Webinars em Segurança da Informação – Destaque para Análise Forense Computacional

Academia Clavis tem publicado uma série de Webinars (palestras online) gratuitas sobre segurança da informação, principalmente abordando temas com o enfoque mais técnico.

Recentemente foi publicado o vídeo do último Webinar #10, que abordou o tema “Captura (grampo) e Análise de Tráfego em Redes de Computadores“.

Este webinar teve como objetivo demonstrar como realizar a captura de pacotes trafegando em redes de computadores (grampo digital) através de ferramentas específicas (sniffers) para esta finalidade, utilizando, quando necessário, a sintaxe adequada para cada protocolo e a análise e extração de dados (carving) dos arquivos de tráfego gerados. Continuar lendo

BackTrack – Será que sua rede esta segura?

Se você pensa em entrar na área de Segurança ou de Análise Forense precisa conhecer o BackTrack, uma distribuição Linux que concentra várias ferramentas de Análise de Malware, trojan, executáveis e binários.

Segundo a Wikipedia:
“Backtrack é um sistema operacional Linux baseado no Ubuntu. É focado em testes de seguranças e testes de penetração (pen tests), muito apreciada por hackers e analistas de segurança, podendo ser iniciado diretamente pelo CD (sem necessidade de instalar em disco), mídia removível (pendrive), máquinas virtuais ou direto no disco rígido.”
De acordo com o site do BackTrack, foi lançada a versão R2 do Backtrack 5, resumindo a conversa, você pode baixar a nova ISO por aqui ou para quem tem ele baixado/instalado e deseja simplesmente atualizar basta adicionar ao sources.list a linha do updates.repository.backtrack-linux.org e atualizar:

echo “deb http://updates.repository.backtrack-linux.org revolution main microverse non-free testing” >> /etc/apt/sources.list
apt-get update
apt-get dist-upgrade

São 42 novas ferramentas foram adicionadas, com o Kernel customizado versão 3.2.6 agora com mais placas wireless suportadas. Além disso foi criada uma versão do Maltego especialmente para essa versão do BackTrack a versão 3.1.0, essa é uma ferramenta para Pentesters desenvolvida para fornecer uma imagem clara das ameaças contidas no ambiente de sua organização, mais informações aqui. Além dessa maravilhosa ferramenta, também foram atualizados o Metasploit para versão 4.2.0 Community Edition, o SET (Social Engineer Toolkit) para versão 3.0, o BeEF para versão 0.4.3.2, além dessas ferramentas também foram adicionadas outras conforme a tabela a seguir: 

Outras informações no site do BackTrack

Fonte: CooperaTI

arduino bluelog bt-audit dirb dnschef dpscan easy-creds extundelete
findmyhash golismero goofile hashcat-gui hash-identifier hexorbase horst hotpatch
joomscan killerbee libhijack magictree nipper-ng patator pipal pyrit
reaver rebind rec-studio redfang se-toolkit sqlsus sslyze sucrack
thc-ssl-dos tlssled uniscan vega watobo wce wol-e xspy

FTK 4 World Tour – São Paulo/SP

FT4 Word Tour – Brazil

O evento foi sensacional o potencial da ferramenta é extraordinário para segurança da informação e analises forense, praticamente um canivete suíço hehe valeu muito a pena!

Abaixo encontra-se algumas fotos do ambiente do evento e sem falar dos brindes e material de portfolio.

Três tipos de ataque online

Nesta palestra realizada no TEDx de Bruxelas em Novembro de 2011, Mikko Hypponen apresenta o que ele considera serem as três prinipais fontes de ataques cibernéticos hoje em dia:

  • Ciber Criminosos
  • Hacktivistas
  • Governos

O interessante é o destaque que ele dá aos governos como fonte de ataques cibernéticos, mas não apenas aos governos que usam a Internet para espionagem ou censura: Mikko Hypponen também destaca o risco de governos democráticos também usarem a Internet para espionar e controlar a população. E, no final de sua apresentação, ele dá um aviso: não podemos abrir mão de nossa liberdade online por nenhum motivo, pois uma vez que o fazemos, isso é para sempre. Mesmo que hoje confiemos cegamente em nosso governo, não sabemos o que pode acontecer aqui a, digamos, 50 anos.

Certificações para Computação Forense? What??

A Computação Forense

Consiste, basicamente, no uso de métodos científicos para preservação, coleta, validação, identificação, análise, interpretação, documentação e apresentação de evidência digital com validade probatória em juízo. A aplicação desses métodos nem sempre se dá de maneira simples, uma vez que encontrar uma evidência digital em um computador pode ser uma tarefa muito complexa. Atualmente, com os discos rígidos atingindo a capacidade de TeraBytes de armazenamento, milhões de arquivos podem ser armazenados. Logo, é necessário a utilização de métodos e técnicas de Computação Forense para encontrar a prova desejada que irá solucionar um crime, por exemplo.

E é justamente aí que o profissional de TI terá que entrar em cena. Existem diversas certificações neste setor que lhe preparam para assumir tal função. A comunidade de informática forense tem uma grande variedade de certificações como forma de demonstrar conhecimento e experiência com procedimentos forenses e melhores práticas, e com ferramentas específicas relacionadas com a investigação forense em determinados computadores.

Muitos postos de trabalho em computação forense exigem experiência jurídica e forense real, que torna difícil penetrar no campo, especialmente se você não trabalha para nenhum sistema jurídico. Obter formação, educação e certificação são, portanto, muitas vezes necessária antes de ganharem experiência real de campo forense.

Bom… ai vem a grande pergunta.. Quais certificações forense são as melhores para começar? Isso realmente depende do que você quer fazer com a certificação… Se seu objetivo é conseguir um emprego em computação forense, tente olhar para as vagas de trabalho em aberto para computação forense, examinador forense, análise forense, dentre outras, e veja os requisitos em termos de certificação para estas funções. Logo abaixo deixo uma compilação de todas as certificações existentes para este setor.

Certified Computer Examiner

A certificação de Certified Computer Examiner (CCE) é oferecida pela a International Society of Forensic Computer Examiners (ISFCE), que é um fornecedor neutro para computação forense. Este exame é utilizado para atestar seu conhecimento e proficiência na execução de tarefas forenses digitais. O seu conhecimento é testado usando um exame de múltipla escolha que inclui exercícios práticos.

Outros requisitos para a certificação CCE incluem a execução de um programa de auto-estudo válido e a necessidade de possuir ao menos 18 meses de experiência na área. Também será necessário apresentar uma declaração de antecedentes criminais. A recertificação é exigida a cada dois anos.

Certified Computer Forensics Examiner

O exame Certified Computer Forensics Examiner (CCFE) é fornecido pela a Information Assurance Certification Review Board (IACRB) e avalia o conhecimento do candidato sobre a computação forense e análise de processo, focando na possibilidade de realizar uma prática de investigação computacional forense, análise e relatório do processo.

Candidatos à certificação devem passar por um exame de múltipla escolha on-line, que abrange nove domínios de conhecimento, incluindo ferramentas de informática forense, as investigações, os sistemas de arquivos, análise de provas, e redação do relatório. Depois de passar no exame escrito, um trabalho prático deve ser preenchido no qual o candidato terá 60 dias para realizar uma análise forense de um computador qualquer e redigir um relatório sobre as falhas técnicas e informações relevantes deste computador.

Certified Digital Forensics Examiner

A certificação Certified Digital Forensics Examiner (CDFE) é realizada por a Mile2, e destina-se a profissionais de TI com um conhecimento de uma ampla gama de assuntos em computação forense, provas digitais e tecnologias relacionadas. A CDFE é uma certificação obtida pela a realização de um exame de 100 perguntas em pouco mais de duas horas, que possui um score mínimo de 75%.

Computer Hacking Forensic Investigator

A Computer Hacking Forensic Investigator (CHFI) é uma certificação criada por a tão conhecida EC-Council. A certificação CHFI é adquirida somente por um único exame online, que poderá ser realizado em qualquer centro de testes Prometric.

Este exame é um dos meus favoritos, visto que envolve técnicas de investigação em Windows, Mac, Linux e telefones celulares. Além disso, temos diversos assuntos, como malwares, documentação de rede e relatórios, leis internacionais e conformidade legal, e um grande número de ferramentas de computação forense. O exame relacionado com esta prova é o 312-49. Vale lembrar também que o CHFI exige uma recertificação a cada três anos.

CyberSecurity Forensic Analyst

O Cyber Security Forensic Analyst (CSFA) ou Analista de Segurança Cibernética Forense, é uma certificação realizada por a Cyber Security Institute e destina-se para os candidatos que queiram confirmar se são realmente capazes de conduzir uma análise forense completa por exame de som e procedimentos de manuseio, e são capazes de comunicar os resultados de suas análises de forma eficaz. O CSPA é, portanto, muito prático para a certificação forense e não se prende somente ao mundo digital.

O exame CSPA contém 50 questões de múltipla escolha e um laboratório prático no qual o candidato tem três dias para completar uma série de trabalhos práticos. A prova escrita vale 30% na sua pontuação final, enquanto as aulas práticas valem 70%. Uma pontuação final de 85% é necessário para passar. Os pré-requisitos para fazer o exame CFSA incluem uma recomendação de pelo menos dois anos de experiência na área de análises forenses. Também é altamente recomendável que o candidato já possua uma ou mais certificações profissionais forenses. Um documento comprovando seus antecedentes criminais também será exigido.

Computação Forense ???

O que é Computação Forense?

“Perícia Forense em Sistemas Computacionais é o processo de coleta, recuperação,
análise e correlacionamento de dados que visa, dentro do possível, reconstruir o
curso das ações e recriar cenários completos fidedignos.”

“A Forense Digital pode ser definida como uma área de conhecimento que se utiliza de métodos elaborados e comprovados cientificamente visando a preservação, coleta, validação, identificação, análise, interpretação, documentação e apresentação de evidências digitais com o propósito de facilitar ou permitir a reconstituição de procedimentos de natureza criminosa que ocorram em equipamentos digitais. A Forense Digital é, portanto, mais abrangente e trabalha com informações armazenadas ou transmitidas por equipamentos digitais como PDAs (Personal Digital Assistants), telefones celulares, máquinas de FAX, centrais telefônicas digitais, os próprios computadores, entre outros.”

Perícia Forense Aplicada à informática

No Manual de Patologia Forense do Colégio de Patologistas Americanos (1990), a ciência forense é definida como “a aplicação de princípios das ciências físicas ao direito na busca da verdade em questões cíveis, criminais e de comportamento social para que não se cometam injustiças contra qualquer membro da sociedade”.

Portanto, define-se a perícia forense aplicada à informática e às redes de computadores como o estudo do tráfego de informações para procurar a verdade em questões cíveis, criminais e administrativas para proteger usuários e recursos de exploração, invasão de privacidade e qualquer outro crime promovido pela contínua expansão das conexões em rede.

Análise Pericial.

A análise pericial é o processo usado pelo investigador para descobrir informações valiosas, a busca e extração de dados relevantes para uma investigação. O processo de análise pericial pode ser dividido em duas camadas : análise física e análise lógica.

A análise física é a pesquisa de seqüências e a extração de dados de toda a imagem pericial, dos arquivos normais às partes inacessíveis da mídia. A análise lógica consiste em analisar os arquivos das partições. O sistema de arquivos é investigado no formato nativo, percorrendo-se a árvore de diretórios do mesmo modo que se faz em um computador comum.

Fonte: http://firewallcr.wordpress.com