1

Introdução a Computação Forense

Luiz Sales Rabelohttp://4n6.cc

© 2011 - TechBiz Education

Luiz Sales Rabelo

2

•Consultor TechBiz Forense Digital desde 2009

•Certificações internacionais EnCE e ACE

•Membro Comissão Crimes Alta Tecnologia OAB/SP

•NÃO SOU ADVOGADO!!

3

•Conceitos Básicos

•Processo Investigativo

•Forense Digital

• Início do Caso

• Coleta de Dados

• Análise de Informações

• Relatório Final

Agenda

Conceitos Básicos

4

Conceitos Básicos

5

Reconhecendo um incidente (ISO 17799:2005)

•Perda de serviço

•Mal funcionamento ou sobrecarga de sistema

•Falha humana

•Vulnerabilidades no controle do acesso físico

•Violação de Acesso

Ciência Forense

Metodologia científica aplicada, que atua em conjunto

com o Investigador e é utilizada para esclarecer

questionamentos jurídicos:

Toxicologia Forense, Genética e Biologia Forense,

Psiquiatria Forense, Antropologia Forense, Odontologia

Forense, Entomologia Forense, Balística Forense,

Tanatologia Forense...

6

Ciência Forense

Forense Computacional

X

Forense Digital

7

Dispositivos Móveis

Na atualidade, os celulares são verdadeiros computadores, e em alguns casos

guardam muito mais sobre nossas vidas do que nossos computadores. Ex:

• E-mails

• Contatos / Agenda

• Fotos, imagens e vídeos

• Ring Tones e Jogos (copyright)

• Histórico, cookies, senhas de navegação (browser)

• Chamadas (discadas e recebidas) em determinada

data/hora

• Detalhes de mensagens SMS (data, origem/destino,

templates)

8

Perícia em dispositivo GPS

9

ABNT

Grupos de Trabalho Comitê ABNT - CB21/CE27

•ISO 27035 - Information Security Incident Management

•ISO 27037 - Evidence Acquisition Procedure for Digital Forensics

© 2011 - TechBiz Education

10

Delitos Cibernéticos

•Envio de informações confidenciais por e-mail;

•Ataque ou tentativa de ataque por funcionários ou

concorrentes;

•Fraude em sistemas financeiros (home banking);

•Instalação de cavalos-de-tróia em estações de trabalho;

•Remoção ou alteração indevida de informações;

•Ataques contra a disponibilidade de sistemas ;

•Envio de ameaças por e-mail.

© 2011 - TechBiz Education

11

Definições Legais Importantes

Art. 4º O art. 163 do Decreto-Lei nº 2.848, de 7 de dezembro de 1940

(Código Penal) passa a vigorar com a seguinte redação:

“Dano

Art. 163 - Destruir, inutilizar ou deteriorar coisa alheia ou dado eletrônico

alheio:

....................................................................”

§ 2º Equipara-se à coisa:

I – o dado, a informação ou a base de dados presente em meio eletrônico

ou sistema informatizado; II – a senha ou qualquer meio de identificação

que permita o acesso a meio eletrônico ou sistema informatizado

© 2011 - TechBiz Education

12

25/1/2011 - Comissão de Constituição e Justiça e de Cidadania (CCJC)

Legislação no Brasil

Lei 10.764 de 12.11.2003

• “Pedofilia” na internet

• Apresentar, produzir, vender, fornecer, divulgar ou publicar

pornografia infantil (reclusão de 2 a 6 anos e multa)

© 2011 - TechBiz Education

13

Legislação no Brasil

“Pedofilia” – Criminalização e Posse

•Lei Federal 11.829/2008, criada pela CPI da Pedofilia;

•Modificação no ECA;

© 2011 - TechBiz Education

14

Processo Investigativo

15

O que é Forense Digital?

16

ANÁLISE RELATÓRIOCOLETA

PRESERVAÇÃO

“Sanitização”

•Evitar cross-contamination

•Demanda wipe completo das mídias reutilizáveis

17

“Sanitização”

Visualização de

mídia no EnCase

após wipe

18

“Efeito” CSI

•Adaptação livre do tema para televisão

•Relata fatos no formato de série de TV

•Diferença quanto a métodos, organização e tempos

19

“Efeito” CSI

20

“Efeito” CSI

21

“Efeito” CSI

22

“Efeito” CSI

23

“Efeito” CSI

24

“Efeito” CSI

25

Forense Digital: Início do Caso

26

Início do Caso

•Fotografar e/ou filmar o ambiente

•Realizar ata notarial ou documento que ateste o

acautelamento de informações

•Elaboração do documento de custódia

•Preservação das Evidências

•Duplicação (Coleta)

27

Notificação a Agentes da Lei

Obrigatória quando envolver:

•Pornografia infantil

•Crimes contra vida (assassinato, estupro...)

•Crimes de ódio (racismo, homofobia...)

•Perigo a Segurança Nacional (terrorismo...)

28

Forense Digital: Coleta

29

Cadeia de Custódia

•O que é a cadeia de custódia?

•Pra que serve?

•Ela (o processo) é utilizada realmente?

30

Documento de Custódia

31 Refe

rênci

a :

htt

p:/

/sophosn

et.

word

pre

ss.c

om

/20

09

/03

/

Coleta

•Não é recomendável realizar perícia

diretamente na prova.

•Devem ser realizadas cópias

forenses de forma a preservar a

evidência.

•Organização!

•Cautela!

32

Coleta (Enterprise)

•Processos

•Arquivos relevantes

•Logs de aplicativos

•Arquivos temporários

•Swapfile

•Registry

•Conexões ativas

•...33

Duplicação bit-a-bit

Cópia exata dos bits e de sua disposição

seqüencial dentro do disco rígido.

34

Integridade de Dados

•Algoritmos de Hash

• MD5

• SHA-1

• SHA-256

•Softwares para Pericia

•Bloqueadores de Escrita

•Técnicas para proteção contra gravação

35

Forense Digital: Análise

36

Objetivo da Análise

Extrair de um universo de dados coletados,

informações que direta ou indiretamente associem um

indivíduo a uma determinada atividade.

37

File Systems

Arquivos localizados no computador periciado devem

ser avaliados minuciosamente. Alguns dos pontos a

serem analisados são:

• Assinatura de arquivos

• Imagens de dispositivos

• ADS (Alternate Data Streams)

38

Demo: Manipulando ADS com o WindowsFerramenta utilizada: Prompt de

Comandos

39

Arquivos Apagados

O espaço em disco marcado como livre na

tabela de alocação de arquivos

geralmente contém informações

essenciais para a análise: são os

dados dos arquivos removidos

40

Data Carving

41

Esculpir informações a partir

dos dados disponíveis no

disco rígido suspeito

Forense Digital: Relatório

42

Relatório

43

•Oficializar encerramento do caso

•Preenchimento dos documentos de

controle

Geração de Relatório

Bookmarking

•Seleção de informações relevantes, realizada durante o

processo de análise

Geração de relatórios

•Correlação das hipóteses com as evidências coletadas,

agrupamento de todos os aspectos avaliados e

conclusão. 44

Linguagem Utilizada

Dependendo do tipo de

investigação, a linguagem dos

relatórios pode, ou não, ser

técnica. O acerto de

expectativas e objetivos é

realizado no início do processo

de investigação.

45

46

Obrigado!

Luiz Sales Rabelohttp://4n6.cc

© 2011 - TechBiz Education