Forense em SmartPhone e uma Introdução a Computação Forense.

1.791 visualizações

Publicada em

Palestra ministrada para os alunos da graduação e pós graduação do curso de segurança da Informação no evento IX Semana de Tecnologia na FATEC Ourinhos.

Publicada em: Tecnologia

Forense em SmartPhone e uma Introdução a Computação Forense.

  1. 1. José Francci Neto Júlio César R. Benatto
  2. 2. AGENDA -Introdução -Ciência Forense -Forense Computacional -Preparação -Aquisição -Análise -Relatórios -Certificações -Smartphones -Formas de aquisição de dispositivos móveis -Coleta de evidências -Análise com software Open Source -Análise com software Pago -Conclusão -Open Source x Software Pago
  3. 3. -O que é a Ciência Forense?
  4. 4. -O que é a Ciência Forense? -Uso de artifícios, dentre eles, a ciência forense, com o intuito de elucidar fatos acerca de um determinado ocorrido, de natureza criminal ou qualquer outra onde haja conflito de interesses.
  5. 5. -Computação Forense
  6. 6. Forense Computacional O que pode ser análisado? •Computadores •Servidores •SmartPhones •Celulares, Pages, Tablets, etc.. •GPS •Consoles de Video Games •Playstation, Xbox, etc.
  7. 7. Forense Computacional Processo de Investigação Forense Computacional
  8. 8. Forense Computacional Processo Macro. PREPARAÇÃO > AQUISIÇÃO > ANÁLISE > RELATÓRIO Atividade suspeita
  9. 9. Preparação O que é necessário para execução da atividade •Pessoas; •Processos; •Infra. •Pessoas; •Processos; •Infra.
  10. 10. Aquisição Realizar uma cópia bit a bit da origem que será submetida à análise. •Criação de imagem forense; •1 source > 2 targets •Bloqueador de escrita; •Geração hash; •Cadeia de custódia; •Ata notarial.
  11. 11. Aquisição Ferramentas para aquisição e realização da imagem forense Tableau TD3
  12. 12. Aquisição Ferramentas para aquisição e realização da imagem forense Falcon Duplicator ACCESSDATA FTK Imager 3.1
  13. 13. Aquisição Ferramentas para aquisição e realização da imagem forense TABLEAU IMAGER DCFLDD - LINUX
  14. 14. Análise Durante uma análise forense são analisados diversos artefatos que podem conter informações relevantes sobre comportamentos do(s) usuário(s) do computador ou sistema investigado. Download – É possível determinar arquivos que o usuário tenha feito download. Skype – É possível remontar conversas de Skype (chat), entre outras ferramentas de mensagens instantâneas. Excluídos – É possível realizar recuperação de arquivos deletados no disco que esta em análise (Data Carving) e verificar e acessar os dados que estão marcados como excluídos na MFT (Master File Table). Execução de programas – Pode-se determinar programas executados no ambiente em análise. Uso de dispositivos móveis – É possível determinar dispositivos móveis conectados no computados analisado.
  15. 15. Análise Exame dos Dados coletados •Filtrar, avaliar e extrair informações relevantes; •Interpretação dos dados coletados •Identificação dos envolvidos; •Estabelecimento de ordem cronológica (TimeLine); •Levantamento de eventos e locais; •Cruzamento de informações que levem a provas concretas ou evidências.
  16. 16. Análise Exame dos Dados coletados
  17. 17. Análise Ferramentas para análise dos dados coletados
  18. 18. Análise Ferramentas para análise dos dados coletados
  19. 19. Análise Ferramentas para análise dos dados coletados Autopsy Forensic Browser www.sleuthkit.org/autopsy
  20. 20. Análise Ferramentas para análise dos dados coletados •Framework para Pentest •Desenvolvido em ruby •Constante atualização •Ambiente de pesquisa para exploração de vulnerabilidades •Forense
  21. 21. Relatórios Tem a finalidade de relatar os resultados obtidos durante a análise, de forma imparcial. •Resposta aos quesitos; •Análise imparcial; •Remontar os passos adotados durante a análise; •Linguagem de adequada ao interlocutor; •Relatório técnico •Laudo pericial •Conclusivo e sem opiniões.
  22. 22. Certificações
  23. 23. Open Source x Software Pago Aprendizado x Tempo x Facilidade de uso x Cenário
  24. 24. Forense Smartphone
  25. 25. Forense Smartphone Formas de aquisição de dispositivos móveis •Como manter a energia do mesmo? •Como acomodar, transportar, identificar o dispositivo? •Como devem ser examinadas as possíveis informações e dados relevantes presentes no dispositivo?
  26. 26. Forense Smartphone Formas de aquisição de dispositivos móveis Dois pontos chaves para responder estas perguntas: •Conhecimento sobre o software e o hardware dos dispositivos envolvidos. •Procedimentos bem definidos para realizar a investigação.
  27. 27. Forense Smartphone Formas de aquisição de dispositivos móveis •Ferramentas atuais permitem duas formas de aquisição diferentes •Aquisição Física •Cópia bit-a-bit de toda uma unidade de armazenamento (ex. memória do aparelho) •Aquisição Lógica •Cópia bit-a-bit de objetos de armazenamento (ex. arquivos, diretórios) contidos dentro de uma unidade lógica de armazenamento (ex. partição do sistema de arquivos)
  28. 28. Forense Smartphone Coleta de evidências •Dispositivo deve ser isolado de outros que permitam sincronização •Se estiver conectado a um computador via cabo, remover o cabo do computador •Evidências não digitais (ex. manuais, pacotes, etc) podem ser úteis •Características do dispositivo •Características da rede •Códigos de liberação de PIN •Informações de contas
  29. 29. Forense Smartphone Coleta de evidências •Dispositivo deve ser isolado também da rede de rádio •Evita que novos tráfegos (ex. SMS, ligações) sobrescrevam informações atuais •Evita uso de ferramentas de bloqueio remoto •Desligar o dispositivo •Guardá-lo em um recipiente isolante (ex. Faraday Bag)
  30. 30. Forense Smartphone Coletas de evidências Gaiola de Faraday é basicamente uma armação metálica fechada (ou de outro material condutor) que mantêm ondas eletromagnéticas em sua superfície criando um campo nulo em seu interior.
  31. 31. Forense Smartphone Coleta de evidências •Desligar o dispositivo pode requerer código de desbloqueio ao ligar •Isolá-lo da rede de rádio aumenta o consumo de bateria •Alguns telefones apagam os dados de rede após algum tempo sem sinal •Recipientes isolantes podem permitir recebimento de sinal
  32. 32. •Framework para análise forense de dispositivos móveis •Análise de malware em dispositivos móveis •Pode ser utilizado para testes de segurança em dispositvos móveis. Forense Smartphone Análise Forense de Smartphone utilizando Software Livre https://santoku-linux.com
  33. 33. •Motorola Milestone 3 (XT860) •Android v.2.3.6 Forense Smartphone Smartphone XT860 com Android
  34. 34. Forense Smartphone Preparando o ambiente Gconftool - Desabilitando o recurso automount do Linux
  35. 35. Forense Smartphone Reconhecimento e acesso a evidência Adb (android debug bridge) – Reconhecendo o smartphone.
  36. 36. Forense Smartphone Reconhecimento e acesso a evidência Resultado do comando adb shell mount.
  37. 37. Forense Smartphone Imagem forense do artefato Análise do hash artefato que será coletado. Criação da imagem forense e hash MD5 do dispositivo móvel. Transferência da imagem forense do dispositivo móvel para estação de análise forense.
  38. 38. Forense Smartphone Reconhecendo a evidencia Tela inicial da ferramenta Autopsy Forensic Browser.
  39. 39. Forense Smartphone Reconhecendo a evidencia Tela com dados referentes ao novo caso.
  40. 40. Forense Smartphone Reconhecendo a evidencia Tela com dados de inclusão de novo host. Tela com dados de confirmação de criação de caso e inclusão de um host para o caso.
  41. 41. Forense Smartphone Reconhecendo a evidencia Tela com dados de inclusão da imagem forense. Tela com dados de confirmação de inclusão de novo host.
  42. 42. Forense Smartphone Reconhecendo a evidencia Tela com dados de confirmação da integridade. Tela com dados de inclusão do hash MD5 para análise de integridade.
  43. 43. Forense Smartphone Reconhecendo a evidencia Tela com dados do diretório /data/com.android.providers.telephony/databases/. Tela com dados do caso e imagem forense adicionados no Sleuthkit Autopsy.
  44. 44. Forense Smartphone Reconhecendo a evidencia Tela com dados do diretório /data/com.android.providers.telephony/databases/ e a opção Export. Tela com resultado da geração de hash MD5 dos arquivos.
  45. 45. Forense Smartphone Reconhecendo a evidencia Consulta customizada através do Sqliteman.
  46. 46. Forense Smartphone Reconhecendo a evidencia Opção de exportação de dados através do Sqliteman. Construtor de consulta customizada através do Sqliteman.
  47. 47. Forense Smartphone Reconhecendo a evidencia Quantidade de registros retornados pelo Oxigen Forensic SQLite Viewer. Exemplos de consultas customizadas através do Sqliteman.
  48. 48. Forense Smartphone Reconhecendo a evidencia Quantidade de registros retornados pelo Sqliteman.
  49. 49. Forense Smartphone Reconhecendo a evidencia
  50. 50. Forense Smartphone Reconhecendo a evidencia
  51. 51. Forense Smartphone Análise Forense de Smartphone utilizando UFED
  52. 52. Forense Smartphone Reconhecendo a evidencia
  53. 53. •iPhone 5s •iOS v.8.0.2 Forense Smartphone Smartphone XT860 com Android
  54. 54. Forense Smartphone Reconhecendo a evidencia Relatório Formato da aquisição
  55. 55. Forense Smartphone Reconhecendo a evidencia
  56. 56. Forense Smartphone Reconhecendo a evidencia
  57. 57. Forense Smartphone Reconhecendo a evidencia
  58. 58. Forense Smartphone Reconhecendo a evidencia
  59. 59. Forense Smartphone Reconhecendo a evidencia
  60. 60. Forense Smartphone Reconhecendo a evidencia
  61. 61. Forense Smartphone Reconhecendo a evidencia
  62. 62. Forense Smartphone Reconhecendo a evidencia
  63. 63. Forense Smartphone Reconhecendo a evidencia
  64. 64. Forense Smartphone Reconhecendo a evidencia
  65. 65. Forense Smartphone Reconhecendo a evidencia
  66. 66. Forense Smartphone Reconhecendo a evidencia
  67. 67. Forense Smartphone Reconhecendo a evidencia
  68. 68. Forense Smartphone Reconhecendo a evidencia
  69. 69. Forense Smartphone Reconhecendo a evidencia
  70. 70. Forense Smartphone Reconhecendo a evidencia
  71. 71. Forense Smartphone Reconhecendo a evidencia
  72. 72. Forense Smartphone Correlação de dados
  73. 73. Forense Smartphone Correlação de dados
  74. 74. Open Source x Software Pago Aprendizado x Tempo x Facilidade de uso x Cenário
  75. 75. Muito Obrigado! José Francci Neto neto@francci.net http://br.linkedin.com/pub/jos%C3%A9-francci-neto/10/899/187 Júlio César Roque Benatto jcbenatto@gmail.com http://br.linkedin.com/pub/julio-cesar-roque-benatto/13/b57/740

×