Computação Forense – Primeiros Passos 
Luiz Sales Rabelo 
http://4n6.cc 
© 2011 - TechBiz Education 1
Luiz Sales Rabelo 
2 
• Consultor TechBiz Forense Digital desde 2009 
• Certificações internacionais EnCE e ACE 
• Membro ...
Conceitos Básicos 
3 
Reconhecendo um incidente (ISO 17799:2005) 
• Perda de serviço 
• Mal funcionamento ou sobrecarga de...
Ciência Forense 
Metodologia científica aplicada, que atua em conjunto com o 
Investigador e é utilizada para esclarecer q...
Ciência Forense 
Forense Computacional 
X 
Forense Digital 
5
Dispositivos Móveis 
Na atualidade, os celulares são verdadeiros computadores, e em alguns casos guardam 
muito mais sobre...
Perícia em dispositivo GPS 
7
ABNT 
Grupos de Trabalho Comitê ABNT - CB21/CE27 
• ISO 27035 - Information Security Incident Management 
• ISO 27037 - Ev...
Delitos Cibernéticos 
• Envio de informações confidenciais por e-mail; 
• Ataque ou tentativa de ataque por funcionários o...
Definições Legais Importantes 
Art. 4º O art. 163 do Decreto-Lei nº 2.848, de 7 de dezembro de 1940 (Código 
Penal) passa ...
Legislação no Brasil 
Lei 10.764 de 12.11.2003 
• “Pedofilia” na internet 
• Apresentar, produzir, vender, fornecer, divul...
Legislação no Brasil 
“Pedofilia” – Criminalização e Posse 
• Lei Federal 11.829/2008, criada pela CPI da Pedofilia; 
• Mo...
Processo Investigativo 
13
O que é Forense Digital? 
14 
PRESERVAÇÃO 
COLETA ANÁLISE RELATÓRIO
“Sanitização” 
• Evitar cross-contamination 
• Demanda wipe completo das mídias reutilizáveis 
15
“Sanitização” 
Visualização de mídia 
no EnCase após wipe 
16
“Efeito” CSI 
• Adaptação livre do tema para televisão 
• Relata fatos no formato de série de TV 
• Diferença quanto a mét...
“Efeito” CSI 
18
“Efeito” CSI 
19
“Efeito” CSI 
20
“Efeito” CSI 
21
“Efeito” CSI 
22
“Efeito” CSI 
23
Forense Digital: Início do Caso 
24
Início do Caso 
• Fotografar e/ou filmar o ambiente 
• Realizar ata notarial ou documento que ateste o 
acautelamento de i...
Notificação a Agentes da Lei 
Obrigatória quando envolver: 
• Pornografia infantil 
• Crimes contra vida (assassinato, est...
Forense Digital: Coleta 
27
Cadeia de Custódia 
• O que é a cadeia de custódia? 
• Pra que serve? 
• Ela (o processo) é utilizada realmente? 
28
Documento de Custódia 
29 
Referência : http://sophosnet.wordpress.com/2009/03/
Coleta 
• Não é recomendável realizar perícia 
diretamente na prova. 
• Devem ser realizadas cópias forenses 
de forma a p...
Duplicação bit-a-bit 
Cópia exata dos bits e de sua disposição 
seqüencial dentro do disco rígido. 
31
Integridade de Dados 
• Algoritmos de Hash 
• MD5 
• SHA-1 
• SHA-256 
• Softwares para Pericia 
• Bloqueadores de Escrita...
Forense Digital: Análise 
33
Objetivo da Análise 
Extrair de um universo de dados coletados, informações que 
direta ou indiretamente associem um indiv...
File Systems 
Arquivos localizados no computador periciado devem ser 
avaliados minuciosamente. Alguns dos pontos a serem ...
Demo: Manipulando ADS com o Windows 
Ferramenta utilizada: Prompt de Comandos 
36
Arquivos Apagados 
O espaço em disco marcado como livre na 
tabela de alocação de arquivos 
geralmente contém informações ...
Data Carving 
38 
Esculpir informações a partir 
dos dados disponíveis no 
disco rígido suspeito
Forense Digital: Relatório 
39
Relatório 
40 
• Oficializar encerramento do caso 
• Preenchimento dos documentos de 
controle
Geração de Relatório 
Bookmarking 
• Seleção de informações relevantes, realizada durante o 
processo de análise 
Geração ...
Linguagem Utilizada 
Dependendo do tipo de 
investigação, a linguagem dos 
relatórios pode, ou não, ser 
técnica. O acerto...
Obrigado! 
Luiz Sales Rabelo 
http://4n6.cc -> VISITEM MEU BLOG! 
© 2011 - TechBiz Education 43
Próximos SlideShares
Carregando em…5
×

Palestra MPDF BSB Mar/2012

490 visualizações

Publicada em

Palestra MPDF BSB Mar/2012

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
490
No SlideShare
0
A partir de incorporações
0
Número de incorporações
4
Ações
Compartilhamentos
0
Downloads
9
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide
  • A ciência forense é a utilização de técnicas e métodos científicos em análise de evidências legais ou informações como forma de auxílio em processos legais, sejam eles criminais ou não.

    Toxicologia Forense: tem como principal objectivo a detecção e quantificação de substâncias tóxicas.
    ·Genética e Biologia Forense: Entre as múltiplas actividades constam a realização das perícias referentes aos casos de filiação, criminalística biológica e identificação individual (genética).
    ·Psiquiatria Forense: Trata-se de uma “ciência auxiliar do direito que estabelece e define os elementos necessários ao fundamento da opinião médica que informa o juiz a respeito da aplicação da lei aos portadores de doenças e anomalias mentais” (Pedro Polónia).
    ·Antropologia Forense: Tem como objectivos determinar a identidade do indivíduo; determinar a data e a causa da morte; interpretar as circunstâncias da morte.
    ·Odontologia Forense: A Odontologia Forense compreende áreas diversas de intervenção que vão desde a avaliação do dano orofacial pós-traumático (no âmbito da clínica médico-legal do direito penal, civil ou do trabalho), até à identificação de indivíduos mortos ou à identificação de agressores, através das marcas de mordida.
    ·Entomologia Forense: A Entomologia Forense é o estudo dos insectos, ácaros e outros artrópodes, associados com um cadáver humano para se determinar a data da morte, e, quando for possível, deduzir as circunstâncias que cercaram o facto antes do ocorrido ou que se seguiram depois deste.
    ·Balística Forense: Este ramo da ciência forense estuda as armas de fogo, ou seja, a sua classificação (funcionamento, constituição, dimensões, calibre, etc.), da munição e dos fenómenos e efeitos causados por estas armas.
    ·Anatomia Patológica Forense: A anatomia patológica é um ramo da patologia que lida com o diagnóstico das doenças baseado no exame macroscópico de peças cirúrgicas e microscópicos para o exame de células e tecidos.
    ·Tanatologia Forense: A Tanatologia Forense é o ramo das ciências forenses que partindo do exame do local, da informação acerca das circunstâncias da morte.
    O trabalho forense realizado durante o processo investigativo é feito por peritos que são os responsáveis pela coleta e análise de evidências, e os investigadores que fazem a solicitação das análises e uso dos resultados. Estas análises e seus respectivos resultados podem ser apresentadas como provas durante um processo legal e portanto, devem sempre ser completas e detalhadas para evitar contestação por alguma das partes envolvidas.

  • Desde que os celulares passaram a fazer parte da vida dos cidadãos, tornaram-se também uma riquíssima fonte de informações sobre as ações executadas por estes. Mesmo os celulares mais antigos (com exceção dos enormes rádios da década de 80) guardavam informações importantes, como por exemplo as últimas chamadas realizadas, as últimas mensagens enviadas e recebidas, assim como data e hora desses eventos. Não podemos nos esquecer também das ricas agendas de contatos, que constituem por si só um banco de dados pronto para ser utilizado.

    Com a convergência de tecnologias, os celulares da atualidade possuem processamento e funcionalidade superiores aos computadores de alguns anos atrás, sendo amplamente utilizados para navegação na web, troca de mensagens eletrônicas (e-mail), troca de mensagens instantâneas, fotos e filmes.

    Outro ponto comprometedor nos celulares da atualidade é que os mesmos podem estar infectados (vírus) ou possuir conteúdo não licenciado como jogos, ringtones, temas, etc.


  • A ciência forense é a utilização de técnicas e métodos científicos em análise de evidências legais ou informações como forma de auxílio em processos legais, sejam eles criminais ou não.

    Toxicologia Forense: tem como principal objectivo a detecção e quantificação de substâncias tóxicas.
    ·Genética e Biologia Forense: Entre as múltiplas actividades constam a realização das perícias referentes aos casos de filiação, criminalística biológica e identificação individual (genética).
    ·Psiquiatria Forense: Trata-se de uma “ciência auxiliar do direito que estabelece e define os elementos necessários ao fundamento da opinião médica que informa o juiz a respeito da aplicação da lei aos portadores de doenças e anomalias mentais” (Pedro Polónia).
    ·Antropologia Forense: Tem como objectivos determinar a identidade do indivíduo; determinar a data e a causa da morte; interpretar as circunstâncias da morte.
    ·Odontologia Forense: A Odontologia Forense compreende áreas diversas de intervenção que vão desde a avaliação do dano orofacial pós-traumático (no âmbito da clínica médico-legal do direito penal, civil ou do trabalho), até à identificação de indivíduos mortos ou à identificação de agressores, através das marcas de mordida.
    ·Entomologia Forense: A Entomologia Forense é o estudo dos insectos, ácaros e outros artrópodes, associados com um cadáver humano para se determinar a data da morte, e, quando for possível, deduzir as circunstâncias que cercaram o facto antes do ocorrido ou que se seguiram depois deste.
    ·Balística Forense: Este ramo da ciência forense estuda as armas de fogo, ou seja, a sua classificação (funcionamento, constituição, dimensões, calibre, etc.), da munição e dos fenómenos e efeitos causados por estas armas.
    ·Anatomia Patológica Forense: A anatomia patológica é um ramo da patologia que lida com o diagnóstico das doenças baseado no exame macroscópico de peças cirúrgicas e microscópicos para o exame de células e tecidos.
    ·Tanatologia Forense: A Tanatologia Forense é o ramo das ciências forenses que partindo do exame do local, da informação acerca das circunstâncias da morte.
    O trabalho forense realizado durante o processo investigativo é feito por peritos que são os responsáveis pela coleta e análise de evidências, e os investigadores que fazem a solicitação das análises e uso dos resultados. Estas análises e seus respectivos resultados podem ser apresentadas como provas durante um processo legal e portanto, devem sempre ser completas e detalhadas para evitar contestação por alguma das partes envolvidas.

  • A ciência forense é a utilização de técnicas e métodos científicos em análise de evidências legais ou informações como forma de auxílio em processos legais, sejam eles criminais ou não.

    Toxicologia Forense: tem como principal objectivo a detecção e quantificação de substâncias tóxicas.
    ·Genética e Biologia Forense: Entre as múltiplas actividades constam a realização das perícias referentes aos casos de filiação, criminalística biológica e identificação individual (genética).
    ·Psiquiatria Forense: Trata-se de uma “ciência auxiliar do direito que estabelece e define os elementos necessários ao fundamento da opinião médica que informa o juiz a respeito da aplicação da lei aos portadores de doenças e anomalias mentais” (Pedro Polónia).
    ·Antropologia Forense: Tem como objectivos determinar a identidade do indivíduo; determinar a data e a causa da morte; interpretar as circunstâncias da morte.
    ·Odontologia Forense: A Odontologia Forense compreende áreas diversas de intervenção que vão desde a avaliação do dano orofacial pós-traumático (no âmbito da clínica médico-legal do direito penal, civil ou do trabalho), até à identificação de indivíduos mortos ou à identificação de agressores, através das marcas de mordida.
    ·Entomologia Forense: A Entomologia Forense é o estudo dos insectos, ácaros e outros artrópodes, associados com um cadáver humano para se determinar a data da morte, e, quando for possível, deduzir as circunstâncias que cercaram o facto antes do ocorrido ou que se seguiram depois deste.
    ·Balística Forense: Este ramo da ciência forense estuda as armas de fogo, ou seja, a sua classificação (funcionamento, constituição, dimensões, calibre, etc.), da munição e dos fenómenos e efeitos causados por estas armas.
    ·Anatomia Patológica Forense: A anatomia patológica é um ramo da patologia que lida com o diagnóstico das doenças baseado no exame macroscópico de peças cirúrgicas e microscópicos para o exame de células e tecidos.
    ·Tanatologia Forense: A Tanatologia Forense é o ramo das ciências forenses que partindo do exame do local, da informação acerca das circunstâncias da morte.
    O trabalho forense realizado durante o processo investigativo é feito por peritos que são os responsáveis pela coleta e análise de evidências, e os investigadores que fazem a solicitação das análises e uso dos resultados. Estas análises e seus respectivos resultados podem ser apresentadas como provas durante um processo legal e portanto, devem sempre ser completas e detalhadas para evitar contestação por alguma das partes envolvidas.

  • A ciência forense é a utilização de técnicas e métodos científicos em análise de evidências legais ou informações como forma de auxílio em processos legais, sejam eles criminais ou não.

    Toxicologia Forense: tem como principal objectivo a detecção e quantificação de substâncias tóxicas.
    ·Genética e Biologia Forense: Entre as múltiplas actividades constam a realização das perícias referentes aos casos de filiação, criminalística biológica e identificação individual (genética).
    ·Psiquiatria Forense: Trata-se de uma “ciência auxiliar do direito que estabelece e define os elementos necessários ao fundamento da opinião médica que informa o juiz a respeito da aplicação da lei aos portadores de doenças e anomalias mentais” (Pedro Polónia).
    ·Antropologia Forense: Tem como objectivos determinar a identidade do indivíduo; determinar a data e a causa da morte; interpretar as circunstâncias da morte.
    ·Odontologia Forense: A Odontologia Forense compreende áreas diversas de intervenção que vão desde a avaliação do dano orofacial pós-traumático (no âmbito da clínica médico-legal do direito penal, civil ou do trabalho), até à identificação de indivíduos mortos ou à identificação de agressores, através das marcas de mordida.
    ·Entomologia Forense: A Entomologia Forense é o estudo dos insectos, ácaros e outros artrópodes, associados com um cadáver humano para se determinar a data da morte, e, quando for possível, deduzir as circunstâncias que cercaram o facto antes do ocorrido ou que se seguiram depois deste.
    ·Balística Forense: Este ramo da ciência forense estuda as armas de fogo, ou seja, a sua classificação (funcionamento, constituição, dimensões, calibre, etc.), da munição e dos fenómenos e efeitos causados por estas armas.
    ·Anatomia Patológica Forense: A anatomia patológica é um ramo da patologia que lida com o diagnóstico das doenças baseado no exame macroscópico de peças cirúrgicas e microscópicos para o exame de células e tecidos.
    ·Tanatologia Forense: A Tanatologia Forense é o ramo das ciências forenses que partindo do exame do local, da informação acerca das circunstâncias da morte.
    O trabalho forense realizado durante o processo investigativo é feito por peritos que são os responsáveis pela coleta e análise de evidências, e os investigadores que fazem a solicitação das análises e uso dos resultados. Estas análises e seus respectivos resultados podem ser apresentadas como provas durante um processo legal e portanto, devem sempre ser completas e detalhadas para evitar contestação por alguma das partes envolvidas.

  • A ciência forense é a utilização de técnicas e métodos científicos em análise de evidências legais ou informações como forma de auxílio em processos legais, sejam eles criminais ou não.

    Toxicologia Forense: tem como principal objectivo a detecção e quantificação de substâncias tóxicas.
    ·Genética e Biologia Forense: Entre as múltiplas actividades constam a realização das perícias referentes aos casos de filiação, criminalística biológica e identificação individual (genética).
    ·Psiquiatria Forense: Trata-se de uma “ciência auxiliar do direito que estabelece e define os elementos necessários ao fundamento da opinião médica que informa o juiz a respeito da aplicação da lei aos portadores de doenças e anomalias mentais” (Pedro Polónia).
    ·Antropologia Forense: Tem como objectivos determinar a identidade do indivíduo; determinar a data e a causa da morte; interpretar as circunstâncias da morte.
    ·Odontologia Forense: A Odontologia Forense compreende áreas diversas de intervenção que vão desde a avaliação do dano orofacial pós-traumático (no âmbito da clínica médico-legal do direito penal, civil ou do trabalho), até à identificação de indivíduos mortos ou à identificação de agressores, através das marcas de mordida.
    ·Entomologia Forense: A Entomologia Forense é o estudo dos insectos, ácaros e outros artrópodes, associados com um cadáver humano para se determinar a data da morte, e, quando for possível, deduzir as circunstâncias que cercaram o facto antes do ocorrido ou que se seguiram depois deste.
    ·Balística Forense: Este ramo da ciência forense estuda as armas de fogo, ou seja, a sua classificação (funcionamento, constituição, dimensões, calibre, etc.), da munição e dos fenómenos e efeitos causados por estas armas.
    ·Anatomia Patológica Forense: A anatomia patológica é um ramo da patologia que lida com o diagnóstico das doenças baseado no exame macroscópico de peças cirúrgicas e microscópicos para o exame de células e tecidos.
    ·Tanatologia Forense: A Tanatologia Forense é o ramo das ciências forenses que partindo do exame do local, da informação acerca das circunstâncias da morte.
    O trabalho forense realizado durante o processo investigativo é feito por peritos que são os responsáveis pela coleta e análise de evidências, e os investigadores que fazem a solicitação das análises e uso dos resultados. Estas análises e seus respectivos resultados podem ser apresentadas como provas durante um processo legal e portanto, devem sempre ser completas e detalhadas para evitar contestação por alguma das partes envolvidas.

  • A ciência forense é a utilização de técnicas e métodos científicos em análise de evidências legais ou informações como forma de auxílio em processos legais, sejam eles criminais ou não.

    Toxicologia Forense: tem como principal objectivo a detecção e quantificação de substâncias tóxicas.
    ·Genética e Biologia Forense: Entre as múltiplas actividades constam a realização das perícias referentes aos casos de filiação, criminalística biológica e identificação individual (genética).
    ·Psiquiatria Forense: Trata-se de uma “ciência auxiliar do direito que estabelece e define os elementos necessários ao fundamento da opinião médica que informa o juiz a respeito da aplicação da lei aos portadores de doenças e anomalias mentais” (Pedro Polónia).
    ·Antropologia Forense: Tem como objectivos determinar a identidade do indivíduo; determinar a data e a causa da morte; interpretar as circunstâncias da morte.
    ·Odontologia Forense: A Odontologia Forense compreende áreas diversas de intervenção que vão desde a avaliação do dano orofacial pós-traumático (no âmbito da clínica médico-legal do direito penal, civil ou do trabalho), até à identificação de indivíduos mortos ou à identificação de agressores, através das marcas de mordida.
    ·Entomologia Forense: A Entomologia Forense é o estudo dos insectos, ácaros e outros artrópodes, associados com um cadáver humano para se determinar a data da morte, e, quando for possível, deduzir as circunstâncias que cercaram o facto antes do ocorrido ou que se seguiram depois deste.
    ·Balística Forense: Este ramo da ciência forense estuda as armas de fogo, ou seja, a sua classificação (funcionamento, constituição, dimensões, calibre, etc.), da munição e dos fenómenos e efeitos causados por estas armas.
    ·Anatomia Patológica Forense: A anatomia patológica é um ramo da patologia que lida com o diagnóstico das doenças baseado no exame macroscópico de peças cirúrgicas e microscópicos para o exame de células e tecidos.
    ·Tanatologia Forense: A Tanatologia Forense é o ramo das ciências forenses que partindo do exame do local, da informação acerca das circunstâncias da morte.
    O trabalho forense realizado durante o processo investigativo é feito por peritos que são os responsáveis pela coleta e análise de evidências, e os investigadores que fazem a solicitação das análises e uso dos resultados. Estas análises e seus respectivos resultados podem ser apresentadas como provas durante um processo legal e portanto, devem sempre ser completas e detalhadas para evitar contestação por alguma das partes envolvidas.

  • A ciência forense é a utilização de técnicas e métodos científicos em análise de evidências legais ou informações como forma de auxílio em processos legais, sejam eles criminais ou não.

    Toxicologia Forense: tem como principal objectivo a detecção e quantificação de substâncias tóxicas.
    ·Genética e Biologia Forense: Entre as múltiplas actividades constam a realização das perícias referentes aos casos de filiação, criminalística biológica e identificação individual (genética).
    ·Psiquiatria Forense: Trata-se de uma “ciência auxiliar do direito que estabelece e define os elementos necessários ao fundamento da opinião médica que informa o juiz a respeito da aplicação da lei aos portadores de doenças e anomalias mentais” (Pedro Polónia).
    ·Antropologia Forense: Tem como objectivos determinar a identidade do indivíduo; determinar a data e a causa da morte; interpretar as circunstâncias da morte.
    ·Odontologia Forense: A Odontologia Forense compreende áreas diversas de intervenção que vão desde a avaliação do dano orofacial pós-traumático (no âmbito da clínica médico-legal do direito penal, civil ou do trabalho), até à identificação de indivíduos mortos ou à identificação de agressores, através das marcas de mordida.
    ·Entomologia Forense: A Entomologia Forense é o estudo dos insectos, ácaros e outros artrópodes, associados com um cadáver humano para se determinar a data da morte, e, quando for possível, deduzir as circunstâncias que cercaram o facto antes do ocorrido ou que se seguiram depois deste.
    ·Balística Forense: Este ramo da ciência forense estuda as armas de fogo, ou seja, a sua classificação (funcionamento, constituição, dimensões, calibre, etc.), da munição e dos fenómenos e efeitos causados por estas armas.
    ·Anatomia Patológica Forense: A anatomia patológica é um ramo da patologia que lida com o diagnóstico das doenças baseado no exame macroscópico de peças cirúrgicas e microscópicos para o exame de células e tecidos.
    ·Tanatologia Forense: A Tanatologia Forense é o ramo das ciências forenses que partindo do exame do local, da informação acerca das circunstâncias da morte.
    O trabalho forense realizado durante o processo investigativo é feito por peritos que são os responsáveis pela coleta e análise de evidências, e os investigadores que fazem a solicitação das análises e uso dos resultados. Estas análises e seus respectivos resultados podem ser apresentadas como provas durante um processo legal e portanto, devem sempre ser completas e detalhadas para evitar contestação por alguma das partes envolvidas.

  • Durante um processo legal, as evidências digitais apresentadas devem ser sempre autênticas e obtidas de forma confiável. Para tanto, deve-se garantir que o processo de obtenção e análise não altere nenhum dado armazenado num computador ou dispositivo de armazenamento. Garantindo-se a confiabilidade dos dados coletados e analisados, pode-se garantir também que os resultados encontrados serão corretos e confiáveis. Outro fator importante para uma análise de qualidade diz respeito à preservação dos dados. Quanto mais completa for a informação disponível, maior será o potencial para encontrar informação relevante no conjunto de dados.

  • Todas as mídias de armazenamento temporário das evidências, utilizadas no processo de investigação, devem ser saneadas no encerramento do caso, possibilitando sua reutilização para casos futuros.

    Tal medida é absolutamente essencial para evitar problemas de cross-contamination: contaminação das evidências pelo perito, no processo de investigação.

    Isso significa que não basta apenas apagar os dados, ou mesmo excluir as partições . Como visto anteriormente, tal procedimento apenas desaloca os cluster nos quais os dados estão armazenados. É preciso executar um wipe completo para garantir a remoção de todas as informações.

    Wipe: Técnica de remoção de informações que apaga e sobrepõe os dados presentes nos clusters alocados para os arquivos alvo, objetivando impossibilitar a recuperação das informações originais.

    Existem diversos produtos (free e comerciais) para realizar o wipe de mídias, tais como: EnCase, Axcrypt, Dban, Sdelete (Sysinternals). A maioria dos hardwares de duplicação de disco também possuem a funcionalidade de wipe.

    A maioria das soluções usa como referência a norma 5220.22-M, do Departamento de Defesa dos Estados Unidos, que define o método para o processo de wipe.








  • Nesta imagem é possível visualizar o resultado do processo de wipe em uma mídia, realizado pela ferramenta EnCase.

    Pela visualização em hexadecimal, verifica-se que o disco está “zerado” (0, no caso, foi o caractere escolhido para sobrescrever os dados no wipe).
  • Deve-se documentar o ambiente da melhor maneira possível, para que seja possível em outra ocasião remontá-lo, caso necessário. Incluindo assim fotos, vídeos e inventário escrito das evidências encontradas na cena.
    Em casos específicos quando a investigação será levada a juízo, deve-se fazer uso, como boa prática, da ata notarial feita por um tabelião para dar fé ao procedimento e provas que serão acauteladas ao processo.

    O documento de custódia mapeia o caminho realizado pela evidência ou prova durante seu trâmite desde a coleta a geração do relatório ou laudo.

    Os vestígios ( evidências ) devem ser preservados para preservar a integridade e autenticidade dos dados que serão coletados.

    Inicia-se então a coleta dos dados, que comumente chamamos na área computacional de duplicação forense, espelhamento ou clonagem.

    Caso haja rompimento da cadeia de custódia ou até mesmo falha em algum dos procedimentos que serão mostrados a frente, principalmente no momento de coleta, pode invalidar a utilização das evidências coletadas fazendo com que não haja comprovação probatória das mesmas.
  • A notificação não é opcional, é obrigatória, pois em sendo omisso também há imputação de responsabilidade. A partir do ponto da notificação ou queixa-crime a polícia será encarregada das investigações.

    Alguns exemplos dos crimes citados acima :

    Crimes contra vida – Assassinato, Latrocínio, Estupro, Seqüestro, ...;

    Crimes de ódio – Racismo ou qualquer tipo de discriminação;

    Segurança Nacional – Terrorismo, vazamento de informações estratégicas ao Brasil, invasões estrangeiras, ...
  • De acordo com [1] :
    “É a movimentação e localização da evidência física do momento em que ela é obtida até o momento em que é apresentada em corte.”

    Então podemos dizer que é o processo pelo qual se descreve, através de um documento, o caminho e ações realizadas nas evidências manipuladas durante o trâmite pericial. O processo de custódia então serve para registrar e monitorar tais ações.

    Ainda são poucas as instituições, incluindo as policiais, que utilizam este mecanismo em seus processos investigativos ou periciais, mas já se reconhece a necessidade de melhorar os controles de custódia da informação durante o processo como um todo.

    Como na perícia forense computacional há a possibilidade de se gerar uma cópia idêntica a evidência original, é importante que isto esteja também documentado no documento de custódia, para que não seja possível haver contestações em relação a análise das evidências.

    [1] - http://legal-dictionary.thefreedictionary.com/chain+of+custody. Texto Original : “The movement and location of physical evidence from the time it is obtained until the time it is presented in court.”
  • O documento de custódia deve conter informações, tais como :

    Número do caso;
    Modelo e número de série do equipamento;
    Investigador, tipo de ação efetuada, origem, destino, data e hora da ação;

    Com este documento preenchido corretamente é possível ter registrado todas as atividades realizadas com as informações acauteladas.
  • Use etiquetas identificadoras a fim de manter o procedimento de coleta organizado. Caso o material precise ser acautelado em cofre, utilize também um saco para armazenamento para proteção e identificação.

    Tenha cuidado ao duplicar discos e outros equipamentos. Todo procedimento de coleta realizado de forma errada, pode comprometer a evidência física ou logicamente.
  • Processo também chamado de clonagem ou duplicação. Esse tipo de cópia permite que o perito ao analisar as evidências, independa do sistema operacional para encontrar os arquivos residentes na máquina, isto é, é possível desta forma recuperar arquivos parcialmente ou integralmente dependendo apenas dos dados ainda existirem no disco.
  • Para verificar a validação/integridade de arquivos na computação forense, utilizamos os hashes do conteúdo dos arquivos, que é o resultado de uma função matemática unívoca, isto é, dita irreversível. Hoje existem vários algoritmos que são utilizados para gerar hash, sendo que os mais utilizados são MD5, SHA-1 e SHA-256.
  • A Fase de análise inicia-se após a coleta dos dados nos dispositivos envolvidos na investigação. É nesta fase que buscamos informações que possam ser utilizadas em um processo de investigação, seja ela interna ou policial.

    Ao realizar a coleta, criamos um conjunto enorme de dados que precisam ser “Triturados e peneirados” para que possamos extrair os pedaços de informação que realmente podem ligar o indivíduo investigado ao objeto de investigação ou, em alguns casos, provar sua inocência


  • Uma das vantagens de se conhecer a estrutura dos sistemas de arquivo é que podemos recuperar arquivos que foram apagados, mas ainda não sobrescritos. Quando um arquivo é apagado, o sistema de arquivos simplesmente libera os espeço que ele ocupava no disco para uma futura gravação, sem que seu conteúdo seja imediatamente sobrescrito. A medida em que novas gravações são realizadas no disco, e dependendo da taxa de ocupação do disco, o arquivo apagado vai sendo sobrescrito, mas ainda é possível recuperar mesmo que parcialmente este arquivo.

    Diversas ferramentas gratuitas podem ser utilizadas para tal propósito, daremos como exemplo a Recuva, Recover4All e R-Undelete.


  • Quando ligamos um computador, ele é um dispositivo “vazio”; ele não é um Windows, um Linux ou um Mac, é apenas um monte de componentes eletrônicos (Hardware) esperando por instruções sobre como trabalhar. Todos os computadores possuem um processo de inicialização, chamado processo de Boot, no qual buscam em seus componentes por um sistema operacional, que os dirá como se comportar. Este sistema pode ser encontrado em um Disquete, CD, DVD, Pen drive, placa de rede ou em um Disco Rígido (HD - Hard Disk), sendo este último a mídia onde encontramos com mais frequência o sistema operacional.

    Nos primeiros bytes do HD encontramos o programa que carrega o sistema (Loader) e a descrição do sistema de arquivos, uma vez que um sistema operacional pode trabalhar com diversos tipos diferentes de sistemas de arquivos. Os sistemas de arquivos são as estruturas que os sistemas operacionais utilizam para guardar os dados dentro dos dispositivos (discos, pen drives, etc). O que torna o conhecimento da estrutura e das nuances desses sistemas um item obrigatório para os analistas de forense digital. Conhecer a estrutura dos próprios arquivos também faz parte dos requisitos de um analista forense.

    Tomemos como exemplo os arquivos cuja extensão não confere com o seu real tipo. Uma pessoa pode ter diversos arquivos de pornografia infantil em seu computador, e renomear os a extensão dessas fotos de JPG para TXT, por exemplo.

  • Use etiquetas identificadoras a fim de manter o procedimento de coleta organizado. Caso o material precise ser acautelado em cofre, utilize também um saco para armazenamento para proteção e identificação.

    Tenha cuidado ao duplicar discos e outros equipamentos. Todo procedimento de coleta realizado de forma errada, pode comprometer a evidência física ou logicamente.
  • O encerramento do caso deve ser documentado com a utilização, no mínimo, dos seguintes registros:

    Documento de Registro de Término do Caso
    Registra oficialmente o encerramento do caso.

    Preenchimento da Ficha de Acompanhamento Gerencial
    Este documento registra tarefas, os responsáveis por sua execução, e datas de execução das atividades. Provê uma visão macro do andamento do caso, apoiando a gestão do processo de investigação. Por ser uma ficha de controle, não possui informações detalhadas (estas devem estar nos documentos específicos de cada etapa, como, por exemplo, as anotações do caso, ou o do Documento de Controle da Sanitização das Mídias).


    Preenchimento do Documento de Controle da Sanitização das Mídias
    Registra como foi realizado o processo de wipe das mídias reutilizáveis. Deve indicar o técnico responsável, o método de wipe utilizado em cada mídia, a forma de verificação, e informações adicionais como data/hora, etc.


    Os documentos citados devem ser armazenados, ao final no caso, juntamente com os outros documentos gerados pelas outras fases do processo de investigação.





  • Bookmarking

    Durante o processo de perícia, o investigador deve destacar as evidências à medida em que as encontra, para que não se percam na imensidão de dados que geralmente são coletados em um caso. As ferramentas integradas de perícia dispõem desse recurso,
  • Palestra MPDF BSB Mar/2012

    1. 1. Computação Forense – Primeiros Passos Luiz Sales Rabelo http://4n6.cc © 2011 - TechBiz Education 1
    2. 2. Luiz Sales Rabelo 2 • Consultor TechBiz Forense Digital desde 2009 • Certificações internacionais EnCE e ACE • Membro Comissão Crimes Alta Tecnologia OAB/SP • Membro HTCIA - Chapter Brasilia • NÃO SOU ADVOGADO!!
    3. 3. Conceitos Básicos 3 Reconhecendo um incidente (ISO 17799:2005) • Perda de serviço • Mal funcionamento ou sobrecarga de sistema • Falha humana • Vulnerabilidades no controle do acesso físico • Violação de Acesso
    4. 4. Ciência Forense Metodologia científica aplicada, que atua em conjunto com o Investigador e é utilizada para esclarecer questionamentos jurídicos: Toxicologia Forense, Genética e Biologia Forense, Psiquiatria Forense, Antropologia Forense, Odontologia Forense, Entomologia Forense, Balística Forense, Tanatologia Forense... 4
    5. 5. Ciência Forense Forense Computacional X Forense Digital 5
    6. 6. Dispositivos Móveis Na atualidade, os celulares são verdadeiros computadores, e em alguns casos guardam muito mais sobre nossas vidas do que nossos computadores. Ex: • E-mails • Contatos / Agenda • Fotos, imagens e vídeos • Ring Tones e Jogos (copyright) • Histórico, cookies, senhas de navegação (browser) • Chamadas (discadas e recebidas) em determinada data/hora • Detalhes de mensagens SMS (data, origem/destino, templates) 6
    7. 7. Perícia em dispositivo GPS 7
    8. 8. ABNT Grupos de Trabalho Comitê ABNT - CB21/CE27 • ISO 27035 - Information Security Incident Management • ISO 27037 - Evidence Acquisition Procedure for Digital Forensics © 2011 - TechBiz Education 8
    9. 9. Delitos Cibernéticos • Envio de informações confidenciais por e-mail; • Ataque ou tentativa de ataque por funcionários ou concorrentes; • Fraude em sistemas financeiros (home banking); • Instalação de cavalos-de-tróia em estações de trabalho; • Remoção ou alteração indevida de informações; • Ataques contra a disponibilidade de sistemas ; • Envio de ameaças por e-mail. © 2011 - TechBiz Education 9
    10. 10. Definições Legais Importantes Art. 4º O art. 163 do Decreto-Lei nº 2.848, de 7 de dezembro de 1940 (Código Penal) passa a vigorar com a seguinte redação: “Dano Art. 163 - Destruir, inutilizar ou deteriorar coisa alheia ou dado eletrônico alheio: ....................................................................” § 2º Equipara-se à coisa: I – o dado, a informação ou a base de dados presente em meio eletrônico ou sistema informatizado; II – a senha ou qualquer meio de identificação que permita o acesso a meio eletrônico ou sistema informatizado © 2011 - TechBiz Education 10 25/1/2011 - Comissão de Constituição e Justiça e de Cidadania (CCJC)
    11. 11. Legislação no Brasil Lei 10.764 de 12.11.2003 • “Pedofilia” na internet • Apresentar, produzir, vender, fornecer, divulgar ou publicar pornografia infantil (reclusão de 2 a 6 anos e multa) © 2011 - TechBiz Education 11
    12. 12. Legislação no Brasil “Pedofilia” – Criminalização e Posse • Lei Federal 11.829/2008, criada pela CPI da Pedofilia; • Modificação no ECA; © 2011 - TechBiz Education 12
    13. 13. Processo Investigativo 13
    14. 14. O que é Forense Digital? 14 PRESERVAÇÃO COLETA ANÁLISE RELATÓRIO
    15. 15. “Sanitização” • Evitar cross-contamination • Demanda wipe completo das mídias reutilizáveis 15
    16. 16. “Sanitização” Visualização de mídia no EnCase após wipe 16
    17. 17. “Efeito” CSI • Adaptação livre do tema para televisão • Relata fatos no formato de série de TV • Diferença quanto a métodos, organização e tempos 17
    18. 18. “Efeito” CSI 18
    19. 19. “Efeito” CSI 19
    20. 20. “Efeito” CSI 20
    21. 21. “Efeito” CSI 21
    22. 22. “Efeito” CSI 22
    23. 23. “Efeito” CSI 23
    24. 24. Forense Digital: Início do Caso 24
    25. 25. Início do Caso • Fotografar e/ou filmar o ambiente • Realizar ata notarial ou documento que ateste o acautelamento de informações • Elaboração do documento de custódia • Preservação das Evidências • Duplicação (Coleta) 25
    26. 26. Notificação a Agentes da Lei Obrigatória quando envolver: • Pornografia infantil • Crimes contra vida (assassinato, estupro...) • Crimes de ódio (racismo, homofobia...) • Perigo a Segurança Nacional (terrorismo...) 26
    27. 27. Forense Digital: Coleta 27
    28. 28. Cadeia de Custódia • O que é a cadeia de custódia? • Pra que serve? • Ela (o processo) é utilizada realmente? 28
    29. 29. Documento de Custódia 29 Referência : http://sophosnet.wordpress.com/2009/03/
    30. 30. Coleta • Não é recomendável realizar perícia diretamente na prova. • Devem ser realizadas cópias forenses de forma a preservar a evidência. • Organização! • Cautela! 30
    31. 31. Duplicação bit-a-bit Cópia exata dos bits e de sua disposição seqüencial dentro do disco rígido. 31
    32. 32. Integridade de Dados • Algoritmos de Hash • MD5 • SHA-1 • SHA-256 • Softwares para Pericia • Bloqueadores de Escrita • Técnicas para proteção contra gravação 32
    33. 33. Forense Digital: Análise 33
    34. 34. Objetivo da Análise Extrair de um universo de dados coletados, informações que direta ou indiretamente associem um indivíduo a uma determinada atividade. 34
    35. 35. File Systems Arquivos localizados no computador periciado devem ser avaliados minuciosamente. Alguns dos pontos a serem analisados são: • Assinatura de arquivos • Imagens de dispositivos • ADS (Alternate Data Streams) 35
    36. 36. Demo: Manipulando ADS com o Windows Ferramenta utilizada: Prompt de Comandos 36
    37. 37. Arquivos Apagados O espaço em disco marcado como livre na tabela de alocação de arquivos geralmente contém informações essenciais para a análise: são os dados dos arquivos removidos 37
    38. 38. Data Carving 38 Esculpir informações a partir dos dados disponíveis no disco rígido suspeito
    39. 39. Forense Digital: Relatório 39
    40. 40. Relatório 40 • Oficializar encerramento do caso • Preenchimento dos documentos de controle
    41. 41. Geração de Relatório Bookmarking • Seleção de informações relevantes, realizada durante o processo de análise Geração de relatórios • Correlação das hipóteses com as evidências coletadas, agrupamento de todos os aspectos avaliados e conclusão. 41
    42. 42. Linguagem Utilizada Dependendo do tipo de investigação, a linguagem dos relatórios pode, ou não, ser técnica. O acerto de expectativas e objetivos é realizado no início do processo de investigação. 42
    43. 43. Obrigado! Luiz Sales Rabelo http://4n6.cc -> VISITEM MEU BLOG! © 2011 - TechBiz Education 43

    ×