FOR498: Aquisição digital e triagem rápida

O TEMPO ESTÁ PASSANDO. VOCÊ PRECISA PRIORIZAR AS EVIDÊNCIAS MAIS VALIOSAS PARA PROCESSAMENTO. NOS DEIXE MOSTRAR COMO.O curso FOR498 irá ajudá-lo a: Adquirir dados efetivamente de: PCs, Microsoft Surface e Tablet PCs Dispositivos Apple, Mac e Macbooks RAM e memória Smartphones e dispositivos móveis portáteis Armazenamento e serviços em nuvem Repositórios de armazenamento de rede Produzir inteligência acionável em 90 minutos ou menosO primeiro passo em qualquer investigação é a coleta de provas. As investigações forenses digitais não são diferentes. As evidências usadas nesse tipo de investigação são dados, e esses dados podem residir em muitos formatos e locais variados. Você deve primeiro identificar os dados de que pode precisar, determinar onde esses dados residem e, finalmente, formular um plano e procedimentos para coletar esses dados.Com aquisições forenses digitais, você normalmente terá apenas uma chance de coletar dados adequadamente.Se você administrar a aquisição incorretamente, corre o risco de não apenas prejudicar a investigação, mas, mais importante, destruir os próprios dados que poderiam ter sido usados como prova.Com a ampla variedade de mídias de armazenamento no mercado atualmente, qualquer tipo de metodologia padronizada para todas as mídias é simplesmente insustentável. Muitos erros estão sendo cometidos na coleta de evidências digitais, e isso pode fazer com que os culpados saiam em liberdade e, mais importante, os inocentes sejam presos. A disponibilidade de milhões e milhões de dólares pode residir nos bits e bytes que você tem a tarefa de coletar e interpretar adequadamente.Um examinador não pode mais confiar em imagens de “dead box” de um único disco rígido. Na esfera cibernética de hoje, muitas pessoas utilizam um desktop, laptop, tablet e telefone celular durante um dia normal. Para agravar esse problema, está o uso crescente de provedores e armazenamento em nuvem, e a coleta adequada de dados de todos esses domínios pode se tornar bastante onerosa.Este curso aprofundado de aquisição digital e manuseio de dados fornecerá aos socorristas e investigadores as habilidades avançadas necessárias para responder adequadamente, identificar, coletar e preservar dados de uma ampla variedade de dispositivos de armazenamento e repositórios, garantindo a integridade da evidência. Constantemente atualizado, o FOR498 atende à necessidade atual de amplo conhecimento e compreensão dos desafios e técnicas que os investigadores exigem ao lidar com casos do mundo real.Numerosos laboratórios práticos ao longo do curso fornecerão aos socorristas, investigadores e equipes forenses digitais a experiência prática necessária ao realizar a aquisição digital de discos rígidos, cartões de memória, telefones celulares, áreas de armazenamento de rede e tudo mais.Durante uma resposta e investigação forense digital, uma organização precisa dos respondentes mais qualificados possíveis, para que a investigação não termine antes de começar. FOR498 treinará você e sua equipe para responder, identificar, coletar e preservar dados, independentemente de onde esses dados estejam ocultos ou residam.

TODO CONTEÚDO DO CURSO É MINISTRADO EM INGLÊS.Importante! Traga seu próprio sistema configurado de acordo com estas instruções!Um sistema configurado corretamente é necessário para participar totalmente deste curso. Se você não ler e seguir cuidadosamente estas instruções, provavelmente sairá insatisfeito da aula porque não poderá participar dos exercícios práticos essenciais para este curso. Portanto, recomendamos fortemente que você chegue com um sistema que atenda a todos os requisitos especificados para o curso.       Não traga um sistema que tenha dados críticos que você não pode perder. Você faz isso por sua conta e risco.  A SANS e seus instrutores não se responsabilizam por qualquer dano causado aos sistemas dos alunos.  Muitas das atividades envolvidas neste curso serão realizadas em seu computador host e não dentro da máquina virtual.  Você correrá o risco de danificar ou destruir dados em seu computador host se não seguir as instruções do laboratório exatamente como especificadas.       Nota Apple Mac: Embora um computador host Apple Mac deva funcionar para a maioria dos laboratórios, um computador host Windows é recomendado para uma melhor experiência.Um sistema devidamente configurado é necessário para cada aluno que participa deste curso. Antes de vir para a aula, leia atentamente e siga exatamente estas instruções.REQUISITOS DE HARDWARE DO SISTEMA OBRIGATÓRIOS PARA 498:       CPU: Intel i5/i7 de 64 bits (4ª geração+) – processador x64 bit 2.0+ GHz ou mais. Um processador recente é obrigatório para esta classe       NOTA CRÍTICA: Os sistemas Apple que usam a linha de processadores M1 não podem executar a funcionalidade de virtualização necessária e, portanto, não podem ser usados ??de forma alguma para este curso.       Configurações do BIOS para Intel-VT habilitadas. Ser capaz de acessar seu BIOS (se protegido por senha) também é necessário caso sejam necessárias alterações.       16 GB (Gigabytes) de RAM ou superior são necessários para esta classe. Sistemas com 8 GB de RAM ainda podem permitir que os laboratórios funcionem, mas serão significativamente lentos e severamente limitados.       Adaptador de rede sem fio 802.11       USB 3.x       200 Gigabytes de espaço livre no disco rígido do sistema – O espaço livre no disco rígido é fundamental para hospedar as VMs que distribuímos       Disco rígido não SSD adicional: os alunos devem fornecer um disco rígido giratório de no mínimo 500 GB (pode ser maior) (sem SSD), disco rígido SATA de 2,5″ , 7200 RPM. Recomendamos um disco rígido simples semelhante ao que pode ser visualizado AQUI Não traga um disco rígido USB externo.       Os alunos devem ter acesso de administrador ao sistema operacional host do laptop e às configurações BIOS/EFI no nível do sistema. Se esse acesso não estiver disponível, pode afetar significativamente a experiência do aluno.       Desative o Credential Guard , se ativado. O Hyper-V necessário para o Credential Guard entrará em conflito com os produtos VMware necessários para o curso.REQUISITOS OBRIGATÓRIOS PARA O SISTEMA OPERACIONAL DO HOST 498 :       Sistema Operacional Host: Windows 10 totalmente corrigido e atualizado ou Apple Mac OSX (11.5+)       Embora um computador host Apple Mac deva funcionar para a maioria dos laboratórios, um computador host Windows é recomendado para uma melhor experiência. Há pelo menos um exercício na aula que não pode ser executado se o uso de um Apple Mac for selecionado como seu dispositivo host.       Atualize seu sistema operacional host antes da aula para garantir que você tenha os drivers e patches corretos instalados para utilizar os dispositivos USB 3.x mais recentes.       Não traga um sistema host que tenha dados críticos que você não pode perder.CONFIGURAÇÃO DO DISPOSITIVO CELULAR FOR498 (OPCIONAL) :        iPhone da Apple ou telefone Android.       Deve ter acesso total ao dispositivo. Se o dispositivo for controlado por meio do Mobile Device Management (MDM), o aluno não poderá realizar o exercício.       Um exercício com o dispositivo celular do aluno é transmitido ao vivo no dispositivo. Como resultado, é altamente recomendável que o aluno tenha um backup atualizado do dispositivo.INSTALE O SEGUINTE SOFTWARE ANTES DA AULA:       Faça o download e instale o VMware Workstation 17.0 , o VMware Fusion 13.0 ou o VMware Workstation Player 17.0 ou versões superiores em seu sistema antes do início da aula. Se você não possui uma cópia licenciada do VMware Workstation ou Fusion, pode baixar uma cópia de avaliação gratuita de 30 dias da VMware. A VMware enviará a você um número de série por tempo limitado se você se registrar para a avaliação em seu site       Instale o 7Zip no sistema operacional host       Alguma versão do Microsoft Office (2013 ou mais recente) para incluir Word e Excel. O visualizador NÃO é aceitávelEM RESUMO, ANTES DE COMEÇAR O CURSO VOCÊ DEVE:Traga o hardware de sistema adequado (64 bits/8 GB+ de RAM, 200 GB de espaço livre em disco) e a configuração do sistema operacionalTraga um sistema operacional host compatívelInstale VMware (Workstation, Player ou Fusion) e 7zipInstale a versão do Microsoft Office 2013 ou mais recenteTraga iPhone ou dispositivo celular Android (opcional)Traga um disco rígido giratório SATA BARE de 2,5″ (não traga um disco rígido USB externo)A mídia do seu curso será entregue via download. Os arquivos de mídia da aula podem ser grandes, alguns na faixa de 40 a 50 GB. Você precisa de bastante tempo para que o download seja concluído. As conexões e a velocidade da Internet variam muito e dependem de muitos fatores diferentes. Portanto, não é possível dar uma estimativa do tempo que levará para baixar seus materiais. Inicie os downloads da mídia do curso assim que receber o link. Você precisará da mídia do curso imediatamente no primeiro dia de aula. Esperar até a noite anterior ao início da aula para iniciar o download tem uma grande probabilidade de falha.O SANS começou a fornecer materiais impressos em formato PDF. Além disso, algumas classes estão usando uma pasta de trabalho eletrônica além dos PDFs. O número de aulas usando eWorkbooks crescerá rapidamente. Neste novo ambiente, descobrimos que um segundo monitor e/ou um tablet pode ser útil para manter os materiais de aula visíveis enquanto o instrutor está apresentando ou enquanto você está trabalhando em exercícios de laboratório.

SEÇÃO 1: Interfaces de preparação, gerenciamento e armazenamento da cenaOs investigadores geralmente respondem em ambientes de alto estresse, onde muitas entidades diferentes estão examinando criticamente o processo de coleta. O pessoal precisa ser devidamente treinado e equipado para trabalhar em ambientes menos do que ideais e deve ter certeza de que gerenciou a cena, identificou todos os dados necessários, coletou-os de maneira defensável e manteve sua integridade. Um dos cenários mais comuns que podem causar dores de cabeça é receber um arquivo de evidências (geralmente um E01) e esperar que forneça respostas imediatamente. A abordagem comum é montar a imagem e, em seguida, começar a executar ferramentas automatizadas nela. Essas tarefas automatizadas podem levar muitas horas (e às vezes dias) sozinhas!SEÇÃO 2: Dispositivos portáteis e processos de aquisiçãoDispositivos portáteis trazem seu próprio conjunto de desafios para a mesa. Esses dispositivos são mais onipresentes do que os computadores.Raramente é o caso hoje que não inclui um dispositivo celular. Infelizmente, não há padrão para sistemas operacionais de celulares. Mesmo dentro da mesma marca, pode haver armazenamento de dados muito diferente. Esta seção do curso apresentará aos alunos vários dispositivos e as ferramentas que os adquirirão. Também exploraremos a infinidade de hardware e software de aquisição, sem falar nos adaptadores e na identificação, para que você possa tomar as melhores decisões sobre os dadosSEÇÃO 3: Triagem e aquisição de dadosDado que 99 por cento das evidências necessárias normalmente existirão em 1 a 2 por cento dos dados adquiridos, é fácil ver como uma grande quantidade de tempo pode ser desperdiçada seguindo os procedimentos normais na perícia digital atual. Em vez disso, vamos nos concentrar nesses 1% a 2% e realizar uma coleta de triagem muito rápida que pode ser usada para iniciar nossa investigação mais cedo! Com muita frequência, os computadores são apreendidos em um estado “ligado” e imediatamente desligados porque “é assim que sempre fizemos”. Com os computadores de hoje, isso significa que você está jogando fora (essencialmente destruindo) muitos gigabytes de dados. A RAM de um computador contém um tesouro incrivelmente importante de dados, desde teclas digitadas até conexões de rede, serviços em execução e, muito importante, senhas e chaves de descriptografia. Com a disseminação cada vez maior de malware sem arquivo , em muitos casos, o único lugar onde a evidência existirá é na memória. Outro fator frequentemente negligenciado é a criptografia completa do disco.Em casos como este, a aquisição “ao vivo” será sua única esperança.SEÇÃO 4: Aquisição não tradicional e na nuvemQuando pensamos em aquisição, geralmente envolve abrir a lateral do computador, remover o disco rígido, conectar a um bloqueador de gravação ou equipamento de imagem e concluir a tarefa. Embora isso não resulte necessariamente em uma avaliação imprecisa, não aborda grande parte das questões de acesso e aquisição atuais. Se a imagem completa do disco for necessária, certamente é mais fácil e rápido fazê-lo diretamente do próprio armazenamento. Mas o que acontece com dispositivos como iPads, Surface Books e outros equipamentos unidos por cola em vez de parafusos? Esta seção do curso ensinará como identificar e acessar dados em áreas de armazenamento não tradicionais. No mundo de hoje, muitos dados vivem fora do local e existem poucos métodos para acessar e adquirir adequadamente esses dados.SEÇÃO 5: Aquisição da Apple e Internet das CoisasEsta seção do curso explorará os fundamentos da aquisição de dados de dispositivos Apple. Em comparação com o Windows, existem muito poucas ferramentas e técnicas disponíveis quando se trata de aquisição de produtos Apple. As ferramentas existentes podem ser bastante caras, e as ferramentas gratuitas são simplesmente poucas e distantes entre si. Nesta seção do curso, você adquirirá memória e identificará sistemas que executam a tecnologia CoreStorage de criptografia de disco total.Visitaremos também os desafios colocados pela APFS. Muitos dos sistemas da Apple são sistemas fechados, em que você simplesmente não pode remover o disco rígido porque ele é soldado diretamente à placa-mãe. A singularidade do armazenamento de dados exige métodos alternativos de aquisição. Nesta seção do curso, você aprenderá como acessar e criar imagens forenses de iPads, MacBooks e outros dispositivos HFS+, trabalhando na linha de comando, bem como criar um disco de inicialização de aquisição gratuita para criar imagens até mesmo das versões mais recentes do macOS no atual hardware. Para não ficar de fora, a onipresente Internet das Coisas está controlando nossas geladeiras, termostatos, câmeras de segurança e fechaduras. É ouvir passivamente e esperar pacientemente que uma instrução seja executada. Nesta seção do curso, você aprenderá como esses dispositivos se comunicam e, mais importante, quem os controla.SEÇÃO 6: Além das ferramentas forenses: o mergulho mais profundoVocê rastreou um artefato até um IP, e-mail ou endereço da web. O que agora? Nesta seção do curso, você aprenderá os melhores métodos para determinar a atribuição, desde a coleta adequada até a documentação legal. A utilidade da estrutura de um arquivo e a forma com este é acessado não pode ser exagerada. Alguns dados simplesmente não residem no espaço de arquivo definido que pode ser facilmente acessado por um visualizador. De dados parcialmente substituídos a dados excluídos, exploraremos técnicas que você pode empregar quando as ferramentas tradicionais falharem. A estrutura de dados é uma habilidade cada vez mais importante. Depois que a referência a um arquivo é destruída, como os dados ainda podem ser recuperados? As ferramentas de estrutura em arquivo ajudarão nisso, mas os examinadores devem entender as limitações de suas ferramentas. Sem as devidas peças do arquivo original, uma recuperação é inútil.

O FOR498 é um curso de resposta e aquisição de nível introdutório ao intermediário que se concentra no reconhecimento de uma ampla gama de evidências eletrônicas e nas várias maneiras de coletá-las. Não abordamos análise forense digital aprofundada neste curso.Recomendamos que você acompanhe este curso com um dos seguintes cursos SANS: FOR500: Análise Forense no Windows, FOR508: Forense Digital Avançada, Resposta a Incidentes & Caçador de Ameaças, FOR518: Análise Forense no Mac e iOS & Resposta a Incidentes e, FOR585: Análise Forense Profunda de Smartphone, FOR572 Análise Forense de Rede Avançada: Caça a Ameaças, Análise e Resposta a Incidentes, SEC487: Coleta e Análise de Inteligência de Código Aberto (OSINT)

Ao final do curso, o aluno será capaz de: Dominar as ferramentas, técnicas e procedimentos necessários para localizar, identificar e coletar dados com eficácia, independentemente de onde estejam armazenados. Manusear e processar uma cena adequadamente para manter a integridade das evidências. Realizar aquisição de dados de armazenamento em repouso, incluindo mídia giratória e armazenamento de estado sólido. Identificar os vários lugares onde os dados para uma investigação podem existir Executar o Battlefield Forensics passando da apreensão de evidências para inteligência acionável em 90 minutos ou menos. Auxiliar na preparação da documentação necessária para se comunicar com entidades online, como Google, Facebook, Microsoft, etc.  Compreender os conceitos e uso de tecnologias de armazenamento de grande volume, incluindo JBOD, armazenamento RAID, dispositivos NAS e outros dispositivos de rede de grande escala e armazenamento endereçável. Identificar e coletar dados do usuário em grandes ambientes corporativos onde eles são acessados usando SMB. Reunir dados voláteis, como a RAM de um sistema de computador . Recuperar e preservar adequadamente evidências digitais em celulares e outros dispositivos portáteis . Abordar a coleta e preservação adequadas de dados em dispositivos como Microsoft Surface/ Surface Pro, onde a remoção do disco rígido não é uma opção. Abordar a coleta e preservação adequadas de dados em dispositivos Apple, como MacBook, MacBook Air e MacBook Pro, onde a remoção do disco rígido não é uma opção Coletar e direcionar adequadamente e-mails de servidores Exchange, evitando o método antigo de aquisição completa e subseqüente seleção onerosa de dados.  Coletar dados adequadamente dos repositórios do SharePoint . Acessar e adquirir dados em sistemas de correio on-line, como Contas do Gmail, Hotmail e Yahoo Mail.