidência digital (por exemplo, disco rígido completo, partição, arquivos selecionados) e documentação de métodos usados e atividades realizadas. • Cadeia de custódia - é o processo de documentar a história cronológica da evidência, visando garantir o seu rastreamento em processos judiciais, registrar quem teve acesso ou realizou o manuseio desta evidência. • Coleta - processo no qual dispositivos que podem conter potencial evidência são removidos de sua localização original para um laboratório ou outro ambiente controlado para posterior aquisição e análise (recolhimento de itens físicos que contem potencial evidência digital). • Dados não voláteis - dados que não se perdem quando um equipamento (exemplo computador) é desligado ou mediante interrupção de energia. • Dados voláteis - dados que são propensos a alteração e que podem ser facilmente modificados ou apagados. 74 Conceitos gerais • Termos e definições • Espoliação - diminuição do valor probatório da evidencia digital por conta de adulteração ou manuseio inadequado. • Evidência digital - informações ou dados, armazenados ou transmitidos em forma binária, que podem ser utilizados como evidência de um crime. • Função de verificação (função hash) - função que é usada para verificar se dois conjuntos de dados são idênticos. Exemplo: MD5, SHA-1. • Identificação - processo envolvendo a busca, reconhecimento e documentação da potencial evidência digital. • Instalações de preservação de evidências - ambiente seguro ou local onde as evidências coletadas são armazenadas. • Laudo pericial - é o relatório final da perícia, que deverá conter a exposição do objeto da perícia, a análise técnica ou científica realizada pelo perito, a indicação do método utilizado e a conclusão. 75 Conceitos gerais • Termos e definições (cont.) • Mídia de destino - mídia que receberá a cópia da mídia de provas, ou onde uma imagem pericial é restaurada. • Mídia de provas - mídia digital original, foco da perícia, onde se encontram evidências de um crime. • Preservação - processo para manter e proteger a integridade e/ou a condição original da potencial evidência digital e do dispositivo que a contêm contra espoliação ou adulteração. • Repetibilidade - propriedade de um processo conduzido para se obter os mesmos resultados em um mesmo ambiente de teste (mesmo computador, disco rígido, etc...). • Reprodutibilidade - propriedade de um processo para se obter os mesmos resultados em um ambiente de teste diferente (diferente computador, disco rígido, etc...). 76 Conceitos gerais • Crimes cometidos com uso de equipamentos computacionais • Equipamento computacional utilizado como ferramenta de apoio aos crimes convencionais • Nesta modalidade de crime, o computador é utilizado apenas como ferramenta na prática de crimes convencionais, como sonegação fiscal, falsificação de documentos, entre outros. •Equipamento computacional utilizado como meio para o cometimento do crime • Nesta modalidade, o computador é utilizado como meio para o cometimento de crimes informáticos, como propagação de códigos maliciosos, envio de spam, golpes e ataques na Internet. (Phishing, Desfiguração de página, Furto de identidade, Falsificação de e-mail, entre outros). 77 Conceitos gerais • Origem das informações • Computadores • Conteúdos de disco rígidos; • Mídias ópticas (CDs, DVDs e Blu-Rays); • Fitas; • Cartões de memória e pen-drives; • Informações preservadas registry (Windows); • Smartphones e PDAs; • Câmeras. • Logs • Computadores; • Roteadores; • Firewalls; • Servidores ; • Provedores de Internet. • Sniffers 78 Locais de crime envolvendo equipamentos computacionais • Local de crime de informática • É o local de crime convencional acrescido de equipamentos computacionais que podem ter relação com o delito investigado. • Atuação do perito em buscas e apreensões em informática • Ao participar de equipe para o cumprimento de mandado de busca e apreensão, o perito é o responsável em orientar a equipe quanto à seleção, preservação e coleta dos equipamentos computacionais para posterior realização dos exames forenses. • Devem ser tomados providências para preservação dos vestígios digitais. • Em alguns casos, quando computadores estiverem ligados, pode ser necessário copiar os dados da mémoria RAM antes de serem desligados utilizando ferramentas que façam dump dos dados voláteis. • Equipamentos computacionais que contenham as evidências desejadas devem ser acondicionados e transportados de maneira adequada. 79 Locais de crime envolvendo equipamentos computacionais • Atuação do perito em locais de crime de informática • Assim como em buscas e apreensões, todos os procedimentos de identificação e preservação de dados contidos nos equipamentos computacionais devem ser realizados. • A principal diferença é que neste caso, os procedimentos forenses serão realizados no local do crime de informática utilizando ferramentas e dispositivos que permitem acessar e realizar cópias da mídia original sem alterar o conteúdo. • Tal procedimento tem por objetivo preserver as evidências e evitar a inviabilidade da prova. 80 Locais de crime envolvendo equipamentos computacionais • Apreensão de equipamentos computacionais • Identificar os equipamentos computacionais existentes. • Selecionar os equipamentos computacionais a serem apreendidos de acordo com o foco da investigação. • Descrever todo material apreendido corretamente para garantir a cadeia de custódia. • Exemplo de descrição: • Um pen drive da marca Kingston, modelo DataTraveler Elite, número de série 6431KG000075E234C1, com capacidade nominal de 4 GB, fabricado em Taiwan. • Todo o material apreendido deve ser cuidadosamente acondicionado e transportado a fim de evitar danificações que possam causar perdas de evidências. Utilização de capas plásticas para acondicionar mídias ópticas, material antistático para envolver discos rígidos e plástico- bolha para amenizar vibrações. 81 Fases do exame forense em dispositivos de armazenamento Fase 1 - Preservação • Consiste em garantir que as informações armazenadas nos equipamentos computacionais não sofram alterações. Devido à fragilidade e sensibilidade das mídias de armazenamento computacional, os exames forenses devem, sempre que possível, ser realizados em cópias obtidas à partir do material original. • Espelhamento • O espelhamento é uma técnica que consiste na cópia exata e fiel dos dados (bit a bit) contidos em um dispositivo de armazenamento para outro. É necessário que exista um dispositivo a ser copiado (material questionado) e um para receber a cópia (destino). • Imagem • Semelhante ao espelhamento, mas ao invés de copiar os dados bit a bit, os dados são copiados para arquivos. • Equipamentos forenses mais utilizados em duplicação de mídias • Bloqueadores de escrita de disco rígido • São dispositivos mais comuns e simples de serem utilizados. Garante que nenhum dado será escrito no disco rígido questionado, de forma a disponibilizá-lo somente como leitura. • Duplicadores forenses • São equipamentos mais avançados e, além de realizarem bloqueio de escrita em disco rígidos, também permitem a realização de cópias (espelhamento ou imagem) para outros discos rígidos. 82 Fases do exame forense em dispositivos de armazenamento Fase 2 – Extração • A fase de extração de dados consiste basicamente na recuperação de todas as informações contidas na cópia de dados provenientes da fase de preservação. Vale lembrar que o material original (questionado) foi copiado, lacrado e guardado em lugar adequado, e todos os procedimentos serão realizados na cópia (espelho ou imagem). • Os principais procedimentos utilizados na fase de extração são: • Recuperação de arquivos apagados. • Indexação de dados. 83 Fases do exame forense em dispositivos de armazenamento Fase 3 – Análise • A análise de dados é a fase que consiste no exame das informações extraídas na fase anterior, a fim de identificar evidências digitais presentes no material examinado, que tenham relação direta com o delito investigado. • Em alguns casos, um disco rígido com capacidade de 200 GB, que é considerado pequeno para os padrões atuais, pode conter mais de 1 milhão de arquivos. • As principais técnicas utilizadas na fase de análise são: • Utilização de Known File Filter (KFF) • É uma lista com os resumos (hash) de arquivos conhecidos e pode se utilizado para filtrar o conteúdo de um dispositivo a ser examinado. Dessa forma, é possível diminuir, o número de arquivos a serem examinados em um disco rígido, descartando, por exemplo, arquivos de sistemas operacionais e diversos programas instalados. 84 Fases do exame forense em dispositivos de armazenamento Fase 3 – Análise (cont.) • Pesquisas por palavra-chave • É uma maneira eficiente de localizar arquivos, uma vez que os dados já foram indexados. Vale ressaltar que se o conteúdo dos arquivos estiver criptografado, a busca não encontrará os valores procurados. • Navegação pelo Sistema de pastas e arquivos • Percorrer os dados dos dispositivos de armazenamento por meio da estrutura de pastas e arquivos, a fim de localizar arquivos nas pastas onde os usuários geralmente armazenam seus arquivos (Meus Documentos, Desktop, no Windows, por exemplo). • Visualização adequada de arquivos • Depois de recuperar os arquivos encontrados no dispositivo examinado, é essencial que o perito disponha de ferramentas capazes de identificar e exibir o conteúdo dos arquivos em seu formato correto. 85 Fases do exame forense em dispositivos de armazenamento Fase 4 – Formalização • É a fase final dos exames forenses e consiste na elaboração do laudo pelo perito, apontando o resultado e apresentando as evidências digitais encontradas nos materias examinados. • Estrutura do laudo • Preâmbulo: identificação do laudo. • Material: descrição detalhada do material examinado no laudo. A descrição do material deve ser minuciosa, incluindo tipo, marca, modelo, número de série, cor, estado de conservação, capacidade, país de fabricação e outras características importantes. • Objetivo: objetivo do laudo. • Considerações técnicas (opcional): conceitos e informações importantes para o entendimento do laudo. • Exames: é a principal seção do laudo. Deve detalhar todos os procedimentos, técnicas e métodos utilizados pelo perito para a localização das evidências. O perito pode escrever as técnicas de preservação e de recuperação de dados utilizadas e detalhar as etapas realizadas para obtenção das evidências encontradas. • Respostas aos quesitos: resumo objetivo dos resultados obtidos. 86 Principais desafios • Quantidade de arquivos • O volume de dados dificulta o processamento. Um disco de 200 GB pode conter facilmente mais de 1 milhão de arquivos. • Existência de senhas • Durante a realização de exames forenses é comum se deparar com arquivos e programas protegidos por senha.Neste caso, é necessário que o perito conheça as principais técnicas para quebrar senhas. • Ataque de força bruta • Consiste em tentar descobrir a senha de um arquivo por meio do processo de tentativa e erro. • Ataque de dicionário • Uso de lista de palavras. Em muitos casos, é possível utilizar combinação de palavras. • RainBow Tables • Uso de tabelas pré-compiladas de hashes. 87 Principais desafios • Uso de criptografia • Buscar por programas de criptografia que estejam instalados no próprio equipamente analisado, de modo a tentar determinar o algoritimo utilizado ou, até mesmo, utilizar o próprio software para decodificar o conteúdo do arquivo. • Uso de esteganografia • Técnica que consiste em ocultar uma mensagem dentro de outra. Caso o perito não descubra a técnica utilizada para ocultar a mensagem, uma alternativa é verificar a existência de softwares específicos instalados no dispositivo examinado. 88 Principais ferramentas • Forensic Toolkit (FTK) • Reúne as principais funcionalidades para realização de exames forenses em dispositivos de armazenamento de dados. • Oferece recursos de indexação de dados, recuperação de arquivos, visualização de imagens, separação por tipos de arquivos, utilização de Known File Filter (KFF), pesquisas por palavra-chave, entre outras. • Dispõe de módulos para duplicação de dados e visualização de registros internos do Sistema Operacional. • Interface gráfica intuitiva • http://accessdata.com/solutions/digital-forensics/forensic-toolkit-ftk • EnCase® Forensic • Oferece recursos de duplicação de discos, recuperação de arquivos apagados, pesquisa por palavra-chave, visualização de arquivos em formatos adequados. • https://www.guidancesoftware.com/encase-forensic 89 Principais ferramentas • WinHex: Computer Forensics & Data Recovery Software, Hex Editor & Disk Editor • https://www.x-ways.net/winhex/ • Ontrack EasyRecovery • https://www.krollontrack.com/products/data-recovery-software/ • Password Recovery Toolkit (PRTK) • http://accessdata.com/product-download/digital-forensics/password-recovery-toolkit-prtk- version-7.6.0 90 Referências bibliográficas • ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001. • ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002. • ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27032. • ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27037. • ASSUNÇÃO, Marcos F. A. Segredos do Hacker Ético. 5. ed. Florianópolis: Visual Books, 2014. • CAMPOS, André. Sistema de segurança da informação: controlando os riscos. 2. ed. São Paulo: Visual Books, 2007. • CARTILHA DE SEGURANÇA PARA INTERNET – Cert.br. Disponível em http://cartilha.cert.br/ • ELEUTÉRIO, Pedro M. S.; MACHADO, Marcio P. Desvendando a computação forense. 1. ed. São Paulo: Novatec, 2011. • FARMER, D; VENEMA, W. Perícia Forense Computacional. 1. ed. São Paulo: Pearson Brasil, 2006. • MELO, Sandro. Exploração de Vulnerabilidades em Redes TCP/IP. 3. ed. Rio de Janeiro: Alta Books, 2017. • SÊMOLA, Marcos. Gestão de Segurança da Informação - Uma visão executiva. 2. ed. Rio de Janeiro: Elsevier, 2013. 91