Este documento apresenta uma introdução à computação forense com ferramentas avançadas. Ele discute conceitos básicos de computação forense, o processo investigativo, e as etapas da perícia digital incluindo coleta de dados, análise de informações e geração de relatórios. Demonstrações práticas são fornecidas utilizando ferramentas forenses como FTK Imager e FTK 3.

1. Introdução a Computação Forense com
Ferramentas Avançadas
Luiz Sales Rabelo
http://4n6.cc
© 2011 - TechBiz Education 1

2. Luiz Sales Rabelo
• Consultor TechBiz Forense Digital desde 2009
• Certificações internacionais EnCE e ACE
• Membro Comissão Crimes Alta Tecnologia OAB/SP
• NÃO SOU ADVOGADO!!
2

3. Agenda
• Conceitos Básicos
• Processo Investigativo
• Forense Digital
• Início do Caso
• Coleta de Dados
• Análise de Informações
• Relatório Final
3

4. Conceitos Básicos
4

5. Conceitos Básicos
Reconhecendo um incidente (ISO 17799:2005)
• Perda de serviço
• Mal funcionamento ou sobrecarga de sistema
• Falha humana
• Vulnerabilidades no controle do acesso físico
• Violação de Acesso
5

6. Ciência Forense
Metodologia científica aplicada, que atua em conjunto com o
Investigador e é utilizada para esclarecer questionamentos
jurídicos:
Toxicologia Forense, Genética e Biologia Forense,
Psiquiatria Forense, Antropologia Forense, Odontologia
Forense, Entomologia Forense, Balística Forense,
Tanatologia Forense...
6

7. Ciência Forense
Forense Computacional
X
Forense Digital
7

8. Dispositivos Móveis
Na atualidade, os celulares são verdadeiros computadores, e em alguns casos guardam
muito mais sobre nossas vidas do que nossos computadores. Ex:
• E-mails
• Contatos / Agenda
• Fotos, imagens e vídeos
• Ring Tones e Jogos (copyright)
• Histórico, cookies, senhas de navegação (browser)
• Chamadas (discadas e recebidas) em determinada
data/hora
• Detalhes de mensagens SMS
(data, origem/destino, templates)
8

9. Perícia em dispositivo Móveis
9

10. Perícia em dispositivo GPS
10

11. Processo Investigativo
11

12. O que é Forense Digital?
PRESERVAÇÃO
COLETA ANÁLISE RELATÓRIO
12

13. “Sanitização”
• Evitar cross-contamination
• Demanda wipe completo das mídias reutilizáveis
13

14. “Sanitização”
Visualização de mídia
no EnCase após wipe
14

15. “Efeito” CSI
• Adaptação livre do tema para televisão
• Relata fatos no formato de série de TV
• Diferença quanto a métodos, organização e tempos
15

16. “Efeito” CSI
16

17. “Efeito” CSI
17

18. “Efeito” CSI
18

19. “Efeito” CSI
19

20. “Efeito” CSI
20

21. “Efeito” CSI
21

22. Forense Digital: Início do Caso
22

23. Início do Caso
• Fotografar e/ou filmar o ambiente
• Realizar ata notarial ou documento que ateste o
acautelamento de informações
• Elaboração do documento de custódia
• Preservação das Evidências
• Duplicação (Coleta)
23

24. Forense Digital: Coleta
24

25. Cadeia de Custódia
• O que é a cadeia de custódia?
• Pra que serve?
• Ela (o processo) é utilizada realmente?
25

26. Documento de Custódia
26
Referência : http://sophosnet.wordpress.com/2009/03/

27. Coleta
• Não é recomendável realizar perícia
diretamente na prova.
• Devem ser realizadas cópias forenses
de forma a preservar a evidência.
• Organização!
• Cautela!
27

28. Coleta (Enterprise)
• Processos
• Arquivos relevantes
• Logs de aplicativos
• Arquivos temporários
• Swapfile
• Registry
• Conexões ativas
• ...
28

29. Duplicação bit-a-bit
Cópia exata dos bits e de sua disposição
seqüencial dentro do disco rígido.
29

30. Integridade de Dados
• Algoritmos de Hash
• MD5
• SHA-1
• SHA-256
• Softwares para Pericia
• Bloqueadores de Escrita
• Técnicas para proteção contra gravação
30

31. Demo: Coleta de HD suspeito
Ferramenta utilizada: FTK Imager
31

32. Forense Digital: Análise
32

33. Objetivo da Análise
Extrair de um universo de dados coletados, informações que
direta ou indiretamente associem um indivíduo a uma
determinada atividade.
33

34. File Systems
Arquivos localizados no computador periciado devem ser
avaliados minuciosamente. Alguns dos pontos a serem
analisados são:
• Assinatura de arquivos
• Imagens de dispositivos
• ADS (Alternate Data Streams)
34

35. Demo: Análise Preliminar dos dados
Ferramenta utilizada: FTK Imager
35

36. Demo: Manipulando ADS com o Windows
Ferramenta utilizada: Prompt de Comandos
36

37. Arquivos Apagados
O espaço em disco marcado como livre na
tabela de alocação de arquivos
geralmente contém informações
essenciais para a análise: são os
dados dos arquivos removidos
37

38. Data Carving
Esculpir informações a partir
dos dados disponíveis no
disco rígido suspeito
38

39. Demo: Análise Avançada dos dados
Ferramenta utilizada: FTK 3
39

40. Forense Digital: Relatório
40

41. Relatório
• Oficializar encerramento do caso
• Preenchimento dos documentos de
controle
41

42. Geração de Relatório
Bookmarking
• Seleção de informações relevantes, realizada durante o
processo de análise
Geração de relatórios
• Correlação das hipóteses com as evidências
coletadas, agrupamento de todos os aspectos avaliados e
conclusão.
42

43. Demo: Criação de Bookmarks
Ferramenta utilizada: FTK 3
43

44. Demo: Criação de Relatórios
Ferramenta utilizada: FTK 3
44

45. Obrigado!
Luiz Sales Rabelo
http://4n6.cc
© 2011 - TechBiz Education 45