Conhecendo a Pericia Forense Computacional

8/2/2019 Conhecendo a Pericia Forense Computacional

1/57

TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Introduo Forense Computacional


2/57

www.tisafe.comTI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Termo de iseno de responsabilidade

A TI Safe no se responsabiliza pelo mal uso das

informaes aqui prestadas

Aproveite este material para ampliar seus conhecimentos

em Forense Computacional e us-los com

responsabilidade.


3/57


No precisa copiar...

http://www.tisafe.com/ppt
http://www.tisafe.com/ppt.htmlhttp://www.tisafe.com/ppt.html


4/57


Agenda

Objetivos

A internet no cenrio mundial ebrasileiro

Cincia Forense e ForenseComputacional

Profissionais envolvidos Principais aspectos da Forense

Computacional Tcnicas de Anlise

Novidades na rea Material indicado Concluso


5/57


Objetivos

Introduzir os conceitos de Forense Computacional

Mostrar os principais aspectos de uma investigaodigital

Atualizar a todos com as novidades da rea


6/57


Por que precisamos de Forense Computacional ?


7/57www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Porque no temos mais hackers como esses ...



A Internet no cenrio mundial e

brasileiro



Crescimento da Internet e a criminalidade Ciberntica

Cenrio Mundial

Alta dependncia da Tecnologia da Informao Virtualizao da sociedade (comunidades on-line)

Alta oferta de servios on-line, desde instituies

financeiras, at supermercados Empresas esto apoiando suas estratgias em

componentes tecnolgicos: significa fazer mais, melhor e

com maior controle, em menor tempo e com menor

custo.Tecnologia = diferencial estratgico



Estatstica mundial de uso da Internet



O Brasil nas estatsticas




FRAUDE




Incidentes de segurana da informao

crescem 191% em 2006 (68000 incidentes em2005 x 197892 em 2006) Fraudes: aumento de 53% em 2006. As primeiras aes geradas aps um

incidente de segurana acabamprejudicando o processo de investigao ede percia



Crimes Cibernticos (Cybercrime)

Definio: Ato ilegal envolvendo um

computador, seus sistemas ou aplicaes Abrange somente situaes intencionais Verifica as ferramentas usadas, o alvo e as

circunstncias do crime



Crimes especializados mais comuns

Envio de informaes confidenciais

por e-mail Ataque por concorrentes ou ex-

funcionrio Fraude em sistemas financeiros

(Internet banking) Instalao de cavalos-de-tria em

estaes de trabalho Envio de ameaas por e-mail

Remoo ou alterao indevida deinformaes

Pedofilia



Legislao - Europa



Legislao - EUA

United States Code Title 18Part I Crimes:

Seo 875: Interstate Communications: Including threats,Kidnapping, Ransom, Extortion

Seo 1029: Fraud and Related Activity in connection with

access devices

Seo 1030: Fraud and Related Activity in connection withComputers

Seo 1343: Fraud by Wire, Radio or Television

Seo 1361: Injury of Government Property

Seo 1362: Government Communications System Seo 1831: Economic Espionage Act

Seo 1832: Theft of Trade Secrets



Legislao - Brasil



Forense



Cincia Forense

Cincia Forense: dividida em diversas

disciplinas, atua em conjunto com oinvestigador na busca pela verdade.

Pathology Examination of the Dead

Living Cases Toxicology

Anthropology Odontology

Engineering Biology

Geology Psychiatry

Questioned Documents Criminalistics

Jurisprudence Computer Forensics



Um pouco de Histria

Hsi Duan Yu: Escreveu o Washing Away of Wrongs, tidopor alguns como o primeiro livro de Forense da histria

Antoine Louis: Trabalhava identificando causas de morte Mathieu Orfila: Pai da Toxicologia Forense Francis Galton: Primeiro estudo sobre impresses

digitais

Madame Lafarge: Primeiro caso de uso de Forense emum tribunal Albert Osbourne: Princpios de Anlise de documentos



Um pouco de Histria

Arthur Conan Doyle: Primeiras histrias deSherlock Holmes

Leone Lattes: Descobre os grupos sanguneos Calvin Goddard: Compara armas e projteis Edmund Locard: Prope o Princpio de Locard FBI: Cria o primeiro laboratrio de Forense

Roland Menzel: Uso de lasers para identificarimpresses digitais

Alec Jeffreys: Descoberta do DNA nico Anthony Zuiker: Criou a srie C.S.I e

popularizou a Cincia Forense



Forense Computacional

um conjunto metdico de tcnicas e

procedimentos para capturar evidncias deequipamentos de computao ou vriosequipamentos de armazenamento de dadose mdias digitais, de forma a seremapresentados em Juzo de forma coerente esignificativa.

Dr H. B. Wolfe



Forense Computacional ou Resposta a Incidentes ?

Forense Computacionalest ligada ainvestigaes epreservao dasevidncias

Resposta a Incidentesrefere-se aosprocedimentos paraconter, tratar e eliminarum incidente deSegurana deInformaes



Os profissionais



Perito em Forense Computacional

o profissional com formao em 3o grau,

com experincia comprovada no assunto,nomeado pelo Juiz para responderquestes especficas sobre determinadocaso. Funciona como um assessor tcnico do Juiz

Indicado pelo Juiz

Honorrios definidos pelo Juiz

Trabalha com prazos especificados



Assistente Tcnico das Partes

o profissional com formao em 3o grau,

com experincia comprovada no assunto,nomeado pelas Partes de um processo parapesquisar a verdade e apresent-la sob aforma de Parecer Tcnico. Funciona como um assessor tcnico da Parte.

Indicado pela Parte, ou pelo advogado da mesma.

Honorrios negociados diretamente com a Parte

contratante

Trabalha com prazos repassados s Partes pelo Juiz


29/57

www.tisafe.com TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.

Perito Criminal em Forense Computacional

o policial ou funcionrio pblico

habilitado na rea de ForenseComputacional. Somente por Concurso Pblico

quem trata dos processos quando h crime

A maior parte est na Polcia Federal,atualmente


30/57


Investigador em Forense Computacional

o profissional habilitado em Forense

Computacional que trabalha no mercadoprivado Funcionrio ou Consultor

Valores negociados diretamente com o contratante

Realiza investigaes sem seguir a formalizao O resultado pode ou no ser usado em Juzo

Conhecimentos e Competncias do Profissional


31/57


Conhecimentos e Competncias do Profissionalde Forense Computacional

- Conceitos gerais sobre Forense Computacional

- Detalhes tcnicos de vrios sistemas operacionais

- Detalhes tcnicos de vrios Sistemas de arquivos- Detalhes tcnicos de vrios softwares de vrios SOs

- Escrever um bom relatrio

- Algum embasamento jurdico, principalmente no modelobrasileiro de coleta e apresentao das evidncias

- Coletar evidncias em situaes diversas (dead acquisition/liveacquisition, usando HD externo, pen drive, via rede, de PDAs,telefones celulares, etc). Tem at Xbox passando por Forense ...

- Tcnicas anti-forenses

- Lgica investigativa apurada.

- Saber lidar com prazos curtos


32/57


Principais Aspectos


33/57


Maiores dificuldades

Cincia ?

Reprodutvel Aspectos legais

Cenrio ainda indefinido

Criptografia e Obfuscao

Whole disk encryption Esteganografia

Hydan

Tcnicas Anti-Forense

Meterpreter/SAM Juicer

Timestomp


34/57


Modelo de Trabalho em Forense Computacional


35/57


Antes de qualquer coisa ...


36/57


Aquisio


37/57


Cuidado na Aquisio !


38/57


Itens usados na Aquisio


39/57


Preservao


40/57


Preservao Cadeia de Custdia

um instrumento para manter a integridade

Evidncias so etiquetadas e lacradas A etiqueta deve conter o hash da mdia lacrada e

informaes sobre a aquisio

A etiqueta tambm contm a data/hora e a

identificao de quem realizou a aquisio A lista mantida, recebendo uma anotao a cada

acesso de algum evidncia

Esse registro deve conter a referncia a pessoa, a

data e a hora que levou e devolveu a evidncia.

Sempre lacrada ou no cofre de evidncias


41/57


Itens usados na fase de Preservao

A li


42/57


Anlise

As evidncias so analisadas para o levantamento de

artefatos que possam corroborar ou negar as teses(suspeitas) As tcnicas variam conforme:

As suspeitas; O dispositivo sendo analisado O sistema operacional O sistema de arquivos

D


43/57


Documentao

a parte final do trabalho

Pode ser: Um relatrio investigativo;

Um Parecer Tcnico;

Um Laudo Pericial

5 W 1 H

What, Who, Where, When, Why, How

NUNCA deve-se fazer juzo do caso.

O objetivo mostrar o que aconteceu!


44/57


Anlise

A li P i i i T i


45/57


Anlise Principais Tcnicas

Filtragem de arquivos

Busca de informaes escondidas Obfuscao

Arquivos apagados

Slack Space

File Carving Busca por palavras-chave Esteganografia Linha do tempo usando MAC Times Email Traceback Network Forensics

P t F


46/57


Pacotes Forenses

Guidance EnCase;

AccessData FTK ASR SMART iLook Investigator (restrito) KrollOnTrack Eletronic Data Investigator

Vrios softwares da Paraben e da X-Ways

Li e CDs


47/57


Live CDs

Helix

FCCU

Live CDs


48/57


Live CDs

FDTK

FIRE Penguim

Ferramentas Avulsas


49/57


Ferramentas Avulsas

Sleuth Kit

Autopsy PyFLAG PTK

Novidades


50/57


Novidades

Software livre

O fim da Forense Nintendo Aquisio e anlise da RAM Live Acquisition Emanations

Anlise do Registry Hash parcial PLS 76/2000

Literatura recomendada


51/57





52/57



http://forcomp.blogspot.com

http://www.e-evidence.info

Concluso


53/57


Concluso

A tecnologia, principalmente a Internet, trouxe melhoriasenormes para os negcios, mas tambm criou um novoterreno para os criminosos

A perspectiva de que seja cada vez mais necessrio otrabalho do Perito/Investigador Forense Computacional

H vrias ferramentas para o trabalho do profissional deForense Computacional, incluindo ferramentas comcdigo livre

As tcnicas de anlise evoluem a cada dia !

Os crimes tambm !!!

No precisa copiar


54/57


No precisa copiar...

http://www.tisafe.com/ppt

Aviso Legal
http://www.tisafe.com/ppt.htmlhttp://www.tisafe.com/ppt.html


55/57


Aviso Legal

O presente material foi gerado com base em informaes prprias e/ou coletadas a partir dosdiversos veculos de comunicao existentes, inclusive a Internet, contendo ilustraesadquiridas de banco de imagens de origem privada ou pblica, no possuindo a inteno de violarqualquer direito pertencente terceiros e sendo voltado para fins acadmicos ou meramenteilustrativos. Portanto, os textos, fotografias, imagens, logomarcas e sons presentes nestaapresentao se encontram protegidos por direitos autorais ou outros direitos de propriedadeintelectual.

Ao usar este material, o usurio dever respeitar todos os direitos de propriedade intelectual eindustrial, os decorrentes da proteo de marcas registradas da mesma, bem como todos osdireitos referentes a terceiros que por ventura estejam, ou estiveram, de alguma formadisponveis nos slides. O simples acesso a este contedo no confere ao usurio qualquer direito

de uso dos nomes, ttulos, palavras, frases, marcas, dentre outras, que nele estejam, ouestiveram, disponveis.

vedada sua utilizao para finalidades comerciais, publicitrias ou qualquer outra que contrariea realidade para o qual foi concebido. Sendo que proibida sua reproduo, distribuio,transmisso, exibio, publicao ou divulgao, total ou parcial, dos textos, figuras, grficos edemais contedos descritos anteriormente, que compem o presente material, sem prvia eexpressa autorizao de seu titular, sendo permitida somente a impresso de cpias para usoacadmico e arquivo pessoal, sem que sejam separadas as partes, permitindo dar o fiel e real

entendimento de seu contedo e objetivo. Em hiptese alguma o usurio adquirir quaisquerdireitos sobre os mesmos.

O usurio assume toda e qualquer responsabilidade, de carter civil e/ou criminal, pela utilizaoindevida das informaes, textos, grficos, marcas, enfim, todo e qualquer direito de propriedadeintelectual ou industrial deste material.

Obrigado!


56/57


Obrigado!

[email protected] Rodrigues, CISSP, CFCP,

Security+

Contato
mailto:[email protected]:[email protected]


57/57

Contato

Eletrnico

www.tisafe.com

[email protected]

Skype: ti-safe (somente voz)

Telefones Rio de Janeiro: (21) 2577-0658

So Paulo: (11) 3013-3152

Florianpolis: (48) 3223-6918 Belo Horizonte: (31) 3231-5965

Porto Alegre: (51) 3273-5403

Conhecendo a Pericia Forense Computacional

Documents

Transcript of Conhecendo a Pericia Forense Computacional