Post on 18-Nov-2014
description
Ferramentas Avançadas
para Resposta a Incidentes
Luiz Sales Rabelohttp://4n6.cc
Luiz Sales Rabelo
•Coordenador de Prevenção a Fraudes – Nextel
(2012)
•Consultor TechBiz Forense Digital (2009 a 2012)
•Certificações internacionais EnCE e ACE
•Membro Comissão Crimes Alta Tecnologia OAB/SP
•Membro HTCIA – U.S. Investigation Association
•NÃO SOU ADVOGADO!!
Conceitos Básicos
Como responder a um incidente??
O que é um incidente?
Conceitos Básicos
Reconhecendo um incidente (ISO 17799:2005)
•Perda de serviço
•Mal funcionamento ou sobrecarga de sistema
•Falha humana
•Vulnerabilidades no controle do acesso físico
•Violação de Acesso
Ciência Forense
Metodologia científica aplicada, que atua em conjunto
com o Investigador e é utilizada para esclarecer
questionamentos jurídicos:
Toxicologia Forense, Genética e Biologia Forense,
Psiquiatria Forense, Antropologia Forense, Odontologia
Forense, Entomologia Forense, Balística Forense,
Tanatologia Forense...
Dispositivos Móveis
Na atualidade, os celulares são verdadeiros computadores, e em alguns casos
guardam muito mais sobre nossas vidas do que nossos computadores. Ex:
• E-mails
• Contatos / Agenda
• Fotos, imagens e vídeos
• Ring Tones e Jogos (copyright)
• Histórico, cookies, senhas de navegação (browser)
• Chamadas (discadas e recebidas) em determinada
data/hora
• Detalhes de mensagens SMS (data, origem/destino,
templates)
Perícia em dispositivo Móveis
7
Perícia em dispositivo Móveis - GPS
O que não é Forense Digital? O “Efeito” CSI
•Adaptação livre do tema para televisão
•Relata fatos no formato de série de TV
•Diferença quanto a métodos, organização e tempos
“Efeito” CSI
“Efeito” CSI
“Efeito” CSI
“Efeito” CSI
“Efeito” CSI
“Efeito” CSI
Ferramentas Avançadas
AccessData FTK – Forensic ToolkitGuidance Software – EnCase Forensic
Qual o melhor?Discussão filosófica..
Arquivos Apagados
O espaço em disco marcado como livre na
tabela de alocação de arquivos
geralmente contém informações
essenciais para a análise: são os
dados dos arquivos removidos
Arquivos Apagados
“Sanitização”
•Evitar cross-contamination
•Demanda wipe completo das mídias reutilizáveis
“Sanitização”
Visualização de
mídia no EnCase
após wipe
“Data Hidding”
Ocultando arquivos
no disco
File Systems
Um sistema de arquivos é um conjunto de estruturas lógicas e
de rotinas, que permitem ao sistema operacional controlar o
acesso ao disco rígido. Diferentes sistemas operacionais usam
diferentes sistemas de arquivos.
Alguns dos pontos a serem analisados são:
• Assinatura de arquivos
• ADS (Alternate Data Streams)
Assinatura de arquivos – números mágicos
DEMO
Assinatura de arquivos – números mágicos
São usados em arquivos para que o
formato de seu conteúdo possa ser
reconhecido independente de formas
externas. Cada sistema operacional
tenta identificar o tipo dos arquivos
de formas diferentes. O Windows
utiliza extensões, enquanto os
sistemas operacionais Mac usam
meta-dados, que são gravados na
estrutura do arquivo.
JPEG
Assinatura de arquivos – números mágicos
ADS – Alternate Data Stream
DEMO
ADS – Alternate Data Stream
ADS – Alternate Data Stream
Obrigado!
Luiz Sales Rabelohttp://4n6.cc