[Especial Abril] Sou um perito em meios informáticos. O que irei me deparar (Parte II)

sexta-feira, 29 de abril de 2016

Como perito ou assistente técnico, ao se deparar com uma evidência como um disco rígido, smartphones e tablets, surgem dúvidas sobre o que devemos fazer quando recebemos uma evidência como estas.

É certo que a recepção de evidência deve ser um processo formalizado, onde o instrumento que irá garantir a integridade de todo processo é a cadeia de custódia. Este instrumento garante que a evidência recebida seja transferida adequadamente de um custodiante à outro, de tal forma que a garantia de disposição e recebimento asseguram a produção de documento que garantirá a transferência adequada de evidência entre as partes.

No processo de recebimento da evidência, é importante considerar a verificação das condições do estado da evidência recebida, assim como a conferência de informações como marca, modelo, número de série e demais características qualificadoras, assim como identificações atreladas à preservação como hashes.

O processo de análise é algo de demandará a utilização de programas ou sistemas forenses, sejam os mesmos licenciados (que exigem do profissional investimento, pois usar uma versão de programas não licenciados não é uma boa opção), os programas open source, que podem ser utilizados sem a existência de aquisição do mesmo, entretanto em ambos os casos, é importante que o profissional dedique parte do seu tempo ao aprendizado ao uso de tais programas.

Há uma solução que recomendo aos principiantes denominada FTK Imager, pois é uma solução open source muito utilizada por profissionais que atuam na prática forense, trazendo entre suas funções a preservação de evidências (por meio de processo de clonagem), possibilitando a preservação de dados de mídias removíveis, discos rígidos e até mesmo memória RAM.

Outra utilização do FTK Imager é a identificação de arquivos (incluindo arquivos e pastas já eliminadas e não sobrescritos) que possibilitarão aos profissional ter o seu primeiro contato com a prática forense computacional, lembrando que estas funções mencionadas aqui nesta resenha não são exaustivas à descrição contida aqui.

Em minha carreira na área pericial informática, não podemos afirmar que uma única solução forense será suficiente nos processos de análise, onde devemos estar atentos às necessidades de adquirir soluções de mercado, se necessário, investindo-se não somente à compra de licenças ou mesmo dispositivos forenses, mas atentar-se ao investimento de tempo ao aprendizado e uso prático de tais ferramentas, identificando inclusive, suas potenciais limitações.

No início de minha carreira, evitei fazer investimentos à aquisição de soluções, pois o profissional deve estar atento aos benefícios à aquisição de ferramentas, avaliando se o benefício em tê-las se concretizará em demandas de potenciais clientes, já que a prática forense exige que alguém (seja empresas ou pessoas físicas), venham a procurá-lo para a realização das etapas de identificação, preservação, análise e documentação de evidências.

Sendo esta uma atividade remunerada pelo se contratante, deve-se estar ainda atento ao tempo investido em cada uma destas etapas e sua respectiva valoração (na ordem de homem/hora) que poderá ser concretizado em proposta comercial e técnica, onde seu potencial cliente irá avaliar antes da aprovação à realização desta atividade. A avaliação de custo x benefício é algo particular para cada potencial cliente e você deve estar atento se seus préstimos são de valia à proporcionalidade do interesse de seu potencial contratante.

O respeito que o mercado de trabalho tem ao assistente técnico e/ou perito são fundamentais à decisão de aprovação de sua proposta, pois esta é uma decisão que envolve além dos investimentos financeiros à necessidade de se confiar em alguém para o acesso de dados e informações muitas vezes de cunho restrito e/ou confidencial. Para isto, espera-se que você leitor, desenvolva a percepção de lisura tão exigida nesta área de atuação profissional.

Contribuição especial de Marcelo Lau
marcelo.lau@datasecurity.com.br

ElevenPaths Talks: Big Data

terça-feira, 26 de abril de 2016



 
Na próxima quinta-feira 28 de Abril o nosso colega e especialista de segurança Leandro Bennaton irá palestrar sobre a importância do Big Data hoje em dia. As organizações perceberam a importância nos dias de hoje do Big Data e o mundo da segurança não é menos importante. Podem perguntar também pelas nossas soluções pentesting persistente em ambientes empresariais mais exigentes, graças à nossa tecnologia Faast. Também recomendamos a palestra do nosso colega Gabriel Bergel sobre Metodologias de testes de segurança. Não pode perder !!!




A duração da palestra do Leandro será cerca de 30 minutos, divididos entre 20 e 25 minutos de exposição e de 5 a 10 minutos de perguntas e respostas. O cronograma da palestra será 15.30 (GMT + 1). A sessão será realizada em Português. A palestra também estará disponível ao final da apresentação em nosso canal de YouTube para assistirem on-demand. A apresentação será realizada utilizando a ferramenta Hangout.

Estamos te esperando para que nosso CSA do Brasil possa lhe ensinar tudo o que você precisa saber sobre o mundo das metodologias de testes de segurança. Você pode ainda consultar o calendário de talks para ver as que ainda faltam para serem realizadas. Lembre-se, você tem um compromisso, em 28 de Abril, às 15.30 horas (GMT + 1).

Para se inscrever deve usar o seguinte formulário ElevenPaths Talks.

Veja e saiba mais sobre os ElevenPaths Talks que tiveram lugar nas quintas-feiras passadas, não vai querer perder:

ElevenPaths and Check Point Software Technologies provide joint Mobile Protection Services Globally

segunda-feira, 25 de abril de 2016



Joint offering protects iOS® and Android® smartphones and tablets used in businesses of any size from the cyberthreats that proliferate the worldwide mobile ecosystem.

Madrid, April 22, 2016.- ElevenPaths, a Telefónica company specializing in development of innovative security solutions and Check Point® Software Technologies Ltd. (NASDAQ: CHKP), the largest network cyber security vendor globally, today announced will be a provider of Check Point mobile security technologies for Telefónica corporate customers worldwide.

The agreement between Check Point and ElevenPaths provides Telefónica customers with a suite of mobile security services including Check Point Mobile Threat Prevention and complementary security products developed by ElevenPaths. This new offering will be part of the corporate mobility services Telefónica provides globally today, offering:
  • Protection against the three main vectors of mobile attacks including malicious applications, network attacks and attacks to devices’ operating systems.
  • Visibility and intelligence into the threat landscape of an organization’s entire mobile deployment.
  • Simple and transparent management of enterprise mobile security, while ensuring privacy.

“The Telefónica mobile security and mobility management solution facilitates day-to-day in business communications, guaranteeing productivity and protecting employee devices at all times,” said Pedro Pablo Pérez, vice president of products and services, ElevenPaths. “This agreement provides our customers with unparalleled mobile security with a joint product that combines Check Point Mobile Threat Prevention with Tacyt, a cyber-intelligence mobile threat tool developed by ElevenPaths.”

Check Point researchers continue to see a dramatic escalation in the number and sophistication of targeted attacks on mobile devices worldwide. Attacks like these can make business use of smartphones and tablets a significant risk to the security of sensitive enterprise data accessed on mobile devices.

“We believe mobile devices are the weakest link in corporate security today, leaving businesses susceptible to data leakage and network attacks,” said Amnon Bar-Lev, president, Check Point. “This agreement is a key part of protecting today's businesses, and we’re looking forward to working with Telefonica and Eleven Paths to protect businesses around the world from these threats.”

Availability
With this offering, Check Point and ElevenPaths will deliver cutting-edge security for Telefonica customers through integration with ElevenPaths technology, which make it possible for security analysts to identify behavioral patterns displayed by criminal organizations.

» Download press release

For further information:
elevenpaths.com

[Especial Abril] Sou um perito em meios informáticos. O que irei me deparar (Parte I)

sexta-feira, 22 de abril de 2016

Em minha experiência, que superam 15 anos na área pericial em meios informáticos, sendo mestre formado pela Escola Politécnica da Universidade de São Paulo, onde na maioria das vezes sou contratado como assistente técnico (denominação dos profissionais que atuam na prática da perícia forense em apoio às partes de um processo) ao invés de perito nomeado pelo juiz, posso afirmar que tive inúmeras experiências, algo que livros e horas dispensadas em sala de aula em meu mestrado não me prepararam para tantos desafios.

Esta resenha é a primeira de uma série de duas resenhas, onde compartilharei um pouco destes desafios que poderão ser os mesmos que você, leitor, poderá também ter que enfrentar em uma prática pericial, pois somente a experiência e a atualização profissional nos forjam às necessidades do dia-a-dia.

Antes mesmo de mencionar situações periciais à qual enfrentei em termos de análise, é necessário mencionar os desafios atrelados aos preparativos relacionados à identificação e preservação de evidências, onde em ambiente de campo, nem sempre estamos preparados ao que iremos nos deparar, começando pela disponibilidade de conexão dos dispositivos utilizados no processo de preservação de evidências à energia elétrica.

O ambiente de campo, em um cenário de identificação de evidências é um ambiente desconhecido para qualquer profissional que venha a se dispor a acompanhar e/ou realizar ações de busca e apreensão (algo comum às atividades periciais onde sou denominado perito do Juiz), entretanto há situações que as evidências também estão dispostas à preservação em delegacias, onde o ambiente também pode ser considerado como desconhecido pelo profissional que atua na área pericial, onde torna-se necessária a disposição de adaptadores de energia elétrica à extensores de tomadas para que seja possível a conexão de diversos equipamentos eventualmente necessários à ação de preservação de evidência, caso seja necessário.

É correto afirmar que a preservação de dados de um disco é uma ação que exige disponibilidade contínua de energia elétrica, além de ambiente protegido fisicamente para que todo o processo seja realizado de forma adequada, com isto, é importante que o ambiente em questão não tenha instabilidade no fornecimento de energia elétrica ou até mesmo picos de energia que podem não só comprometer as mídias e respectivos dados relacionados ao processo de preservação, assim como os dispositivos trazidos e utilizados pelo perito ou assistente técnico.

Em ambiente de campo, o profissional ainda deve se preparar para ter consigo, ferramentas que possibilitarão extrair discos rígidos de respectivos computadores identificados como objeto potencial de preservação, neste caso, a experiência em conhecer diversos modelos e fabricantes facilita a adoção da melhor forma para a extração do disco rígido. Há casos que nem sempre esta ação é a mais recomendada, já que poderemos ainda nos deparar com evidências onde o dispositivo estará ligado, onde deve-se avaliar a existência ou não de mecanismo que propicie o bloqueio de acesso ao computador por meio de senha.

Aos casos, onde a evidência se encontra energizada e sistema operacional funcional, deve-se buscar medidas, se possível, que visam a extração e preservação de evidências voláteis. Confesso que neste cenário, são poucos os dispositivos que encontro em ambiente de campo que os dispositivos estão ligados, e nos cenários onde o mesmo se encontra operacional, são poucos que o acesso ao mesmo não se encontra protegido por uma senha (nestes casos o fornecimento da senha dependerá do informe voluntário por parte do proprietário deste equipamento), algo que não é em sua maioria informado.

Em adição à estas necessidades, torna-se claro que o perito ou assistente técnico deve ter consigo uma mídia de destino ao processo de preservação de dados em volumetria no mínimo igual e/ou superior que possibilite a preservação de todas as evidências.

Elementos como máquinas fotográficas, blocos de anotação, réguas numeradas, invólucros destinados à preservação de evidências são itens essenciais ao profissional.

Apesar deste breve relato, nesta resenha, e importante que você, profissional na área pericial poderá e deverá se deparar com muitos outros desafios, se questionando muitas vezes a melhor forma de atuar em um cenário de preservação de evidências desconhecido.

Contribuição especial de Marcelo Lau
marcelo.lau@datasecurity.com.br

ElevenPaths Talks: Gerenciamento de segurança em organizações

quarta-feira, 20 de abril de 2016



 
Na próxima quinta-feira 21 de Abril o nosso colega e especialista de segurança Leonardo Huertas irá palestrar sobre gerenciamento de segurança em organizações. As organizações têm cada vez mais activos expostos na Internet e precisa de mais necessidades para proteger e reforçar os seus recursos. Leonardo publicou uma série de artigos sobre resposta a incidentes nas organizações, ao que nós recomendamos que fazam uma leitura. Podem perguntar também pelas nossas soluções pentesting persistente em ambientes empresariais, graças à nossa tecnologia Faast.




A duração da palestra do Leonardo será cerca de 30 minutos, divididos entre 20 e 25 minutos de exposição e de 5 a 10 minutos de perguntas e respostas. O cronograma da palestra será 15.30 (GMT + 1). A sessão será realizada em castelhano/espanhol. A palestra também estará disponível ao final da apresentação em nosso canal de YouTube para assistirem on-demand. A apresentação será realizada utilizando a ferramenta Hangout.

Estamos te esperando para que nosso CSA possa lhe ensinar tudo o que você precisa saber sobre o mundo das metodologias de testes de segurança. Você pode ainda consultar o calendário de talks para ver as que ainda faltam para serem realizadas. Lembre-se, você tem um compromisso, em 21 de Abril, às 15.30 horas (GMT + 1).

Para se inscrever deve usar o seguinte formulário ElevenPaths Talks.

Veja e saiba mais sobre os ElevenPaths Talks que tiveram lugar na quinta-feira passada 14 de Abril, não vai querer perder:

Nossa passagem pelo SSIG 2016 (Parte II)

segunda-feira, 18 de abril de 2016

Dando sequencia ao primeiro artigo sobre a Nossa passagem pelo SSIG 2016 - Parte I voltamos a pauta do que foi compartilhado na Escola Sul de Governança da Internet (SSIG). A reunião da 8ª conferência anual ocorreu em Washington, D.C, entre os dias 29 de março a 1o de abril de 2016, no Salão das Américas, headquarter da Organização dos Estados Americanos (OEA).


Participantes da 8ª Escola Sul de Governança da Internet, foto por Glenn McKnight do ISOC Canada.

Caso tenha ficado interessado em acompanhar as apresentações na íntegra vocês poderão assistir aos vídeos das apresentações que já estão disponíveis on-line, especialmente a palestra do keynote speaker Vint Cerf, um dos pais da Internet e vice-presidente do Google, falando sobre o Desenvolvimento de Internet e seu impacto global. Voltando aos temas apresentado na Escola Sul de Governança da Internet o secretário-geral adjunto da OEA Sr. Nestor Mendez comentou sobre a importância da Governança da Internet: "Hoje, nós nos encontramos em um momento importante em como a Internet é governada. Esta transição tem a oportunidade de levar a políticas que melhor refletem a diversidade e as necessidades da comunidade internacional de internet; no entanto, com este desenvolvimento vêm grandes responsabilidades. É crucial que a Internet permanecem livres e abertas para gerações futuras."

Um ponto importante a ser compartilhado é que a OEA tem estruturado documentos, promovendo iniciativas de webcast e encontros como o SSIG para a difusão do conhecimento relacionado a Cyber Segurança. Em um destes documentos preparados pela OEA (Organização dos Estados Americanos) tem estruturado documentos, promovendo iniciativas de webcast e encontros como o SSIG para a difusão do conhecimento relacionado a Cyber Segurança. Destacamos o seguinte:

  • Está apresentada as melhores práticas para se estabelecer um Computer Security Incident Response Team (CSIRT), o conteúdo talvez possa lhes interessar. Em relação a este mesmo tema, outra fonte de materiais de apoio para formação de Grupos de Resposta a Incidentes de Segurança em Computadores, em português e inglês, podem ser conferidos no site do CERT.br - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança do Brasil.
  • Outro documento interessante, resultado de um esforço de trabalho colaborativo entre o Banco Interamericano de desenvolvimento (BID) e a Organização dos Estados Americanos (OEA), é o relatório publicado com o título de Cybersecurity: Are we ready in Latin America and the Caribbean? Tal estudo aponta a maneira pela qual as nações das regiões fortalecem suas capacidades em termos de uma cibersegurança, para que sejam eficazes, eficientes e sustentáveis. Apresenta uma visão completa e atualizada sobre o status de segurança cibernética, em termos de riscos, desafios e oportunidades na América Latina e países do Caribe. A primeira seção consiste em uma série de discussões sobre as tendências de segurança cibernética, contribuição de especialistas reconhecidos internacionalmente. Na sequência é apresentada a "maturidade cibernética" de cada país através do Capability Maturity Model de Segurança Cibernética (CMM), que aborda considerações de segurança através de cinco dimensões da capacidade e avalia-los ao longo de cinco estágios de maturidade para cada um dos seus 49 indicadores. O CMM foi construído sobre uma base de consulta multilateral de modo a respeitar os direitos humanos, equilibrando cuidadosamente a necessidade de segurança para permitir o crescimento econômico e sustentabilidade, respeitando o direito à liberdade de expressão e o direito à privacidade.



O objetivo principal do SSIG é o de treinar novos líderes de opinião em todos os aspectos relacionados com a governança da Internet, capacitando seus alunos a compreender a complexidade relacionada com a governança da Internet e sua importância no futuro da Internet.

Seguiremos contando nas próximas semanas o que foi discutido na Escola Sul de Governança da Internet (SSIG), especialmente aos temas de Cyber Segurança, fiquem ligados!


Leandro Bennaton
CSA Brasil

Leonardo Huertas
CSA Colombia

[Especial Abril] Materialidade pericial em meios informáticos

sexta-feira, 15 de abril de 2016

Um dos maiores desafios para os profissionais que atuam na prática da perícia forense computacional é definir e delimitar o escopo do que deve ser o objeto da perícia, que vai muito além da definição de um equipamento que será submetido ao processo pericial.

Em diversas investigações, um disco rígido é o elemento principal (e único) que será submetido à uma preservação, resultando em uma análise que produzirá um laudo compreensível por leigos em tecnologia e informática.

O cenário que envolve uma perícia deve considerar componentes em tecnologia adjacentes que poderão vir a subsidiar informações complementares, de tal forma que irá preencher lacunas à ausência de elementos restritos e contidos em um disco rígido. Exemplos destes componentes são registros produzidos por roteadores, firewall, switches, filtros de conteúdo (incluindo os filtros de navegação internet e filtros de AntiSpam), serviços como DHCP, antivírus entre outros, sendo esta uma relação não exaustiva. Estes registros, em geral são mantidos em repositórios destinados ao armazenamento destas informações e podem estar dispostos de forma proporcional à área disponível de guarda destes registros e inversamente proporcional à velocidade de geração e manutenção dos denominados logs.

Entender a arquitetura de rede e compreender o funcionamento de aplicações e sistemas, auxiliará certamente a correta determinação à delimitação dos componentes que deverão ser escolhidos como meios complementares que irão apoiar a atividade de análise pericial em um determinado cenário.

Isto não é fator único deste processo, já que o profissional que atua em perícia forense computacional deve ser capaz de identificar em cada um destes dispositivos o local de armazenamento destas informações determinando a melhor forma de obtê-lo com objetivo de garantir a preservação dos após a ação de coleta de evidências.

A preservação deve ser realizada de forma física, através de restrição de acesso à evidência preservada e deve ser realizado através de forma lógica por meio de clonagem (cópia bit-a-bit) e controle de acesso lógico ao conteúdo preservado, caso o sistema venha a ser armazenado em sistemas informatizados.

A materialidade ainda é um processo resultante de uma análise, que irá selecionar os dados relevantes de tal maneira que os mesmos sejam relevantes ao escopo pericial. Oferecer contexto ao dado identificado em pericia é fundamental para que isto se transforme em informação útil à produção de um laudo pericial.

Saber ainda descrever a evidência de forma clara em laudo, possibilitará compreensão à materialidade desejada, possibilitando a devida compreensão da escolha dos componentes à delimitação do escopo e justificando a volumetria de esforços em todo o processo que resultará no apontamento em laudo da existência ou ausência de elementos relacionados à justificativa da realização da perícia informática.

Nada disto será considerado válido, se por algum momento, forem incluídos no conjunto de evidências componentes não lícitos (ou seja, obtidos à margem da legalidade), onde denominados para este cenário a existência de evidência nula, que pode vir a comprometer toda a atividade e processo pericial.

Portanto, saiba das implicações e a importância desta que é uma das etapas iniciais da atividade pericial, pois isto pode vir a comprometer (para sempre) uma atividade pericial, caso o mesmo não seja realizado com a devida diligência.

Contribuição especial de Marcelo Lau
marcelo.lau@datasecurity.com.br

Mobile phone Surveillance: Who’s listening to your calls?

terça-feira, 12 de abril de 2016



In the current digital world, espionage is much more common than we think. Revelations from Edward Snowden that the NSA hacked SIMs to spy on mobile conversations prove that physical proximity is no longer necessary for surveillance.

It is for this reason that mobile gadgets make ideal tools for surveillance. This is due to the many devices that tend to include microphones, cameras, GPS, WIFI or storage capacity. Hackers are easily able to keep watch on their victims by simply infecting a mobile phone or interfering with wireless communications - often without cutting-edge technology.

So while the benefits of increased online and mobile working are widely accepted - and these include ubiquitous access to information, flexibility and improved productivity - are companies aware of the risks and more importantly prepared to step up and manage them?

The thing about mobile surveillance is that it is usually a targeted attack, with the objectives of the surveillance preselected. Top executives and politicians for instance are often targeted because they manage strategic plans that have great economic impact. Attacks of this kind tend to include social engineering strategies and are very often associated with advanced persistent threats. The simple truth is that a mobile ecosystem requires a permeable security perimeter through which legitimate communications can flow. However, criminal organisations can make use of these channels to steal information or boycott the corporate infrastructure. The implementation of enterprise mobile strategies involves a higher degree of vulnerability, which can and should be efficiently managed. Let’s look at some of the techniques used in cellphone surveillance:

How is voice communication intercepted? There are a number of methods in which voice communication could be intercepted. These include:
  • Interception of public mobile networks: 2G networks are not a secure communication channel. Hackers can make use of inhibition devices (such as Jammer) to force a downgrade from 3G or 4G networks to 2G, in order to listen through specialised devices.

  • Man in the middle: ARP (Address Resolution Protocol) spoofing can allow an attacker to intercept data frames on a network, modify or stop all traffic. It is also possible to intercept the communications by means of rogue hotspots or antennas. SSLStrip can then force a victim's device into communicating with an adversary, replacing HTTPS protocols by plain-text over HTTP.

  • Risks in the Public Switched Telephone Network (PSTN): Communications are unencrypted – as in the case of voice and SMS text – while they go through the core operator infrastructure. Other risks are uncontrolled call forwarding and spoofing.

  • Malware installed on the device: Malware can intercept packages between the call application and the operating system, or even capture the voice directly accessing the microphone software controllers. What features should a secure call system fulfil? A secure call system works by making voice digitised, encrypted and transmitted in data packets through the mobile data network. The product should combine telephone and messaging protection, powered by security mechanisms and advanced point-to-point encryption technologies compatible with IP communication.

So what can companies and individuals to to secure calls? There are three main ways.
  • Secure the smartphone: There are two modalities of secure smartphones. Firstly, a device built from the ground up with specific hardware and a secured OS. Second, modality deals with popular devices that includes a pre-installed secured OS. In both cases secured OS’s consist of high-end mobile threat protection components, containerisation, encrypted storage, remote management and authentication system. These are usually the most expensive solutions and less flexible.

  • Secure add-ons: Physical components such as smartphone cases or SD memories, which address the voice encryption by means of an encryption processor included in the add-on itself. It wouldn’t matter if the device itself became infected since the information goes through the component encrypted.

  • Secure call apps: These apps allow users to make end-to-end encrypted phone calls from the most popular mobile OS’s. The user experience is similar to the pre-installed non-secure call application. Contacts and messages are encrypted and stored by the app itself.

What does an optimal solution look like? In a general corporate setting, hardware solutions can be difficult to deploy as they require a different smartphone model, a second smartphone or some kind of attached hardware. This may discourage users from making calls and may generate a fake sense of security in the security department. As a result, hardware solutions are not especially suitable for a general business. These solutions may be helpful for a limited group of senior managers or for the most security demanding environments such as the military, government, or companies that need the upmost protection level.

Edward Snowden brought to light the need to protect company communications, and to update security to the digital age - against malware, network attacks, exploits or any other type of attack that could impact businesses significantly. Secure call applications combined with an advanced threat protection are by far cheaper and more user friendly than a secure smartphone and can be managed through a mobile device management. Eliminating surveillance doesn’t have to be complex, and businesses need to bake security prevention into their company policy from the off.


*It may be of your interest:


Francisco Oteiza

[Especial Abril] Carreira Investigativa na computação forense

sexta-feira, 8 de abril de 2016

Você deseja se tornar um profissional especializado em investigação forense? Se sua resposta é positiva, isto não significa que você está já no caminho para se tornar um expert à reconstituição de eventos que visam explicar o que ocorreu em meios informáticos.

A carreira acadêmica é um dos primeiros pontos a serem considerados, sendo que um profissional somente será capaz de se tornar um especialista na identificação, coleta, preservação e análise de evidências informáticas se o mesmo for especialista em pelos menos uma área de atuação nos meios informáticos.

Em geral é importante que o profissional conheça (seja academicamente, seja na prática) aspectos atrelados à arquitetura de computadores e redes. Isto não significa que preciso decorar o conteúdo do livro “Rede de Computadores” do Tanenbaum, entretanto, é importante que o profissional tenha bons fundamentos em rede, pois certamente este conhecimento será útil à reconstituição de eventos mantidos em sistemas como firewall, switches, DHCP, roteadores e demais outros elementos de comunicação.

Além do conhecimento em redes, espera-se que o profissional saiba como executar a extração de registros em sistemas operacionais. Em geral, os sistemas serão Windows, Linux e/ou Unix, iOS e Android, sendo que estes últimos sistemas advém do Linux e portanto tratamos basicamente de conhecer sistemas advindos do Windows ou Linux.

Será ainda muito importante ao profissional que venha a atuar em ações investigativas conhecer as diversas aplicações que envolvem os meios informáticos, como correio eletrônico, bancos de dados, sistemas de hospedagem web, aplicações PHP, ASP .NET, Java, entre outros.

Uma formação técnica (tecnólogo) pode ser um dos caminhos para esta longa jornada, entretanto uma graduação na área de sistemas pode ser uma melhor escolha, já que o candidato à perito pode vir a encontrar na graduação a diversidade de conteúdo que formará as bases do profissional que em algum dia se encontrará apto a atuar em investigações nos meios eletrônicos.

Atualmente é importante ainda que o profissional goze dos conhecimentos em segurança da informação, possibilitando um melhor amadurecimento profissional, pois com conhecimentos nesta área, certamente o julgamento profissional se baseará nas melhores práticas à realização de práticas forenses.

Uma pós-graduação com foco na área, assim como uma formação de curta duração possibilitará ainda complementar esta capacitação. Hoje há excelentes formações que preparam o profissional à atuação no mercado investigativo.

Não devemos ainda nos esquecer que é imprescindível ao profissional desta área a habilidade em escrita. Portanto escrever e expressar-se bem em uma redação, são essenciais ao profissional que atue nesta área.

Atualizar-se sempre é uma condição essencial para o profissional que atue nesta área que está em franca expansão. E em dias de crise, conhecer algo a mais, sempre será um diferencial para aumento de chances à sua empregabilidade.

Se este é o caminho a ser trilhado por você, comece a se planejar ainda hoje!

Contribuição especial de Marcelo Lau
marcelo.lau@datasecurity.com.br

Nossa passagem pelo SSIG 2016 (Parte I)



Este ano, a 8ª conferência anual da Escola Sul de Governança da Internet (SSIG) se reuniu em Washington, D.C. entre os dias 29 de março a 1o de abril de 2016, no Salão das Américas, na Sede da Organização dos Estados Americanos, OEA.

O objetivo principal da escola é treinar novos líderes e formadores de opinião em todos os aspectos relacionados com a governança da Internet, de uma perspectiva global e também com foco particular na América Latina e Caribe.

Estiveram reunidos mais de 200 especialistas, convocados para discutir o futuro da governança da Internet, da cyber-segurança e também da liberdade de expressão na web. Estiveram presentes representantes dos Estados Unidos, Canadá, Equador, Porto Rico, Barbados, Trinidad e Tobago, República Dominicana, Argentina, Uruguai, Paraguai, Peru, México, Brasil, Guatemala, Bolívia, Costa Rica, Haiti, El Salvador, Peru, Nicarágua, Paraguai, e Venezuela. Segundo a organização acompanharam as transmissões on-line mais de 25.000 participantes remotos, atingindo 77 países ao redor do mundo.

A Telefonica esteve representada por uma comitiva de de diferentes países, convidados para contribuir com as discussões da "Escola Sul de Governança da Internet" onde foram abordados temas como a cyber segurança e a liberdade de expressão. Destacamos pela Telefonica os conferencistas Christoph Steck, diretor de Políticas Públicas & Internet da Telefonica S.A enquanto do time de especialistas de segurança da ElevenPaths esteve representado por Leonardo Huertas e Leandro Bennaton, Chief Security Ambassadors da Colômbia e Brasil, respectivamente. Participaram em palestras onde tiveram a oportunidade de contar a visão da ElevenPaths e como estamos endereçando os trabalhos nos desafios digitais.

Leonardo Huertas e Leandro Bennaton, CSAs da ElevenPaths,
fotos por Glenn McKnight do ISOC Canada


Como grande destaque e keynote speaker esteve presente a lenda Vint Cerf, um dos criadores e carinhosamente chamado de pai da Internet. O Sr. Cerf atua como vice-presidente do Google e e um dos maiores evangelista de Internet. Em seu discurso abriu apresentou o desenvolvimento da Internet e seu impacto global. Em sua apresentação foi traçado o desenvolvimento da Internet desde as suas origens de suas manifestações atuais, como a Internet das coisas (IoT), tema levantado em tom de alerta por conta dos desafios de segurança para Internet das Coisas, discurso que vai ao encontro do Relatório “Escopo, escala e riscos sem precedentes: Assegurar a Internet das Coisas” contribuição da ElevenPaths e disponível em português.

O IoT traz questões complexas sobre ética e política pública, que a comunidade de Internet deve estar pronta para lidar. Segundo Sr. Cerf afirmou que "A governança da Internet deve centrar nas necessidades do usuário final". O IoT traz questões complexas sobre ética e política pública, que a comunidade de Internet deve estar pronta para lidar”.

Vint Cerf, o pai da Internet, fotos por Glenn McKnight
do ISOC Canada.


Muitos datos que sao recolhidos na Internet das Coisas, IoT, nunca poderá ser completamente segura. Deve haver um equilíbrio entre a necessidade de coletar uma grande quantidade de dados e proteger as informações particulares coletadas. Vint Cerf afirmou que, "A governança da Internet deve centrar nas necessidades do usuário final". O IoT traz questões complexas sobre ética e política pública, que a comunidade de Internet deve estar pronta para lidar”.

Nas próximas semanas seguiremos contando o que foi discutido e temas relevantes da Escola Sul de Governança da Internet (SSIG), especialmente aos relacionados com a Cyber Segurança, fiquem ligados!


Leandro Bennaton
CSA Brasil

Leonardo Huertas
CSA Colombia

ElevenPaths Talks: Metodologias de Testes de Segurança

quinta-feira, 7 de abril de 2016

Na próxima quinta-feira 07 de abril o nosso colega e especialista de segurança Gabriel Bergel irá palestrar sobre metodologias de testes de segurança. Todos nós sabemos que hoje em dia as metodologias de teste são necessárias para garantir a qualidade minimo de segurança de qualquer produto. Gabriel vai nos dizer quais metodologias existem e estão disponíveis e o que nós fornecem de vantagens. A má gestão em testes de segurança pode envolver custos elevados e chegar ao ponto de prejudicar a imagem e a reputação.

Gabriel já falou no blog ElevenPaths nas fases de inteligência cibernética e boas práticas em um processo de hacking ético, abordando um processo contínuo. Artigos que recomendamos a leitura por serem informativos.

A duração da palestra do Gabriel será cerca de 30 minutos, divididos entre 20 e 25 minutos de exposição e de 5 a 10 minutos de perguntas e respostas. O cronograma da palestra será 15.30 (GMT + 1). A sessão será realizada em castelhano/espanhol. A palestra também estará disponível ao final da apresentação em nosso canal de YouTube para assistirem on-demand. A apresentação será realizada utilizando a ferramenta Hangout.

Estamos te esperando para que nosso CSA do Chile possa lhe ensinar tudo o que você precisa saber sobre o mundo das metodologias de testes de segurança. Você pode ainda consultar o calendário de talks para ver as que ainda faltam para serem realizadas. Lembre-se, você tem um compromisso, em 07 de Abril, às 15.30 horas (GMT + 1).

Para se inscrever deve usar o seguinte formulário ElevenPaths Talks.


[Especial Abril] Investigação forense não é CSI Cyber

sexta-feira, 1 de abril de 2016

Para o leitor que já conhece a série CSI Cyber (Crime Scene Investigation: Cyber) de produção da CBS, deve se questionar se é possível que todas as investigações que envolvam meios eletrônicos como evidência, se de fato conseguem ser desvendados por meio de intuições investigativas que conseguem relacionar todos os “pedaços do quebra-cabeça”, conseguindo chegar ao fim da série com a solução completa de casos complexos.

A verdade, é que uma investigação forense na prática nem sempre conta com a materialidade suficiente em meios informáticos para que sejamos capazes de reconstituir todos os eventos e tão pouco o cenário que está relacionado com a atividade pericial.

Indícios importantes ao aspecto investigativo, estão atrelados à elementos e rastros gerados e mantidos ao ambiente de rede, além do conhecimento mínimo da topologia de comunicação. Somado a isto, ainda temos a necessidade de coletar registros em sistemas operacionais e aplicações, sem contar com potenciais evidências do ambiente físico, onde se incluem sistemas de controle de acesso à ambientes como catracas e sistemas de monitoramento por câmeras.

Portanto, uma perícia se baseia em se possuir uma infraestrutura já adequada à geração e manutenção de tais registros, onde há requisitos essenciais de estampa de tempo que possibilitarão o estabelecimento de relações entre os diversos rastros possibilitando a construção de um parecer ou laudo que explicará a contento o que foi identificado em todo o processo investigativo.

Todas estas ações ainda devem ser realizadas de tal forma a resultarem em insumos aceitos do ponto de vista legal e realizados por meio de ferramentas (hardware, software e metodologia) reconhecidos pelo mercado investigativo. Há muitas opções de soluções Open Source que auxiliam os profissionais que atuam na perícia em meios informáticos.

Normalmente uma atividade como esta consome tanto recursos à identificação, coleta e preservação de evidências, quanto às ações de análise e documentação, este último em geral conhecido como laudo pericial.

Os esforços ainda poderão se estender à complementação investigativa, se o mesmo vier a resultar em ações legais que indiquem demais evidências em demais meios informáticos. Portanto, muito distante do que se identifica em uma série televisiva a investigação forense requer empenho, atenção, diligência, tenacidade e demais outros atributos que visam a produção de um documento legível e compreensível por leigos em tecnologia.

Nos lembremos ainda que toda a ação investigativa, requer reserva por parte de quem atua em ações periciais e, portanto, diferente do que se identifica na série CSI Cyber, estas atividades ocorrem muitas vezes em bastidores, em dias, noites e até mesmo madrugadas de forte e intenso trabalho.

Se você leitor, se interessa por esta área, certamente se interessará no conteúdo da próxima resenha, intitulada “Carreira Investigativa na investigação forense”. Quem sabe se seu futuro está nesta carreira, que está muito além do que mostra a ficção.

Contribuição especial de Marcelo Lau
marcelo.lau@datasecurity.com.br