forensecomputacional-120714082717-phpapp02
description
Transcript of forensecomputacional-120714082717-phpapp02
-
Forense Computacional
Forense Computacional Seminrio de Segurana da Informao
1 Semestre de 2012
Alunos: Guilherme Arbex de Camargo Guilherme Mantovani Marcos Takeshi Paulo Csar de Novaes Miguel Rafael Kovalenkovas Hartel
-
Contedo
-
O que Forense Computacional?
Forense Computacional a cincia voltada para a obteno, preservao e documentao de evidncias, a partir de dispositivos de armazenagem eletrnica digital, como computadores, pagers, PDAs, Cmeras Digitais, telefones celulares e vrios outros dispositivos de armazenamento em memria. Tudo dever ser feito para preservar o valor comprobatrio das evidncias e para assegurar que isso possa ser utilizado em procedimentos legais.
(An introduction to Computer Forensics,
Information Security and Forensics Society, abr. 04,
disponvel em http://www.isfs.org.hk/publications/public.htm)
-
Objetivo da Forense Computacional
Objetivo da Forense Computacional: aplicar mtodos cientficos e sistemticos, buscando extrair e analisar tipos de dados dos diferentes dispositivos, para que essas informaes passem a ser caracterizadas como evidncias e, posteriormente, como provas legais de fato.
-
Aplicao da Forense Computacional
A Forense Computacional na maioria das vezes utilizada para a apurao de crimes como:
Roubo de informaes confidenciais
Remoo Indevida de arquivos
Fraudes (Comerciais, Fiscais,etc...)
Calnia, difamao e injria via e-mail
Pedofilia
Trfico de drogas via Internet
-
O Processo de Investigao
-
Coleta
Possveis fontes de dados: Computadores pessoais;
Dispositivos de armazenamento em rede;
CDs, DVDs;
Mquina fotogrfica, relgio com comunicao via USB, etc.
-
Coleta
Os dados tambm podem estar armazenados em locais fora dos domnios fsicos da cena investigada .
Provedores de Internet
Servidores FTP (File Transfer Protocol)
Servidores corporativos
Nesses casos, a coleta dos dados somente ser possvel mediante ordem judicial.
-
Coleta
Garantir e preservar a integridade Se no for garantida a integridade, as evidncias
podero ser invalidadas como provas perante a justia.
Assim como os demais objetos apreendidos na cena do crime, os materiais de informtica apreendidos devero ser relacionados em um documento (cadeia de custdia).
-
Coleta Exemplo de Cadeia de Custdia
-
Coleta
Cpia dos dados: envolve a utilizao de ferramentas adequadas para a duplicao dos dados.
Cpia lgica (Backup): as cpias lgicas gravam o contedo dos diretrios e os arquivos de um volume lgico. No capturam outros dados: arquivos excludos; fragmentos de dados armazenados nos espaos no utilizados, mas alocados
por arquivos.
Imagem: imagem do disco ou cpia bit-a-bit inclui os espaos livres e os
espaos no utilizados: mais espao de armazenamento, consomem muito mais tempo; permitem a recuperao de arquivos excludos e dados no alocados pelo
sistema de arquivos. Exemplo: setor de 4KB, arquivo com 9KB (3 setores ocupados)
-
Coleta
Durante a aquisio dos dados muito importante manter a integridade dos atributos de tempo:
mtime (modification time)
atime (access time)
ctime (creation time) MAC Times.
Modificao: registro da data e hora em que ocorreu a ltima alterao no arquivo
Acesso: registro da data e hora em que ocorreu o ltimo acesso ao arquivo
Criao: registro da data e hora em que o arquivo foi criado.
-
Coleta Integridade dos Atributos
tempo mtime (modification time)
atime (access time)
ctime (creation time) MAC Times.
-
Exame
O Exame dos dados tem como finalidade: localizar, filtrar e extrair somente as informaes relevantes investigao.
Tarefa Trabalhosa!
Capacidade de armazenamento dos dispositivos atuais
Quantidade de diferentes formatos de arquivos existentes (imagens, udio, arquivos criptografados e compactados)
Muitos formatos de arquivos possibilitam o uso de esteganografia para ocultar dados, o que exige que o perito esteja atento e apto a identificar e recuperar esses dados
Em meio aos dados recuperados podem estar informaes irrelevantes e que devem ser filtradas.
Ex.: o arquivo de log do sistema de um servidor pode conter milhares de entradas, sendo que somente algumas delas podem interessar investigao
-
Exame
Aps a restaurao da cpia dos dados, o perito faz uma avaliao dos dados encontrados:
Arquivos que haviam sido removidos e foram recuperados
Fragmentos de arquivos encontrados
Arquivos ocultos
Fragmentos de arquivos encontrados em setores alocados, porm no utilizados pelo arquivo.
-
Anlise
Aps a extrao dos dados considerados relevantes, o perito deve concentrar suas habilidades e conhecimentos na etapa de anlise e interpretao das informaes.
-
Anlise
A etapa de Anlise tem como finalidade: identificar pessoas, locais e eventos e determinar como esses elementos esto inter-relacionados.
Normalmente necessrio correlacionar informaes de vrias
fontes de dados: Exemplo de correlao: um indivduo tenta realizar um acesso no
autorizado a um determinado servidor.
possvel identificar por meio da anlise dos eventos registrados nos arquivos de log o endereo IP de onde foi originada a requisio de acesso.
Registros gerados por firewalls, sistemas de deteco de intruso e demais mecanismos de proteo.
-
Resultado
A interpretao dos resultados obtidos a etapa conclusiva da investigao.
O perito elabora um laudo pericial que deve ser escrito de forma clara e concisa, listando todas as evidncias localizadas e analisadas.
O laudo pericial deve apresentar uma concluso imparcial e final a respeito da investigao.
-
Resultado
Para que o laudo pericial torne-se um documento de fcil interpretao, indicado que o mesmo seja organizado em sees:
Finalidade da investigao Autor do laudo Resumo do incidente Relao de evidncias analisadas e seus detalhes Concluso Anexos Glossrio (ou rodaps)
-
Resultado
Tambm devem constar no laudo pericial: Metodologia
Tcnicas
Softwares e equipamentos empregados Com um laudo bem escrito torna-se mais fcil a
reproduo das fases da investigao, caso necessrio.
-
Tcnicas Forenses
Boas prticas que antecedem a coleta dos dados:
Limpar todas as mdias que sero utilizadas ou usar mdias novas a cada investigao.
Certificar-se de que todas as ferramentas (softwares) que sero utilizadas esto devidamente licenciadas e prontas para utilizao. Verificar se todos os equipamentos e materiais necessrios (por
exemplo, a estao forense, as mdias para coleta dos dados, etc.) esto disposio.
-
Tcnicas Forenses
Boas prticas que antecedem a coleta dos dados:
Quando chegar ao local da investigao, o perito deve providenciar
para que nada seja tocado sem o seu consentimento, com o objetivo de proteger e coletar todos os tipos de evidncias
Os investigadores devem filmar ou fotografar o ambiente e registrar detalhes sobre os equipamentos como: marca, modelo, nmeros de srie, componentes internos, perifricos, etc.
Manter a cadeia de custdia.
-
Ferramentas Forenses
Algumas ferramentas forenses sero mostradas nas etapas:
Coleta dos dados
Exame dos dados
Anlise dos dados
-
Ferramentas Forenses- Coleta de Dados
Automated Image & Restore (AIR)
produz um relatrio contendo todos os comandos utilizados durante a sua execuo.
elimina o risco da utilizao de parmetros errados por usurios menos capacitados.
-
Ferramentas Forenses- Coleta de Dados
Automated Image & Restore (AIR)
-
Ferramentas Forenses Exame dos dados
Diversas ferramentas j permitem a utilizao dos bancos de dados citados, por exemplo:
Autopsy
pyFlag
EnCase: Padronizao de laudo.
Recuperao de dados, banco de dados de evidncias.
Anlise de hardwares e logs.
-
Ferramentas Forenses Exame dos dados
EnCase
-
Ferramentas Forenses Exame dos dados
EnCase
-
Ferramentas Forenses Anlise dos dados
Utilitrios para construo da linha de tempo dos eventos
Mactime: permite que a partir das informaes contidas nos metadados dos arquivos e diretrios, uma viso cronolgica dos acontecimentos seja mostrada.
-
Consideraes Finais
Forense computacional um tema bastante atual e que tem
recebido ateno significativa tanto da comunidade cientfica
quanto da indstria.
-
Consideraes Finais
Muitas vezes a investigao no pode prosseguir sem a verificao de computadores de suspeitos e pessoal qualificado.
-
Consideraes Finais
O surgimento de legislao e padres a serem aplicados (Brasil) referentes forense computacional tornariam menor a chance de laudos serem inutilizados por falta de experincia dos peritos.
-
Referncias Bibliogrficas
http://www.imasters.com.br/artigo/4175/forense/introducao_a_computacao_forense/
http://www.guidancesoftware.com/pt/products/ee_index.asp
Neukamp, Paulo A. Forense Computacional: Fundamentos e
Desafios Atuais. 11 Junho de 2007. Universidade do Vale do
Rio dos Sinos (UNISINOS). 06 Nov. 2007.
-
Dvidas ?
-
Obrigado !