Forense_Computacional(UFPE)

ForenseDigital / ComputacionalDigital / Computacional

CIn UFPE, 2007

Forense Computacional

Agenda Introduo Cincia Forense

O que Cincia Forense, O que NO NO Cincia Forense

Forense Digital / Computacional Forense Digital / Computacional Etapas de Investigao

Coleta, Exame, Analise e Resultados

Tcnicas Forenses Ferramentas Forenses (etapas da investigao) Tcnicas Anti-Forense

Concluso

Introduo

A Forense Computacional pode ser definida como a cincia que estuda a aquisio, aquisio,

preservao, recuperao e anlise de dados preservao, recuperao e anlise de dados que esto em formato eletrnico formato eletrnico e que esto em formato eletrnico formato eletrnico e

armazenados em algum tipo de mdia mdia computacionalcomputacional.

Cincia Forense

Diz-se da aplicao de campo cientfico especfico investigao de fatos relacionados a crimes e/ou contendas judiciais.

Ou simplesmente: A aplicao da Cincia no Ou simplesmente: A aplicao da Cincia no Direito

The Forensic Science Society

(http://www.forensic-science-society.org.uk)

Cincia Forense

Archimedes (287-212 a.C.) Quantidade real de ouro da Coroa calculada pela

teoria do peso especfico dos corpos.

Impresses digitais Utilizadas no sculo VII como comprovao de dbito Utilizadas no sculo VII como comprovao de dbito

(a impresso digital do devedor era anexada conta).

Medicina e Entomologia Referidas no livro Collected Cases of Injustice

Rectified, de Xi Yuan Ji Lu, em 1247. Foice e moscas, afogamento (pulmo e cartilagens do

pescoo), entre outros.

Cincia Forense

Sculo XX A evoluo da Cincia Forense Pesquisas que conduziram identificao do tipo

sanguneo e a anlise e interpretao do DNA;

Publicao dos principais estudos referentes aplicao de mtodos e tcnicas utilizadas na aplicao de mtodos e tcnicas utilizadas na investigao de crimes;

Criado o TheThe Federal Bureau Federal Bureau ofof InvestigationInvestigation(FBI), uma referncia no que tange investigao de crimes e a utilizao de tcnicas forenses em diversas reas.

Cincia Forense

Atualmente, existem peritos especializados em diversas reas cientficas, entre elas: Anlise de documentos (documentoscopia);

Criminalstica (Balstica, Impresses digitais, substncias controladas);controladas);

Antropologia (identificao de restos mortais, esqueletos)

Arqueologia;

Entomologia (insetos, verificao de data, hora e local);

Odontologia;

Computao (Forense Computacional ou Forense Digital);

E outras: Patologia, Psicologia, Toxicologia, Metrologia, ...

O que Cincia ForenseNo !No !

Forense Digital/Computacional

Objetivo: Suprir as necessidades das instituies legais no que se

refere manipulao das novas formas de evidncias eletrnicas.

Ela a cincia que estuda a aquisio, preservao, recuperao e anlise de dados que esto em formato recuperao e anlise de dados que esto em formato eletrnico e armazenados em algum tipo de mdia computacional.

Atravs da utilizao de mtodos cientficos e sistemticos, para que essas informaes passem a ser caracterizadas como evidncias e, posteriormente, como provas legais de fato.

Forense Computacional: Aspectos Legais e Padronizao (http://www.ppgia.pucpr.br/~maziero/pesquisa/ceseg/wseg01/14.pdf )


utilizada com fins:

Legais

ex.: investigao de casos de espionagem industrial, roubo de identidade, extorso ou ameaas.

Aes disciplinares internas

ex.: uso indevido de recursos da instituio, ou eventos onde no se deseja chamar a ateno externa


Ocorrncias mais comuns:

Calnia, difamao e injria via e-mail ou web

Roubo de informaes confidenciais

Remoo de arquivos Remoo de arquivos

Outros crimes:

Pedofilia

Fraudes

Auxlio ao trfico de drogas e intorpecentes

Etapas da investigao Fases de um processo de

investigao

Coleta Exame AnliseResultados

obtidos

Isolar a rea Coletar evidncias Garantir Integridade Identificar Equipamentos Embalar evidncias Etiquetar evidncias Cadeia de Custdia

Identificar Extrair Filtrar Documentar

Identificar (pessoas, locais e eventos) Correlacionar (pessoas, locais e eventos) Reconstruir a cena Documentar

Redigir laudo Anexar evidncias e demais documentos Comprovar integridade da cadeia de custdia (formulrios e registros)

Search and Seizure Manual - http://www.usdoj.gov/criminal/cybercrime/s&smanual2002.pdf

Coleta de Dados Identificao de possveis fontes de

dados: Computadores pessoais, laptops; Dispositivos de armazenamento em rede; CDs, DVDs; Portas de comunicao: USB, Firewire, Flash

http://www.krollontrack.com.br

Portas de comunicao: USB, Firewire, Flash card e PCMCIA;

Mquina fotogrfica, relgio com comunicao via USB, etc.

Coleta de Dados

Cpia dos dadosCpia dos dados: : envolve a utilizao de ferramentas adequadas para a duplicao dos dados

Garantir e preservar a integridadeGarantir e preservar a integridade Se no for garantida a integridade, as evidncias podero

ser invalidadas como provas perante a justia A garantia da integridade das evidncias consiste na A garantia da integridade das evidncias consiste na

utilizao de ferramentas que aplicam algum tipo de algoritmo hash

Assim como os demais objetos apreendidos na cena do crime, os materiais de informtica apreendidos devero ser relacionados em um documento (cadeia cadeia de custdiade custdia) ex. Formulrio de Cadeia de Custdia

Coleta de Dados

Aps a identificao das possveis origens dos dados, o perito necessita adquiri-los.

Para a aquisio dos dados, utilizado um processo composto por trs etapas:processo composto por trs etapas:

Identificao de prioridade;

Cpia dos dados;

Garantia e preservao de integridade.

Coleta de Dados:Identificao de PrioridadeIdentificao de Prioridade

Identificar a prioridade da coleta: o perito deve estabelecer a ordem (prioridadeprioridade) na qual os dados devem ser coletados Volatilidade: Volatilidade: dados volteis dados volteis devem ser imediatamente imediatamente

coletados coletados pelo perito. Ex.: o estado das conexes de rede e o contedo da memria Ex.: o estado das conexes de rede e o contedo da memria

Esforo: Esforo: envolve no somente o tempo gasto tempo gasto pelo perito, mas tambm o custo custo dos equipamentos e servios de de terceirosterceiros, caso sejam necessrios. Ex.: dados de um roteador da rede local x dados de um provedor

de Internet

Valor estimado: Valor estimado: o perito deve estimar um valor relativo estimar um valor relativo para cada provvel fonte de dados, para definir a definir a seqncia seqncia na qual as fontes de dados sero investigadas

Coleta de Dados:Cpia dos dadosCpia dos dados

Cpia lgica (Backup): Cpia lgica (Backup): as cpias lgicas gravam o contedo dos diretrios e os arquivos de um volume lgico. No capturam outros dados. arquivos excludos; fragmentos de dados armazenados nos espaos no

utilizados, mas alocados por arquivos.utilizados, mas alocados por arquivos.

Imagem: Imagem: imagem do disco ou cpia bitbit--aa--bitbit inclui os espaos livres e os espaos no utilizados: mais espao de armazenamento, consomem muito mais

tempo; permitem a recuperao de arquivos excludos e dados

no alocados pelo sistema de arquivos. Exemplo:Exemplo: setor de 4KB, arquivo com 9KB (3 setores ocupados)

Parte utilizada pelo arquivo

Parte no utilizada

Coleta de Dados:Garantia e preservao de integridadeGarantia e preservao de integridade

Durante a aquisio dos dados muito importante muito importante manter a integridade dos atributos de tempo mtimemtimeatributos de tempo mtimemtime(modification time), atimeatime(access time) e ctimectime(creation time) MAC MAC TimesTimes.

Exame dos Dados

FinalidadeFinalidade: localizar, filtrar e extrair somente as informaes relevantes investigao. Devemos considerar:

Capacidade de armazenamento dos dispositivos atuais Quantidade de diferentes formatos de arquivos existentes

Ex.: Ex.: imagens, udio, arquivos criptografados e compactados Ex.: Ex.: imagens, udio, arquivos criptografados e compactados

Muitos formatos de arquivos possibilitam o uso de esteganografiaesteganografia para ocultar dados, o que exige que o perito esteja atento e apto a identificar e recuperar esses dados

Em meio aos dados recuperados podem estar informaes irrelevantes e que devem ser filtradas. Ex.: Ex.: o arquivo de log do sistema de um servidor pode conter

milhares de entradas, sendo que somente algumas delas podem interessar investigao

Exame dos Dados

Aps a restaurao da cpia dos dados, o perito faz uma avaliao dos dados encontrados:

arquivos que haviam sido removidos e foram recuperados;recuperados;

arquivos ocultos;

fragmentos de arquivos encontrados nas reas no alocadas;

fragmentos de arquivos encontrados em setores alocados, porm no utilizados pelo arquivo.

Anlise dos Dados

Aps a extrao dos dados considerados relevantes, o perito deve concentrar suas habilidades e conhecimentos na etapa de anlise e interpretao das informaes.

Finalidade: Finalidade: identificar pessoas, locais e eventos; determinar como esses elementos esto inter-relacionados.relacionados.

Normalmente necessrio correlacionar informaes de vrias fontes de dados Exemplo de correlao:Exemplo de correlao: um indivduo tenta realizar um

acesso no autorizado a um determinado servidor possvel identificar por meio da anlise dos eventos registrados nos

arquivos de log o endereo IP de onde foi originada a requisio de acesso

Registros gerados por firewalls, sistemas de deteco de intruso e demais mecanismos de proteo

Resultados

A interpretao e apresentao dos resultados obtidos a etapa conclusiva da investigaoconclusiva da investigao.

O perito elabora um laudo pericial laudo pericial que deve ser escrito de forma clara e concisaforma clara e concisa, listando todas escrito de forma clara e concisaforma clara e concisa, listando todas as evidncias localizadas e analisadas.

O laudo pericial deve apresentar uma concluso uma concluso imparcial e final imparcial e final a respeito da investigao.

Resultados

Para que o laudo pericial torne-se um documento de fcil interpretao, indicado que o mesmo seja organizado em sees: Finalidade da investigao

Autor do laudo Autor do laudo

Resumo do incidente

Relao de evidncias analisadas e seus detalhes

Concluso

Anexos

Glossrio (ou rodaps)

Resultados

Tambm devem constar no laudo pericial:

Metodologia

Tcnicas

Softwares e equipamentos empregados Softwares e equipamentos empregados

Com um laudo bem escrito torna-se mais fcil a reproduo das fases da investigao, caso necessrio.

Tcnicas Forenses

Boas prticas que antecedem a coleta dos dados: Limpar todas as mdias Limpar todas as mdias que sero utilizadas ou usar mdias novas a

cada investigao; Certificar-se de que todas as ferramentasferramentas (softwares) que sero

utilizadas esto devidamentedevidamente licenciadaslicenciadas e prontas para utilizao; Verificar se todos os equipamentos e materiais necessrios (por

exemplo, a estao forense, as mdias para coleta dos dados, etc.) exemplo, a estao forense, as mdias para coleta dos dados, etc.) esto disposio

Quando chegar ao local da investigao, o perito deve providenciar para que nada seja tocado sem o seu consentimento, com o objetivo de proteger e coletar todos os tipos de evidnciasproteger e coletar todos os tipos de evidncias

Os investigadores devem filmar ou fotografar filmar ou fotografar o ambiente e registrar detalhes sobre os equipamentos como: marca, modelo, nmeros de srie, componentes internos, perifricos, etc.

Manter a cadeia de custdia !!!Manter a cadeia de custdia !!!

Ferramentas Forenses

Algumas ferramentas forenses comumente utilizadas nas etapas:

Coleta dos dados

Avaliar: Live Forensics ou Post-Mortem Avaliar: Live Forensics ou Post-Mortem

Exame dos dados

Anlise dos dados

Tcnicas ForensesColeta de dados volteisColeta de dados volteis

Sempre que possvel e relevante a investigao:

Conexes de rede (Conexes de rede (netstatnetstat))

Tcnicas ForensesColeta de dados volteisColeta de dados volteis

Sesses de Sesses de LoginLogin ((EventViewerEventViewer / / whowho u)u) dos usurios;

das aes realizadas;

Contedo da memria (Contedo da memria (WinHEXWinHEX / / dumpdump)) Contedo da memria (Contedo da memria (WinHEXWinHEX / / dumpdump))

Processos em execuo (Processos em execuo (ProcessXPProcessXP / / psps))

Arquivos abertos Arquivos abertos

Configurao de rede Configurao de rede

Data e hora do sistema operacionalData e hora do sistema operacional

Ferramentas ForensesColeta de dados no volteisColeta de dados no volteis

dddd (Disk Definition) dcfldddcfldd (Department of Defense Computer Forensics Lab Disk

Definition) - Verso aprimorada do dddd, com mais funcionalidades: gerao do hash dos dados durante a cpia dos mesmos visualizao do processo de gerao da imagem visualizao do processo de gerao da imagem diviso de uma imagem em partes

AutomatedAutomated ImageImage & & RestoreRestore (AIR): interface grfica para os comandos dddd//dcfldddcfldd gera e compara automaticamente hashes MD5 ou SHA produz um relatrio contendo todos os comandos utilizados

durante a sua execuo elimina o risco da utilizao de parmetros errados por usurios

menos capacitados

Ferramentas ForensesColeta de dados no volteisColeta de dados no volteis

Ferramentas ForensesExame dos dadosExame dos dados

Utilizando assinaturas de arquivos comuns, a quantidade de arquivos a ser analisada pode ser reduzida significativamente

Ex.: projeto NationalNational Software Software ReferenceReference LibraryLibrary(NSRL)

http://www.nsrl.nist.gov/Downloads.htm#isos

Total de 43.103.492 arquivos, distribudos em 4 discos

Diversas ferramentas j permitem a utilizao dos bancos de dados citados, por exemplo:

EnCase

Autopsy & SleuthKit

PyFLAG


PyFLAG


EnCase Padronizao de laudo; Recuperao de dados, banco de dados de evidncias; Anlise de hardwares e logs.

Ferramentas ForensesAnlise dos dadosAnlise dos dados

Utilitrios para construo da linha de tempo linha de tempo dos eventos Mactime (Componente do SleuthKit)

Utilitrios de navegao em arquivos da Utilitrios de navegao em arquivos da estrutura do Sistema Operacional Windows Pasco - http://www.opensourceforensics.org Analisa os ndices dos arquivos do Internet Explorer

Galleta (Cookie em espanhol) FoundStone.com analisa os cookiesexistentes em uma mquina e separa

as informaes teis

Ferramentas Anti-forenseDestruir/Ocultar dadosDestruir/Ocultar dados

Objetivo: Objetivo: destruir, ocultar ou modificar as evidncias existentes em um sistema a fim de dificultar o trabalho realizado pelos investigadores Tambm podem ser utilizadas antes de venda ou doao

de mdias a outras pessoas (evita recuperao de dados)

Destruio dos DadosDestruio dos Dados: para impedir ou pelo menos Destruio dos DadosDestruio dos Dados: para impedir ou pelo menos dificultar a recuperao dos dados, so utilizadas ferramentas conhecidas como wipingwiping toolstools para a remoo dos dados Wipe Secure-delete PGP/GPG wipe The Defiler's Toolkit Darik's Boot and Nuke


Ocultar DadosOcultar Dados

Criptografia e esteganografia podem ser aplicados em arquivos, tornando-se uma barreira difcil de ser superada.ser superada.

Utilizar ferramentas de esteganoanliseesteganoanlise em uma mdia de 80GB requer muito tempo e na prtica nem sempre algo vivel de se realizar

O mesmo ocorre quando se trata de arquivos criptografados

Ex.:

TrueCrypt, PGP/GPG, Steganos , Hide and Seek, ...


Outras finalidadesOutras finalidades

Principalmente focado em dificultar ou impedir o trabalho do perito forense, algumas ferramentas tm como objetivo impedir uma das etapas da tm como objetivo impedir uma das etapas da investigao:

Metasploit Anti-Forensic Investigation Arsenal (MAFIA)

Windows Memory Forensic Toolkit

Concluses

Forense Digital/Computacional um dos aspectos de Segurana de Informaes que chama bastante ateno tanto de corporaes quanto da comunidade cientfica

Apesar das diversas ferramentas disponveis que facilitam sobremaneira a ao do perito, a concluso final ainda paira sobre a experincia, competncia e integridade do profissional que conduziu a investigao

Algumas Referncias

Neukamp, Paulo A. Forense Computacional: Fundamentos e Desafios Atuais. 11 Junho de 2007. Universidade do Vale do Rio dos Sinos (UNISINOS). 06 Nov. 2007.

http://www.imasters.com.br/artigo/4175/forense/introducao_a_computacao_forense_a_computacao_forense

http://www.guidancesoftware.com/pt/products/ee_index.asp

Forense_Computacional(UFPE)

Documents

Transcript of Forense_Computacional(UFPE)