Post on 18-Nov-2014
description
I n t r o d u ç ã o à F o r e n s e C o m p u ta c io n a lI n t r o d u ç ã o à F o r e n s e C o m p u ta c io n a lTo n y R o d r ig u e s , C IS S P, C F C P, S e c u r i t y +To n y R o d r ig u e s , C IS S P, C F C P, S e c u r i t y +
in v .f o r e n s e a r r o b a g m a i l p o n t o c o min v .f o r e n s e a r r o b a g m a i l p o n t o c o m
T e rm o d e is e n ç ã o d e r e s p o n s a b i l id a d eT e rm o d e is e n ç ã o d e r e s p o n s a b i l id a d e
• Não nos responsabilizamos pelo mal uso das informações aqui prestadas
• Aproveite este material para ampliar seus conhecimentos em Forense Computacional e usá-los com responsabilidade.
A g e n d a
• Objetivos• A internet no cenário mundial e
brasileiro• Ciência Forense e Forense
Computacional• Profissionais envolvidos• Principais aspectos da Forense
Computacional• Técnicas de Análise• Novidades na área • Material indicado• Conclusão
O b je t iv o sO b je t iv o s
• Introduzir os conceitos de Forense Computacional• Mostrar os principais aspectos de uma investigação
digital• Atualizar a todos com as novidades da área
Por que precisamos de Forense Computacional ?
Porque não temos mais hackers como esses ...
A Internet no c enário A Internet no c enário mundia l e bras ileiro mundia l e bras ileiro
C r e s c im e n to d a In t e r n e t e a c r im in a l id a d e C ib e r n é t ic a
• Cenário Mundial– Alta dependência da Tecnologia da Informação
– Virtualização da sociedade (comunidades on-line)
– Alta oferta de serviços “on-line”, desde instituições financeiras, até supermercados
– Empresas estão apoiando suas estratégias em componentes tecnológicos: significa fazer mais, melhor e com maior controle, em menor tempo e com menor custo.Tecnologia = diferencial estratégico
E s ta t í s t ic a m u n d ia l d e u s o d a In t e r n e t
O B r a s i l n a s e s t a t í s t ic a s
O B r a s i l n a s e s t a t í s t ic a s
O B r a s i l n a s e s t a t í s t ic a s
FRAUDE
O B r a s i l n a s e s t a t í s t ic a s
• Incidentes de segurança da informação crescem 191% em 2006 (68000 incidentes em 2005 x 197892 em 2006)
• Fraudes: aumento de 53% em 2006.• As primeiras ações geradas após um
incidente de segurança acabam prejudicando o processo de investigação e de perícia
C rimes C ibernétic os (Cybercrime)
• Definição: Ato ilegal envolvendo um computador, seus sistemas ou aplicações
• Abrange somente situações intencionais• Verifica as ferramentas usadas, o alvo e as
circunstâncias do crime
C rimes es pec ia lizados ma is c omuns
• Envio de informações confidenciais por e-mail
• Ataque por concorrentes ou ex-funcionário
• Fraude em sistemas financeiros (Internet banking)
• Instalação de cavalos-de-tróia em estações de trabalho
• Envio de ameaças por e-mail• Remoção ou alteração indevida de
informações• Pedofilia
Leg is laç ão - E uropa
Leg is laç ão - E U A
• United States Code – Title 18 –Part I Crimes:– Seção 875: Interstate Communications: Including threats,
Kidnapping, Ransom, Extortion
– Seção 1029: Fraud and Related Activity in connection with access devices
– Seção 1030: Fraud and Related Activity in connection with Computers
– Seção 1343: Fraud by Wire, Radio or Television
– Seção 1361: Injury of Government Property
– Seção 1362: Government Communications System
– Seção 1831: Economic Espionage Act
– Seção 1832: Theft of Trade Secrets
Leg is laç ão - B ras il
Forens e Forens e
C iênc ia Forens e
• Ciência Forense: dividida em diversas disciplinas, atua em conjunto com o investigador na busca pela verdade.
• Pathology Examination of the Dead• Living Cases Toxicology• Anthropology Odontology• Engineering Biology• Geology Psychiatry• Questioned Documents Criminalistics• Jurisprudence Computer Forensics
U m pouc o de H is tória
• Hsi Duan Yu: Escreveu o Washing Away of Wrongs, tido por alguns como o primeiro livro de Forense da história
• Antoine Louis: Trabalhava identificando causas de morte
• Mathieu Orfila: Pai da Toxicologia Forense• Francis Galton: Primeiro estudo sobre impressões
digitais• Madame Lafarge: Primeiro caso de uso de Forense em
um tribunal• Albert Osbourne: Princípios de Análise de documentos
U m pouc o de H is tória
• Arthur Conan Doyle: Primeiras histórias de Sherlock Holmes
• Leone Lattes: Descobre os grupos sanguíneos• Calvin Goddard: Compara armas e projéteis• Edmund Locard: Propõe o Princípio de Locard• FBI: Cria o primeiro laboratório de Forense• Roland Menzel: Uso de lasers para identificar
impressões digitais• Alec Jeffreys: Descoberta do DNA único• Anthony Zuiker: Criou a série C.S.I e
popularizou a Ciência Forense
Forens e C omputac iona l
• É um conjunto metódico de técnicas e procedimentos para capturar evidências de equipamentos de computação ou vários equipamentos de armazenamento de dados e mídias digitais, de forma a serem apresentados em Juízo de forma coerente e significativa.
Dr H. B. Wolfe
Forens e C omputac iona l ou R es pos ta a Inc identes ?
• Forense Computacional está ligada a investigações e preservação das evidências
• Resposta a Incidentes refere-se aos procedimentos para conter, tratar e eliminar um incidente de Segurança de Informações
Os profis s iona is Os profis s iona is
Perito em Forens e C omputac iona l
• É o profissional com formação em 3o grau, com experiência comprovada no assunto, nomeado pelo Juiz para responder questões específicas sobre determinado caso.
– Funciona como um assessor técnico do Juiz
– Indicado pelo Juiz
– Honorários definidos pelo Juiz
– Trabalha com prazos especificados
As s is tente Téc nic o das Partes
• É o profissional com formação em 3o grau, com experiência comprovada no assunto, nomeado pelas Partes de um processo para pesquisar a verdade e apresentá-la sob a forma de Parecer Técnico.
– Funciona como um assessor técnico da Parte.
– Indicado pela Parte, ou pelo advogado da mesma.
– Honorários negociados diretamente com a Parte contratante
– Trabalha com prazos repassados às Partes pelo Juiz
Perito C rim ina l em Forens e C omputac iona l
• É o policial ou funcionário público habilitado na área de Forense Computacional.
– Somente por Concurso Público
– É quem trata dos processos quando há crime
– A maior parte está na Polícia Federal, atualmente
Inves tig ador em Forens e C omputac iona l
• É o profissional habilitado em Forense Computacional que trabalha no mercado privado
– Funcionário ou Consultor
– Valores negociados diretamente com o contratante
– Realiza investigações sem seguir a formalização
– O resultado pode ou não ser usado em Juízo
C onhec imentos e C ompetênc ias do Profis s iona l de Forens e C omputac iona l
- Conceitos gerais sobre Forense Computacional- Detalhes técnicos de vários sistemas operacionais- Detalhes técnicos de vários Sistemas de arquivos- Detalhes técnicos de vários softwares de vários SOs- Escrever um bom relatório- Algum embasamento jurídico, principalmente no modelo
brasileiro de coleta e apresentação das evidências- Coletar evidências em situações diversas (dead acquisition/live
acquisition, usando HD externo, pen drive, via rede, de PDAs, telefones celulares, etc). Tem até Xbox passando por Forense ...
- Técnicas anti-forenses- Lógica investigativa apurada. - Saber lidar com prazos curtos
Princ ipa is A s pec tos Princ ipa is A s pec tos
Maiores dificuldades
• Ciência ?
– Reprodutível• Aspectos legais
– Cenário ainda indefinido• Criptografia e Obfuscação
– Whole disk encryption
– Esteganografia
– Hydan• Técnicas Anti-Forense
– Meterpreter/SAM Juicer
– Timestomp
M odelo de Traba lho em Forens e C omputac iona l
Antes de qua lquer c ois a ...
Aquis iç ão
C uidado na Aquis iç ão !
I tens us ados na Aquis iç ão
Pres ervaç ão
Pres ervaç ão – C adeia de C us tódia
• É um instrumento para manter a integridade
– Evidências são etiquetadas e lacradas
– A etiqueta deve conter o hash da mídia lacrada e informações sobre a aquisição
– A etiqueta também contém a data/hora e a identificação de quem realizou a aquisição
– A lista é mantida, recebendo uma anotação a cada acesso de alguém à evidência
– Esse registro deve conter a referência a pessoa, a data e a hora que levou e devolveu a evidência.
– Sempre lacrada ou no cofre de evidências
I tens us ados na fa s e de Pres ervaç ão
Aná lis e
• As evidências são analisadas para o levantamento de artefatos que possam corroborar ou negar as teses (suspeitas)
• As técnicas variam conforme:• As suspeitas;• O dispositivo sendo analisado• O sistema operacional• O sistema de arquivos
Doc umentaç ão
• É a parte final do trabalho• Pode ser:
– Um relatório investigativo;
– Um Parecer Técnico;
– Um Laudo Pericial• 5 W 1 H
– What, Who, Where, When, Why, How• NUNCA deve-se fazer juízo do caso.
O objetivo é mostrar o que aconteceu!
Aná lis e Aná lis e
Aná lis e – P rinc ipa is Téc nic as
• Filtragem de arquivos• Busca de informações escondidas
– Obfuscação– Arquivos apagados– Slack Space– File Carving
• Busca por palavras-chave• Esteganografia• Linha do tempo usando MAC Times• Email Traceback• Network Forensics
P a c o te s F o r e n s e s
• Guidance EnCase;• AccessData FTK• ASR SMART• iLook Investigator (restrito)• KrollOnTrack Eletronic Data Investigator• Vários softwares da Paraben e da X-Ways
Live CDs
• Helix• FCCU
Live CDs
• FDTK• FIRE• Penguim
Ferramentas Avulsas
• Sleuth Kit• Autopsy• PyFLAG• PTK
Novidades
• Software livre• O fim da Forense Nintendo• Aquisição e análise da RAM• Live Acquisition• Emanations• Análise do Registry• Hash parcial• PLS 76/2000
L i t e r a t u r a r e c o m e n d a d aL i t e r a t u r a r e c o m e n d a d a
L i t e r a t u r a r e c o m e n d a d aL i t e r a t u r a r e c o m e n d a d a
http://forcomp.blogspot.com
http://www.e-evidence.info
C o n c lu s ã oC o n c lu s ã o
• A tecnologia, principalmente a Internet, trouxe melhorias enormes para os negócios, mas também criou um novo terreno para os criminosos
• A perspectiva é de que seja cada vez mais necessário o trabalho do Perito/Investigador Forense Computacional
• Há várias ferramentas para o trabalho do profissional de Forense Computacional, incluindo ferramentas com código livre
• As técnicas de análise evoluem a cada dia !– Os crimes também !!!
Aviso Legal
O presente material foi gerado com base em informações próprias e/ou coletadas a partir dosdiversos veículos de comunicação existentes, inclusive a Internet, contendo ilustraçõesadquiridas de banco de imagens de origem privada ou pública, não possuindo a intenção de violarqualquer direito pertencente à terceiros e sendo voltado para fins acadêmicos ou meramenteilustrativos. Portanto, os textos, fotografias, imagens, logomarcas e sons presentes nestaapresentação se encontram protegidos por direitos autorais ou outros direitos de propriedadeintelectual.
Ao usar este material, o usuário deverá respeitar todos os direitos de propriedade intelectual eindustrial, os decorrentes da proteção de marcas registradas da mesma, bem como todos osdireitos referentes a terceiros que por ventura estejam, ou estiveram, de alguma formadisponíveis nos slides. O simples acesso a este conteúdo não confere ao usuário qualquer direitode uso dos nomes, títulos, palavras, frases, marcas, dentre outras, que nele estejam, ouestiveram, disponíveis.
É vedada sua utilização para finalidades comerciais, publicitárias ou qualquer outra que contrariea realidade para o qual foi concebido. Sendo que é proibida sua reprodução, distribuição,transmissão, exibição, publicação ou divulgação, total ou parcial, dos textos, figuras, gráficos edemais conteúdos descritos anteriormente, que compõem o presente material, sem prévia eexpressa autorização de seu titular, sendo permitida somente a impressão de cópias para usoacadêmico e arquivo pessoal, sem que sejam separadas as partes, permitindo dar o fiel e realentendimento de seu conteúdo e objetivo. Em hipótese alguma o usuário adquirirá quaisquerdireitos sobre os mesmos.
O usuário assume toda e qualquer responsabilidade, de caráter civil e/ou criminal, pela utilizaçãoindevida das informações, textos, gráficos, marcas, enfim, todo e qualquer direito de propriedadeintelectual ou industrial deste material.
O b r ig a d o !O b r ig a d o !
Inv ponto forense arroba gmail ponto com
(Tony Rodrigues)