22/07/2011

1

Leandro GalafassiCHFI, CEH, ITIL

Twitter: @LGalafassi

Email: leandro@galafassiforense.com.br

� Conceitos

� Fundamentos de Hardware

� Desafios para Implementação de Estruturas de Investigação Digital

� Tecnologias de Combate ao Crime Eletrônico

Resumo

22/07/2011

2

� Perícia� Qualidade de perito� Destreza, habilidade� Exame, avaliação especializada

� Perito� Que ou aquele que se especializou em determinado ramo de atividade ou

assunto� Que tem experiência ou habilidade em determinada atividade� Diz-se de ou técnico nomeado pelo juiz ou pelas partes para que opine sobre

questões que lhe são submetidas em determinado processo

� Forense� Relativo a foro� Próprio do foro; que se usa no foro� Relativo aos tribunais e à justiça; jurídico, judiciário, judicial

Perícia forenseTermo utilizado para definir qualquer tipo de investigação cujo o produto final (LAUDO) seja construído para possível apresentação a justiça e na qual seja

necessário profundo conhecimento técnico.

Fonte: Dicionário Houaiss

Conceitos

Electronic discovery, também conhecida como e-discovery, refere-se a um método de busca, pesquisa, localização e obtenção de dados e informações eletrônicos com a

intenção de utilizá-los como evidências, em um processo judicial. Nos Estados Unidos, o assunto foi objeto de uma lei específica (E-Discovery Law), promulgada em 2006. Pode ser executada off-line em um único computador ou em uma rede de computadores, podendo requerer uma ordem judicial para acesso, visando a obtenção de provas

essenciais. Podem incluir textos, imagens, banco de dados, planilhas eletrônicas, arquivos de áudio, animações, web sites e programas de computador.

�

Conceitos - eDiscovery

22/07/2011

3

ForensePost-Mortem

• HDs, CDs, Pen-Drives, Disquetes, etc

Forense de Rede

• Cabeadas

• Sem Fio

ForenseRemota

• Conexãoonline

• Silenciosa

ForenseColaborativa

• Interface de Investigação Amigável

• Grupo Especialista

Conceitos Evolução para Maturidade

22/07/2011

4

Maturidade em Investigações Digitais

Aumento 2005 - 2009

Discos: +576%.

Estações de Trabalho: +29,7%PDA/Blackberry/Assemelhados:

+859%

Fonte: (http://bit.ly/cFL3uW)

Aumento de Recursos Computacionais em TI

22/07/2011

5

Cenário de Análise:Ilícito cometido em uma área composta por 10 pessoas e 10 máquinas

Ano 200510 máquinas X 40 ~ 80 (media 60 GB) = 600 GBDuplicações acontecendo a 4 GB/min = 150 Min = 2:30 hsTempo para análise = Média 40 horas por 60 GB = 400 Horas

Tempo total entre a coleta + análise = 402 horas = 17 dias

Ano 201010 máquinas X 500 ~ 1000 (media 750GB) = 7500 GB = 7,5 TBDuplicações acontecendo a 6 GB/min = 937 Min = 20 hsTempo para análise = Média 40 horas por 60 GB = 5000 Horas

Tempo total entre a coleta + análise = 5020 horas = 6 meses

Aumento de 1.150% no Esforço de 2005 a 2010!

Esforço de Análise 2005 - 2010

Ano 201510 máquinas X 6250 ~ 12500 (media 9375 GB) = 93750 GB = 93,7 TBDuplicações acontecendo a 9 GB/min = 937 Min = 173 hsTempo para análise = Média 40 horas por 60 GB = 62500 Horas

Tempo total entre a coleta + análise = 62673 horas = 87 meses

Premissas: Inteligência, Preparação, Máquinas Adequadas ao Volume, Times Preparados

E a Internet das Coisas?...

Esforço de Análise 2015

22/07/2011

6

Excesso de Casos x Escassez de Peritos e Especialistas

PRODUTIVIDADE � Apagão Profissional

� Muitas tarefas sendo executadas por times pequenos

� Dificuldade de Treinar Grandes Equipes

� Falta de Infra-estrutura de Trabalho

� Alto índice de Turn-Over

Desafios

22/07/2011

7

• Princípio da Troca de Locard

• Revisão dos principios tecnológicos gerais necessáriosnos processos de análise forense computacional

• Em processos de análise de mídias digitais é importantíssimo que os envolvidos nas análises estejamconfortáveis com os componentes digitais, isso é fundamental para ser mais eficaz, assertivo e conclusivo.

Revisão

14

Princípio da Troca de Locard

Sempre que dois objetos entram emcontato, haverá transferência de materialde um objeto para o outro

22/07/2011

8

22/07/2011

15

Preparação Pré-Coleta

16

Na maioria dos casos de análise de fraudes corporativas os agentes de aplicação de lei não são envolvidos, entretanto há casos onde é necessária a notificação imediata dos agente de lei, são eles:

• Situações envolvendo a segurança de pessoas• Situações envolvendo a segurança nacional

• Situações envolvendo pedofilia

Circunstâncias Especiais

22/07/2011

9

� Ferramentas de Resposta à Incidentes

� Ferramentas de administração de rede e sistemas

� Ferramentas de Alerta de Auditoria (Controles Internos)

� Ferramentas de Análise de Host

� Encase Forensic, FTK, etc

� Ferramentas de análise através da rede

� Suítes integradas de captura e análise (Encase Enterprise, Netwitness, AccessData DNA)

� São importantes para coleta de dados em RAM e conexões de rede (novos paradigmas em forense)

Tipos de Ferramentas de Coleta

�

Para as investigações digitais é importanteque o disco destino esteja totalmente limpopara receber uma nova massa de dados.Mesmo que seja um disco novo éimportante sanitizá-lo para que não hajarisco de contaminação dos dados.

Esse processo consome muito tempo edeve ser feito antes de ir à campo!!

Importante: Sanitização de Discos

22/07/2011

10

Tecnologias para Combate a Crimes Digitais � Criação de Processos de Análise:

� Formulários de Coleta

� Formulário para Cadeia de Custódia

� Inventário de Evidências

� Processamento de Máquina

� Processamento de Mídias

� Acompanhamento de Caso

� Encerramento de Caso

� Padronização de Laudos

� Padronização de Requisições de Perícia

Implementação de Processos

22/07/2011

11

Benefícios

Investigadores se tornam um grupo de Revisores de Informação

Especialistas em forense continuam no laboratório

Revisores utilizam a internet para obter informações sobre seus casos

Estruturas robustas de hardware cuidam da parte pesada do trabalho, o pré-processamento

Os peritos focam na gestão dos casos e nas partes mais nobres do trabalho

Estrutura Integrada de Investigação Digital

As investigações acontecem através da rede, de maneira segura, eficaz e discreta

Os levantamentos de dados acontecem sem interromper a operação diária da PM

Capacidade de acessar dados em um vasto conjunto de Sistemas Operacionais distintos.

Investigações Remotas e Discretas

22/07/2011

12

Bolsa Portátil

Chave de Segurança

4-Port USB Hub

Coletor

Portátil USB –

4GB

USB Armazenamento – 16GB

Coletas em Campo para Time de Não-Especialistas Investigação de Aparelhos Móveis, GPS, Midia Players, etc…

Utiliza Gaiola de Faraday, que

impede a recepção de sinais de

telefone durante o transporte;

Suporte aos dispositivos,

independentemente da

operadora e da tecnologia da

rede.

22/07/2011

13

Aprimoramento de Inteligência Coletiva e Consciência Situacional

balas bits

Combate ao Crime Organizado, Escolha suas Armas…

22/07/2011

14

Leandro Galafassi(11) 9868 9991

Twitter: @LGalafassi

Email: leandro@galafassiforense.com.br