1. In tr o d u ç ã o à F o r e n s e C o m p u ta c io n a l
To n y R o d r ig u e s , C IS S P, C F C P, S e c u r ity +
in v.fo r e n s e a r r o b a g m a il p o n to c o m
2. T e r m o d e is e n ç ã o d e r e s p o n s a b ilid a d e
• Não nos responsabilizamos pelo mal uso das informações
aqui prestadas
• Aproveite este material para ampliar seus conhecimentos
em Forense Computacional e usá-los com
responsabilidade.
3. Agenda
• Objetivos
• A internet no cenário mundial e
brasileiro
• Ciência Forense e Forense
Computacional
• Profissionais envolvidos
• Principais aspectos da Forense
Computacional
• Técnicas de Análise
• Novidades na área
• Material indicado
• Conclusão
4. O b je tiv o s
• Introduzir os conceitos de Forense Computacional
• Mostrar os principais aspectos de uma investigação
digital
• Atualizar a todos com as novidades da área
7. A I nternet no c ená rio
m undia l e bra s ileiro
8. C r e s c im e n to d a In te r n e t e a c r im in a lid a d e C ib e r n é tic a
• Cenário Mundial
– Alta dependência da Tecnologia da Informação
– Virtualização da sociedade (comunidades on-line)
– Alta oferta de serviços “on-line”, desde instituições
financeiras, até supermercados
– Empresas estão apoiando suas estratégias em
componentes tecnológicos: significa fazer mais, melhor e
com maior controle, em menor tempo e com menor
custo.Tecnologia = diferencial estratégico
9. E s ta tí s tic a m u n d ia l d e u s o d a In te r n e t
13. O B r a s il n a s e s ta tí s tic a s
• Incidentes de segurança da informação
crescem 191% em 2006 (68000 incidentes em
2005 x 197892 em 2006)
• Fraudes: aumento de 53% em 2006.
• As primeiras ações geradas após um
incidente de segurança acabam
prejudicando o processo de investigação e
de perícia
14. C rim es C ibernétic os (C ybercrime)
• Definição: Ato ilegal envolvendo um
computador, seus sistemas ou aplicações
• Abrange somente situações intencionais
• Verifica as ferramentas usadas, o alvo e as
circunstâncias do crime
15. C rim es es pec ia liza dos m a is c om uns
• Envio de informações confidenciais
por e-mail
• Ataque por concorrentes ou ex-
funcionário
• Fraude em sistemas financeiros
(Internet banking)
• Instalação de cavalos-de-tróia em
estações de trabalho
• Envio de ameaças por e-mail
• Remoção ou alteração indevida de
informações
• Pedofilia
17. L eg is la ç ã o - E U A
• United States Code – Title 18 –Part I Crimes:
– Seção 875: Interstate Communications: Including threats,
Kidnapping, Ransom, Extortion
– Seção 1029: Fraud and Related Activity in connection with
access devices
– Seção 1030: Fraud and Related Activity in connection with
Computers
– Seção 1343: Fraud by Wire, Radio or Television
– Seção 1361: Injury of Government Property
– Seção 1362: Government Communications System
– Seção 1831: Economic Espionage Act
– Seção 1832: Theft of Trade Secrets
20. C iênc ia Forens e
• Ciência Forense: dividida em diversas
disciplinas, atua em conjunto com o
investigador na busca pela verdade.
• Pathology Examination of the Dead
• Living Cases Toxicology
• Anthropology Odontology
• Engineering Biology
• Geology Psychiatry
• Questioned Documents Criminalistics
• Jurisprudence Computer Forensics
21. U m pouc o de H is tória
• Hsi Duan Yu: Escreveu o Washing Away of Wrongs, tido
por alguns como o primeiro livro de Forense da história
• Antoine Louis: Trabalhava identificando causas de
morte
• Mathieu Orfila: Pai da Toxicologia Forense
• Francis Galton: Primeiro estudo sobre impressões
digitais
• Madame Lafarge: Primeiro caso de uso de Forense em
um tribunal
• Albert Osbourne: Princípios de Análise de documentos
22. U m pouc o de H is tória
• Arthur Conan Doyle: Primeiras histórias de
Sherlock Holmes
• Leone Lattes: Descobre os grupos sanguíneos
• Calvin Goddard: Compara armas e projéteis
• Edmund Locard: Propõe o Princípio de Locard
• FBI: Cria o primeiro laboratório de Forense
• Roland Menzel: Uso de lasers para identificar
impressões digitais
• Alec Jeffreys: Descoberta do DNA único
• Anthony Zuiker: Criou a série C.S.I e
popularizou a Ciência Forense
23. Forens e C om puta c iona l
• É um conjunto metódico de técnicas e
procedimentos para capturar evidências de
equipamentos de computação ou vários
equipamentos de armazenamento de dados
e mídias digitais, de forma a serem
apresentados em Juízo de forma coerente e
significativa.
Dr H. B. Wolfe
24. Forens e C om puta c io na l ou R es po s ta a
I nc identes ?
• Forense Computacional
está ligada a
investigações e
preservação das
evidências
• Resposta a Incidentes
refere-se aos
procedimentos para
conter, tratar e eliminar
um incidente de
Segurança de
Informações
26. P erito em Forens e C om puta c iona l
• É o profissional com formação em 3o grau,
com experiência comprovada no assunto,
nomeado pelo Juiz para responder
questões específicas sobre determinado
caso.
– Funciona como um assessor técnico do Juiz
– Indicado pelo Juiz
– Honorários definidos pelo Juiz
– Trabalha com prazos especificados
27. A s s is tente T éc nic o da s P a rtes
• É o profissional com formação em 3o grau,
com experiência comprovada no assunto,
nomeado pelas Partes de um processo para
pesquisar a verdade e apresentá-la sob a
forma de Parecer Técnico.
– Funciona como um assessor técnico da Parte.
– Indicado pela Parte, ou pelo advogado da mesma.
– Honorários negociados diretamente com a Parte
contratante
– Trabalha com prazos repassados às Partes pelo Juiz
28. P erito C rim ina l em Forens e
C o m puta c io na l
• É o policial ou funcionário público
habilitado na área de Forense
Computacional.
– Somente por Concurso Público
– É quem trata dos processos quando há crime
– A maior parte está na Polícia Federal,
atualmente
29. I nves tig a dor em Fo rens e C o m puta c io na l
• É o profissional habilitado em Forense
Computacional que trabalha no mercado
privado
– Funcionário ou Consultor
– Valores negociados diretamente com o contratante
– Realiza investigações sem seguir a formalização
– O resultado pode ou não ser usado em Juízo
30. C o nhec im entos e C o m petênc ia s do
P ro fis s io na l de Fo rens e C o m puta c iona l
- Conceitos gerais sobre Forense Computacional
- Detalhes técnicos de vários sistemas operacionais
- Detalhes técnicos de vários Sistemas de arquivos
- Detalhes técnicos de vários softwares de vários SOs
- Escrever um bom relatório
- Algum embasamento jurídico, principalmente no modelo
brasileiro de coleta e apresentação das evidências
- Coletar evidências em situações diversas (dead acquisition/live
acquisition, usando HD externo, pen drive, via rede, de PDAs,
telefones celulares, etc). Tem até Xbox passando por Forense ...
- Técnicas anti-forenses
- Lógica investigativa apurada.
- Saber lidar com prazos curtos
39. P res erva ç ã o – C a deia de C us tó dia
• É um instrumento para manter a integridade
– Evidências são etiquetadas e lacradas
– A etiqueta deve conter o hash da mídia lacrada e
informações sobre a aquisição
– A etiqueta também contém a data/hora e a
identificação de quem realizou a aquisição
– A lista é mantida, recebendo uma anotação a cada
acesso de alguém à evidência
– Esse registro deve conter a referência a pessoa, a
data e a hora que levou e devolveu a evidência.
– Sempre lacrada ou no cofre de evidências
41. A ná lis e
• As evidências são analisadas para o levantamento de
artefatos que possam corroborar ou negar as teses
(suspeitas)
• As técnicas variam conforme:
• As suspeitas;
• O dispositivo sendo analisado
• O sistema operacional
• O sistema de arquivos
42. D o c um enta ç ã o
• É a parte final do trabalho
• Pode ser:
– Um relatório investigativo;
– Um Parecer Técnico;
– Um Laudo Pericial
• 5W1H
– What, Who, Where, When, Why, How
• NUNCA deve-se fazer juízo do caso.
O objetivo é mostrar o que aconteceu!
44. A ná lis e – P rinc ipa is T éc nic a s
• Filtragem de arquivos
• Busca de informações escondidas
– Obfuscação
– Arquivos apagados
– Slack Space
– File Carving
• Busca por palavras-chave
• Esteganografia
• Linha do tempo usando MAC Times
• Email Traceback
• Network Forensics
45. P a c o te s F o r e n s e s
• Guidance EnCase;
• AccessData FTK
• ASR SMART
• iLook Investigator (restrito)
• KrollOnTrack Eletronic Data Investigator
• Vários softwares da Paraben e da X-Ways
49. Novidades
• Software livre
• O fim da Forense Nintendo
• Aquisição e análise da RAM
• Live Acquisition
• Emanations
• Análise do Registry
• Hash parcial
• PLS 76/2000
51. L ite r a tu r a r e c o m e n d a d a
http://forcomp.blogspot.com
http://www.e-evidence.info
52. C o n c lu s ã o
• A tecnologia, principalmente a Internet, trouxe melhorias
enormes para os negócios, mas também criou um novo
terreno para os criminosos
• A perspectiva é de que seja cada vez mais necessário o
trabalho do Perito/Investigador Forense Computacional
• Há várias ferramentas para o trabalho do profissional de
Forense Computacional, incluindo ferramentas com
código livre
• As técnicas de análise evoluem a cada dia !
– Os crimes também !!!
53. Avis o Leg al
O presente material foi gerado com base em informações próprias e/ou coletadas a partir dos
diversos veículos de comunicação existentes, inclusive a Internet, contendo ilustrações
adquiridas de banco de imagens de origem privada ou pública, não possuindo a intenção de violar
qualquer direito pertencente à terceiros e sendo voltado para fins acadêmicos ou meramente
ilustrativos. Portanto, os textos, fotografias, imagens, logomarcas e sons presentes nesta
apresentação se encontram protegidos por direitos autorais ou outros direitos de propriedade
intelectual.
Ao usar este material, o usuário deverá respeitar todos os direitos de propriedade intelectual e
industrial, os decorrentes da proteção de marcas registradas da mesma, bem como todos os
direitos referentes a terceiros que por ventura estejam, ou estiveram, de alguma forma
disponíveis nos slides. O simples acesso a este conteúdo não confere ao usuário qualquer direito
de uso dos nomes, títulos, palavras, frases, marcas, dentre outras, que nele estejam, ou
estiveram, disponíveis.
É vedada sua utilização para finalidades comerciais, publicitárias ou qualquer outra que contrarie
a realidade para o qual foi concebido. Sendo que é proibida sua reprodução, distribuição,
transmissão, exibição, publicação ou divulgação, total ou parcial, dos textos, figuras, gráficos e
demais conteúdos descritos anteriormente, que compõem o presente material, sem prévia e
expressa autorização de seu titular, sendo permitida somente a impressão de cópias para uso
acadêmico e arquivo pessoal, sem que sejam separadas as partes, permitindo dar o fiel e real
entendimento de seu conteúdo e objetivo. Em hipótese alguma o usuário adquirirá quaisquer
direitos sobre os mesmos.
O usuário assume toda e qualquer responsabilidade, de caráter civil e/ou criminal, pela utilização
indevida das informações, textos, gráficos, marcas, enfim, todo e qualquer direito de propriedade
intelectual ou industrial deste material.
54. O b r ig a d o !
Inv ponto forense arroba
gmail ponto com
(Tony Rodrigues)