Livros de Seguranca Resposta a Incidentes e Forense Computacional

[ Update 26/11/2014 ]

Update: Depois da excelente palestra "Ten Strategies of a World-Class Cybersecurity Operations Center” na conferência Shmoocon do ano passado, conversei com o consultor do Mitre Carson Zimmerman sobre meu interesse em discutir / trocar informações sobre o assunto.

Hoje recebi um email do mesmo publicando informações sobre o livro gratuito que ele publicou, através do MITRE, sobre o assunto. Fiz questão de atualizar este post para ajudar na divulgação deste excelente material que pode ser muito útil para organizações que estão montando ou tentando melhorar seus CSIRTs e SOCs:

http://www.mitre.org/publications/all/ten-strategies-of-a-world-class-cybersecurity-operations-center



 [ Update 14/05/2013 ]

Seguem alguns títulos que li nos últimos meses e que  adiciono à lista de livros recomendados sobre Seguranca, Resposta a Incidentes e Forense Computacional:

• The Death of the Internet (Markus Jakobson)
• Blackhatonomics: An Inside Look at the Economics of Cybercrime (Will Gragido and others)
• DarkMarket: How hackers Became the new Mafia (Misha Glenny)
• Windows Forensic Analysis Toolkit: Advanced Analysis Techniques for Windows 7 (Harlan Carvey)
• Hacking Exposed 7 (Stuart McClure)
• Cyber Warfare: Techniques, Tactics and Tools for Security Practitioners  (Jason Andress and others)

[ Update 23/11/2012 ]

O Richard Beijtlich publicou hoje uma lista de leituras recomendadas em seu blog, motivada pela solicitação de um Coronel da Força Aérea Norteamericana interessado nos tópico "Cyber":

Segue a lista:

"Nontechnical books:

• America the Vulnerable by Joel Brenner
• Cyber War by Richard Clarke and Robert Knake
• Crypto by Steven Levy
• Geekonomics by David Rice
• Security Metrics by Andrew Jaquith
• The Victorian Internet by Tom Standage
• The Cuckoo's Egg by Cliff Stoll
• Tiger Trap by David Wise

Technical books:

• Software Security by Gary McGraw
• The Art of Computer Virus Research and Defense by Peter Szor
• Real Digital Forensics by Keith Jones, Curtis Rose, and Richard Bejtlich
• Incident Response by Kevin Mandia, Matt Pepe, and Chris Prosise
• The Internet and Its Protocols by Adrian Farrell
• The Tao of Network Security Monitoring by Richard Bejtlich
• Hacking Exposed 7 by Joel Scambray, George Kurtz, Stuart McClure, and a ton of contributors

I also recommend any books by Timothy L Thomas."

[ Update 24/04/2011 ]

Atualizando as boas referências de livros sobre Segurança, esta lista do Carnal0wnage na Amazon está muito completa, confiram!

Outra ótima referência (com juízo de valor qualificado) são as dezenas de reviews do Bejtlich na Amazon.

[ Update - 20/01/2011 ]

A Gisele Truzzi também publicou uma lista: Bibliografia - Direito Digital, Crimes Digitais e Perícia Forense - recomendada! Confira também a Biblioteca Forense (com capas dos livros) recomendada pelo José Milagres.

[ Update - 02/12/2010 ]

O site da Digital Forensics Association publicou uma lista extensa de referência bibliográfica. Por uma questão de organização, estou colocando esta lista ao final do post.

[ Post Original - 18/12/2009 ]

O treinamento e aperfeiçoamento das equipes internas responsáveis pelo tratamento de incidentes de segurança e forense computacional é certamente a iniciativa de melhor custo-benefício (ou custo-eficiência) que pode ser tomada por uma empresa ou órgão governamental.

Na minha experiência como analista e coordenador de times de resposta a incidentes e como consultor da área, sempre percebi que - apesar de ser a menos valorizada dentre todas as iniciativas necessárias, este investimento fundamental de preparação do corpo técnico é certamente o que faz a diferença na hora de responder a incidentes complexos de forma eficiente.

Em se tratando de treinamento e aperfeiçoamento temos os cursos tradicionais de ferramentas utilizadas pela equipe, cursos de preparação para certificações, os ótimos cursos do CERT.BR (olá Klaus & Cristine) e da Escola Superior de Redes da RNP (oi Jacomo).

Além disto é necessário que haja um interesse contínuo de atualização por parte dos profissionais envolvidos, pois a nossa área requer profissionais extremamente preparados e capazes - afinal normalmente iremos atuar quando todos os outros esforços já falharam e o que resta é que seja feita uma boa e rápida reação ao incidente analisado.

Pelos motivos acima, eu compilei - e pretendo manter atualizada (envie suas sugestões) - uma lista de alguns livros que considero importantes para um time de resposta a incidentes e forense computacional, incluindo o link para a página do livro na Amazon e uma breve descrição sobre o conteúdo de cada título.

Na lista existem livros mais teóricos e outros mais técnicos, e também livros criados especificamente para profissionais de segurança que atuam na defesa de sistemas e os que exploram o modus-operandi de atacantes para que os profissionais de segurança possam se preparar para investigar ataques utilizando estas técnicas.

O objetivo é auxiliar equipes e profissionais na obtenção de mais conhecimento relacionado às áreas de segurança, resposta a incidentes e forense computacional.

• Computer Evidence Collection & Preservation

Christopher L. T. Brown conseguiu prover um guia prático para coleta e preservação de evidências - considerando topologias de rede, metodologias de criação de imagens forenses, coleta de dados voláteis - é um livro bastante focado na manutenção da integridade das evidências digitais.

• CrimeWare

Markus Jakobsson e Zulfikar Ramzan escreveram parte e compilaram o restante das várias seções que este excelente livro nos apresenta. Todas elas são focadas no modus operandi atualizado dos criminosos e das ferramentas que estes utilizam (rootkits, bots, spyware, click fraud, etc..).

• Essentials of Corporate Fraud

Com o crescente interesse de outras áreas da empresa em investigações internas utilziando as tecnologias de resposta a incidentes e forense computacional, este livro é fundamental para uma compreensão rápida do mundo da Fraude Corporativa, incluindo as causas de sua existência, fraudes comuns, sinais da sua ocorrência e procedimentos normalmente utilizados por equipes de Anti-Fraude que provavelmente são ou serão clientes internos de seu expertize em resposta a incidentes.

• Exploiting Software - How to Brake Code

Greg Hoglund e Gary McGraw mostram de forma clara como se explora software vulnerável e apresentam ao leitor diferentes padrões de ataque, ferramentas e técnicas utilizadas em ataques reais. São cobertos temas como engenharia reversam exploração de clientes, servidores, buffer overflow e rootkits.

• Extrusion Detection

Richard Bejtlich apresenta neste ótimo livro uma abordagem realista para defesas de ataques ocorridos de dentro de uma organização. O livro aborda o design de redes melhor protegidas deste tipo de ataques, análise de sessões, utilização de forense de rede para entender e identificar a causa raiz de ataques complexos, além de vários estudos de caso interessantes e como respoder estes incidentes utilizando ferramentas open-source.

• File System Forensic Analysis

Brian Carrier detalha a estrutura, funcionamento interno e abordagem de investigação do ponto de vista baixo nível de Sistemas de Arquivos do tipo FAT, NTFS, Ext2, Ext3, UFS1 e UFS2 (se prepare para aprender a ler em hexadecimal).

• Forensic Discovery

Neste clássico livro de forense computacional para UNIX, Dan Farmer e Wietse Venema apresentam conceitos fundamentais para investigações modernas, como a ordem de volatilidade, confiança nas informações coletadas, captura e análise de memória, processo de boot, entre outros. Tudo isto utilizando as ferramentas originais criadas por eles no The Coroner ToolKit (TCT).

• Hacking Exposed Series

Esta série de sucesso apresenta técnicas utilizadas por crackers em ataques reais. Dentre os diferentes livros da série, são abordados aspectos como Segurança de Rede, Windows, Linux, Aplicações Web, Web 2.0, Códigos Maliciosos e RootKits, Wireless, entre outros!

• Hacking - The Art of Exploitation

Jon Erickson provê um livro de crescente complexidade apresentando os conceitos necessários para compreender e utilizar técnicas de programação para exploração de vulnerabilidades, debug de códigos, codificação de exploits, detalhes importantes de networking, shellcodes e medidas defensivas.

• Malware Forensics

James M. Aquilina, Eoghan Casey e Cameron H. Malin apresentam um guia prático - com ênfase em ferramentas gratuitas - de análise e investigação de códigos maliciosos em situações live e em post mortem. Este extenso livro aborda temas como a coleta de dados voláteis de windows e linux, a análise de dumps físicos e de processos e descoberta e extração de de artefatos em unix e windows.

• Mastering Windows Network Forensics and Investigation

Steve Anson e Steve Bunting apresentam uma abordagem completa para investigações envolvendo crimes eletrônicos - desde a entrevista inicial com as vítimas, passando pelo entendimento de como atacantes exploram vulnerabilidades em redes reais, detalhes de file-systems, registros, análise de dados voláteis, análise de computadores de suspeitos, utilização do Encase para análise de eventos ocorridos em máquinas Windows, e chegando à fase final de como apresentar tecnicamente as informações processadas para públicos variados, como júris e advogados.

• Practical Intrusion Analysis: Prevention and Detection for the Twenty-First Century

O autor faz uma revisão no início do livro sobre conceitos fundamentais para a Detecção de Intrusões, como endereçamento IP, subnetting, e pacotes, que considerei desnecessária para um livro com este título, porém logo depois ele detalha de forma adequada as soluções de rede e de end-point para uma resposta a incidentes efetiva.

• Rootkits

Greg Hoglund e James Butler apresentam neste livro técnicas detalhadas da confecção e utilização de rootkits que subvertem o sistema, proporcionando ao atacante o controle remoto de máquinas, invisibilidade de processos e arquivos e sniffers de teclado. Técnicas avançadas como Hooking, Runtime Patching e manipulação direta de objetos do kernel de máquinas Windows são apresentadas, assim como dicas de como detectá-las durante a investigação de um sistema suspetio.

• Security Log Management

Jacob babbin, Dave Kleiman, Everret Carter Jr, Jeremy Faricloth e Mark Burnett apresentam neste livro o que é necessário ser feito do ponto de vista de monitoração de eventos de segurança críticos para ser capaz de: investigar intrusões baseados em logs de sistema, construir uma infra-estrutura de relatórios baseada em logs existentes de firewall, sistema, servidores web e ids/ips e como abordar um projeto para implantar uma ferramenta de SIEM (Security Information and Event Monitoring), incluindo a utilização de ferramentas open-source para agilizar o processo.

• Security Metrics - Replacing Fear, Uncertainty and Doubt

Andrew Jaquith desafia a dificuldade na medição do "retorno de investimento" (ROI) das iniciativas de segurança neste livro original. São apresentadas melhores práticas para criar e utilizar métricas de segurança dentro de uma coorporação. O livro apresenta técnicas e procedimentos práticos para geração de métricas de cobertura e controle, gerenciamento de vulnerabilidades, qualidade de passwords, latência de correções, e risco ajustado ao negócio. Além disto, técnicas de visualização e apresentação do resultado são exploradas, buscando a apresentação de visões diferenciadas da eficiência das iniciativas de segurança dentro de uma empresa.

• Silence on the Wire

Michal Zalewski apresenta neste livro uma maneira criativa e inesperada de abordar a exploração e defesa de ataques sofisticadas, que vão desde a segurança de geradores de números randômicos e sua influência na captura de informações em comunicações encriptadas, emanações TEMPEST, ataques a aplicações web, vulnerabilidades wi-fi, falhas em implementações de fragmentação IP, e a detecção para alguns dos ataques descritos.

• Shellcoder's Handbook

Chris Anley, John Heasman, Feliz linder e Gerardo Richarte apresentam a última edição desta bíblia de como explorar computadores do ponto de vista da programação dos shellcodes. São explicados detalhadamente os códigos responsáveis por conseguir explorar as diferentes vulnerabildades em software. Excelente para a compreenção de como falhas são encontradas e como as explorações são pensadas e construídas de forma a obterem o resultado final.

• Perl Scripting for Windows Security

Harlan Carvey neste livro apresenta uma variedade de códigos em linguagem Perl para execução de análise forense (incluindo live response) em máquinas Windows e para Monitoração de Segurança de aplicações.

• Phishing Exposed

Lance James mostra neste ótimo livro a evolução do Phishing e as diferentes técnicas utilizadas pelos fraudadores, incluindo Malwares (Trojans), Blind Drops, Cross-Site Scripting, explorações SSL e DNS poisoning.

• Real Digital Forensics - Computer Security and Incident Reponse

Keith Jones, Richard Bejtlich e Curtis Rose apresentam técnicas eficientes de live response para máquinas Windows e Unix, Confirmação de ataques detectados, confecção de kits de resposta a incidentes, análise de dados voláteis e não-voláteis, execução e documentação de duplicações forenses, coleta e análise de evidência coletada na rede em ambiente windows e linux e reconstrução de atividades como navegação web, email e mudança no registro de máquinas analisadas.

• The Tao of NetWork Security Monitoring

Richard Bejtlich apresenta neste excelente livro uma abordagem híbrida de segurança e monitoração de rede, e mostra as melhores práticas e o caminho de como construir uma infraestrutura de monitoração de segurança com capacidade de customização de ferramentas existentes para a necessidade da sua rede. Várias ferramentas open-source são apresentadas e analisadas do ponto de vista da integração no framework de NSM (Network Security Monitoring)

• Windows Forensic Analysis v2

Harlan Carvey atualiza nesta segunda edição a melhor referência detalhada de análise forense de máquinas Windows utilizando ferramentas open-source. Repleto de exemplos reais e ferramentas e códigos criados e detalhados pelo próprio autor - é uma maneira eficiente e realista de aprender (ou se atualizar) nas melhores técnicas para análise forense de máquinas Windows, incluindo coleta de dados voláteis, análise de dados, análise de memória, análise de registro, análise de arquivos e seus metadados, análise de executáveis e rootkits.

Esta lista tende a crescer se eu mantiver a média de 4 livros técnicos sobre Segurança no ano. Alguns dos próximos candidatos estão na minha Wish List da Amazon.

Caso você tenha algum bom livro a recomendar - faça um mini-review e insira nos comentários!

[ Lista de livros da Digital Forensics Association <= links p/ a Amazon ]

1. Advances in Digital Forensics II (IFIP International Federation for Information Processing) (v. 2) 

Springer;
2. Alternate Data Storage Forensics

by Amber Schroader; Tyler Cohen;

3. Building a Digital Forensic Laboratory

by Andrew Jones, Craig Valli
;
4. CD and DVD Forensics

by Paul Crowley;
5. Computer and Intrusion Forensics (Artech House Computer Security Series)

by George Mohay, Alison Anderson, Byron Collie, Olivier de Vel, Rod McKemmish;
6. Computer Crimes and Digital Investigations

by Ian Walden;
7. Computer Evidence: Collection & Preservation (Networking Series)

by Christopher LT Brown;
8. Computer Forensics: Evidence Collection and Management

by Robert C. Newman;
9. Computer Evidence (Forensic Crime Solvers)

by Michael Dahl;
10. Computer Forensics: Incident Response Essentials

by Warren G. Kruse, Jay G. Heiser;
11. Computer Forensics: An Essential Guide for Accountants, Lawyers, and Managers

by Michael Sheetz;
12. Computer Forensics: Computer Crime Scene Investigation (Networking Series)

by John R. Vacca;
13. Computer Forensics: Principles and Practices (Prentice Hall Security Series)

by Linda Volonino, Reynaldo Anzaldua, Jana Godwin;
14. Computer Forensics and Cyber Crime: An Introduction

by Marjie T. Britz;
15. Challenges to Digital Forensic Evidence

by F Cohen;
16. Cybercrime and Society

by Majid Yar;
17. Cyber Forensics: A Field Manual for Collecting, Examining, and Preserving Evidence of Computer Crimes

AUERBACH;
18. Digital Crime And Forensic Science in Cyberspace (N/A)

by et AL;
19. Digital Evidence and Computer Crime, Second Edition

by Eoghan Casey
;
20. EnCase Computer Forensics: The Official EnCE: EnCase Certified Examiner Study Guide

by Steve Bunting, William Wei;
21. File System Forensic Analysis

by Brian Carrier;



22. Investigating Computer Crime In The 21st Century: Investigating Computer Crime In The Twenty-first Century

by Ronald L. Mendell;
23. Investigating High-Tech Crime

by Michael Knetzger, Jeremy Muraski;


24. Practical Guide to Computer Forensics: For Accountants, Forensic Examiners. and Legal Professionals

by Frank Grindstaff;



25. Silence on the Wire: A Field Guide to Passive Reconnaissance and Indirect Attacks

by Michal Zalewski;



26. Computer Forensics and Investigations

by Bill Nelson, Amelia Phillips, Frank Enfinger, Chris Steuart;
27. Computer Forensics JumpStart (Jumpstart (Sybex))

by Michael Solomon, Neil Broom, Diane Barrett;



28. Computer Investigation (Forensics: the Science of Crime-Solving)

by Elizabeth Bauchner;
29. Cyber Criminals on Trial

by Russell G. Smith, Peter Grabosky, Gregor Urbas


30. Cybercrime: Digital Cops in a Networked Environment (Ex Machina: Law, Technology, and Society)


31. J. M. Balkin;
32. 


 Cyber Crime Investigator's Field Guide

by Bruce Middleton;
33. Cyber Crime Investigations: Bridging the Gaps Between Security Professionals, Law Enforcement, and Prosecutors

by Anthony Reyes; Richard Brittson; Kevin O'Shea; Jim Steel;
34. Cybercrime: The Transformation of Crime in the Information Age (Crime and Society)

by David S. Wall
;
35. Incident Response and Computer Forensics, Second Edition

by Chris Prosise, Kevin Mandia, Matt Pepe;
36. Mastering Windows Network Forensics and Investigation

by Steven Anson, Steve Bunting;
37. The New Forensics: Investigating Corporate Fraud and the Theft of Intellectual Property

by Joe Anastasi;
38. Perl Scripting for Windows Security: Live Response, Forensic Analysis, and Monitoring

by Harlan Carvey, Jeremy Faircloth;
39. Real Digital Forensics: Computer Security and Incident Response

by Keith J. Jones, Richard Bejtlich, Curtis W. Rose;
40. Forensic Computer Crime Investigation (Forensic Science) 

CRC;
41. A Guide to Forensic Testimony: The Art and Practice of Presenting Testimony As An Expert Technical Witness

by Fred Chris Smith, Rebecca Gurley Bace;
42. Hacker's Challenge 2: Test Your Network Security & Forensic Skills

by Mike Schiffman, Bill Pennington, David Pollino, Adam J. O'Donnell;
43. Incident Response: Computer Forensics Toolkit

by Douglas Schweitzer;
44. International Guide to Combating Cybercrime

by Jody Westby;
45. Hacking Exposed Computer Forensics

by Chris Davis, Aaron Philipp, David Cowen;
46. Handbook of Computer Crime Investigation: Forensic Tools & Technology

by Eoghan Casey;
47. Information Risk And Security: Preventing And Investigating Workplace Computer Crime

by Edward Wilding;
48. The Investigator's Guide to Computer Crime

by Carl J., Ph.D. Franklin;
49. High Technology Crime Investigator's Handbook

by Gerald L. Kovacich, William C. Boni
;
50. Investigating Computer-Related Crime

by Peter Stephenson;
51. Malware Forensics: Investigating and Analyzing Malicious Code

by Cameron H. Malin, Eoghan Casey, James M. Aquilina;
52. iPhone Forensics: Recovering Evidence, Personal Data, and Corporate Assets

by Jonathan Zdziarski;
53. Privacy Protection and Computer Forensics, Second Edition

by Michael A. Caloyannides;
54. Forensic Computing: A Practitioner's Guide (Practitioner Series)

by A J Sammes, Brian Jenkinson;
55. Forensic Discovery (Addison-Wesley Professional Computing Series)

by Dan Farmer, Wietse Venema;
56. Foundations to Computer Forensics and Online Crime Investigations (Middle_english Edition)

 by Luis M Andrade, Wayne P Firestone;
57. Cyber Forensics: A Field Manual for Collecting, Examining, and Preserving Evidence of Computer Crimes, Second Edition (Information Security)

by Jr., Albert Marcella, Doug Menendez’
58. Guide to Computer Forensics and Investigations, Second Edition

by Amelia Phillips, Bill Nelson, Frank Enfinger, Christopher Steuart;
59. Digital Crime and Digital Terrorism

by Robert W. Taylor, Tory J. Caeti, Kall Loper, Eric J. Fritsch, John Liederbach;
60. Mac OS X, iPod, and iPhone Forensic Analysis DVD Toolkit

Syngress;
61. Scene of the Cybercrime: Computer Forensics Handbook

by Debra Littlejohn Shinder, Ed Tittel;
62. Techno Security's Guide to E-Discovery and Digital Forensics: A Comprehensive Handbook

by Jack Wiles;
63. The Official CHFI Study Guide (Exam 312-49)

by Dave Kleiman, Craig Wright, Jesse "James" Varsalone, Timothy Clinton, Michael Gregg;
64. UNIX and Linux Forensic Analysis DVD Toolkit

by Chris Pogue, Cory Altheide, Todd Haverkos;
65. Transnational Criminal Organizations, Cybercrime, and Money Laundering: A Handbook for Law Enforcement Officers, Auditors, and FinancialInvestigators

by James R. Richards;
66. Windows Forensics: The Field Guide for Corporate Computer Investigations

by Chad Steel;
67. Windows Forensic Analysis Including DVD Toolkit

by Harlan Carvey;
68. Windows Forensics and Incident Recovery (Addison-Wesley Microsoft Technology Series)

by Harlan Carvey;
69. Multimedia Forensics and Security

IGI Global
;
70. Wireless Crime and Forensic Investigation

by Gregory Kipper;
71. Software Forensics : Collecting Evidence from the Scene of a Digital Crime

by Robert Slade;
72. Understanding and Managing Cybercrime

by Sam C. McQuade

[ Obras Recomendadas pela Gisele Truzzi ]

1. CAMARGO Aranha Filho, Adalberto José Queiroz Telles de; “Crimes na Internet e a legislação vigente”; artigo publicado na Revista Literária de Direito, no 44, p. 23, outubro-dezembro/2002.

2. CASTRO, Carla Rodrigues Araújo de; “Crimes de Informática e seus Aspectos Processuais”.

3. CORRÊA, Gustavo Testa, “Aspectos Jurídicos da Internet”.

4. COSTA, Ana Maria Nicolaci da; “Na malha da Rede”. Os impactos íntimos da Internet.

5. DELMANTO, Celso; Código Penal Comentado.

6. GOUVÊA, Sandra; “O Direito na Era Digital”. Crimes praticados por meio da Informática.

7. LEGISLAÇÃO SOBRE INTERNET NO BRASIL, material elaborado pela Consultoria Legislativa da Câmara dos Deputados:

http://www.truzzi.com.br/blog/2010/07/13/legislacao-sobre-internet-no-brasil-material-para-download/

8. LEONARDI, Marcel; “Responsabilidade Civil dos Provedores de Serviços de Internet”.

9. Livro Verde sobre SEGURANÇA CIBERNÉTICA NO BRASIL, produzido pelo Governo Federal: http://dsic.planalto.gov.br/documentos/publicacoes/1_Livro_Verde_SEG_CIBER.pdf

10. LUCCA, Newton de e Adalberto Simão Filho; “Direito e Internet”. Aspectos jurídicos relevantes.

11. NORONHA, Magalhães; Direito Penal, volumes 1 a 4.

12. PAULINO, José Alves; “Crimes de Informática”.

13. PLANTULLO, Vicente Lentini; “Estelionato Eletrônico”. Segurança na Internet.

14. QUEIROZ, Claudemir. VARGAS, Raffael. “Investigação e Perícia Forense Computacional. Certificações, Leis Processuais, Estudos de caso.”

15. REIS, Maria Helena Junqueira; “Computer crimes”. A criminalidade na era dos computadores.

16. ROSA, Fabrízio; “Crimes de Informática”.

17. VIANNA, Túlio Lima; “Fundamentos de Direito Penal Informático”. Do acesso não autorizado a sistemas computacionais.