Forense Computacional Introdução

2,794 views

Published on

Introdução a Forense Computacional

Forense Computacional Introdução

  1. 1. In tr o d u ç ã o à F o r e n s e C o m p u ta c io n a l To n y R o d r ig u e s , C IS S P, C F C P, S e c u r ity + in v.fo r e n s e a r r o b a g m a il p o n to c o m
  2. 2. T e r m o d e is e n ç ã o d e r e s p o n s a b ilid a d e • Não nos responsabilizamos pelo mal uso das informações aqui prestadas • Aproveite este material para ampliar seus conhecimentos em Forense Computacional e usá-los com responsabilidade.
  3. 3. Agenda • Objetivos • A internet no cenário mundial e brasileiro • Ciência Forense e Forense Computacional • Profissionais envolvidos • Principais aspectos da Forense Computacional • Técnicas de Análise • Novidades na área • Material indicado • Conclusão
  4. 4. O b je tiv o s • Introduzir os conceitos de Forense Computacional • Mostrar os principais aspectos de uma investigação digital • Atualizar a todos com as novidades da área
  5. 5. Por que precisamos de Forense Computacional ?
  6. 6. Porque não temos mais hackers como esses ...
  7. 7. A I nternet no c ená rio m undia l e bra s ileiro
  8. 8. C r e s c im e n to d a In te r n e t e a c r im in a lid a d e C ib e r n é tic a • Cenário Mundial – Alta dependência da Tecnologia da Informação – Virtualização da sociedade (comunidades on-line) – Alta oferta de serviços “on-line”, desde instituições financeiras, até supermercados – Empresas estão apoiando suas estratégias em componentes tecnológicos: significa fazer mais, melhor e com maior controle, em menor tempo e com menor custo.Tecnologia = diferencial estratégico
  9. 9. E s ta tí s tic a m u n d ia l d e u s o d a In te r n e t
  10. 10. O B r a s il n a s e s ta tí s tic a s
  11. 11. O B r a s il n a s e s ta tí s tic a s
  12. 12. O B r a s il n a s e s ta tí s tic a s FRAUDE
  13. 13. O B r a s il n a s e s ta tí s tic a s • Incidentes de segurança da informação crescem 191% em 2006 (68000 incidentes em 2005 x 197892 em 2006) • Fraudes: aumento de 53% em 2006. • As primeiras ações geradas após um incidente de segurança acabam prejudicando o processo de investigação e de perícia
  14. 14. C rim es C ibernétic os (C ybercrime) • Definição: Ato ilegal envolvendo um computador, seus sistemas ou aplicações • Abrange somente situações intencionais • Verifica as ferramentas usadas, o alvo e as circunstâncias do crime
  15. 15. C rim es es pec ia liza dos m a is c om uns • Envio de informações confidenciais por e-mail • Ataque por concorrentes ou ex- funcionário • Fraude em sistemas financeiros (Internet banking) • Instalação de cavalos-de-tróia em estações de trabalho • Envio de ameaças por e-mail • Remoção ou alteração indevida de informações • Pedofilia
  16. 16. L eg is la ç ã o - E uropa
  17. 17. L eg is la ç ã o - E U A • United States Code – Title 18 –Part I Crimes: – Seção 875: Interstate Communications: Including threats, Kidnapping, Ransom, Extortion – Seção 1029: Fraud and Related Activity in connection with access devices – Seção 1030: Fraud and Related Activity in connection with Computers – Seção 1343: Fraud by Wire, Radio or Television – Seção 1361: Injury of Government Property – Seção 1362: Government Communications System – Seção 1831: Economic Espionage Act – Seção 1832: Theft of Trade Secrets
  18. 18. L eg is la ç ã o - B ra s il
  19. 19. Fo rens e
  20. 20. C iênc ia Forens e • Ciência Forense: dividida em diversas disciplinas, atua em conjunto com o investigador na busca pela verdade. • Pathology Examination of the Dead • Living Cases Toxicology • Anthropology Odontology • Engineering Biology • Geology Psychiatry • Questioned Documents Criminalistics • Jurisprudence Computer Forensics
  21. 21. U m pouc o de H is tória • Hsi Duan Yu: Escreveu o Washing Away of Wrongs, tido por alguns como o primeiro livro de Forense da história • Antoine Louis: Trabalhava identificando causas de morte • Mathieu Orfila: Pai da Toxicologia Forense • Francis Galton: Primeiro estudo sobre impressões digitais • Madame Lafarge: Primeiro caso de uso de Forense em um tribunal • Albert Osbourne: Princípios de Análise de documentos
  22. 22. U m pouc o de H is tória • Arthur Conan Doyle: Primeiras histórias de Sherlock Holmes • Leone Lattes: Descobre os grupos sanguíneos • Calvin Goddard: Compara armas e projéteis • Edmund Locard: Propõe o Princípio de Locard • FBI: Cria o primeiro laboratório de Forense • Roland Menzel: Uso de lasers para identificar impressões digitais • Alec Jeffreys: Descoberta do DNA único • Anthony Zuiker: Criou a série C.S.I e popularizou a Ciência Forense
  23. 23. Forens e C om puta c iona l • É um conjunto metódico de técnicas e procedimentos para capturar evidências de equipamentos de computação ou vários equipamentos de armazenamento de dados e mídias digitais, de forma a serem apresentados em Juízo de forma coerente e significativa. Dr H. B. Wolfe
  24. 24. Forens e C om puta c io na l ou R es po s ta a I nc identes ? • Forense Computacional está ligada a investigações e preservação das evidências • Resposta a Incidentes refere-se aos procedimentos para conter, tratar e eliminar um incidente de Segurança de Informações
  25. 25. O s pro fis s io na is
  26. 26. P erito em Forens e C om puta c iona l • É o profissional com formação em 3o grau, com experiência comprovada no assunto, nomeado pelo Juiz para responder questões específicas sobre determinado caso. – Funciona como um assessor técnico do Juiz – Indicado pelo Juiz – Honorários definidos pelo Juiz – Trabalha com prazos especificados
  27. 27. A s s is tente T éc nic o da s P a rtes • É o profissional com formação em 3o grau, com experiência comprovada no assunto, nomeado pelas Partes de um processo para pesquisar a verdade e apresentá-la sob a forma de Parecer Técnico. – Funciona como um assessor técnico da Parte. – Indicado pela Parte, ou pelo advogado da mesma. – Honorários negociados diretamente com a Parte contratante – Trabalha com prazos repassados às Partes pelo Juiz
  28. 28. P erito C rim ina l em Forens e C o m puta c io na l • É o policial ou funcionário público habilitado na área de Forense Computacional. – Somente por Concurso Público – É quem trata dos processos quando há crime – A maior parte está na Polícia Federal, atualmente
  29. 29. I nves tig a dor em Fo rens e C o m puta c io na l • É o profissional habilitado em Forense Computacional que trabalha no mercado privado – Funcionário ou Consultor – Valores negociados diretamente com o contratante – Realiza investigações sem seguir a formalização – O resultado pode ou não ser usado em Juízo
  30. 30. C o nhec im entos e C o m petênc ia s do P ro fis s io na l de Fo rens e C o m puta c iona l - Conceitos gerais sobre Forense Computacional - Detalhes técnicos de vários sistemas operacionais - Detalhes técnicos de vários Sistemas de arquivos - Detalhes técnicos de vários softwares de vários SOs - Escrever um bom relatório - Algum embasamento jurídico, principalmente no modelo brasileiro de coleta e apresentação das evidências - Coletar evidências em situações diversas (dead acquisition/live acquisition, usando HD externo, pen drive, via rede, de PDAs, telefones celulares, etc). Tem até Xbox passando por Forense ... - Técnicas anti-forenses - Lógica investigativa apurada. - Saber lidar com prazos curtos
  31. 31. P rinc ipa is A s pec tos
  32. 32. Maiores dificuldades • Ciência ? – Reprodutível • Aspectos legais – Cenário ainda indefinido • Criptografia e Obfuscação – Whole disk encryption – Esteganografia – Hydan • Técnicas Anti-Forense – Meterpreter/SAM Juicer – Timestomp
  33. 33. M odelo de T ra ba lho em Fo rens e C o m puta c io na l
  34. 34. A ntes de qua lquer c o is a ...
  35. 35. A quis iç ã o
  36. 36. C uida do na A quis iç ã o !
  37. 37. I tens us a dos na A quis iç ã o
  38. 38. P res erva ç ã o
  39. 39. P res erva ç ã o – C a deia de C us tó dia • É um instrumento para manter a integridade – Evidências são etiquetadas e lacradas – A etiqueta deve conter o hash da mídia lacrada e informações sobre a aquisição – A etiqueta também contém a data/hora e a identificação de quem realizou a aquisição – A lista é mantida, recebendo uma anotação a cada acesso de alguém à evidência – Esse registro deve conter a referência a pessoa, a data e a hora que levou e devolveu a evidência. – Sempre lacrada ou no cofre de evidências
  40. 40. I tens us a dos na fa s e de P res erva ç ã o
  41. 41. A ná lis e • As evidências são analisadas para o levantamento de artefatos que possam corroborar ou negar as teses (suspeitas) • As técnicas variam conforme: • As suspeitas; • O dispositivo sendo analisado • O sistema operacional • O sistema de arquivos
  42. 42. D o c um enta ç ã o • É a parte final do trabalho • Pode ser: – Um relatório investigativo; – Um Parecer Técnico; – Um Laudo Pericial • 5W1H – What, Who, Where, When, Why, How • NUNCA deve-se fazer juízo do caso. O objetivo é mostrar o que aconteceu!
  43. 43. A ná lis e
  44. 44. A ná lis e – P rinc ipa is T éc nic a s • Filtragem de arquivos • Busca de informações escondidas – Obfuscação – Arquivos apagados – Slack Space – File Carving • Busca por palavras-chave • Esteganografia • Linha do tempo usando MAC Times • Email Traceback • Network Forensics
  45. 45. P a c o te s F o r e n s e s • Guidance EnCase; • AccessData FTK • ASR SMART • iLook Investigator (restrito) • KrollOnTrack Eletronic Data Investigator • Vários softwares da Paraben e da X-Ways
  46. 46. Live C D s • Helix • FCCU
  47. 47. Live C D s • FDTK • FIRE • Penguim
  48. 48. Ferramentas Avulsas • Sleuth Kit • Autopsy • PyFLAG • PTK
  49. 49. Novidades • Software livre • O fim da Forense Nintendo • Aquisição e análise da RAM • Live Acquisition • Emanations • Análise do Registry • Hash parcial • PLS 76/2000
  50. 50. L ite r a tu r a r e c o m e n d a d a
  51. 51. L ite r a tu r a r e c o m e n d a d a http://forcomp.blogspot.com http://www.e-evidence.info
  52. 52. C o n c lu s ã o • A tecnologia, principalmente a Internet, trouxe melhorias enormes para os negócios, mas também criou um novo terreno para os criminosos • A perspectiva é de que seja cada vez mais necessário o trabalho do Perito/Investigador Forense Computacional • Há várias ferramentas para o trabalho do profissional de Forense Computacional, incluindo ferramentas com código livre • As técnicas de análise evoluem a cada dia ! – Os crimes também !!!
  53. 53. Avis o Leg al O presente material foi gerado com base em informações próprias e/ou coletadas a partir dos diversos veículos de comunicação existentes, inclusive a Internet, contendo ilustrações adquiridas de banco de imagens de origem privada ou pública, não possuindo a intenção de violar qualquer direito pertencente à terceiros e sendo voltado para fins acadêmicos ou meramente ilustrativos. Portanto, os textos, fotografias, imagens, logomarcas e sons presentes nesta apresentação se encontram protegidos por direitos autorais ou outros direitos de propriedade intelectual. Ao usar este material, o usuário deverá respeitar todos os direitos de propriedade intelectual e industrial, os decorrentes da proteção de marcas registradas da mesma, bem como todos os direitos referentes a terceiros que por ventura estejam, ou estiveram, de alguma forma disponíveis nos slides. O simples acesso a este conteúdo não confere ao usuário qualquer direito de uso dos nomes, títulos, palavras, frases, marcas, dentre outras, que nele estejam, ou estiveram, disponíveis. É vedada sua utilização para finalidades comerciais, publicitárias ou qualquer outra que contrarie a realidade para o qual foi concebido. Sendo que é proibida sua reprodução, distribuição, transmissão, exibição, publicação ou divulgação, total ou parcial, dos textos, figuras, gráficos e demais conteúdos descritos anteriormente, que compõem o presente material, sem prévia e expressa autorização de seu titular, sendo permitida somente a impressão de cópias para uso acadêmico e arquivo pessoal, sem que sejam separadas as partes, permitindo dar o fiel e real entendimento de seu conteúdo e objetivo. Em hipótese alguma o usuário adquirirá quaisquer direitos sobre os mesmos. O usuário assume toda e qualquer responsabilidade, de caráter civil e/ou criminal, pela utilização indevida das informações, textos, gráficos, marcas, enfim, todo e qualquer direito de propriedade intelectual ou industrial deste material.
  54. 54. O b r ig a d o ! Inv ponto forense arroba gmail ponto com (Tony Rodrigues)

×