Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense...

62
Computação Forense, investigação em ambiente computacional Prof. Marcos Monteiro http://www.marcosmonteiro.com.br [email protected]

Transcript of Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense...

Page 1: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Computação Forense, investigação em ambiente

computacional

Prof. Marcos Monteiro

http://[email protected]

Page 2: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil

Page 3: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,
Page 4: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,
Page 5: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,
Page 6: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Posso fazer, ninguém sabe que fui eu!

Page 7: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Ciência Forense Criminal• A ciência forense crim inal traz a prática da investigação o que

chamamos de método cientifico, ou metodologia cientifica, fazendo-se valer dos conhecimentos de diversos tipos de ciências

– como a matemática, química, física, biologia, medicina, engenharia e nos dias atuais a informática.

Page 8: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Computação Forense

• “Ciência forense destinada a preservar, adquirir, obter e apresentar dados que foram processados eletronicamente e armazenados em dispositivo de computador.”

FBI

Page 9: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Perito

• Substantivo masculino.– Aquele que é sabedor ou especialista em

determinado assunto; – Aquele que se acha habilitado para fazer

perícia.– Aquele que é nomeado judicialmente para

exame ou vistoria.

Page 10: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Habilidades de um Perito em Computação Forense

• Segurança da Informação;

• Resposta a Incidentes

• Auditoria de Sistemas

Page 11: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

LEI Nº 7.270, DE 10 DE DEZEMBRO DE 1984

• Art. 1º - O art. 145 da Lei nº 5.869, de 11 de janeiro de 1973 - Código de Processo Civil, passa a vigorar acrescido de três parágrafos com a seguinte redação:

• § 1º - Os peritos serão escolhidos entre profissionais de nível universitário, devidamente inscritos no órgão de classe competente, respeitado o disposto no Capitulo VI, seção VII, deste Código.

• § 2º - Os peritos comprovarão sua especialidade na matéria sobre que deverão opinar, mediante certidão do órgão profissional em que estiverem inscritos.

• § 3º - Nas localidades onde não houver profissionais qualificados que preencham os requisitos dos parágrafos anteriores, a indicação dos peritos será de livre escolha do juiz”.

Page 12: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Atuação de um perito

• Perito do Juiz• Varas civis e trabalhistas, ou seja, nomeado pelo

juiz do processo para proceder nos exames e diligencias técnicas.

• Assistente Técnico• Auxiliar os advogados e partes processuais a

elaborar quesitos, acompanhar a diligencia e exames nas defesas de seus interesses

• Consultor ou perito extrajudicial• Elaborar parecer particular para anexar na petição

do advogado dentro do processo.

Page 13: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Campos de atuação da Computação Forense

• Sistemas Operacionais• Ambiente Windows• Ambiente Unix-Like

• Funcionalidade do S.O.• Computadores domésticos e pessoais• Computadores corporativos ou servidores em geral

• Conectividade• Computadores não rede• Computadores em Rede

• Tipos de rede• Maio de cabo• Sem fio

• Sistemas (Código)

Page 14: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Evidencia Digital

• Qualquer dado em meio digital que possa colaborar no sentido de provar que uma fraude ou irregularidade foi cometida e que possa estabelecer vinculo de relação entre a fraude ou irregularidade e a vitima, e entre a vitima e o agente.

Page 15: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Técnicas Forenses

Preparação Chegada ao local da Investigação Coleta dos Dados Exame dos Dados Análise das Informações Redação do Laudo

Page 16: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Chegada ao local da Investigação

Isolar a área alteração e contaminação Fotografar ou Filmar próximas etapas Registro dos detalhes reconstrução

da cena Manter o estado dos equipamentos

prioridade

Page 17: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Coleta dos Dados

Dados voláteis Data hora; Conexões de rede; Memória; Configuração da rede; Processos em execução; Arquivos abertos; Sessão de Login.

Dados não-voláteis Log, temporários e de configuração; Textos, planilhas, imagens, etc…

Page 18: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,
Page 19: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Cadeia de Custodia

Page 20: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Ambiente

Page 21: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Cópia Forense

Page 22: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Os brinquedinhos

Page 23: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Criando a imagem com FTK Imager

Page 24: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

HASH

Page 25: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Etapas de uma Investigação

Page 26: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Análise das Informações

A etapa de análise das informações, ocorre muitas vezes, paralela à etapa de exame;

Finalidade de recriar o(s) evento(s) que estão sendo investigado(s).

Page 27: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Na Internet

Page 28: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,
Page 29: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,
Page 30: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,
Page 31: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,
Page 32: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,
Page 33: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,
Page 34: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,
Page 35: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,
Page 36: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,
Page 37: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Fraude com Malware

Page 38: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Log de acesso é a base

Page 39: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,
Page 40: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

LACNIC

Page 41: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,
Page 42: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,
Page 43: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Website1o Passo – Ata Notarial

Page 44: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Ata Notarial

Page 45: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

• Injúria (art. 140 do Código Penal):• Injuriar alguém, ofendendo-lhe a dignidade ou o decoro: Pena -

detenção, de um a seis meses, ou multa.

Page 46: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Website2. Registro.br

Page 47: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Unix Like - Acesso não autorizado!

Onde lê /dev/tty1 poderá contar o IP quando o acesso for externo.

Page 48: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Unix Like - History

Page 49: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Unix Like - Ultimos Arquivos modificados

Page 50: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Windows Vamos Peritar!!!

• Identificando o seu sistema.– WinAudit– Windows Forensic Toolchest™ (WFT)

Page 51: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Vamos Peritar!!

• Os arquivos mais recentes criados na maquina. – RecentFilesView

Page 52: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

• As ultimas linhas de registro que foram modificadas– RegScanner

Page 53: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

• Monitorando Arquivos que estão sendo executados em tempo real para analise.– Filemon

Page 54: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Identificando o perfil de acesso do usuário a Internet

• Histórico de Internet– pasco– IECacheView– MozillaCacheView

• Ultimas pesquisas feitas na internet– MyLastSearch

Page 55: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

• Arquivos que foram deletados para a lixeira– rifiuti

Page 56: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

• Recuperando arquivos Deletados– GetDataBack

Page 57: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

• Identificando Acesso do Pen Drive– USBDeview

Page 58: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

• Identificando arquivos com atributos– Attrib

Page 59: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Esteganografia

• Esteganografia (do grego "escrita escondida") é o estudo e uso das técnicas para ocultar a existência de uma mensagem dentro de outra. Em outras palavras, esteganografia é o ramo particular da criptologia que consiste em fazer com que uma mensagem seja camuflada, mascarando sua presença. – Camouflage

Page 60: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Distribuições Linux para Perícia Computacional Forense

STD - Security Tools Distribution21/01/20040.1KnoppixKnoppix-STD

Local Area Security06/03/20040.5KnoppixL.A.S Linux

Professional Hacker's Linux Assault Kit07/05/20050.3MorphixPHLAK

N/A01/10/20053.3.20KnoppixOperator

N/A06/10/20061.8KnoppixHelix

Federal Computer Crime Unit19/10/200611.0KnoppixFCCU

Network Ubuntu21/11/20066.10UbuntunUbuntu

Inside Security Rescue Toolkit16/02/20071.3.9bKnoppixINSERT

N/A06/03/20072.0SlackwareBackTrack

Digital Evidence Forense Toolkit22/3/20071.0UbuntuDEFT

NomenclaturaDataVersãoBaseadaNome

Distribuições Linux Analisadas

Page 61: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Redação do Laudo

Finalidade do relatório Objetivos da Investigação; Autor(es) do relatório Especialidade e

responsabilidades; Resumo do incidente Incidente e suas

conseqüências; Estado das evidências Como, quando e por quem; Detalhes Quais evidências, métodos, procedimentos; Conclusão Evidências que comprovem; Anexos Toda documentação.

Page 62: Computação Forense, - marcosmonteiro.com.br · Ciência Forense Criminal • A ciência forense criminal traz a prática da investigação o que chamamos de método cientifico,

Muito obrigado!!

PERGUNTAS ?

Prof. Marcos Monteiro

[email protected]://www.marcosmonteiro.com.br