ForenseDigital / ComputacionalDigital / Computacional
CIn UFPE, 2007
Forense Computacional
Agenda Introduo Cincia Forense
O que Cincia Forense, O que NO NO Cincia Forense
Forense Digital / Computacional Forense Digital / Computacional Etapas de Investigao
Coleta, Exame, Analise e Resultados
Tcnicas Forenses Ferramentas Forenses (etapas da investigao) Tcnicas Anti-Forense
Concluso
Introduo
A Forense Computacional pode ser definida como a cincia que estuda a aquisio, aquisio,
preservao, recuperao e anlise de dados preservao, recuperao e anlise de dados que esto em formato eletrnico formato eletrnico e que esto em formato eletrnico formato eletrnico e
armazenados em algum tipo de mdia mdia computacionalcomputacional.
Cincia Forense
Diz-se da aplicao de campo cientfico especfico investigao de fatos relacionados a crimes e/ou contendas judiciais.
Ou simplesmente: A aplicao da Cincia no Ou simplesmente: A aplicao da Cincia no Direito
The Forensic Science Society
(http://www.forensic-science-society.org.uk)
Cincia Forense
Archimedes (287-212 a.C.) Quantidade real de ouro da Coroa calculada pela
teoria do peso especfico dos corpos.
Impresses digitais Utilizadas no sculo VII como comprovao de dbito Utilizadas no sculo VII como comprovao de dbito
(a impresso digital do devedor era anexada conta).
Medicina e Entomologia Referidas no livro Collected Cases of Injustice
Rectified, de Xi Yuan Ji Lu, em 1247. Foice e moscas, afogamento (pulmo e cartilagens do
pescoo), entre outros.
Cincia Forense
Sculo XX A evoluo da Cincia Forense Pesquisas que conduziram identificao do tipo
sanguneo e a anlise e interpretao do DNA;
Publicao dos principais estudos referentes aplicao de mtodos e tcnicas utilizadas na aplicao de mtodos e tcnicas utilizadas na investigao de crimes;
Criado o TheThe Federal Bureau Federal Bureau ofof InvestigationInvestigation(FBI), uma referncia no que tange investigao de crimes e a utilizao de tcnicas forenses em diversas reas.
Cincia Forense
Atualmente, existem peritos especializados em diversas reas cientficas, entre elas: Anlise de documentos (documentoscopia);
Criminalstica (Balstica, Impresses digitais, substncias controladas);controladas);
Antropologia (identificao de restos mortais, esqueletos)
Arqueologia;
Entomologia (insetos, verificao de data, hora e local);
Odontologia;
Computao (Forense Computacional ou Forense Digital);
E outras: Patologia, Psicologia, Toxicologia, Metrologia, ...
O que Cincia ForenseNo !No !
Forense Digital/Computacional
Objetivo: Suprir as necessidades das instituies legais no que se
refere manipulao das novas formas de evidncias eletrnicas.
Ela a cincia que estuda a aquisio, preservao, recuperao e anlise de dados que esto em formato recuperao e anlise de dados que esto em formato eletrnico e armazenados em algum tipo de mdia computacional.
Atravs da utilizao de mtodos cientficos e sistemticos, para que essas informaes passem a ser caracterizadas como evidncias e, posteriormente, como provas legais de fato.
Forense Computacional: Aspectos Legais e Padronizao (http://www.ppgia.pucpr.br/~maziero/pesquisa/ceseg/wseg01/14.pdf )
Forense Digital/Computacional
utilizada com fins:
Legais
ex.: investigao de casos de espionagem industrial, roubo de identidade, extorso ou ameaas.
Aes disciplinares internas
ex.: uso indevido de recursos da instituio, ou eventos onde no se deseja chamar a ateno externa
Forense Digital/Computacional
Ocorrncias mais comuns:
Calnia, difamao e injria via e-mail ou web
Roubo de informaes confidenciais
Remoo de arquivos Remoo de arquivos
Outros crimes:
Pedofilia
Fraudes
Auxlio ao trfico de drogas e intorpecentes
Etapas da investigao Fases de um processo de
investigao
Coleta Exame AnliseResultados
obtidos
Isolar a rea Coletar evidncias Garantir Integridade Identificar Equipamentos Embalar evidncias Etiquetar evidncias Cadeia de Custdia
Identificar Extrair Filtrar Documentar
Identificar (pessoas, locais e eventos) Correlacionar (pessoas, locais e eventos) Reconstruir a cena Documentar
Redigir laudo Anexar evidncias e demais documentos Comprovar integridade da cadeia de custdia (formulrios e registros)
Search and Seizure Manual - http://www.usdoj.gov/criminal/cybercrime/s&smanual2002.pdf
Coleta de Dados Identificao de possveis fontes de
dados: Computadores pessoais, laptops; Dispositivos de armazenamento em rede; CDs, DVDs; Portas de comunicao: USB, Firewire, Flash
http://www.krollontrack.com.br
Portas de comunicao: USB, Firewire, Flash card e PCMCIA;
Mquina fotogrfica, relgio com comunicao via USB, etc.
Coleta de Dados
Cpia dos dadosCpia dos dados: : envolve a utilizao de ferramentas adequadas para a duplicao dos dados
Garantir e preservar a integridadeGarantir e preservar a integridade Se no for garantida a integridade, as evidncias podero
ser invalidadas como provas perante a justia A garantia da integridade das evidncias consiste na A garantia da integridade das evidncias consiste na
utilizao de ferramentas que aplicam algum tipo de algoritmo hash
Assim como os demais objetos apreendidos na cena do crime, os materiais de informtica apreendidos devero ser relacionados em um documento (cadeia cadeia de custdiade custdia) ex. Formulrio de Cadeia de Custdia
Coleta de Dados
Aps a identificao das possveis origens dos dados, o perito necessita adquiri-los.
Para a aquisio dos dados, utilizado um processo composto por trs etapas:processo composto por trs etapas:
Identificao de prioridade;
Cpia dos dados;
Garantia e preservao de integridade.
Coleta de Dados:Identificao de PrioridadeIdentificao de Prioridade
Identificar a prioridade da coleta: o perito deve estabelecer a ordem (prioridadeprioridade) na qual os dados devem ser coletados Volatilidade: Volatilidade: dados volteis dados volteis devem ser imediatamente imediatamente
coletados coletados pelo perito. Ex.: o estado das conexes de rede e o contedo da memria Ex.: o estado das conexes de rede e o contedo da memria
Esforo: Esforo: envolve no somente o tempo gasto tempo gasto pelo perito, mas tambm o custo custo dos equipamentos e servios de de terceirosterceiros, caso sejam necessrios. Ex.: dados de um roteador da rede local x dados de um provedor
de Internet
Valor estimado: Valor estimado: o perito deve estimar um valor relativo estimar um valor relativo para cada provvel fonte de dados, para definir a definir a seqncia seqncia na qual as fontes de dados sero investigadas
Coleta de Dados:Cpia dos dadosCpia dos dados
Cpia lgica (Backup): Cpia lgica (Backup): as cpias lgicas gravam o contedo dos diretrios e os arquivos de um volume lgico. No capturam outros dados. arquivos excludos; fragmentos de dados armazenados nos espaos no
utilizados, mas alocados por arquivos.utilizados, mas alocados por arquivos.
Imagem: Imagem: imagem do disco ou cpia bitbit--aa--bitbit inclui os espaos livres e os espaos no utilizados: mais espao de armazenamento, consomem muito mais
tempo; permitem a recuperao de arquivos excludos e dados
no alocados pelo sistema de arquivos. Exemplo:Exemplo: setor de 4KB, arquivo com 9KB (3 setores ocupados)
Parte utilizada pelo arquivo
Parte no utilizada
Coleta de Dados:Garantia e preservao de integridadeGarantia e preservao de integridade
Durante a aquisio dos dados muito importante muito importante manter a integridade dos atributos de tempo mtimemtimeatributos de tempo mtimemtime(modification time), atimeatime(access time) e ctimectime(creation time) MAC MAC TimesTimes.
Exame dos Dados
FinalidadeFinalidade: localizar, filtrar e extrair somente as informaes relevantes investigao. Devemos considerar:
Capacidade de armazenamento dos dispositivos atuais Quantidade de diferentes formatos de arquivos existentes
Ex.: Ex.: imagens, udio, arquivos criptografados e compactados Ex.: Ex.: imagens, udio, arquivos criptografados e compactados
Muitos formatos de arquivos possibilitam o uso de esteganografiaesteganografia para ocultar dados, o que exige que o perito esteja atento e apto a identificar e recuperar esses dados
Em meio aos dados recuperados podem estar informaes irrelevantes e que devem ser filtradas. Ex.: Ex.: o arquivo de log do sistema de um servidor pode conter
milhares de entradas, sendo que somente algumas delas podem interessar investigao
Exame dos Dados
Aps a restaurao da cpia dos dados, o perito faz uma avaliao dos dados encontrados:
arquivos que haviam sido removidos e foram recuperados;recuperados;
arquivos ocultos;
fragmentos de arquivos encontrados nas reas no alocadas;
fragmentos de arquivos encontrados em setores alocados, porm no utilizados pelo arquivo.
Anlise dos Dados
Aps a extrao dos dados considerados relevantes, o perito deve concentrar suas habilidades e conhecimentos na etapa de anlise e interpretao das informaes.
Finalidade: Finalidade: identificar pessoas, locais e eventos; determinar como esses elementos esto inter-relacionados.relacionados.
Normalmente necessrio correlacionar informaes de vrias fontes de dados Exemplo de correlao:Exemplo de correlao: um indivduo tenta realizar um
acesso no autorizado a um determinado servidor possvel identificar por meio da anlise dos eventos registrados nos
arquivos de log o endereo IP de onde foi originada a requisio de acesso
Registros gerados por firewalls, sistemas de deteco de intruso e demais mecanismos de proteo
Resultados
A interpretao e apresentao dos resultados obtidos a etapa conclusiva da investigaoconclusiva da investigao.
O perito elabora um laudo pericial laudo pericial que deve ser escrito de forma clara e concisaforma clara e concisa, listando todas escrito de forma clara e concisaforma clara e concisa, listando todas as evidncias localizadas e analisadas.
O laudo pericial deve apresentar uma concluso uma concluso imparcial e final imparcial e final a respeito da investigao.
Resultados
Para que o laudo pericial torne-se um documento de fcil interpretao, indicado que o mesmo seja organizado em sees: Finalidade da investigao
Autor do laudo Autor do laudo
Resumo do incidente
Relao de evidncias analisadas e seus detalhes
Concluso
Anexos
Glossrio (ou rodaps)
Resultados
Tambm devem constar no laudo pericial:
Metodologia
Tcnicas
Softwares e equipamentos empregados Softwares e equipamentos empregados
Com um laudo bem escrito torna-se mais fcil a reproduo das fases da investigao, caso necessrio.
Tcnicas Forenses
Boas prticas que antecedem a coleta dos dados: Limpar todas as mdias Limpar todas as mdias que sero utilizadas ou usar mdias novas a
cada investigao; Certificar-se de que todas as ferramentasferramentas (softwares) que sero
utilizadas esto devidamentedevidamente licenciadaslicenciadas e prontas para utilizao; Verificar se todos os equipamentos e materiais necessrios (por
exemplo, a estao forense, as mdias para coleta dos dados, etc.) exemplo, a estao forense, as mdias para coleta dos dados, etc.) esto disposio
Quando chegar ao local da investigao, o perito deve providenciar para que nada seja tocado sem o seu consentimento, com o objetivo de proteger e coletar todos os tipos de evidnciasproteger e coletar todos os tipos de evidncias
Os investigadores devem filmar ou fotografar filmar ou fotografar o ambiente e registrar detalhes sobre os equipamentos como: marca, modelo, nmeros de srie, componentes internos, perifricos, etc.
Manter a cadeia de custdia !!!Manter a cadeia de custdia !!!
Ferramentas Forenses
Algumas ferramentas forenses comumente utilizadas nas etapas:
Coleta dos dados
Avaliar: Live Forensics ou Post-Mortem Avaliar: Live Forensics ou Post-Mortem
Exame dos dados
Anlise dos dados
Tcnicas ForensesColeta de dados volteisColeta de dados volteis
Sempre que possvel e relevante a investigao:
Conexes de rede (Conexes de rede (netstatnetstat))
Tcnicas ForensesColeta de dados volteisColeta de dados volteis
Sesses de Sesses de LoginLogin ((EventViewerEventViewer / / whowho u)u) dos usurios;
das aes realizadas;
Contedo da memria (Contedo da memria (WinHEXWinHEX / / dumpdump)) Contedo da memria (Contedo da memria (WinHEXWinHEX / / dumpdump))
Processos em execuo (Processos em execuo (ProcessXPProcessXP / / psps))
Arquivos abertos Arquivos abertos
Configurao de rede Configurao de rede
Data e hora do sistema operacionalData e hora do sistema operacional
Ferramentas ForensesColeta de dados no volteisColeta de dados no volteis
dddd (Disk Definition) dcfldddcfldd (Department of Defense Computer Forensics Lab Disk
Definition) - Verso aprimorada do dddd, com mais funcionalidades: gerao do hash dos dados durante a cpia dos mesmos visualizao do processo de gerao da imagem visualizao do processo de gerao da imagem diviso de uma imagem em partes
AutomatedAutomated ImageImage & & RestoreRestore (AIR): interface grfica para os comandos dddd//dcfldddcfldd gera e compara automaticamente hashes MD5 ou SHA produz um relatrio contendo todos os comandos utilizados
durante a sua execuo elimina o risco da utilizao de parmetros errados por usurios
menos capacitados
Ferramentas ForensesColeta de dados no volteisColeta de dados no volteis
Ferramentas ForensesExame dos dadosExame dos dados
Utilizando assinaturas de arquivos comuns, a quantidade de arquivos a ser analisada pode ser reduzida significativamente
Ex.: projeto NationalNational Software Software ReferenceReference LibraryLibrary(NSRL)
http://www.nsrl.nist.gov/Downloads.htm#isos
Total de 43.103.492 arquivos, distribudos em 4 discos
Diversas ferramentas j permitem a utilizao dos bancos de dados citados, por exemplo:
EnCase
Autopsy & SleuthKit
PyFLAG
Ferramentas ForensesExame dos dadosExame dos dados
PyFLAG
Ferramentas ForensesExame dos dadosExame dos dados
EnCase Padronizao de laudo; Recuperao de dados, banco de dados de evidncias; Anlise de hardwares e logs.
Ferramentas ForensesAnlise dos dadosAnlise dos dados
Utilitrios para construo da linha de tempo linha de tempo dos eventos Mactime (Componente do SleuthKit)
Utilitrios de navegao em arquivos da Utilitrios de navegao em arquivos da estrutura do Sistema Operacional Windows Pasco - http://www.opensourceforensics.org Analisa os ndices dos arquivos do Internet Explorer
Galleta (Cookie em espanhol) FoundStone.com analisa os cookiesexistentes em uma mquina e separa
as informaes teis
Ferramentas Anti-forenseDestruir/Ocultar dadosDestruir/Ocultar dados
Objetivo: Objetivo: destruir, ocultar ou modificar as evidncias existentes em um sistema a fim de dificultar o trabalho realizado pelos investigadores Tambm podem ser utilizadas antes de venda ou doao
de mdias a outras pessoas (evita recuperao de dados)
Destruio dos DadosDestruio dos Dados: para impedir ou pelo menos Destruio dos DadosDestruio dos Dados: para impedir ou pelo menos dificultar a recuperao dos dados, so utilizadas ferramentas conhecidas como wipingwiping toolstools para a remoo dos dados Wipe Secure-delete PGP/GPG wipe The Defiler's Toolkit Darik's Boot and Nuke
Ferramentas Anti-forenseDestruir/Ocultar dadosDestruir/Ocultar dados
Ocultar DadosOcultar Dados
Criptografia e esteganografia podem ser aplicados em arquivos, tornando-se uma barreira difcil de ser superada.ser superada.
Utilizar ferramentas de esteganoanliseesteganoanlise em uma mdia de 80GB requer muito tempo e na prtica nem sempre algo vivel de se realizar
O mesmo ocorre quando se trata de arquivos criptografados
Ex.:
TrueCrypt, PGP/GPG, Steganos , Hide and Seek, ...
Ferramentas Anti-forenseDestruir/Ocultar dadosDestruir/Ocultar dados
Outras finalidadesOutras finalidades
Principalmente focado em dificultar ou impedir o trabalho do perito forense, algumas ferramentas tm como objetivo impedir uma das etapas da tm como objetivo impedir uma das etapas da investigao:
Metasploit Anti-Forensic Investigation Arsenal (MAFIA)
Windows Memory Forensic Toolkit
Concluses
Forense Digital/Computacional um dos aspectos de Segurana de Informaes que chama bastante ateno tanto de corporaes quanto da comunidade cientfica
Apesar das diversas ferramentas disponveis que facilitam sobremaneira a ao do perito, a concluso final ainda paira sobre a experincia, competncia e integridade do profissional que conduziu a investigao
Algumas Referncias
Neukamp, Paulo A. Forense Computacional: Fundamentos e Desafios Atuais. 11 Junho de 2007. Universidade do Vale do Rio dos Sinos (UNISINOS). 06 Nov. 2007.
http://www.imasters.com.br/artigo/4175/forense/introducao_a_computacao_forense_a_computacao_forense
http://www.guidancesoftware.com/pt/products/ee_index.asp