Thursday, September 29, 2011

ArcSight & EnCase CyberSecurity

Aproveitando o tema ArcSight, recentemente a Guidance Software, desenvolvedora do aclamado EnCase, liberou um material muito interessante sobre a integração do ArcSight com o EnCase CyberSecurity, para Resposta a Incidentes Automatizadas.



Maiores informações, um vídeo explicativo e alguns PDFs estão disponíveis aqui.

Thursday, September 15, 2011

[SIEM] Correlacionamento de Eventos

Independente do tamanho, as empresas de hoje encaram ameaças sérias e crescentes, tais como ciber criminosos em busca de seus dados confidenciais ou na tentativa de inviabilizar o acesso a sistemas críticos. Os perfis destas ameaças estão sempre evoluindo e crescendo em grau de sofisticação, mas ainda assim há muita ameaça interna: se a empresa permite que seus funcionários tenham acesso a dados da corporação, então a empresa está exposta a furto de dados corporativos e  dados confidenciais de clientes. 

Outro ponto muito importante nos negócios atuais é o atendimento a regulamentações impostas por organizações internacionaios e países, dentre as quais, podemos destacar: SOX, PCI-DSS, FISMA, GLBA, HIPAA, Basel, etc.. Estar em conformidade (compliance) com estas regulamentações possibilita a concretização de novos negócios e dá mais confiança e credibilidade aos parceiros.

Mas como tentar evitar fraudes e ainda estar em conformidade com tantas regras? A ArcSight tem a as respostas, e uma delas é o Correlacionamento de Eventos, também conhecido pela sigla SIEM (Security Information and Event Management).



Eventos (ou logs) são registros, normalmente armazenados em arquivos de texto simples ou em banco de dados, que armazenam tudo o que se passa em sistemas informatizados. A correlação destes eventos possibilita a reconstrução de um cenário passado, mostrando o que efetivamente ocorreu com um sistema computacional em outro momento.

Por exemplo, cruzando as informações de eventos, é possível detectar que o funcionário JOÃO, do financeiro, não passou pela catraca da portaria, não passou pelo relógio de ponto, mas está acessando o ERP da empresa. Bem, muito provavelmente, como o funcionário não passou pela catraca e nem pelo relógio de ponto, alguém está utilizando a credencial do JOÃO para acessar o ERP.

Este é só um exemplo bobinho, mas que já demonstra muito bem os poderes do correlacionamento dos eventos. Já imaginou a quantidade de logs de eventos que os sistemas de uma grande corporação geram? estes logs, isolados, são capazas de nos dizer muito a respeito das ferramentas que os geraram. Combinados então, são capazes de nos informar exatamente quem, como e onde determinada situação ocorreu.





Wednesday, September 14, 2011

[Artigo] Eduquem as crianças e não será preciso punir homens

Excelente artigo do amigo Regilberto Girão:

A liberdade não está sendo atingida pelo fato de a população não ter sido preparada e nem, ao menos, vem sendo preparada para encarar tal grau de liberdade. A educação medíocre e os lapsos temporais que entremeiam a evolução tecnológica e a educação do indivíduo provocam, inexoravelmente, o abuso, muitas vezes involuntário.
Dizer que NUNCA fez alguma coisa que fuja a tais preceitos, tais quais os pregados pelo Senador, é que pode ser alvo do substantivo "besteira", visto que não há exceção na sociedade que imprima distinção sob este aspecto. 
O maior problema que esta lei instiga é o das possibilidades com que o cidadão de bem seja atingido, maculado, por ações ilícitas que sequer tem noção de que, presumidamente, seja o autor. O estigma provocado por um ENGANO DA JUSTIÇA pode custar caro.(...)

Leia o artigo na íntegra aqui.

[OAB/SP Convida] - Fraudes Eletrônicas em Tempo Real



Maiores informações em: 4n6.cc/C7Jc0

Sunday, September 11, 2011

[off-topic] tumblr.



Um dos itens da comédia lista 50 Geeky Things to Do Before You Kick the Bucket é montar um blog tumblr. A idéia do tumblr é diferente, ele é uma espécie de twitter evoluído, ou então um wordpress sub-desenvolvido...

WordPress > tumblr. > Twitter

Aproveitando um domingo de folga, crieu meu tumblr, e ele vai servir, pelo menos por enquanto, somente de agregador de notícias de InfoSec e Forensics. Vamos ver se isso aqui presta =)

A URL de acesso é http://digi4n6.tumblr.com/

Há, recomendo a leitura da lista desses malucos da PC World EUA. Muito comédia!!

Wednesday, September 7, 2011

[NetWitness] Investigator

O Investigator é um componente da solução de network forensics da NetWitness capaz de visualizar os pacotes que foram capturados. Uma das características que mais me agradam é a possibilidade de carregar arquivos padrão PCAP (padrão de mercado para captura de pacotes de rede) para então remontar as sessões de tráfego de rede com grande facilidade!


Outra diferença que destaca o Investigator das outras ferramentas de análise de tráfego de rede, é sua interface limpa, intuitiva e amigável. Não é necessário ser um expert em protocolos TCP/IP e camada OSI para entender o que está acontecendo, a ferramenta é muito simples!

Para quem está interessado em utilizar a ferramenta, recomendo download da versão gratuita do NW Investigator e então assistir aos tutoriais que a NetWitness disponibiliza, que são muito bons!

Monday, September 5, 2011

Otimizando uma perícia forense utilizando HashSets

Imagine uma imagem forense de um HD apreendido hoje. Você consegue imaginar o espaço ocupado pelos aplicativos e pelo sistema operacional? Só o Windows Vista Ultimate x64bits SP1 ocupa 26,6GB de dados, com todas as atualizações disponíveis. Some a estes 26,6GB o pacote Office (Word, Excel e PowerPoint somente) e alguns jogos, como The Sims 3, Test Drive Unlimited, Flight Simulator X e outros mais recentes... Só de arquivos de programas, você terá aproximadamente 80GB de dados. Isso para não falar das bibliotecas de música e filmes que o usuário possa ter!


A solução mais simples seria ignorar os diretórios deste aplicativos, correto? Bem, e como fica então a perícia nos arquivos que estão neste diretório suspeito:

C:\Arquivos de Programas (x86)\Electronic Arts\The Sims\The Sims 3\Expasion Pack\ninfetinhas

OK, ignorar simplesmente estes diretórios de aplicativos "não suspeitos" não seria a melhor solução...

Para resolver esta questão, podemos utilizar hash sets, que são conjuntos de hashes (já falei sobre hashes aqui no blog aqui e aqui) de determinados aplicativos. O NIST (National Institute of Standards and Technology), por exemplo, mantém o NSRL (National Software Reference Library), que disponibiliza uma biblioteca com quase 20 MILHÕES de hashes e está disponível para download gratuitamente.



Estes hashes sets podem ser utilizados para ocultar informações (para arquivos desimportantes, como instalações do Office e do Windows) ou para destacar arquivos que merecem uma "atenção especial" (softwares crackers, quebra de senhas, esteganografia) no caso, e podem ser utilizados no EnCase ou no FTK.

No exemplo acima, o folder C:\Arquivos de Programas (x86)\Electronic Arts\The Sims\The Sims 3\ não teria arquivos (apareceria vazio dependendo do filtro utilizado) e o folder C:\Arquivos de Programas (x86)\Electronic Arts\The Sims\The Sims 3\Expasion Pack\ninfetinhas ficaria em evidência, acelerando a resposta da perícia. E se o usuário tentou ocultar alguma informação nos executáveis do jogo, não se preocupe, haverá alteração do hash do binário e o hash set não irá ocultar a informação!

Maiores informações aqui.

[IBP Convida] Direito Eletronico na Triplice Fronteira

IBP convida... Direito Eletrônico na Tríplice Fronteira

Maiores informações em 4n6.cc/8iAze

Friday, September 2, 2011

full disk encryption - TrueCrypt ou BitLocker?

Recentemente tive que formatar minha máquina e fiquei na dúvida entre qual solução de full disk encryption utilizar: TrueCrypt ou BitLocker.


 X 


O TrueCrypt funciona no Linux (para caso de algum disaster recovery) e o BitLocker utiliza o TPM. Isso é basicamente o que eu sabia da diferença entre os dois, e uma rápida consulta ao oráculo (a.k.a. Google) trouxe uma comparação entre os dois produtos realizada pelo pessoal da Tom´s Hardware. (Leitura recomendadíssima). Uma olhada rápida nos gráficos de benchmark entre as duas opções prova que as duas ferramentas são muito boas, e que quase não há diferença entre a performance de uma ou da outra:






Após leitura do artigo, optei por utilizar o BitLocker da Microsoft, nativo no Windows 7 Ultimate, ativei o TPM na BIOS e após instalação completa do SO e updates (como a Microsoft já liberou correções para o Windows 7, não? Tão novo já está todo remendado...), vamos pra criptografia!

Algumas muitas horas depois, o disco estava criptografado. Missão cumprida, meus dados estão a salvo utilizando BitLocker, nativo do SO. Qual a minha surpresa ao reiniciar o notebook após o término do processo:

Windows BitLocker Drive Encryption Information

The system boot information has changed since BitLocker was enabled.
You must supply a BitLocker recovery password to start this system.
Confirm that the boot changes to this system are authorized.
If the changes to the boot system are trusted, then disable and re-enable
BitLocker. This will reset BitLocker to use the new boot information.

Otherwise, restore the system boot information.

ENTER=Continue


Agora, toda vez que inicializo meu computador, tenho que entrar com uma cepa de número para o BitLocker voltar a vida. Andei pesquisando, e este não é um problema que só eu estou tendo. O pior é que ainda não achei uma solução definitiva para o problema: viva o processo de hibernação!

Próximo ciclo do PDCA para o próximo FDS livre: descriptografar o disco e download do TrueCrypt. A vida é assim....... Longa vida ao TrueCrypt!