Post on 27-Jun-2015
description
José Francci Neto Júlio César R. Benatto
AGENDA - Introdução
- Ciência Forense - Forense Computacional - Preparação - Aquisição - Análise - Relatórios - Certificações
- Smartphones
- Formas de aquisição de dispositivos móveis - Coleta de evidências - Análise com software Open Source - Análise com software Pago
- Conclusão - Open Source x Software Pago
- O que é a Ciência Forense?
- O que é a Ciência Forense?
- Uso de artifícios, dentre eles, a ciência forense, com o intuito de elucidar fatos acerca de um determinado ocorrido, de natureza criminal ou qualquer outra onde haja conflito de interesses.
- Computação Forense
Forense Computacional O que pode ser análisado?
• Computadores
• Servidores
• SmartPhones • Celulares, Pages, Tablets, etc..
• GPS
• Consoles de Video Games
• Playstation, Xbox, etc.
Forense Computacional Processo de Investigação Forense Computacional
Forense Computacional Processo Macro.
PREPARAÇÃO > AQUISIÇÃO > ANÁLISE > RELATÓRIO
Atividade suspeita
Preparação O que é necessário para execução da atividade
• Pessoas;
• Processos;
• Infra.
• Pessoas;
• Processos;
• Infra.
Aquisição Realizar uma cópia bit a bit da origem que será submetida à análise.
• Criação de imagem forense; • 1 source > 2 targets
• Bloqueador de escrita;
• Geração hash;
• Cadeia de custódia;
• Ata notarial.
Aquisição Ferramentas para aquisição e realização da imagem forense
Tableau TD3
Aquisição Ferramentas para aquisição e realização da imagem forense
Falcon Duplicator
ACCESSDATA FTK Imager 3.1
Aquisição Ferramentas para aquisição e realização da imagem forense
TABLEAU IMAGER
DCFLDD - LINUX
Análise Durante uma análise forense são analisados diversos artefatos que podem
conter informações relevantes sobre comportamentos do(s) usuário(s) do computador ou sistema investigado.
Download – É possível determinar arquivos que o usuário tenha feito download.
Skype – É possível remontar conversas de Skype (chat), entre outras ferramentas de
mensagens instantâneas.
Excluídos – É possível realizar recuperação de arquivos deletados no disco que esta
em análise (Data Carving) e verificar e acessar os dados que estão marcados como
excluídos na MFT (Master File Table).
Execução de programas – Pode-se determinar programas executados no
ambiente em análise.
Uso de dispositivos móveis – É possível determinar dispositivos móveis
conectados no computados analisado.
Análise
Exame dos Dados coletados
• Filtrar, avaliar e extrair informações relevantes;
• Interpretação dos dados coletados • Identificação dos envolvidos; • Estabelecimento de ordem cronológica (TimeLine); • Levantamento de eventos e locais;
• Cruzamento de informações que levem a provas concretas ou evidências.
Análise Exame dos Dados coletados
Análise Ferramentas para análise dos dados coletados
Análise Ferramentas para análise dos dados coletados
Análise Ferramentas para análise dos dados coletados
Autopsy Forensic Browser www.sleuthkit.org/autopsy
Análise Ferramentas para análise dos dados coletados
• Framework para Pentest • Desenvolvido em ruby • Constante atualização • Ambiente de pesquisa para
exploração de vulnerabilidades • Forense
Relatórios Tem a finalidade de relatar os resultados obtidos durante a análise, de
forma imparcial.
• Resposta aos quesitos;
• Análise imparcial;
• Remontar os passos adotados durante a análise;
• Linguagem de adequada ao interlocutor; • Relatório técnico • Laudo pericial
• Conclusivo e sem opiniões.
Certificações
Open Source x Software Pago Aprendizado
x Tempo
x Facilidade de uso
x Cenário
Forense Smartphone
Forense Smartphone Formas de aquisição de dispositivos móveis
• Como manter a energia do mesmo?
• Como acomodar, transportar, identificar o dispositivo?
• Como devem ser examinadas as possíveis informações e dados
relevantes presentes no dispositivo?
Forense Smartphone Formas de aquisição de dispositivos móveis
Dois pontos chaves para responder estas perguntas:
• Conhecimento sobre o software e o hardware dos dispositivos envolvidos.
• Procedimentos bem definidos para realizar a investigação.
Forense Smartphone Formas de aquisição de dispositivos móveis
• Ferramentas atuais permitem duas formas de aquisição diferentes
• Aquisição Física
• Cópia bit-a-bit de toda uma unidade de armazenamento (ex.
memória do aparelho)
• Aquisição Lógica
• Cópia bit-a-bit de objetos de armazenamento (ex. arquivos,
diretórios) contidos dentro de uma unidade lógica de
armazenamento (ex. partição do sistema de arquivos)
Forense Smartphone Coleta de evidências
• Dispositivo deve ser isolado de outros que permitam sincronização
• Se estiver conectado a um computador via cabo, remover o cabo
do computador
• Evidências não digitais (ex. manuais, pacotes, etc) podem ser úteis
• Características do dispositivo
• Características da rede
• Códigos de liberação de PIN
• Informações de contas
Forense Smartphone Coleta de evidências
• Dispositivo deve ser isolado também da rede de rádio
• Evita que novos tráfegos (ex. SMS, ligações) sobrescrevam
informações atuais
• Evita uso de ferramentas de bloqueio remoto
• Desligar o dispositivo
• Guardá-lo em um recipiente isolante (ex. Faraday Bag)
Forense Smartphone Coletas de evidências
Gaiola de Faraday é basicamente uma armação metálica fechada (ou de outro material condutor) que mantêm ondas eletromagnéticas em sua superfície criando um campo nulo em seu interior.
Forense Smartphone Coleta de evidências
• Desligar o dispositivo pode requerer código de desbloqueio ao ligar
• Isolá-lo da rede de rádio aumenta o consumo de bateria
• Alguns telefones apagam os dados de rede após algum tempo sem
sinal
• Recipientes isolantes podem permitir recebimento de sinal
• Framework para análise forense de dispositivos móveis • Análise de malware em dispositivos móveis • Pode ser utilizado para testes de segurança em dispositvos
móveis.
Forense Smartphone Análise Forense de Smartphone utilizando Software Livre
https://santoku-linux.com
• Motorola Milestone 3 (XT860)
• Android v.2.3.6
Forense Smartphone Smartphone XT860 com Android
Forense Smartphone Preparando o ambiente
Gconftool - Desabilitando o recurso automount do Linux
Forense Smartphone Reconhecimento e acesso a evidência
Adb (android debug bridge) – Reconhecendo o smartphone.
Forense Smartphone Reconhecimento e acesso a evidência
Resultado do comando adb shell mount.
Forense Smartphone Imagem forense do artefato
Análise do hash artefato que será coletado.
Criação da imagem forense e hash MD5 do dispositivo móvel.
Transferência da imagem forense do dispositivo móvel para estação de análise forense.
Forense Smartphone Reconhecendo a evidencia
Tela inicial da ferramenta Autopsy Forensic Browser.
Forense Smartphone Reconhecendo a evidencia
Tela com dados referentes ao novo caso.
Forense Smartphone Reconhecendo a evidencia
Tela com dados de inclusão de novo host.
Tela com dados de confirmação de criação de caso e inclusão de um host para o caso.
Forense Smartphone Reconhecendo a evidencia
Tela com dados de inclusão da imagem forense.
Tela com dados de confirmação de inclusão de novo host.
Forense Smartphone Reconhecendo a evidencia
Tela com dados de confirmação da integridade.
Tela com dados de inclusão do hash MD5 para análise de integridade.
Forense Smartphone Reconhecendo a evidencia
Tela com dados do diretório /data/com.android.providers.telephony/databases/.
Tela com dados do caso e imagem forense adicionados no Sleuthkit Autopsy.
Forense Smartphone Reconhecendo a evidencia
Tela com dados do diretório /data/com.android.providers.telephony/databases/ e a opção Export.
Tela com resultado da geração de hash MD5 dos arquivos.
Forense Smartphone Reconhecendo a evidencia
Consulta customizada através do Sqliteman.
Forense Smartphone Reconhecendo a evidencia
Opção de exportação de dados através do Sqliteman.
Construtor de consulta customizada através do Sqliteman.
Forense Smartphone Reconhecendo a evidencia
Quantidade de registros retornados pelo Oxigen Forensic SQLite Viewer.
Exemplos de consultas customizadas através do Sqliteman.
Forense Smartphone Reconhecendo a evidencia
Quantidade de registros retornados pelo Sqliteman.
Forense Smartphone Reconhecendo a evidencia
Forense Smartphone Reconhecendo a evidencia
Forense Smartphone Análise Forense de Smartphone utilizando UFED
Forense Smartphone Reconhecendo a evidencia
• iPhone 5s • iOS v.8.0.2
Forense Smartphone Smartphone XT860 com Android
Forense Smartphone Reconhecendo a evidencia
Relatório
Formato da aquisição
Forense Smartphone Reconhecendo a evidencia
Forense Smartphone Reconhecendo a evidencia
Forense Smartphone Reconhecendo a evidencia
Forense Smartphone Reconhecendo a evidencia
Forense Smartphone Reconhecendo a evidencia
Forense Smartphone Reconhecendo a evidencia
Forense Smartphone Reconhecendo a evidencia
Forense Smartphone Reconhecendo a evidencia
Forense Smartphone Reconhecendo a evidencia
Forense Smartphone Reconhecendo a evidencia
Forense Smartphone Reconhecendo a evidencia
Forense Smartphone Reconhecendo a evidencia
Forense Smartphone Reconhecendo a evidencia
Forense Smartphone Reconhecendo a evidencia
Forense Smartphone Reconhecendo a evidencia
Forense Smartphone Reconhecendo a evidencia
Forense Smartphone Reconhecendo a evidencia
Forense Smartphone Correlação de dados
Forense Smartphone Correlação de dados
Open Source x Software Pago Aprendizado
x Tempo
x Facilidade de uso
x Cenário
Muito Obrigado!
José Francci Neto neto@francci.net http://br.linkedin.com/pub/jos%C3%A9-francci-neto/10/899/187
Júlio César Roque Benatto jcbenatto@gmail.com http://br.linkedin.com/pub/julio-cesar-roque-benatto/13/b57/740