Forense Digital - Conceitos e Técnicas

1,069 views

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,069
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Forense Digital - Conceitos e Técnicas

  1. 1. CONCEITOS E TÉCNICAS Luiz Sales Rabelo – Consultor Forense Computacional http://forensics.luizrabelo.com.br [email_address]
  2. 2. CENÁRIO MUNDIAL ATUAL <ul><li>Alta dependência da Tecnologia da Informação </li></ul><ul><li>Virtualização da sociedade (comunidades on line) </li></ul><ul><li>Alta oferta de serviços on line: de instituições financeiras a supermercados </li></ul><ul><li>Empresas estão apoiando suas estratégias em componentes tecnológicos: significa fazer mais, melhor e com maior controle, em menor tempo e com menor custo </li></ul><ul><li>Tecnologia = Diferencial Estratégico </li></ul>
  3. 3. CENÁRIO MUNDIAL ATUAL Fonte: http://www.internetworldstats.com/
  4. 4. CRIMES CIBERNÉRTICOS COMUNS <ul><li>Envio de informações confidenciais por e-mail </li></ul><ul><li>Ataque ou tentativa de ataque por concorrentes </li></ul><ul><li>Ataque ou tentativa de ataque por funcionários </li></ul><ul><li>Fraude em sistemas financeiros (home banking) </li></ul><ul><li>Instalação de cavalos-de-tróia em estações de trabalho </li></ul><ul><li>Envio de ameaças por e-mail </li></ul><ul><li>Remoção ou alteração indevida de informações </li></ul><ul><li>Ataques contra a disponibilidade de sistemas </li></ul>
  5. 5. O QUE É FORENSE COMPUTACIONAL? PRESERVAÇÃO ANÁLISE EVIDÊNCIAS DIGITAIS COLETA RELATÓRIO
  6. 6. O QUE É FORENSE COMPUTACIONAL? EVIDÊNCIAS DIGITAIS PROVA DE AUTORIA (VIOLAÇÕES DE NORMAS INTERNAS OU CRIMES CIBERNÉTICOS) FORMAÇÃO DE PROVA
  7. 7. OBJETIVOS DOS “CRIMINOSOS” <ul><li>Ganho Financeiro </li></ul><ul><li>Roubo de Informação </li></ul><ul><li>Destruição </li></ul><ul><li>Satisfação Pessoal </li></ul><ul><li>Desafio Intelectual </li></ul><ul><li>“ Grande parte dos incidentes são referentes a roubo de informações por concorrentes.” </li></ul>
  8. 8. RECONHECENDO UM INCIDENTE <ul><li>Exemplos de incidentes (ISO 17799:2005) </li></ul><ul><ul><li>Perda de serviço </li></ul></ul><ul><ul><li>Mal funcionamento ou sobrecarga de sistema </li></ul></ul><ul><ul><li>Falha humana </li></ul></ul><ul><ul><li>Vulnerabilidades no controle do acesso físico </li></ul></ul><ul><ul><li>Violação de Acesso </li></ul></ul>
  9. 9. AVALIANDO INCIDENTES <ul><li>Vírus, worms e trojans </li></ul><ul><li>Estagiário utilizando ferramenta “nmap” </li></ul><ul><li>Roubo de Informações Financeiras </li></ul><ul><li>Remoção de Arquivos da área “Publica” do Fileserver </li></ul><ul><li>Roubo e Utilização de Senhas do ERP </li></ul><ul><li>Keyloggers na estação do Diretor Financeiro </li></ul><ul><li>Ameaça de seqüestro via e-mail </li></ul>
  10. 10. <ul><li>Edmund Locard’s Principle of Exchange: </li></ul><ul><li>Quando dois objetos entram em contato, sempre haverá transferência de material de um objeto para o outro </li></ul>PRINCÍPIO DA TROCA DE LOCARD
  11. 11. TIPOS DE INVESTIGAÇÃO Determinar qual será o andamento: 1. Non-liturgical Forensic: “resolvida em casa”. 2. Liturgical Forensic: litígio, com desdobramentos legais.
  12. 12. INVESTIGAÇÃO <ul><li>Em alguns casos, não é conveniente envolver terceiros ou agentes legais </li></ul><ul><li>Quando os agentes legais devem ser notificados? </li></ul><ul><li>Notificação obrigatória: </li></ul><ul><li>Quando envolver a segurança de pessoas </li></ul><ul><li>Quando envolver a segurança nacional </li></ul><ul><li>Quando envolver pornografia infantil </li></ul>
  13. 13. EVIDÊNCIAS <ul><li>Tudo pode ser coletado? </li></ul><ul><li>Privacidade da Informação </li></ul><ul><li>Informação de terceiros </li></ul><ul><li>Quem é o dono da informação? </li></ul>
  14. 14. TIPOS DE EVIDÊNCIAS <ul><li>“ Melhor Evidência” </li></ul><ul><li>Evidência documentada, geralmente contratos </li></ul><ul><li>assinados (original) – pode ser um email assinado </li></ul><ul><li>digitalmente. </li></ul><ul><li>Evidência Secundária </li></ul><ul><li>Testemunho. Cópia de um documento, arquivo de </li></ul><ul><li>computador. </li></ul>
  15. 15. TIPOS DE EVIDÊNCIAS <ul><li>Evidência Conclusiva </li></ul><ul><li>Evidência irrefutável que não pode ser negada. </li></ul><ul><li>Não requer corroboração. Uma filmagem </li></ul><ul><li>caracteriza este tipo de evidência. </li></ul>
  16. 16. TIPOS DE EVIDÊNCIAS <ul><li>Evidência Circunstancial </li></ul><ul><li>Pode ser utilizada para deduzir ou assumir a </li></ul><ul><li>existência de outro fato. Ex: Usuário estava logado </li></ul><ul><li>no momento do incidente. </li></ul><ul><li>Opinião de um Expert </li></ul><ul><li>O que chamamos de “visão de um expert”. Não </li></ul><ul><li>opera opiniões, mas fatos – relatórios ou laudos </li></ul><ul><li>fornecidos por especialistas. </li></ul>
  17. 17. TIPOS DE EVIDÊNCIAS <ul><li>Vestígios (Logs) </li></ul><ul><li>Evidências de segunda mão. Nesta categoria são </li></ul><ul><li>enquadrados os registros de computador. </li></ul><ul><li>Considerar sempre: </li></ul><ul><li> - suficiência, </li></ul><ul><li> - confiabilidade e </li></ul><ul><li> - relevância. </li></ul>
  18. 18. ATRIBUTOS DA EVIDÊNCIA 1. Ser confiável Características que garantam a confiabilidade da evidência coletada. 2. Ser suficiente Capaz de explicar o evento como um todo. 3. Ser relevante Ter relação direta com o caso.
  19. 19. SOBRE AS EVIDÊNCIAS <ul><li>O que FAZER: </li></ul><ul><li>Anotar e fotografar o setup e as conexões </li></ul><ul><li>dos equipamentos </li></ul><ul><li>Permitir a finalização da impressão </li></ul><ul><li>Gravar o que estiver na tela </li></ul><ul><li>Gravar o número do modem se o telefone </li></ul><ul><li>estiver conectado </li></ul><ul><li>Empacotar e selar as evidências </li></ul>
  20. 20. SOBRE AS EVIDÊNCIAS <ul><li>O que NÃO FAZER: </li></ul><ul><li>Guardar as mídias próximo a telefone celular ou fontes geradoras de energia </li></ul><ul><li>Iniciar a investigação imediatamente </li></ul><ul><li>Fechar programa e desligar o equipamento </li></ul><ul><li>Deixar suspeitos alterar configurações nas máquinas </li></ul><ul><li>Mover o equipamento ligado </li></ul>
  21. 21. SOBRE AS EVIDÊNCIAS <ul><li>Alguns tipos de evidências: </li></ul><ul><li>Arquivos digitais </li></ul><ul><li>Logs dos servidores </li></ul><ul><li>Cookies </li></ul><ul><li>Histórico do Browser </li></ul><ul><li>Fotografias e/ou vídeos </li></ul><ul><li>Cache do Browser </li></ul><ul><li>Bookmark </li></ul><ul><li>E-mail </li></ul><ul><li>Logs de IRC e IM </li></ul>
  22. 22. TRACEBACK <ul><li>Principais aspectos </li></ul><ul><li>Durante uma investigação, podem-se utilizar técnicas de Traceback como parte do processo </li></ul><ul><li>Traceback pode ser o foco principal de uma investigação </li></ul><ul><li>Geração de Laudo Técnico </li></ul>
  23. 23. DESENVOLVIMENTO DA INVESTIGAÇÃO <ul><li>Principais passos </li></ul><ul><li>Gerar hash do Hard Disk </li></ul><ul><li>Criar imagem do Hard Disk </li></ul><ul><li>Auditoria em arquivos críticos </li></ul><ul><li>Busca por arquivos modificados no momento do incidente </li></ul><ul><li>Análise de histórico de acesso à internet </li></ul><ul><li>Análise em arquivos removidos </li></ul><ul><li>Análise de logs (firewall, sistemas críticos, outros ativos...) </li></ul><ul><li>Mapear portas abertas (port scan) </li></ul>
  24. 24. OBJETO DE ANÁLISE LEGAL 20/10/11 <ul><li>Prova vs Evidência </li></ul><ul><ul><ul><li>As provas são concretas, documentadas. As </li></ul></ul></ul><ul><ul><li>evidências precisam ser provadas. Uma ou mais </li></ul></ul><ul><ul><li>evidência podem levar a prova de que algo </li></ul></ul><ul><ul><li>aconteceu. </li></ul></ul>
  25. 25. VALE TUDO? <ul><li>Dicas para quando formos “monitorar”: </li></ul><ul><ul><li>Informar os colaboradores sobre o monitoramento </li></ul></ul><ul><ul><li>Monitoramento aplicado de maneira uniforme </li></ul></ul><ul><ul><li>Rotinas documentadas de auditoria por amostragem </li></ul></ul><ul><ul><li>Explicitar o que é considerado uso abusivo </li></ul></ul><ul><ul><li>Não garantir privacidade do uso de e-mail e/ou internet </li></ul></ul><ul><ul><li>Usar banners de coerção: “STOP! Do not cross!” </li></ul></ul>
  26. 26. OBRIGADO! Luiz Sales Rabelo – Consultor Forense Computacional http://forensics.luizrabelo.com.br [email_address]

×