SlideShare uma empresa Scribd logo

Cases forense[2]

T
TechBiz Forense Digital
1 de 25
Baixar para ler offline
CASES FORENSE DIGITAL Reunimos neste documento algumas histórias de sucesso sobre a aplicação da tecnologia e do know-how da TechBiz Forense Digital em diferentes contextos. Temos casos que dizem respeito a tecnologias específi- cas, a demandas por serviços e experiências envolvendo alguns dos nossos clientes.
Por produto Por serviços profissionais Por cliente 20 | NetWitness NextGen 16 | Roubo de informações 3 | Ministério Público do Rio de Janeiro 21 | UFED Cellebrite 17 | Violação de políticas internas 5 | Instituto de Criminalística da Bahia 22 | EnCase 18 | Malware na rede 7 | Instituto de Criminalística do Rio de Janeiro 23 | Image MASSter Solo 3 9 | ANP 11 | Secretaria de Justiça e Segurança Pública do Mato Grosso 13 | IBP-Brasil
Por cliente - Ministério Público do Rio de Janeiro - Instituto de Criminalística da Bahia - Instituto de Criminalística do Rio de Janeiro - ANP - Secretaria de Justiça e Segurança Pública do Mato Grosso - IBP-Brasil
Ministério Público do Rio de Janeiro Contexto Seis grandes crimes – de improbidade administrativa a porno- grafia infantil – são investigados mensalmente no laboratório fornecido pela TechBiz Forense Digital ao Ministério Público do Rio de Janeiro. A tecnologia, antes utilizada para investi- gar e combater os crimes relacionados a cartéis, hoje atende a qualquer tipo de demanda do MPRJ, desde fraudes em licitações, passando por improbidade administrativa, pedo- filia até homicídios. “O laboratório deu muita celeridade às investigações do Ministério Público do Rio de Janeiro”, diz o perito João Bernardo Aversa, da Coordenadoria de Segurança e Inteligência, Divisão de Evidências Digitais (DEDIT) do MPRJ. 3
Ministério Público do Rio de Janeiro Aplicação Em situações de busca e apreensão, equipamentos com o Solo 4 e o FRED tornaram-se fundamentais para os peritos realizarem a dupli- cação das mídias suspeitas, seja em campo ou no próprio laboratório. “Atuamos muito em sistemas críticos, seja em prefeituras ou empresas, em que o sistema não pode ficar muito tempo fora do ar. Nesses casos fazemos a duplicação no próprio local do incidente.” Com as evidências prontas para serem analisadas, as funcionalidades das ferramentas forenses como o EnCase, que tratam arquivos deletados, recuperam dados e buscam por palavras-chaves, são fundamentais para os investigadores. “Muitas vezes precisamos fazer associações entre indivíduos e determinadas corporações e a busca por palavras-chaves agiliza muito o nosso trabalho”, diz. Já o FTK permite a análise rápida de um grande volume de dados. “Recentemente, participamos de uma operação que demandou a análise de muitas informações e pelo processo de indexação e busca rapidamente obtivemos êxito.” Para atender a uma demanda cada vez maior, o UFED (Universal Forensics Extraction Device), da Cellebrite, agiliza a extração e análise de dados em dispositivos móveis. Depoimento “Atualmente, qualquer tipo de crime envolve apreensões de computadores. Os profissionais da Divisão de Evidências Digitais e Tecnologia (DEDIT) tratam os materiais em meio magnético, cujo conteúdo é estático e inerte, e geram um relatório embasado cientificamente, o que permite uma melhor com- preensão do conteúdo e confere robustez às alegações do Ministério Público. O que apuramos aqui serve de indício para muitas outras coisas, abre muitas outras frentes de investigação” João Bernardo Aversa, da Coordenadoria de Segurança e Inteligência, Divisão de Evidências Digitais (DEDIT) do MPRJ. 4
Instituto de Criminalística da Bahia Contexto Pioneiros na criação do Laboratório de Forense Computacional, o Instituto de Criminalística Afrânio Peixoto (ICAP), da Bahia, está sempre se atualizando com as novas tecnologias para análise e investigação dos crimes digitais. Atualmente, o ICAP conta com dois UFED para a análise de celulares, dois Image MASSter Solo 4, bloqueadores de escrita da Tableau, Encase Forensic e FRED, todos fornecidos pela TechBiz Forense Digital. Com uma média de 105 ocorrências trimestrais envolvendo perícia de computadores, algumas contendo lotes de 30 a 40 máquinas, a celeridade nas investigações é crucial. “A fila é grande, há uma deficiência de pessoal e não temos mais espaço para acomodar tantas máquinas”, diz o perito criminal Marcelo Sampaio, da coordenação de computação forense do Departa- mento da Polícia Técnica do ICAP. 5
Instituto de Criminalística da Bahia Aplicação Em uma das investigações realizadas pelo IC da Bahia, envolvendo vazamento de dados, o EnCase foi fundamental para detectar uma tentativa de descaracterização das evidências. Com o intuito de enganar os investigadores, os autores do ilícito tentaram implantar provas falsas no material apurado nas máquinas da instituição vítima do vazamento de informações sigilosas. “Eram pessoas que tinham conhecimento do processo da perícia e fizeram de tudo para descaracterizar a prova. Mesmo assim, consegui- mos descobrir os responsáveis pelo crime a partir de um exame detalhado de todo material apreendido, que nos revelou, inclusive, a adulteração da evidência”, diz Sampaio. O EnCase realizou o trabalho de extração dos dados e a análise do material oriundo de correio eletrônico, salas de bate-papo, planilhas etc. A ferramenta é capaz de adquirir dados do disco ou da memória RAM, documentos, imagens, e-mail, webmail, artefatos de internet, histórico da web e cache, reconstruir páginas HTML, sessões de chat, arquivos comprimidos, arquivos de backup ou encriptados, RAIDs, estações de trabalho e servidores. Depoimento “Existe uma tendência muito forte do uso de tecnologia não só nos crimes cometidos por meio de computadores, como também nos crimes do dia a dia, como homicídio e roubo a banco. Sempre tem um celular ou um computador no local do crime. As tecnologias de forense digital agilizam muito o nosso trabalho” Marcelo Sampaio, perito criminal da coordenação de computação forense do Departamento da Polícia Técnica do ICAP. 6
Instituto de Criminalística do Rio de Janeiro Contexto Responsável por atender às demandas por perícia das 131 delegacias do Estado do Rio de Janeiro – além das delegacias especializadas, como a de Mulheres, Fazendária, Meio-ambiente e dos Postos de Perícia das regiões Norte, Serrana, Oceânica e Metropolitana – o Instituto de Criminalística Carlos Éboli (ICCE) tornou-se cliente da TechBiz Forense Digital em 2009. Na época, quatro peritos foram capacitados pela empresa para utilizarem os equipamentos do Labo- ratório de Forense Digital. A TechBiz também prestou consultoria à Polícia Civil e seguiu-se um período de operação assistida e suporte técnico. Até a inauguração do laboratório, o instituto não contava com estrutura específica para a perícia digital e, para buscar informações relevantes, os peritos tinham que vasculhar os computadores manualmente, abrindo arquivo por arquivo. "Uma coisa simples às vezes levava 20 ou 30 dias", afirmou o chefe do serviço de perícia de engenharia do ICCE, Wellington Silva Filho. 7
Instituto de Criminalística do Rio de Janeiro Aplicação Com tecnologia de ponta – as mesmas utilizadas pelas polícias federal do Brasil e do mundo -, os peritos conseguem, atualmente, proces- sar e analisar diversas máquinas simultaneamente em busca de informações específicas; fazer cópias de um disco rígido a uma velocidade média de 3 Gbytes por minuto; emitir, em poucos minutos, um laudo completo sobre um celular apreendido, recuperando até mesmo dados apagados; fazer varreduras em computadores atrás de imagens pornográficas; entre muitas outras funções. Depoimento “É importante para a justiça que os laudos tenham consistência técnica. A varredura dos vestígios digitais deve ser completa. Feita de forma manual os resultados não são garantidos. Com esses equipamentos, os resultados são precisos e inquestionáveis juridicamente” Sérgio da Costa Henriques, diretor do ICCE. 8
Agência Nacional do Petróleo, Gás Natural e Biocombustíveis (ANP) Contexto Centro de referência em dados e informações sobre a indústria do petróleo e gás natural, a Agência Nacional do Petróleo, Gás Natural e Biocombustíveis (ANP) sabe bem o valor das informações arma- zenadas em suas máquinas. Por isso, desde 2009, tornou-se usuária das soluções oferecidas pela TechBiz Forense Digital para sanitizar e duplicar discos rígidos. 9
Agência Nacional do Petróleo, Gás Natural e Biocombustíveis (ANP) Aplicação Com o Image MASSter IM4008i, da Intelligent Computer Solution, a agência é capaz de copiar simultaneamente até oito drives, a taxas de transferência que ultrapassam 1,8GB por minuto. Além disso, o hardware é equipado com a opção WipeOut que apaga de forma acurada todas as informações presentes no HD. O IM4008i atendeu às necessidades da ANP ao permitir copiar de forma automática diferentes modelos e tamanhos de drives. O hardware copia e verifica dados entre hard drives IDE, EIDE e Ultra-DMA IDE. A unidade também suporta funcionalidades ATA-6, DCO1, HPA2 e endereçamento 48-bit. “Duplicamos discos para preservar as informações ali presentes e precisamos garantir a sanitização em situações de descarte, ao entre- gar uma máquina nova para o usuário, ou ao usar equipamentos de terceiros, em Rodadas de Licitação, por exemplo, quando alugamos vários notebooks”, diz Roberto Caldeira, gestor do Escritório de Segurança da Informação da ANP. Depoimento “Antes de utilizar a tecnologia oferecida pela TechBiz Forense Digital, o processo de saniti- zação era feito via software e apresentava falhas. Ao validar um procedimento feito via software vimos que a sanitização não tinha sido completa. Queríamos um processo mais garantido e que fosse quase automático, em que precisássemos apenas inserir os discos” Roberto Caldeira, gestor do Escritório de Segurança da Informação da ANP. 10
Secretaria de Justiça e Segurança Pública do Mato Grosso Contexto Ao adotar as tecnologias de forense digital em suas investi- gações, a Perícia Oficial e Identificação Técnica da Secretaria de Justiça e Segurança Pública do Mato Grosso modificou seus processos internos, passou a armazenar uma cópia do material apreendido em suas unidades e, com isso, criou um melhor arquivo de provas. “Houve um incremento de qualidade no trabalho do perito, que quando feito manualmente arriscava- se a deixar passar desapercebida alguma evidência”, diz o perito Zuilton Braz Marcelino. 11
Secretaria de Justiça e Segurança Pública do Mato Grosso Aplicação Atualmente, a tecnologia fornecida pela TechBiz Forense Digital é utilizada em todos os exames feitos pela Secretaria de Justiça do Mato Grosso, desde casos de falsificação de papel moeda, passando por denúncias de ameaças, fraudes contra instituições públicas até pedofilia. Em um caso de fraude contra a Receita Estadual, uma cópia exata de todo o ambiente de rede suspeito, composto por cinco máquinas, foi feita in loco. Todas as máquinas foram rapidamente investigadas e não apenas o servidor, o que foi fundamental, já que o programa que gerava a movimentação financeira fora do sistema de arrecadação – o que permitia a formação de um caixa dois – estava instalado no disco rígido do administrativo. Depoimento “A facilidade proporcionada pelas soluções de forense digital nos permitiu ir além e de forma rápida, sem descuidar dos detalhes, o que muitas vezes pode acontecer quando não se tem o ferramental adequado e existe a premência do tempo, de ter quefechar um inquérito em 30 dias” Zuilton Braz Marcelino, perito criminal da Perícia Oficial e Identificação Técnica da Secretária de Justiça e Segurança Pública do Mato Grosso 12
IBP Brasil Contexto Crimes como sequestro de pessoas, fraudes financeiras, procedimentos indevidos ou mesmo furtos de dados praticados por funcionários de empresas fazem parte da rotina dos profis- sionais do Instituto Brasileiro de Peritos em Comércio Eletrônico e Telemática (IBP Brasil). Afinal, trata-se de um centro de referência na aplicação de metodologia forense computacional para a identificação de evidências e esclareci- mento de ilícitos praticados via meios digitais. A tecnologia utilizada pelo IBP, encomendada à TechBiz Forense Digital, tem sido decisiva na resolução dos casos. 13
IBP Brasil Aplicação O ferramental é útil desde as primeiras etapas do processo investigativo – que consiste em identificar os objetivos, planejar atividades, alocar recursos e estabelecer linha de custódia –, até a realização de tarefas mais complexas, como a busca em áreas específicas da estrutura de arquivos e áreas não alocadas. Com essa tecnologia é possível visualizar mensagens, textos e imagens que comprovam a realização dos ilícitos, mesmo que o suspeito tenha utilizado recursos sofisticados, como esteganografia (textos ocultos dentro de imagens) ou criptografia. Com o ferramental o IBP já conseguiu desvendar mensagens que haviam sido trocadas entre membros da quadrilha de maneira cifrada; realizou exame de dados deletados ou perdidos, assim como exame das áreas não mais utilizadas do disco rígido. Páginas de sites que tinham sido utilizadas no passado para cometer os ilícitos foram rapidamente localizadas e reconstruídas. Isso proporcionou um elevado valor probante, junto ao judiciário e aos administradores das empresas, devido à coleta de dados técnicos e à apresentação visual das mesmas telas que os fraudadores tinham à sua frente quando realizaram os atos indevidos. A cadeia de custódia avalizou os procedimentos realizados, pois os passos do investigador podiam ser reproduzidos caso existisse qualquer dúvida a respeito das provas periciais ou das conclusões obtidas. Depoimento “O ferramental comercializado pela TechBiz Forense Digital permite que diversos peritos examinem em paralelo as mesmas evidências, característica muito relevante quando um incidente precisa ser investigado em prazos muito curtos ou por equipes multidisciplinares. A função de linha de tempo mostra graficamente as datas e horários em que houve criação, alteração ou mesmo eliminação de arquivos. Com isso é possível confrontar rapidamente a movimentação de milhares de arquivos com as datas e horas alegadas pelos suspeitos, nos permitindo confirmar se o que dizem é verdade” 14 Giuliano Giova, presidente do IBP Brasil.
Por serviços profissionais - Roubo de informações - Violação de políticas internas - Malware na rede
Roubo de informações Caso Suspeita de apropriação indevida de dados e ativos corporativos por ex-sócios de uma importante empresa, cliente da TechBiz Forense Digital. Demanda Analisar HDs em busca de evidências eletrônicas que caracterizassem perdas e danos e concorrência desleal. Resultado Em apenas duas semanas, foram levantados dados suficientes para ratificar as suspei- tas. O laudo fornecido pela TechBiz Forense Digital incluiu registros de e-mails e chats; a identificação do uso da ferramenta de sanitização SDelete; arquivos apagados que foram recuperados ou encontrados em áreas não alocadas; e uma linha do tempo 16 com todos os indícios da fraude – do planejamento à execução.
Violação de políticas internas Caso Denúncia de vazamento de informações confidenciais de uma grande empresa foram relatadas no documento “Fraudes de Cartão de Crédito”, produzido pela área de Prevenção à Fraude Coorporativa. Demanda Verificar a existência de irregularidades como desvio de conduta ou violação de políticas internas, bem como identificar o responsável e os envolvidos em tais Resultado práticas. A partir da análise do HD de um funcionário suspeito, os profissionais da TechBiz Forense Digital encontraram os indícios que caracterizaram o vazamento da infor- mação. Foram recuperados e-mails do funcionário contendo informações confiden- ciais. Todas as evidências foram entregues ao cliente. 17
Malware na rede Caso Geração de tráfego incomum na rede de uma organi- zação, acarretando em sobrecarga de processamento do firewall. Demanda Consultoria para investigar a causa da sobrecarga, identificar os responsáveis e remediar as máquinas suspeitas. Resultado Durante a investigação, não foi encontrado nenhum indício que justificasse a degra- dação da performance da rede. O tráfego foi capturado e eventos de NetFlow, Firewall e IPS foram monitorados. O malware IPZ.EXE foi encontrado e ações de reme- diação, providenciadas. Foram identificadas diversas tentativas de conexões de rede 18 com origem de IPs internos diretamente ao Firewall.
Por produto - NetWitness NextGen - UFED Cellebrite - EnCase - Image MASSter Solo 3
NetWitness NextGen Caso Ao utilizar o NetWitness NextGen por seis meses uma importante instituição financeira obteve redução de mais de US$ 6 milhões em fraudes bancárias on-line. A infraestrutura da solução, composta por Decoders e Concentrators, permitiu que o time de segurança do banco capturasse e indexasse o tráfego de rede dentro da área OLB (Online banking). Simultaneamente, as informações do tráfego em tempo real foram associadas às múltiplas fontes dos feeds de inteligência contra ameaças do NetWitness Live. Essa abordagem permitiu descobrir imediata- mente a existência de proxies maliciosos conectados à OLB via SSL. As descobertas foram repassadas ao departamento antifraude para que as devidas ações de reação fossem providenciadas. Resultado Foi constatado pela equipe de fraudes que quase 80% das transações em questão eram fraudulentas e não foram descobertas anteriormente pelos controles de segurança pré-existentes. Para evitar que os trojans solicitassem do usuário campos adicio- nais ao tradicional username/password – como número de cartão de crédito, senhas, datas de expiração e códigos de segurança do cartão (CVV2) –, mais uma vez o NetWitness foi utilizado. Mais especificamente, a habilidade inerente da ferra- menta de realizar decriptação SSL para monitorar sessões OLB na camada da aplicação e procurar por esses possíveis campos adicionais. Sites de phishing geralmente redirecionam os visitantes ao site legítimo do banco depois de coletar as credenciais que desejam. O NetWitness NextGen foi utilizado pelo cliente para minimizar o risco de exposição ao identificar referências HTTP em portais OLB e revelar atividades de phishing antes que o cliente as notificasse. A ferramenta foi crucial para oferecer 20 indicações oportunas e alertas em contas comprometidas de clientes e atividades bancárias fraudulentas em geral.
UFED Cellebrite Caso A prefeitura de Cali, na Colômbia, adotou o UFED Touch Ultimate, da Cellebrite, para extrair provas legais de praticamente todos os tipos de celulares, smartphones, tablets e demais equipamentos móveis, mesmo que os dados tenham sido previamente apagados antes de iniciada e investigação. Com a utilização da solução, o órgão de investigação Seccional de Investigacíón Criminal de Cali (SIJIN), conseguiu incriminar – e prender – 24 suspeitos de crimes graves, contra os quais não havia outras evidências, exceto os vestígios digitais, relevados pela tecnologia Cellebrite em seus aparelhos móveis. Em uma operação antiterror, o UFED foi crucial para que a polícia colombiana, que já havia capturado um suspeito, provasse o seu envolvimento direto com a explosão de uma bomba defronte a chefatura de polícia de Cali, ocorrida em 2008. Resultado Através do UFED, a polícia conseguiu reconstituir uma grande quantidade de mensagens, informações e comandos de teclado que haviam sido empregados junto ao celular do suspeito e que já tinham sido deletados. Com isto, foi possível provar que aquele aparelho específico não só se comunicou com os de outros suspeitos, como foi usado – ele próprio – para detonar os explosivos a distância. 21
EnCase Caso Um cliente suspeitou que uma intrusão havia ocorrido em um servidor web localizado em sua rede DMZ. A princípio foi utilizado o EnCase Forensic para investigar a demanda, mas devido à sua natureza manual os investigadores focaram em apenas 30 dos 2.000 servidores da empresa. Resultado Após três semanas de trabalho, o EnCase Forensic não identificou a intrusão nas máquinas analisadas. Em duas semanas, o EnCase Enterprise, que analisou automaticamente todos os 2.000 servidores da empresa, permitiu entender como os hackers tiveram acesso à rede, o que eles fizeram e o número de máquinas comprometidas. 22
Image MASSter Solo 3 Caso A partir da denúncia sobre lavagem de dinheiro, formação de quadrilha e crime contra a ordem tribu- tária, os peritos do Instituto de Criminalística Carlos Éboli (ICCE) do Rio de Janeiro apreenderam 23 das 47 máquinas encontradas no escritório de um estabelecimento comercial. Segundo as informações da Secretaria Estadual da Fazenda, o estabelecimento estaria operando em nome de outras empresas, com menor faturamento do que o esperado, em uma manobra para participar de um sistema de tributação mais vantajosa e pagar menos impostos. Resultado Com o Solo 3 em mãos – equipamento da Intelligent Computer Solutions, vendido no Brasil pela TechBiz Forense Digital – os peritos do ICCE fizeram duas cópias perfeitas dos 23 Discos Rígidos a serem investigados, encaminhando uma das duplicações ao advogado da parte acusada. Até dois HD foram “clonados” simultaneamente, a uma velocidade de até 3GB/min. *O Image MASSter Solo 3 foi substituído pelo Image MASSter Solo 4 23
www.forensedigital.com.br Brasília | DF 61 3468-8600 São Paulo | SP 11 3525-7568 Rio de Janeiro | RJ 21 3436-7568 Minas Gerais | MG 31 3211-1800

Recomendados

Introdução à Forense Computacional
Introdução à Forense ComputacionalIntrodução à Forense Computacional
Introdução à Forense Computacional
Data Security
 
Computação forense
Computação forenseComputação forense
Computação forense
Ramyres Aquino
 
Novas perspectivas na investigação de cibercrimes no brasil e no mundo
Novas perspectivas na investigação de cibercrimes no brasil e no mundoNovas perspectivas na investigação de cibercrimes no brasil e no mundo
Novas perspectivas na investigação de cibercrimes no brasil e no mundo
José Mariano Araujo Filho
 
Cnasi sp apresentação marcelo souza
Cnasi sp apresentação marcelo souzaCnasi sp apresentação marcelo souza
Cnasi sp apresentação marcelo souza
TechBiz Forense Digital
 
Casos de sucesso
Casos de sucessoCasos de sucesso
Casos de sucesso
TechBiz Forense Digital
 
Manual de aplicação de marca - TechBiz Forense Digital
Manual de aplicação de marca - TechBiz Forense DigitalManual de aplicação de marca - TechBiz Forense Digital
Manual de aplicação de marca - TechBiz Forense Digital
TechBiz Forense Digital
 
10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa ter10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa ter
TechBiz Forense Digital
 
16 03 - institucional
16 03 - institucional16 03 - institucional
16 03 - institucional
TechBiz Forense Digital
 

Recomendados

Introdução à Forense Computacional
Introdução à Forense ComputacionalIntrodução à Forense Computacional
Introdução à Forense Computacional
Data Security
 
Computação forense
Computação forenseComputação forense
Computação forense
Ramyres Aquino
 
Novas perspectivas na investigação de cibercrimes no brasil e no mundo
Novas perspectivas na investigação de cibercrimes no brasil e no mundoNovas perspectivas na investigação de cibercrimes no brasil e no mundo
Novas perspectivas na investigação de cibercrimes no brasil e no mundo
José Mariano Araujo Filho
 
Cnasi sp apresentação marcelo souza
Cnasi sp apresentação marcelo souzaCnasi sp apresentação marcelo souza
Cnasi sp apresentação marcelo souza
TechBiz Forense Digital
 
Casos de sucesso
Casos de sucessoCasos de sucesso
Casos de sucesso
TechBiz Forense Digital
 
Manual de aplicação de marca - TechBiz Forense Digital
Manual de aplicação de marca - TechBiz Forense DigitalManual de aplicação de marca - TechBiz Forense Digital
Manual de aplicação de marca - TechBiz Forense Digital
TechBiz Forense Digital
 
10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa ter10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa ter
TechBiz Forense Digital
 
16 03 - institucional
16 03 - institucional16 03 - institucional
16 03 - institucional
TechBiz Forense Digital
 
Artigo crime virtual
Artigo crime virtualArtigo crime virtual
Artigo crime virtual
mrojr
 
Artigo velasquez (combate a crimes digitais)
Artigo velasquez (combate a crimes digitais)Artigo velasquez (combate a crimes digitais)
Artigo velasquez (combate a crimes digitais)
TechBiz Forense Digital
 
En case cybersecurity automating incident response-bhagtani-5-22-2012 [compat...
En case cybersecurity automating incident response-bhagtani-5-22-2012 [compat...En case cybersecurity automating incident response-bhagtani-5-22-2012 [compat...
En case cybersecurity automating incident response-bhagtani-5-22-2012 [compat...
TechBiz Forense Digital
 
Mais Apresentação SENAI Institutos 2014
Mais Apresentação SENAI Institutos 2014Mais Apresentação SENAI Institutos 2014
Mais Apresentação SENAI Institutos 2014
Alexandre Augusto
 
Apresentação da logo Trwip
Apresentação da logo TrwipApresentação da logo Trwip
Apresentação da logo Trwip
Alexandre Augusto
 
Apresentação logomarca
Apresentação logomarcaApresentação logomarca
Apresentação logomarca
Jeca Pezenti
 
A investigação dos cybercrimes no brasil e no mundo
A investigação dos cybercrimes no brasil e no mundoA investigação dos cybercrimes no brasil e no mundo
A investigação dos cybercrimes no brasil e no mundo
José Mariano Araujo Filho
 
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Felipe Gulert Rodrigues
 
Forense computacional - Estudos Praticos
Forense computacional - Estudos PraticosForense computacional - Estudos Praticos
Forense computacional - Estudos Praticos
Data Security
 
manual de atuacao em crimes ciberneticos-mpf
manual de atuacao em crimes ciberneticos-mpfmanual de atuacao em crimes ciberneticos-mpf
manual de atuacao em crimes ciberneticos-mpf
Belonir Barth
 
Palestra Forense ISG
Palestra Forense ISGPalestra Forense ISG
Palestra Forense ISG
Data Security
 
Forense Computacional
Forense ComputacionalForense Computacional
Forense Computacional
Grupo Treinar
 
Uso da TIC na Formação e na Gestão de Informação Policial:Um contributo aca...
Uso da TIC na Formação e na Gestão de Informação Policial:Um contributo aca...Uso da TIC na Formação e na Gestão de Informação Policial:Um contributo aca...
Uso da TIC na Formação e na Gestão de Informação Policial:Um contributo aca...
Celestino Joanguete
 
Dos crimes contra a inviolabilidade do sistema informático
Dos crimes contra a inviolabilidade do sistema informáticoDos crimes contra a inviolabilidade do sistema informático
Dos crimes contra a inviolabilidade do sistema informático
José Mariano Araujo Filho
 
Showafis
ShowafisShowafis
Showafis
Celso Arrais
 
Eficácia das Estratégias de Actuação do Serviço Nacional de Investigação Crim...
Eficácia das Estratégias de Actuação do Serviço Nacional de Investigação Crim...Eficácia das Estratégias de Actuação do Serviço Nacional de Investigação Crim...
Eficácia das Estratégias de Actuação do Serviço Nacional de Investigação Crim...
AmericoErnestoManhiq
 
A computacao forense_e_os_crimes_eletronicos
A computacao forense_e_os_crimes_eletronicosA computacao forense_e_os_crimes_eletronicos
A computacao forense_e_os_crimes_eletronicos
Roney Médice
 
Destaque33
Destaque33 Destaque33
Destaque33
Raphael Santos
 
A Policia Civil de São Paulo e a investigação da cibercriminalidade: Desafios...
A Policia Civil de São Paulo e a investigação da cibercriminalidade: Desafios...A Policia Civil de São Paulo e a investigação da cibercriminalidade: Desafios...
A Policia Civil de São Paulo e a investigação da cibercriminalidade: Desafios...
José Mariano Araujo Filho
 
Direito digital os novos crimes que podem chegar até você
Direito digital os novos crimes que podem chegar até vocêDireito digital os novos crimes que podem chegar até você
Direito digital os novos crimes que podem chegar até você
semrush_webinars
 
Crime Cibernetico - Modulo1.pdf
Crime Cibernetico - Modulo1.pdfCrime Cibernetico - Modulo1.pdf
Crime Cibernetico - Modulo1.pdf
RenatadePaula30
 
Forense Computacional Introdução
Forense Computacional IntroduçãoForense Computacional Introdução
Forense Computacional Introdução
tonyrodrigues
 

Mais conteúdo relacionado

Destaque

Artigo crime virtual
Artigo crime virtualArtigo crime virtual
Artigo crime virtual
mrojr
 
Artigo velasquez (combate a crimes digitais)
Artigo velasquez (combate a crimes digitais)Artigo velasquez (combate a crimes digitais)
Artigo velasquez (combate a crimes digitais)
TechBiz Forense Digital
 
Mais Apresentação SENAI Institutos 2014
Mais Apresentação SENAI Institutos 2014Mais Apresentação SENAI Institutos 2014
Mais Apresentação SENAI Institutos 2014
Alexandre Augusto
 
Apresentação logomarca
Apresentação logomarcaApresentação logomarca
Apresentação logomarca
Jeca Pezenti
 

Destaque (6)

Artigo crime virtual
Artigo crime virtualArtigo crime virtual
Artigo crime virtual
 
Artigo velasquez (combate a crimes digitais)
Artigo velasquez (combate a crimes digitais)Artigo velasquez (combate a crimes digitais)
Artigo velasquez (combate a crimes digitais)
 
En case cybersecurity automating incident response-bhagtani-5-22-2012 [compat...
En case cybersecurity automating incident response-bhagtani-5-22-2012 [compat...En case cybersecurity automating incident response-bhagtani-5-22-2012 [compat...
En case cybersecurity automating incident response-bhagtani-5-22-2012 [compat...
 
Mais Apresentação SENAI Institutos 2014
Mais Apresentação SENAI Institutos 2014Mais Apresentação SENAI Institutos 2014
Mais Apresentação SENAI Institutos 2014
 
Apresentação da logo Trwip
Apresentação da logo TrwipApresentação da logo Trwip
Apresentação da logo Trwip
 
Apresentação logomarca
Apresentação logomarcaApresentação logomarca
Apresentação logomarca
 

Semelhante a Cases forense[2]

Forense Computacional
Forense ComputacionalForense Computacional
Forense Computacional
Grupo Treinar
 
Eficácia das Estratégias de Actuação do Serviço Nacional de Investigação Crim...
Eficácia das Estratégias de Actuação do Serviço Nacional de Investigação Crim...Eficácia das Estratégias de Actuação do Serviço Nacional de Investigação Crim...
Eficácia das Estratégias de Actuação do Serviço Nacional de Investigação Crim...
AmericoErnestoManhiq
 
Sistema informatizado de identificação
Sistema informatizado de identificaçãoSistema informatizado de identificação
Sistema informatizado de identificação
Duda Nunes
 

Semelhante a Cases forense[2] (20)

A investigação dos cybercrimes no brasil e no mundo
A investigação dos cybercrimes no brasil e no mundoA investigação dos cybercrimes no brasil e no mundo
A investigação dos cybercrimes no brasil e no mundo
 
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
 
Forense computacional - Estudos Praticos
Forense computacional - Estudos PraticosForense computacional - Estudos Praticos
Forense computacional - Estudos Praticos
 
manual de atuacao em crimes ciberneticos-mpf
manual de atuacao em crimes ciberneticos-mpfmanual de atuacao em crimes ciberneticos-mpf
manual de atuacao em crimes ciberneticos-mpf
 
Palestra Forense ISG
Palestra Forense ISGPalestra Forense ISG
Palestra Forense ISG
 
Forense Computacional
Forense ComputacionalForense Computacional
Forense Computacional
 
Uso da TIC na Formação e na Gestão de Informação Policial:Um contributo aca...
Uso da TIC na Formação e na Gestão de Informação Policial:Um contributo aca...Uso da TIC na Formação e na Gestão de Informação Policial:Um contributo aca...
Uso da TIC na Formação e na Gestão de Informação Policial:Um contributo aca...
 
Dos crimes contra a inviolabilidade do sistema informático
Dos crimes contra a inviolabilidade do sistema informáticoDos crimes contra a inviolabilidade do sistema informático
Dos crimes contra a inviolabilidade do sistema informático
 
Showafis
ShowafisShowafis
Showafis
 
Eficácia das Estratégias de Actuação do Serviço Nacional de Investigação Crim...
Eficácia das Estratégias de Actuação do Serviço Nacional de Investigação Crim...Eficácia das Estratégias de Actuação do Serviço Nacional de Investigação Crim...
Eficácia das Estratégias de Actuação do Serviço Nacional de Investigação Crim...
 
A computacao forense_e_os_crimes_eletronicos
A computacao forense_e_os_crimes_eletronicosA computacao forense_e_os_crimes_eletronicos
A computacao forense_e_os_crimes_eletronicos
 
Destaque33
Destaque33 Destaque33
Destaque33
 
A Policia Civil de São Paulo e a investigação da cibercriminalidade: Desafios...
A Policia Civil de São Paulo e a investigação da cibercriminalidade: Desafios...A Policia Civil de São Paulo e a investigação da cibercriminalidade: Desafios...
A Policia Civil de São Paulo e a investigação da cibercriminalidade: Desafios...
 
Direito digital os novos crimes que podem chegar até você
Direito digital os novos crimes que podem chegar até vocêDireito digital os novos crimes que podem chegar até você
Direito digital os novos crimes que podem chegar até você
 
Crime Cibernetico - Modulo1.pdf
Crime Cibernetico - Modulo1.pdfCrime Cibernetico - Modulo1.pdf
Crime Cibernetico - Modulo1.pdf
 
Forense Computacional Introdução
Forense Computacional IntroduçãoForense Computacional Introdução
Forense Computacional Introdução
 
SLIDE MONOGRAFIA JEF LUKA
SLIDE MONOGRAFIA JEF LUKASLIDE MONOGRAFIA JEF LUKA
SLIDE MONOGRAFIA JEF LUKA
 
Sistema informatizado de identificação
Sistema informatizado de identificaçãoSistema informatizado de identificação
Sistema informatizado de identificação
 
Computacao forense
Computacao forenseComputacao forense
Computacao forense
 
Computacao forense
Computacao forenseComputacao forense
Computacao forense
 

Mais de TechBiz Forense Digital

Ata srp 015 2010 v1 - marinha - netwitness
Ata srp 015 2010 v1 - marinha - netwitnessAta srp 015 2010 v1 - marinha - netwitness
Ata srp 015 2010 v1 - marinha - netwitness
TechBiz Forense Digital
 
Verisign iDefense Security Intelligence Services
Verisign iDefense Security Intelligence ServicesVerisign iDefense Security Intelligence Services
Verisign iDefense Security Intelligence Services
TechBiz Forense Digital
 

Mais de TechBiz Forense Digital (18)

Insa cyber intelligence_2011-1
Insa cyber intelligence_2011-1Insa cyber intelligence_2011-1
Insa cyber intelligence_2011-1
 
Apresentação SegInfo
Apresentação SegInfoApresentação SegInfo
Apresentação SegInfo
 
NetWitness
NetWitnessNetWitness
NetWitness
 
Palantir
PalantirPalantir
Palantir
 
Online fraud report_0611[1]
Online fraud report_0611[1]Online fraud report_0611[1]
Online fraud report_0611[1]
 
Ata srp 015 2010 v1 - marinha - netwitness
Ata srp 015 2010 v1 - marinha - netwitnessAta srp 015 2010 v1 - marinha - netwitness
Ata srp 015 2010 v1 - marinha - netwitness
 
Road Show - Arcsight ETRM
Road Show - Arcsight ETRMRoad Show - Arcsight ETRM
Road Show - Arcsight ETRM
 
VeriSign iDefense Security Intelligence Services
VeriSign iDefense Security Intelligence ServicesVeriSign iDefense Security Intelligence Services
VeriSign iDefense Security Intelligence Services
 
CyberSecurity
CyberSecurityCyberSecurity
CyberSecurity
 
Verisign iDefense Security Intelligence Services
Verisign iDefense Security Intelligence ServicesVerisign iDefense Security Intelligence Services
Verisign iDefense Security Intelligence Services
 
VeriSign iDefense Security Intelligence Services
VeriSign iDefense Security Intelligence ServicesVeriSign iDefense Security Intelligence Services
VeriSign iDefense Security Intelligence Services
 
Access data
Access dataAccess data
Access data
 
01 11- alexandre atheniense
01 11- alexandre atheniense01 11- alexandre atheniense
01 11- alexandre atheniense
 
C:\Fakepath-6 09 10 Financial Fraud Webinar
C:\Fakepath-6 09 10 Financial Fraud WebinarC:\Fakepath-6 09 10 Financial Fraud Webinar
C:\Fakepath-6 09 10 Financial Fraud Webinar
 
Avanços tecnológicos em perícia computacional e resposta a incidentes
Avanços tecnológicos em perícia computacional e resposta a incidentesAvanços tecnológicos em perícia computacional e resposta a incidentes
Avanços tecnológicos em perícia computacional e resposta a incidentes
 
Cybersecurity - Sam Maccherola
Cybersecurity - Sam MaccherolaCybersecurity - Sam Maccherola
Cybersecurity - Sam Maccherola
 
Cybersecurity - Jim Butterworth
Cybersecurity - Jim ButterworthCybersecurity - Jim Butterworth
Cybersecurity - Jim Butterworth
 
Institucional TechBiz Forense Digital
Institucional TechBiz Forense DigitalInstitucional TechBiz Forense Digital
Institucional TechBiz Forense Digital
 

Cases forense[2]

  • 1. CASES FORENSE DIGITAL Reunimos neste documento algumas histórias de sucesso sobre a aplicação da tecnologia e do know-how da TechBiz Forense Digital em diferentes contextos. Temos casos que dizem respeito a tecnologias específi- cas, a demandas por serviços e experiências envolvendo alguns dos nossos clientes.
  • 2. Por produto Por serviços profissionais Por cliente 20 | NetWitness NextGen 16 | Roubo de informações 3 | Ministério Público do Rio de Janeiro 21 | UFED Cellebrite 17 | Violação de políticas internas 5 | Instituto de Criminalística da Bahia 22 | EnCase 18 | Malware na rede 7 | Instituto de Criminalística do Rio de Janeiro 23 | Image MASSter Solo 3 9 | ANP 11 | Secretaria de Justiça e Segurança Pública do Mato Grosso 13 | IBP-Brasil
  • 3. Por cliente - Ministério Público do Rio de Janeiro - Instituto de Criminalística da Bahia - Instituto de Criminalística do Rio de Janeiro - ANP - Secretaria de Justiça e Segurança Pública do Mato Grosso - IBP-Brasil
  • 4. Ministério Público do Rio de Janeiro Contexto Seis grandes crimes – de improbidade administrativa a porno- grafia infantil – são investigados mensalmente no laboratório fornecido pela TechBiz Forense Digital ao Ministério Público do Rio de Janeiro. A tecnologia, antes utilizada para investi- gar e combater os crimes relacionados a cartéis, hoje atende a qualquer tipo de demanda do MPRJ, desde fraudes em licitações, passando por improbidade administrativa, pedo- filia até homicídios. “O laboratório deu muita celeridade às investigações do Ministério Público do Rio de Janeiro”, diz o perito João Bernardo Aversa, da Coordenadoria de Segurança e Inteligência, Divisão de Evidências Digitais (DEDIT) do MPRJ. 3
  • 5. Ministério Público do Rio de Janeiro Aplicação Em situações de busca e apreensão, equipamentos com o Solo 4 e o FRED tornaram-se fundamentais para os peritos realizarem a dupli- cação das mídias suspeitas, seja em campo ou no próprio laboratório. “Atuamos muito em sistemas críticos, seja em prefeituras ou empresas, em que o sistema não pode ficar muito tempo fora do ar. Nesses casos fazemos a duplicação no próprio local do incidente.” Com as evidências prontas para serem analisadas, as funcionalidades das ferramentas forenses como o EnCase, que tratam arquivos deletados, recuperam dados e buscam por palavras-chaves, são fundamentais para os investigadores. “Muitas vezes precisamos fazer associações entre indivíduos e determinadas corporações e a busca por palavras-chaves agiliza muito o nosso trabalho”, diz. Já o FTK permite a análise rápida de um grande volume de dados. “Recentemente, participamos de uma operação que demandou a análise de muitas informações e pelo processo de indexação e busca rapidamente obtivemos êxito.” Para atender a uma demanda cada vez maior, o UFED (Universal Forensics Extraction Device), da Cellebrite, agiliza a extração e análise de dados em dispositivos móveis. Depoimento “Atualmente, qualquer tipo de crime envolve apreensões de computadores. Os profissionais da Divisão de Evidências Digitais e Tecnologia (DEDIT) tratam os materiais em meio magnético, cujo conteúdo é estático e inerte, e geram um relatório embasado cientificamente, o que permite uma melhor com- preensão do conteúdo e confere robustez às alegações do Ministério Público. O que apuramos aqui serve de indício para muitas outras coisas, abre muitas outras frentes de investigação” João Bernardo Aversa, da Coordenadoria de Segurança e Inteligência, Divisão de Evidências Digitais (DEDIT) do MPRJ. 4
  • 6. Instituto de Criminalística da Bahia Contexto Pioneiros na criação do Laboratório de Forense Computacional, o Instituto de Criminalística Afrânio Peixoto (ICAP), da Bahia, está sempre se atualizando com as novas tecnologias para análise e investigação dos crimes digitais. Atualmente, o ICAP conta com dois UFED para a análise de celulares, dois Image MASSter Solo 4, bloqueadores de escrita da Tableau, Encase Forensic e FRED, todos fornecidos pela TechBiz Forense Digital. Com uma média de 105 ocorrências trimestrais envolvendo perícia de computadores, algumas contendo lotes de 30 a 40 máquinas, a celeridade nas investigações é crucial. “A fila é grande, há uma deficiência de pessoal e não temos mais espaço para acomodar tantas máquinas”, diz o perito criminal Marcelo Sampaio, da coordenação de computação forense do Departa- mento da Polícia Técnica do ICAP. 5
  • 7. Instituto de Criminalística da Bahia Aplicação Em uma das investigações realizadas pelo IC da Bahia, envolvendo vazamento de dados, o EnCase foi fundamental para detectar uma tentativa de descaracterização das evidências. Com o intuito de enganar os investigadores, os autores do ilícito tentaram implantar provas falsas no material apurado nas máquinas da instituição vítima do vazamento de informações sigilosas. “Eram pessoas que tinham conhecimento do processo da perícia e fizeram de tudo para descaracterizar a prova. Mesmo assim, consegui- mos descobrir os responsáveis pelo crime a partir de um exame detalhado de todo material apreendido, que nos revelou, inclusive, a adulteração da evidência”, diz Sampaio. O EnCase realizou o trabalho de extração dos dados e a análise do material oriundo de correio eletrônico, salas de bate-papo, planilhas etc. A ferramenta é capaz de adquirir dados do disco ou da memória RAM, documentos, imagens, e-mail, webmail, artefatos de internet, histórico da web e cache, reconstruir páginas HTML, sessões de chat, arquivos comprimidos, arquivos de backup ou encriptados, RAIDs, estações de trabalho e servidores. Depoimento “Existe uma tendência muito forte do uso de tecnologia não só nos crimes cometidos por meio de computadores, como também nos crimes do dia a dia, como homicídio e roubo a banco. Sempre tem um celular ou um computador no local do crime. As tecnologias de forense digital agilizam muito o nosso trabalho” Marcelo Sampaio, perito criminal da coordenação de computação forense do Departamento da Polícia Técnica do ICAP. 6
  • 8. Instituto de Criminalística do Rio de Janeiro Contexto Responsável por atender às demandas por perícia das 131 delegacias do Estado do Rio de Janeiro – além das delegacias especializadas, como a de Mulheres, Fazendária, Meio-ambiente e dos Postos de Perícia das regiões Norte, Serrana, Oceânica e Metropolitana – o Instituto de Criminalística Carlos Éboli (ICCE) tornou-se cliente da TechBiz Forense Digital em 2009. Na época, quatro peritos foram capacitados pela empresa para utilizarem os equipamentos do Labo- ratório de Forense Digital. A TechBiz também prestou consultoria à Polícia Civil e seguiu-se um período de operação assistida e suporte técnico. Até a inauguração do laboratório, o instituto não contava com estrutura específica para a perícia digital e, para buscar informações relevantes, os peritos tinham que vasculhar os computadores manualmente, abrindo arquivo por arquivo. "Uma coisa simples às vezes levava 20 ou 30 dias", afirmou o chefe do serviço de perícia de engenharia do ICCE, Wellington Silva Filho. 7
  • 9. Instituto de Criminalística do Rio de Janeiro Aplicação Com tecnologia de ponta – as mesmas utilizadas pelas polícias federal do Brasil e do mundo -, os peritos conseguem, atualmente, proces- sar e analisar diversas máquinas simultaneamente em busca de informações específicas; fazer cópias de um disco rígido a uma velocidade média de 3 Gbytes por minuto; emitir, em poucos minutos, um laudo completo sobre um celular apreendido, recuperando até mesmo dados apagados; fazer varreduras em computadores atrás de imagens pornográficas; entre muitas outras funções. Depoimento “É importante para a justiça que os laudos tenham consistência técnica. A varredura dos vestígios digitais deve ser completa. Feita de forma manual os resultados não são garantidos. Com esses equipamentos, os resultados são precisos e inquestionáveis juridicamente” Sérgio da Costa Henriques, diretor do ICCE. 8
  • 10. Agência Nacional do Petróleo, Gás Natural e Biocombustíveis (ANP) Contexto Centro de referência em dados e informações sobre a indústria do petróleo e gás natural, a Agência Nacional do Petróleo, Gás Natural e Biocombustíveis (ANP) sabe bem o valor das informações arma- zenadas em suas máquinas. Por isso, desde 2009, tornou-se usuária das soluções oferecidas pela TechBiz Forense Digital para sanitizar e duplicar discos rígidos. 9
  • 11. Agência Nacional do Petróleo, Gás Natural e Biocombustíveis (ANP) Aplicação Com o Image MASSter IM4008i, da Intelligent Computer Solution, a agência é capaz de copiar simultaneamente até oito drives, a taxas de transferência que ultrapassam 1,8GB por minuto. Além disso, o hardware é equipado com a opção WipeOut que apaga de forma acurada todas as informações presentes no HD. O IM4008i atendeu às necessidades da ANP ao permitir copiar de forma automática diferentes modelos e tamanhos de drives. O hardware copia e verifica dados entre hard drives IDE, EIDE e Ultra-DMA IDE. A unidade também suporta funcionalidades ATA-6, DCO1, HPA2 e endereçamento 48-bit. “Duplicamos discos para preservar as informações ali presentes e precisamos garantir a sanitização em situações de descarte, ao entre- gar uma máquina nova para o usuário, ou ao usar equipamentos de terceiros, em Rodadas de Licitação, por exemplo, quando alugamos vários notebooks”, diz Roberto Caldeira, gestor do Escritório de Segurança da Informação da ANP. Depoimento “Antes de utilizar a tecnologia oferecida pela TechBiz Forense Digital, o processo de saniti- zação era feito via software e apresentava falhas. Ao validar um procedimento feito via software vimos que a sanitização não tinha sido completa. Queríamos um processo mais garantido e que fosse quase automático, em que precisássemos apenas inserir os discos” Roberto Caldeira, gestor do Escritório de Segurança da Informação da ANP. 10
  • 12. Secretaria de Justiça e Segurança Pública do Mato Grosso Contexto Ao adotar as tecnologias de forense digital em suas investi- gações, a Perícia Oficial e Identificação Técnica da Secretaria de Justiça e Segurança Pública do Mato Grosso modificou seus processos internos, passou a armazenar uma cópia do material apreendido em suas unidades e, com isso, criou um melhor arquivo de provas. “Houve um incremento de qualidade no trabalho do perito, que quando feito manualmente arriscava- se a deixar passar desapercebida alguma evidência”, diz o perito Zuilton Braz Marcelino. 11
  • 13. Secretaria de Justiça e Segurança Pública do Mato Grosso Aplicação Atualmente, a tecnologia fornecida pela TechBiz Forense Digital é utilizada em todos os exames feitos pela Secretaria de Justiça do Mato Grosso, desde casos de falsificação de papel moeda, passando por denúncias de ameaças, fraudes contra instituições públicas até pedofilia. Em um caso de fraude contra a Receita Estadual, uma cópia exata de todo o ambiente de rede suspeito, composto por cinco máquinas, foi feita in loco. Todas as máquinas foram rapidamente investigadas e não apenas o servidor, o que foi fundamental, já que o programa que gerava a movimentação financeira fora do sistema de arrecadação – o que permitia a formação de um caixa dois – estava instalado no disco rígido do administrativo. Depoimento “A facilidade proporcionada pelas soluções de forense digital nos permitiu ir além e de forma rápida, sem descuidar dos detalhes, o que muitas vezes pode acontecer quando não se tem o ferramental adequado e existe a premência do tempo, de ter quefechar um inquérito em 30 dias” Zuilton Braz Marcelino, perito criminal da Perícia Oficial e Identificação Técnica da Secretária de Justiça e Segurança Pública do Mato Grosso 12
  • 14. IBP Brasil Contexto Crimes como sequestro de pessoas, fraudes financeiras, procedimentos indevidos ou mesmo furtos de dados praticados por funcionários de empresas fazem parte da rotina dos profis- sionais do Instituto Brasileiro de Peritos em Comércio Eletrônico e Telemática (IBP Brasil). Afinal, trata-se de um centro de referência na aplicação de metodologia forense computacional para a identificação de evidências e esclareci- mento de ilícitos praticados via meios digitais. A tecnologia utilizada pelo IBP, encomendada à TechBiz Forense Digital, tem sido decisiva na resolução dos casos. 13
  • 15. IBP Brasil Aplicação O ferramental é útil desde as primeiras etapas do processo investigativo – que consiste em identificar os objetivos, planejar atividades, alocar recursos e estabelecer linha de custódia –, até a realização de tarefas mais complexas, como a busca em áreas específicas da estrutura de arquivos e áreas não alocadas. Com essa tecnologia é possível visualizar mensagens, textos e imagens que comprovam a realização dos ilícitos, mesmo que o suspeito tenha utilizado recursos sofisticados, como esteganografia (textos ocultos dentro de imagens) ou criptografia. Com o ferramental o IBP já conseguiu desvendar mensagens que haviam sido trocadas entre membros da quadrilha de maneira cifrada; realizou exame de dados deletados ou perdidos, assim como exame das áreas não mais utilizadas do disco rígido. Páginas de sites que tinham sido utilizadas no passado para cometer os ilícitos foram rapidamente localizadas e reconstruídas. Isso proporcionou um elevado valor probante, junto ao judiciário e aos administradores das empresas, devido à coleta de dados técnicos e à apresentação visual das mesmas telas que os fraudadores tinham à sua frente quando realizaram os atos indevidos. A cadeia de custódia avalizou os procedimentos realizados, pois os passos do investigador podiam ser reproduzidos caso existisse qualquer dúvida a respeito das provas periciais ou das conclusões obtidas. Depoimento “O ferramental comercializado pela TechBiz Forense Digital permite que diversos peritos examinem em paralelo as mesmas evidências, característica muito relevante quando um incidente precisa ser investigado em prazos muito curtos ou por equipes multidisciplinares. A função de linha de tempo mostra graficamente as datas e horários em que houve criação, alteração ou mesmo eliminação de arquivos. Com isso é possível confrontar rapidamente a movimentação de milhares de arquivos com as datas e horas alegadas pelos suspeitos, nos permitindo confirmar se o que dizem é verdade” 14 Giuliano Giova, presidente do IBP Brasil.
  • 16. Por serviços profissionais - Roubo de informações - Violação de políticas internas - Malware na rede
  • 17. Roubo de informações Caso Suspeita de apropriação indevida de dados e ativos corporativos por ex-sócios de uma importante empresa, cliente da TechBiz Forense Digital. Demanda Analisar HDs em busca de evidências eletrônicas que caracterizassem perdas e danos e concorrência desleal. Resultado Em apenas duas semanas, foram levantados dados suficientes para ratificar as suspei- tas. O laudo fornecido pela TechBiz Forense Digital incluiu registros de e-mails e chats; a identificação do uso da ferramenta de sanitização SDelete; arquivos apagados que foram recuperados ou encontrados em áreas não alocadas; e uma linha do tempo 16 com todos os indícios da fraude – do planejamento à execução.
  • 18. Violação de políticas internas Caso Denúncia de vazamento de informações confidenciais de uma grande empresa foram relatadas no documento “Fraudes de Cartão de Crédito”, produzido pela área de Prevenção à Fraude Coorporativa. Demanda Verificar a existência de irregularidades como desvio de conduta ou violação de políticas internas, bem como identificar o responsável e os envolvidos em tais Resultado práticas. A partir da análise do HD de um funcionário suspeito, os profissionais da TechBiz Forense Digital encontraram os indícios que caracterizaram o vazamento da infor- mação. Foram recuperados e-mails do funcionário contendo informações confiden- ciais. Todas as evidências foram entregues ao cliente. 17
  • 19. Malware na rede Caso Geração de tráfego incomum na rede de uma organi- zação, acarretando em sobrecarga de processamento do firewall. Demanda Consultoria para investigar a causa da sobrecarga, identificar os responsáveis e remediar as máquinas suspeitas. Resultado Durante a investigação, não foi encontrado nenhum indício que justificasse a degra- dação da performance da rede. O tráfego foi capturado e eventos de NetFlow, Firewall e IPS foram monitorados. O malware IPZ.EXE foi encontrado e ações de reme- diação, providenciadas. Foram identificadas diversas tentativas de conexões de rede 18 com origem de IPs internos diretamente ao Firewall.
  • 20. Por produto - NetWitness NextGen - UFED Cellebrite - EnCase - Image MASSter Solo 3
  • 21. NetWitness NextGen Caso Ao utilizar o NetWitness NextGen por seis meses uma importante instituição financeira obteve redução de mais de US$ 6 milhões em fraudes bancárias on-line. A infraestrutura da solução, composta por Decoders e Concentrators, permitiu que o time de segurança do banco capturasse e indexasse o tráfego de rede dentro da área OLB (Online banking). Simultaneamente, as informações do tráfego em tempo real foram associadas às múltiplas fontes dos feeds de inteligência contra ameaças do NetWitness Live. Essa abordagem permitiu descobrir imediata- mente a existência de proxies maliciosos conectados à OLB via SSL. As descobertas foram repassadas ao departamento antifraude para que as devidas ações de reação fossem providenciadas. Resultado Foi constatado pela equipe de fraudes que quase 80% das transações em questão eram fraudulentas e não foram descobertas anteriormente pelos controles de segurança pré-existentes. Para evitar que os trojans solicitassem do usuário campos adicio- nais ao tradicional username/password – como número de cartão de crédito, senhas, datas de expiração e códigos de segurança do cartão (CVV2) –, mais uma vez o NetWitness foi utilizado. Mais especificamente, a habilidade inerente da ferra- menta de realizar decriptação SSL para monitorar sessões OLB na camada da aplicação e procurar por esses possíveis campos adicionais. Sites de phishing geralmente redirecionam os visitantes ao site legítimo do banco depois de coletar as credenciais que desejam. O NetWitness NextGen foi utilizado pelo cliente para minimizar o risco de exposição ao identificar referências HTTP em portais OLB e revelar atividades de phishing antes que o cliente as notificasse. A ferramenta foi crucial para oferecer 20 indicações oportunas e alertas em contas comprometidas de clientes e atividades bancárias fraudulentas em geral.
  • 22. UFED Cellebrite Caso A prefeitura de Cali, na Colômbia, adotou o UFED Touch Ultimate, da Cellebrite, para extrair provas legais de praticamente todos os tipos de celulares, smartphones, tablets e demais equipamentos móveis, mesmo que os dados tenham sido previamente apagados antes de iniciada e investigação. Com a utilização da solução, o órgão de investigação Seccional de Investigacíón Criminal de Cali (SIJIN), conseguiu incriminar – e prender – 24 suspeitos de crimes graves, contra os quais não havia outras evidências, exceto os vestígios digitais, relevados pela tecnologia Cellebrite em seus aparelhos móveis. Em uma operação antiterror, o UFED foi crucial para que a polícia colombiana, que já havia capturado um suspeito, provasse o seu envolvimento direto com a explosão de uma bomba defronte a chefatura de polícia de Cali, ocorrida em 2008. Resultado Através do UFED, a polícia conseguiu reconstituir uma grande quantidade de mensagens, informações e comandos de teclado que haviam sido empregados junto ao celular do suspeito e que já tinham sido deletados. Com isto, foi possível provar que aquele aparelho específico não só se comunicou com os de outros suspeitos, como foi usado – ele próprio – para detonar os explosivos a distância. 21
  • 23. EnCase Caso Um cliente suspeitou que uma intrusão havia ocorrido em um servidor web localizado em sua rede DMZ. A princípio foi utilizado o EnCase Forensic para investigar a demanda, mas devido à sua natureza manual os investigadores focaram em apenas 30 dos 2.000 servidores da empresa. Resultado Após três semanas de trabalho, o EnCase Forensic não identificou a intrusão nas máquinas analisadas. Em duas semanas, o EnCase Enterprise, que analisou automaticamente todos os 2.000 servidores da empresa, permitiu entender como os hackers tiveram acesso à rede, o que eles fizeram e o número de máquinas comprometidas. 22
  • 24. Image MASSter Solo 3 Caso A partir da denúncia sobre lavagem de dinheiro, formação de quadrilha e crime contra a ordem tribu- tária, os peritos do Instituto de Criminalística Carlos Éboli (ICCE) do Rio de Janeiro apreenderam 23 das 47 máquinas encontradas no escritório de um estabelecimento comercial. Segundo as informações da Secretaria Estadual da Fazenda, o estabelecimento estaria operando em nome de outras empresas, com menor faturamento do que o esperado, em uma manobra para participar de um sistema de tributação mais vantajosa e pagar menos impostos. Resultado Com o Solo 3 em mãos – equipamento da Intelligent Computer Solutions, vendido no Brasil pela TechBiz Forense Digital – os peritos do ICCE fizeram duas cópias perfeitas dos 23 Discos Rígidos a serem investigados, encaminhando uma das duplicações ao advogado da parte acusada. Até dois HD foram “clonados” simultaneamente, a uma velocidade de até 3GB/min. *O Image MASSter Solo 3 foi substituído pelo Image MASSter Solo 4 23
  • 25. www.forensedigital.com.br Brasília | DF 61 3468-8600 São Paulo | SP 11 3525-7568 Rio de Janeiro | RJ 21 3436-7568 Minas Gerais | MG 31 3211-1800