Computação Forense

3,402 views

Published on

Segurança da Informação

Published in: Technology

Computação Forense

  1. 1. Aula 02 – Computação Forense Prof° Claudio Benossi
  2. 2. Computação Forense A Computação Forense ou Pericia Digital é uma área promissora, crescente no país e no mundo inteiro. A computação Forense surge da necessidade de se apurar e investigar crimes digitais eletrônicos, uma vez que, estamos utilizando cada vez mais os meios eletrônicos como os caixas eletrônicos de bancos, transações realizadas através da internet entre outros.
  3. 3. Computação Forense Com a revolução tecnológica, onde quase todas as relações passam a ser informatizadas, como as nossas compras, declarações de imposto de renda, consultas e transações financeiras entre outros tantas que fazem parte do nosso cotidiano, e com tudo isso, surge também às operações criminosas realizadas por pessoas especializadas em cometer crimes e fraudes eletrônicas (Hackers) utilizando recursos computacionais, que cientes da ignorância de muitas pessoas em manipular sistemas eletrônicos passam a aplicar golpes.
  4. 4. Computação Forense De acordo com dados da Policia Federal os crimes eletrônicos rendem mais dinheiro do que o trafico de drogas, e que entre dez Hackers, oito se encontram em nosso país. Diante desse cenário surge a necessidade de profissionais éticos, aptos a colaborar com as autorizadas na apuração e investigação de crimes cometidos principalmente pela internet.
  5. 5. Computação Forense Para este profissional (Perito em Computação Forense) é necessário conhecimento técnico, preparo além de um mínimo de conhecimento jurídico, onde ele deve estar apto a reconstruir o passado, apurando detalhes com as “testemunhas” desses crimes eletrônicos que são os computadores ou as máquinas. Tudo isso ligado diretamente a segurança da informação.
  6. 6. Computação Forense Podemos afirma que Computação forense é a ciência responsável por coletar, custodiar, preservar e analisar evidências eletrônicas na busca da materialidade do que ocorreu, como ocorreu e principalmente apontado que foram os responsáveis desta conduta criminosa ou crime eletrônico.
  7. 7. Computação Forense Ciência da Computação Computação Forense Criminalística
  8. 8. Computação Forense A perícia é todo o trabalho de natureza específica, especializado, que pode haver em qualquer área de conhecimento humano. É aplicado sempre que existir controvérsias, é realizado com o objetivo de obter prova ou opinião técnicocientífico. Por meio de exames, investigações, que resulta em um parecer, laudo pericial, ou relatório, devidamente fundamentados, mostrando a verdade de forma imparcial e merecedora de fé, a fim de orientar uma autoridade formal, no julgamento de um fato.
  9. 9. Computação Forense Perito Descobrir os crimes é um trabalho do perito que se utiliza da Perícia Forense para descobrir fraudes, rastros e evidências que incriminem um suspeito. Perito é o profissional com conhecimento especializado, de integridade moral, deve manter o sigilo e a privacidade de suas atividades. Especialista ou técnico que dá o seu parecer sobre questões que lhe são submetidas pelas partes ou pelo juiz, deve possuir formação e habilidade comprovadas.
  10. 10. Computação Forense O perito pode ser classificado em: Perito Criminal (Cível ou Federal): São funcionários públicos que trabalham na polícia, mas não são policiais. Perito Judicial: Nomeado pelo Juiz para cada processo, deve possuir formação e habilidades comprovadas. Embora seja considerado um cargo de confiança, não é funcionário público. É na maioria das vezes um profissional liberal que atua em outras atividades. Não pode ter envolvimento com Juízes do Fórum em que atua, assim como com as partes do processo. Assistente Técnico: É nomeado pelas partes nos processos judiciais para que acompanhem o trabalho do perito judicial. São responsáveis pela elaboração dos laudos críticos. Perito Extrajudicial: Responsável pela elaboração de laudos técnicos, normalmente utilizados em processos para o que chamam de produção antecipada de provas. Geralmente atuando posteriormente como assistente técnico.
  11. 11. Computação Forense Hoje um perito computacional atua com:  Softwares envolvendo pirataria e arquivos protegidos por direitos autorais;  Rastreamento de vendas de informações, como dados de contas bancarias, etc;  Códigos maliciosos em redes de internet;  Identificação e monitoramento de programas Spyware e keylogger;  Recuperação cientifica de dados, leitura de memórias;  Recuperação de arquivos pornográficos como os de pedofilias;  Identifica a origem dos atacantes, como acontece as invasões;  Identifica usuários anônimos em sites, blogs, comunidades virtuais;  Apuração de irregularidades ou fraudes;  Entre outros.
  12. 12. Computação Forense Esses profissionais tem uma atuação muito importante para as Polícia Civil e Federal, poder judiciário e também as Receitas Estaduais e Federais, apurando irregularidades ou fraudes como por exemplo as notas fiscais eletrônicas, caixa dois, quebrando e decifrando arquivos digitais que podem ser utilizados tanto em processos administrativos como judiciais.
  13. 13. Computação ForenseComo investigar os crimes de informática Procedimentos de investigação devem ser seguidos pelo perito a fim de assegurar que a evidência não seja comprometida, substituída ou perdida. Caso algum procedimento seja analisado e verifica- se dúvida, os juízes poderão considerar as evidências inadmissíveis, os advogados de defesa poderão contestar sua legitimidade e o caso poderá ser prejudicado.
  14. 14. Computação ForenseComo investigar os crimes de informática O desligamento dos equipamentos, por exemplo, não deve ser realizado pela simples interrupção do fornecimento de energia, pois, caso ocorra de tal forma, poderá inviabilizar sua inicialização futura. O desligamento ideal de um equipamento contendo o sistema operacional Windows deve-se dar pelo seguinte procedimento: Iniciar > Desligar > Hibernar > Ok, pois assim, todo o conteúdo da memória será gravado no disco rígido, o que possibilitara sua análise pelo perito e a possível descoberta de provas essenciais à resolução do caso.
  15. 15. Computação ForenseProcedimentos - Busca e apreensão Após a realização do desligamento dos equipamentos, deve-se retirar todos os cabos e acessórios conectados ao gabinete e leva-lo ao veículo que realizará o transporte até a unidade de perícia. A busca por evidências deve ser ainda mais cuidadosa, não restringindo-se apenas aos computadores. Deve-se verificar no local a possível existência de mídias removíveis como, por exemplo, disquetes, CDs, fitas DAT, gavetas de discos removíveis dentre outros.
  16. 16. Computação ForenseProcedimentos - Busca e apreensão É importante salientar que apenas equipamentos que contenham dados serão importantes para a perícia do ilícito investigado, descartamos assim a possível idéia de apreensão de monitores, teclados, mouses, dentre outros. É muito importante que haja constante atualização das pessoas envolvidas nesta etapa, pois em todo momento verifica-se a existência de novos equipamentos de armazenamento com formas e cores totalmente diferentes das tradicionais como, por exemplo, pen drives em forma de caneta, chaveiros e etc.
  17. 17. Computação ForenseProcedimentos - Busca e apreensão Esta fase da investigação de crimes de informática é de fundamental importância, pois pode vir a comprometer todas as etapas seguintes do trabalho. Isto se deve à sensibilidade dos equipamentos de informática. Devido à importância que esta fase apresenta, seria de bom grado que esta fosse realizada somente com o acompanhamento de um perito em computação forense, ou algum profissional da área, para que assim este conduzisse todas as outras etapas da busca e apreensão como, por exemplo, o desligamento dos equipamentos e a busca por mídias de dados.
  18. 18. Computação ForenseProcedimentos - Transporte O transporte ideal de gabinetes será feito se estes forem acomodados em caixas de papelão, cercados por materiais que absorvam impactos como, por exemplo, plástico de bolhas, isopor dentre outros. Ainda assim, estes não devem permanecer perto de partes rígidas como caixas de pneus, caso o transporte venha a ser feito por carro, pois uma colisão entre um gabinete, ainda que embalado de forma favorável, e uma parte rígida poderá danificar hardwares essenciais à perícia como é o caso do disco rígido.
  19. 19. Computação ForenseProcedimentos - Transporte Por várias vezes durante uma busca e apreensão o material encontrado, não está devidamente fixado ao gabinete como era de se esperar. Tão logo a importância de se ter um perito em computação forense ou profissional da área acompanhando a busca, apreensão, acomodação e transporte do(s) equipamento(s) apreendido(s). Um exemplo clássico é encontrar gabinetes abertos com os discos rígidos soltos por sobre a mesa, apenas ligados ao gabinete pelos cabos flats ou ainda dentro dos gabinetes porém sem a devida fixação junto às baias por parafusos.
  20. 20. Computação ForenseProcedimentos - Transporte As mídias removíveis também devem ter atenção especial para o transporte. CD’s e DVD’s que, por exemplo devem ser manuseados pela borda ou orifício central, devem ser acomodados em caixas próprias, não devem ficar expostos diretamente ao sol, em lugar quente ou úmido, devem ser acomodados de forma vertical, como livros, não devem ficar expostos a meios onde encontram-se campos magnéticos e etc.
  21. 21. Computação ForenseProcedimentos - O início da perícia Devido ao usual exercício do contraditório, a defesa poderá questionar no tribunal a legitimidade dos resultados da investigação, alegando que as evidências foram alteradas ou substituídas por outras. Devido a isso, o primeiro passo de uma perícia é realizar a cadeia de custódia, ou seja, documentar toda e qualquer operação realizada no material apreendido. A documentação deve conter dentre outros dados, a pessoa responsável pela operação, data e hora de inicio e fim de cada operação realizada e etc.
  22. 22. Computação ForenseProcedimentos - O início da perícia O próximo passo de uma perícia é realizar a duplicação da mídia para o exame de dados. Este passo é de fundamental importância para as próximas etapas, pois duplicando a mídia estaremos preservando dados fundamentais como, por exemplo, data e hora de criação, última edição, último acesso e etc. além de estarmos evitando surpresas desagradáveis como, por exemplo, a presença de um programa particionador de disco rígido na inicialização do sistema, o que resultaria no comprometimento da integridade e ter-se-ia a perícia prejudicada ou até mesmo impedida.
  23. 23. Computação ForenseProcedimentos - Kit de Ferramentas Após a documentação, a duplicação da mídia deverá ser feita, para realizar o exame de dados. Além da duplicação de mídia, devemos ter um kit de ferramentas próprio. O kit de ferramentas é um conjunto de softwares confiáveis usados na investigação que além de conter todas as ferramentas necessárias à captura de evidências, deverá ainda conter um arquivo de texto contendo o hash de todas as ferramentas, este arquivo de hash, considerado com uma assinatura digital onde cada arquivo possui um valor exclusivo, será utilizado para garantir a integridade do kit ao final da perícia.
  24. 24. Computação ForenseProcedimentos - Kit de Ferramentas Tal integridade poderá ser obtida através do comando md5sum. Um dos softwares necessários ao kit por exemplo, é um prompt de comando confiável, no caso de ser o sistema operacional Windows a ser analisado. Imagine a surpresa ao digitar o comando dir e descobrir posteriormente que o invasor havia alterado o comando dir para format, tornando assim a investigação um fracasso.
  25. 25. Computação ForenseProcedimentos - Interceptação de dados A interceptação do fluxo de comunicações em sistemas de informática e telemática é, no Brasil, regulamentada pela lei 9.296/96 de 24 de julho de 1996, isto significa que uma interceptação somente poderá ser realizada conforme uma autorização do juiz encarregado da ação principal, tão quanto esta deverá ocorrer sob segredo de justiça.
  26. 26. Computação ForenseProcedimentos - Interceptação de dados A interceptação de dados significa capturar todos os pacotes que trafegam no segmento de rede analisado, isto acarreta um grande volume de informações que deverão ser guardados e analisados pelas pessoas responsáveis, logo espera-se que ao realizar uma interceptação tenha-se em mãos hardwares e softwares de qualidade, pois esta é uma operação que exige no mínimo grande poder de processamento e armazenamento. O processo de interceptação baseia-se como um todo em uma solução denominada sniffer, que atua na captura e análise de pacotes.

×