• Save
Palestra Sobre Perícia e Investigação Digital
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

Palestra Sobre Perícia e Investigação Digital

  • 1,482 views
Uploaded on

Palestra que apresentei sobre Perícia e Investigação Digital na V Semana Acadêmica da FCAT.

Palestra que apresentei sobre Perícia e Investigação Digital na V Semana Acadêmica da FCAT.

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
No Downloads

Views

Total Views
1,482
On Slideshare
1,467
From Embeds
15
Number of Embeds
2

Actions

Shares
Downloads
0
Comments
2
Likes
4

Embeds 15

http://palestrascoletivas.com 8
http://alexandraalcantarablog.wordpress.com 7

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. PERÍCIA E INVESTIGAÇÃO DIGITALPROF. DEIVISON PINHEIRO FRANCOPERITO FORENSE COMPUTACIONAL, AUDITOR DE TI E PENTESTERISO/IEC – 27002 FOUNDATIONCEH – CERTIFIED ETHICAL HACKERCHFI – CERTIFIED HACKING FORENSIC INVESTIGATORCIFI – CERTIFIED INFORMATION FORENSIC INVESTIGATORCFCE – CERTIFIED FORENSIC COMPUTER EXAMINERDSFE – DATA SECURITY FORENSICS EXAMINERdeivison.pfranco@gmail.comV Semana Acadêmica da FCAT
  • 2. Quem Sou Eu?2ü Mestre em Inovação Tecnológica e em Computação Aplicada,Especialista em Ciências Forenses com Ênfase emComputação Forense, em Suporte a Redes de Computadores eem Redes de Computadores e Graduado em Processamento deDados;ü Analista Pleno em Segurança de TI, Consultor Especial deSegurança da Informação e Membro do Comitê de SegurançaCorporativa para Prevenção, Combate e Resposta a Incidentese Crimes Cibernéticos do Banco da Amazônia;ü Professor das Disciplinas: Computação Forense, Segurança deRedes e de Sistemas e Auditoria de Redes e de Sistemas;ü Colaborador/Colunista das Revistas Segurança Digital,Convergência Digital, Espírito Livre, Digital ForensicsMagazine, eForensics Magazine e Hakin9 Magazine;ü Perito Forense Computacional, Auditor de TI e Pentester;ü Certificações: ISO/IEC 27002 Foundation, CEH – CertifiedEthical Hacker, CHFI – Certified Hacking Forensic Investigator,CIFI – Certified Information Forensic Investigator, CFCE –Certified Forensic Computer Examiner e DSFE – Data SecurityForensics Examiner .
  • 3. AGENDA1. Introdução2. Crimes/Ataques Cibernéticos3. Perícia Forense Computacional3.1 Dados Digitais Periciais/Periciáveis3.2 Fases da Perícia Forense Computacional4. Ferramentas para Análise Forense Computacional4.1 Softwares4.2 Hardwares3
  • 4. 1. Introdução4ü Computação Forenseü Ramo da Ciência da Computaçãoü Ramo da Criminalísticaü Ciência à Aquisição, Preservação, Identificação, Extração, Recuperação eAnálise de Dados Eletrônicos Armazenados em Mídia Computacional- DefiniçãoÄ ”Uma série metódica de técnicas e procedimentos para coletar evidências de sistemascomputadorizados, de dispositivos de armazenamento ou de mídia digital, as quaispodem ser apresentadas em um foro de forma coerente e em formato inteligível”Dr. H. B. Wolf
  • 5. 1. Introdução5ü Perícia Forense Computacionalü Perícia à Investigação, Pesquisa, Exameü Forense à Foro, Tribunal, Poder Judiciárioü Computacional à Processamento Digital (0/1) de Dados por MeiosAutomáticos à Informações Automáticas (Informática)- Definição
  • 6. 1. Introdução6ü Manipular Novas Formas de Evidênciasà Evidências Digitaisü Adquirir/Coletar, Preservar, Recuperar e Analisar DadosEletrônicos Armazenados em Mídia Computacionalü Determinar a Dinâmica (Como), a Materialidade (O Que) e aAutoria (Quem) de Ilícitos Ligados à Informática à Nexo Causalü Utilização de Métodos Técnicos-Científicos e Sistemáticos para Identificar,Caracterizar e Processar Evidências Digitais em Provas Materiais de umFato/Crime à Provas Legais de um Fato/Crime- ObjetivoÄ Informação(ões) à Dado(s) Processado(s)
  • 7. 1. Introdução7ü Ocorrências em Meios Eletrônicos / Internetü Provar Fatosü Identificar, Comprovar e Combater Crimesü Recuperação de Dados- Aplicaçãoü Coletar, Registrar, Analisar e Relatar Tudo;com o Mínimo de Perdasü Objetividade à Finalidadeü Especificidade à Tema/Tipo de Períciaü Síntese à Consolidação/Demonstraçãoü Celeridade à Agilidade Eficiente/Eficazü Preservação à Integridade- Princípios
  • 8. 1. Introdução8- Atuação
  • 9. 1. Introdução9- Desafiosü Efetivamente Ainda é Mais Arte que Ciênciaü Em Estado Inicial de Desenvolvimentoü Pouco Conhecimento Teórico à Hipóteses Empíricas(Baseadas em Experiência)ü Falta de Treinamento/Formação Apropriadaü Falta de Padronização de Ferramentas- Curiosidadesü Hackers x Crackers à White Hackers x Black Hackersü Hacker Action à Penetration Testers à Segurança x Auditoria de TIü Phreackers à Telefonia (Móvel ou Fixa)ü Hacktivismo à “A Nova Cara da Invasão”NÍVEL HABILIDADESClueless Nenhuma à “zerado”.Script Kiddie Baixa programas da Internet à segue “receitas de bolo”.Wizard Experiente à conhecimentos avançados em diversas soluções.Guru Conhecimentos mais avançados à capaz de manipular hardware e software.
  • 10. 2. Crimes/Ataques Cibernéticosü Não!ü Informações Trocadas e Armazenadas em Meios Físicosü Crime no Mundo Virtual/Digitalü Vestígios Digitais à Bits (0/1)ü Autenticação de Usuáriosü Conexões e Serviçosü Mídiasü Volatilidade de Dados 10- Existe Crime Virtual?ü O Crime Deixa Rastros (Vestígios) à Princípio de Locardü Crime à Conduta Típica, Ilícita e Culpável(Tipificada no Código Penal)ü Ataque à Evento que Ameaça a Segurança deum Sistema/Rede
  • 11. 2. Crimes/Ataques Cibernéticos11ü Virtualü Registros de Conexões/Serviços de Internet- Local de Crime - Real X Virtualü Realü Material Impressoü Mudança de Paradigmaü Especialização Tecnológicaü Velocidadeü Estrutura UbíquaÄ Roubo de senha de cartão de crédito por criminoso de SãoPaulo, com vítima de Belém, utilizando-se de um site doParaguai, com servidores/sistemas Chineses.
  • 12. 2. Crimes/Ataques Cibernéticosü Atividade Criminal à Internet e/ou Sistemas de TIü Auxiliados pela TI ou Ter como Meio/Alvo a TIü Dispositivos Eletrônicos, PCs, Servidoresü Dispositivos Conectados em Redeü Old Crime, New Media/Toolsü Extorsão, Fraudes, Pirataria, Pedofilia, Lavagem de Dinheiro etc.ü New Crime, New Media/Toolsü Ataques / Malwares à Vírus, Spywares, Rootkits, Botnets etc.ü Key Loggers, “Chupa-Cabras”, Computadores, Redes, Internet etc.12- Por Computador / Dispositivos Eletrônicos
  • 13. 2. Crimes/Ataques Cibernéticosü TI é a Ferramenta de Apoio (“Testemunha”)ü Crime Pode ser Cometido sem TIü Mídias com Vestígios Importantesü Exemplosü Fraudesü Sonegação Fiscalü Corrupçãoü Jogos Ilegaisü Tráfico de Influência13Ä Se a TI Não Existisse, o Crime Seria Praticado!ü Atividades Criminais Auxiliadas pela TI
  • 14. 2. Crimes/Ataques Cibernéticosü A TI é a Peça Central para a Ocorrência do Crimeü Mau Uso do Computador e da Internetü Roubo de Informações / Divulgação de Material Ilícitoü Exemplosü Fraude - Internet Bankingü Espionagemü Pedofilia, Racismoü Vírus, Ataquesü Pichação de Páginas de Internet (Defacement)14Ä Se a TI Não Existisse, o Crime Não Seria Praticado!ü Atividades Criminais que Têm como Meio/Alvo a TI
  • 15. 2. Crimes/Ataques CibernéticosÄ Associação Entre Crimes no Mundo Real e no Mundo Virtual15
  • 16. 2. Crimes/Ataques Cibernéticos16ü Motivação/Comportamento do Criminosoü Técnicas/Metodologias Utilizadasü Dinâmica/Evolução de Técnicas/Metodologias- Dinâmica
  • 17. 2. Crimes/Ataques Cibernéticos17- Taxonomiaü Evento à Ataque/Violação à Incidente à Crime
  • 18. 3. Perícia Forense Computacional18- Principais Períciasü Locais de Crime de Informáticaü Exames Inlocoü Mapeamento, Identificação e Preservaçãoü Seleção do Material a ser Apreendidoü Dispositivos de Armazenamentoü Mais Solicitadosü Analisar HDs, CDs, DVDs, Blu-Rays, Pen Drives e Outrosü Composto de 4 Fases: Coleta/Exame/Análise e Resultados (ouPreservação/Extração/Análise e Formalização)ü Aparelhos de Telefonia Celular/Tabletsü Extração/Recuperação de Dadosü Agenda, Ligações, Fotos, Mensagens etc.ü Sitesü Verificação e Cópia de Conteúdo Existente e Publicado na Internetü Investigação do Responsável por um Domínio/Site/EndereçoÄ Dados Digitais Periciais e/ou Periciáveis à Evidências Digitais
  • 19. - Principais Áreas de Atuaçãoü Análise de Mídias/Equipamentos3. Perícia Forense Computacional19ü Análise de Sistemasü Análise de Redes
  • 20. 3. Perícia Forense Computacional203.1 Dados Digitais Periciais/Periciáveisü Qualquer Informação Extraída de Computadores ou DispositivosEletrônicos, Interpretada por Especialistas e Apresentadas emFormato Inteligívelü Armazenada ou Transmitidaü Valor Probatórioü Nexo Causalü Fraude x Vítima / Vítima x Agente à Fraude x Agenteü Exemplosü Recuperação de Arquivos/E-mails Apagadosü Investigação de Atividades Suspeitasü Recuperação de Mídias FormatadasDADO DEFINIÇÃOVestígio Elementos materiais possivelmente relacionadas ao fato à potencial indício.Indício Circunstância conhecida, provada e relacionada ao fato à indicação de algo.Evidência Dado mais apurado, vestígio verdadeiro à certeza do que é evidente.Prova Demonstra e estabelece a verdade do fato à convicção, ou não, do fato.- Classificação
  • 21. 3.1 Dados Digitais Periciais/Periciáveis21- Fontes de Dados/Evidências Digitaisü Computadoresü Disco Rígidoü Dispositivos Auxiliaresü Servidoresü Logsü Dispositivos de Redeü Roteadoresü Switchesü Firewallsü IDSü Outrosü Mídias Diversasü Tabletsü Máquinas DigitaisAnálise ForensePost MortemAnáliseForensedeRedeAnálise ForenseIn VivoTipos de Análises Forenses
  • 22. 3.1 Dados Digitais Periciais/Periciáveis22- Live Analysis - Análise “In Vivo”ü Possibilidade de Encontrar Dados Contaminadosü Análise em 3 Camadasü Processos à Estados de Processos em Execuçãoü Rede à Conexões/Tráfego de Redeü Sistema Operacional à Softwares Maliciosos- Dead Analysis - Análise “Post-Mortem”ü Maior Credibilidade dos Dadosü Análise em 5 Camadasü Física à Dispositivos para Armazenamento de Dadosü Dados à Setor de Boot e Particionamentoü Sistema de Arquivos à Estrutura de Arquivosü Metadados à Itens Manipulados/Iseridosü Arquivos à Informações de Arquivos
  • 23. 3.1 Dados Digitais Periciais/Periciáveis23- Novas Modalidades de Análises Forenses
  • 24. ResultadosAnáliseExameColetaMídias Dados Informações Evidências- Isolar Área- Coletar Evidências- Garantir Integridade- Identificar Equipamentos- Acondicionar Evidências- Etiquetar Evidências- Elaborar Cadeia de Custódia- Identificar- Extrair- Filtrar- Documentar- Mapear- Correlacionar- Reconstruir- Documentar- Elaborar Laudo- Anexar Evidênciase Documentos3.2 Fases da Perícia Forense Computacional24
  • 25. 3.2 Fases da Perícia Forense Computacional25- Esquema IlustrativoBusca e ApreensãoDuplicação PericialAnálise (nas cópias)ü Mensagens de E-mail;ü Documentos/Imagens;ü Registros de Impressão;ü Arquivos Apagados/Fragmentos;ü Quebra de Senhas;ü Uso da Internet;ü Engenharia Reversa de Programas;ü Conversão de Banco de Dados.Documentação/Cadeia de Custódia Laudo
  • 26. - Coleta à Busca e Apreensão (Mandado Judicial)ü Quais Máquinas Apreender?ü As Conexões são Importantes?ü Como Apreender?ü Relevânciaü Informações Úteis (Usuários/Senhas)ü Identificação (Redes/Conexões)ü Preservação (Coleta/Transporte/Acondicionamento)3.2 Fases da Perícia Forense Computacional26ü Cadeia de Custódia
  • 27. - Coleta à Cadeia de Custódiaü Garantia e Controle de Integridade e Autenticidadeü O Que Foi Manipulado?ü Quando Foi Manipulado?ü Quem Manipulou?ü O Que Foi Feito? à Quais Procedimentos?ü 2 ou Mais Peritos à 1 ConclusãoLinha Item Data Hora Quem Descrição1 Disco Rígido #1 02/01/2012 10h15DeivisonFrancoApreendeu o HD no local, com permissãodada pelo dono da empresa.2 Disco Rígido #1 03/01/2012 10h45DeivisonFrancoTransportou o HD para local de proteção deevidências no escritório principal.3 Disco Rígido #1 03/01/2012 14h00DeivisonFrancoRetirou o HD para criar cópia de análise.4 Disco Rígido #1 04/01/2012 10h00DeivisonFrancoRetornou o HD ao local seguro paraevidências.3.2 Fases da Perícia Forense Computacional27
  • 28. 3.2 Fases da Perícia Forense Computacionalü Identificação de Possíveis Fontes de Dadosü Computadores Pessoaisü Dispositivos de Armazenamentoü Portas de Comunicação à USB, Firewire, Flash Card etc.ü Novas Tecnologias à Máquinas Digitais, Relógios, Canetas etc.28- Coleta à Dados
  • 29. 3.2 Fases da Perícia Forense Computacionalü Cópia dos Dadosü Investigação Sempre nas Cópiasü Ferramentas/Procedimentos Adequados e Aceitosü Garantir e Preservar a Integridadeü Evidências Podem ser Invalidadas como Provaü Ferramentas Hashü Aquisiçãoü Identificação de Prioridadeü Coleta de Dadosü Garantia e Preservação de Integridade29- Coleta à Dadosü Cadeia de Custódia
  • 30. 3.2 Fases da Perícia Forense Computacionalü Estabelecer Ordem para a Coleta de Dadosü Volatilidade à Imediatamente Coletadosü Esforço à Tempo X Custoü Valor à Valor Relativo Para Cada Fonte de Dados30- Coleta de Dados à Identificação de Prioridadeü Backup à Cópia Lógica (“CTRL C/CTRL V”) à Arquivos e Pastasü Arquivos Excluídosü Fragmentos de Dadosü Imagem à Cópia Bit a Bit (Softwares)ü Mais Espaço à Mais Tempo de Cópiaü Recuperação de Arquivos mais Eficiente- Coleta de Dados à Cópia/Clone
  • 31. 3.2 Fases da Perícia Forense Computacionalü Integridade dos Atributos de Tempoü Creation Time (ctime) à Data e Hora de Criaçãoü Modification Time (mtime) à Data/Hora de Modificaçãoü Access Time (atime) à Data e Hora de Acesso31- Coleta de Dados à Integridade
  • 32. 3.2 Fases da Perícia Forense Computacionalü Obtenção de Informações sobre o Sistemaü Campos Magnéticos e Pulsos Eletrônicosü CPU, Memória, Rede, SO, Armazenamentoü Informações Escondidas/Deletadasü Análise de Partições Estendidas e Lógicasü Tabela de Partições X Tamanho das Partiçõesü Programas para Análise de Partiçõesü Sistemas de Arquivosü Estruturas Internas32- Coleta de Dados à Voláteis X Não Voláteis
  • 33. 3.2 Fases da Perícia Forense Computacionalü Localizar, Filtrar e Extrair Dados Relevantes à Reconstrução deEventos X Correlação com o Fato/Crimeü Ferramental/Procedimentos Adequados e Aceitosü Identificação de Características Anormais e Indevidasü Formatos/Extensões de Arquivosü Imagem, Áudio, Arquivos Compactados etc. à Esteganografiaü Técnicas Anti-Forenseü Quantidade de Evidências Inversamente Proporcional à Habilidadeü Avaliação dos Dados Encontradosü Arquivos Recuperadosü Arquivos Ocultosü Fragmentos de Arquivos33- Exameà Dados
  • 34. 3.2 Fases da Perícia Forense Computacionalü Paralela ao Exame de Dadosü Análise e Interpretação dos Dadosü O Perito Deve Pensar como o Criminosoü Identificar Pessoas, Locais, Eventos e Correlacioná-losü Nexo Causal à Fraude x Vítima / Vítima x Agente à Fraude x Agenteü Recriar os Eventos Investigadosü Identificar Origem e Relação de Requisições de Acesso, Registros deFirewalls, Registros de IDS etc.ü Construir Time Line34- Análise à Informaçõesü Etapa Conclusiva à Elaboração do Laudo Pericialü Listagem de Todas as Evidências Periciadasü Conclusão Imparcial e Final à 2 ou Mais Peritos = 1 Conclusão- Resultados à Evidências
  • 35. 3.2 Fases da Perícia Forense Computacional351 - Finalidade da Perícia(Objetivos da Perícia)6 - Técnicas(Procedimentos Empregados)2 - Autor(es) do Laudo(Especialidades e Responsabilidades)7 - Programas e EquipamentosUtilizados(Softwares e Hardwares – Versão eEspecificação Técnica)3 - Resumo do Incidente(Incidente e Consequências)8 - Conclusão(Comprovação com Evidências)4 - Relação das EvidênciasAnalisadas e seus Detalhes(Especificação, Estado/Condições eManipulação – Cadeia de Custódia)9 - Anexos(Documentação, Fotos etc.)5 - Metodologia(Métodos Adotados)10 - Glossário (ou Rodapés)(Termos Técnicos)- Deve Constar no Laudo Pericial
  • 36. - Softwares/SO e Hardwares4. Ferramentas para Análise Forense Computacional36
  • 37. 4. Ferramentas para Análise Forense Computacionalü FTK - Forensic ToolKitü EnCase Forensicü WinHex Forensic37- Softwares
  • 38. - FTK4. Ferramentas para Análise Forense Computacional38
  • 39. - WinHex4. Ferramentas para Análise Forense Computacional39
  • 40. - EnCase4. Ferramentas para Análise Forense Computacional40
  • 41. 4. Ferramentas para Análise Forense Computacionalü Linux Back Trackü Linux FDTK (Forensic Digital ToolKit)ü Linux CAINE (Computer Aided INvestigative Environment)41- Sistemas Operacionais
  • 42. - Linux Back Track4. Ferramentas para Análise Forense Computacional42
  • 43. - Linux FDTK4. Ferramentas para Análise Forense Computacional43
  • 44. - Linux CAINE4. Ferramentas para Análise Forense Computacional44
  • 45. 4. Ferramentas para Análise Forense Computacionalü Mobile Forensic Workstation com RAID - Rapid ActionImaging Deviceü Ultrabook, Discos de Alta Performance, Impressora, MáquinaFotográfica, Adaptadores, Conectores, Cabos, Ferramentaspara Hardware, Softwares Forenses e Bateria Extraü FRED - Forensic Recovery of Evidence Deviceü Processamento/Análise de Servidores/HD de Grande Porteü Aircapture WLANü Captura, Grava e Analisa Transmissões Wireless em um Raiode 5 Km45- Hardwares
  • 46. - Mobile Forensic Workstation com RAID4. Ferramentas para Análise Forense Computacional46
  • 47. - FRED4. Ferramentas para Análise Forense Computacional47
  • 48. 4. Ferramentas para Análise Forense Computacional48- Aircapture WLAN
  • 49. Concluindo...49- O Perito Forense Computacionalü Nível Superior, com experiência comprovada no assunto,nomeado por um Juiz para responder questões específicas sobredeterminado caso e para preservar a verdade e apresentá-la soba forma de Laudo Pericialü Funciona como um assessor técnico do Juizü Indicado pelo Juizü Honorários definidos pelo Juizü Trabalha com prazos especificados
  • 50. Concluindo...50- O Assistente Técnico das Partesü Nível Superior, com experiência comprovada no assunto,nomeado/contratado pelas partes de um processo parapreservar a verdade e apresentá-la sob a forma de ParecerTécnicoü Funciona como um assessor técnico da Parteü Indicado pela Parte, ou pelo advogado da mesmaü Honorários negociados diretamente com a Parte contratanteü Trabalha com prazos repassados às Partes pelo Juiz
  • 51. Concluindo...51- O Investigador em Forense Computacionalü Profissional habilitado em Forense Computacional que trabalhano mercado privadoü Funcionário ou Consultorü Valores negociados diretamente com o contratanteü Realiza investigações sem seguir a formalizaçãoü O resultado pode ou não ser usado em Juízo
  • 52. Concluindo...52- O Perito Criminal em Forense Computacionalü Policial ou funcionário público habilitado na área de ForenseComputacionalü Nível Superiorü Somente por Concurso Públicoü É quem trata dos processos quando há crimeü A maior parte está na Polícia Federal
  • 53. Concluindo...53- Certificaçõesü CEH – Certified Ethical Hackerü CHFI – Certified Hacking Forensic Investigatorü CIFI – Certified Information Forensic Investigatorü CFCE – Certified Forensic Computer Examinerü DSFE – Data Security Forensics Examiner
  • 54. Concluindo...54ü A tecnologia trouxe melhorias enormes para os negócios, mastambém criou um novo terreno para os criminososü A perspectiva é de que seja cada vez mais necessário o trabalhodo Perito/Investigador Forense Computacionalü Há várias ferramentas para o trabalho do profissional deForense Computacional, incluindo ferramentas com código livreü As técnicas de análise evoluem a cada dia...ü E os criminosos também!
  • 55. PROF. DEIVISON PINHEIRO FRANCOPERITO FORENSE COMPUTACIONAL, AUDITOR DE TI E PENTESTERISO/IEC 27002 FOUNDATIONCEH, CHFI, CIFI, CFCE E DSFEdeivison.pfranco@gmail.comDúvidas?OBRIGADO PELA ATENÇÃO!
  • 56. Cenário Comum56
  • 57. Quais Máquinas Apreender?57
  • 58. Quais Máquinas Apreender?58
  • 59. As Conexões São Importantes?59
  • 60. As Conexões São Importantes?60
  • 61. Como Apreender?61
  • 62. Como Apreender?62
  • 63. Exemplos de Defacement63