1. PERÍCIA E INVESTIGAÇÃO DIGITAL
PROF. DEIVISON PINHEIRO FRANCO
PERITO FORENSE COMPUTACIONAL, AUDITOR DE TI E PENTESTER
ISO/IEC – 27002 FOUNDATION
CEH – CERTIFIED ETHICAL HACKER
CHFI – CERTIFIED HACKING FORENSIC INVESTIGATOR
CIFI – CERTIFIED INFORMATION FORENSIC INVESTIGATOR
CFCE – CERTIFIED FORENSIC COMPUTER EXAMINER
DSFE – DATA SECURITY FORENSICS EXAMINER
deivison.pfranco@gmail.com
V Semana Acadêmica da FCAT
2. Quem Sou Eu?
2
ü Mestre em Inovação Tecnológica e em Computação Aplicada,
Especialista em Ciências Forenses com Ênfase em
Computação Forense, em Suporte a Redes de Computadores e
em Redes de Computadores e Graduado em Processamento de
Dados;
ü Analista Pleno em Segurança de TI, Consultor Especial de
Segurança da Informação e Membro do Comitê de Segurança
Corporativa para Prevenção, Combate e Resposta a Incidentes
e Crimes Cibernéticos do Banco da Amazônia;
ü Professor das Disciplinas: Computação Forense, Segurança de
Redes e de Sistemas e Auditoria de Redes e de Sistemas;
ü Colaborador/Colunista das Revistas Segurança Digital,
Convergência Digital, Espírito Livre, Digital Forensics
Magazine, eForensics Magazine e Hakin9 Magazine;
ü Perito Forense Computacional, Auditor de TI e Pentester;
ü Certificações: ISO/IEC 27002 Foundation, CEH – Certified
Ethical Hacker, CHFI – Certified Hacking Forensic Investigator,
CIFI – Certified Information Forensic Investigator, CFCE –
Certified Forensic Computer Examiner e DSFE – Data Security
Forensics Examiner .
4. 1. Introdução
4
ü Computação Forense
ü Ramo da Ciência da Computação
ü Ramo da Criminalística
ü Ciência à Aquisição, Preservação, Identificação, Extração, Recuperação e
Análise de Dados Eletrônicos Armazenados em Mídia Computacional
- Definição
Ä ”Uma série metódica de técnicas e procedimentos para coletar evidências de sistemas
computadorizados, de dispositivos de armazenamento ou de mídia digital, as quais
podem ser apresentadas em um foro de forma coerente e em formato inteligível”
Dr. H. B. Wolf
5. 1. Introdução
5
ü Perícia Forense Computacional
ü Perícia à Investigação, Pesquisa, Exame
ü Forense à Foro, Tribunal, Poder Judiciário
ü Computacional à Processamento Digital (0/1) de Dados por Meios
Automáticos à Informações Automáticas (Informática)
- Definição
6. 1. Introdução
6
ü Manipular Novas Formas de Evidências
à Evidências Digitais
ü Adquirir/Coletar, Preservar, Recuperar e Analisar Dados
Eletrônicos Armazenados em Mídia Computacional
ü Determinar a Dinâmica (Como), a Materialidade (O Que) e a
Autoria (Quem) de Ilícitos Ligados à Informática à Nexo Causal
ü Utilização de Métodos Técnicos-Científicos e Sistemáticos para Identificar,
Caracterizar e Processar Evidências Digitais em Provas Materiais de um
Fato/Crime à Provas Legais de um Fato/Crime
- Objetivo
Ä Informação(ões) à Dado(s) Processado(s)
7. 1. Introdução
7
ü Ocorrências em Meios Eletrônicos / Internet
ü Provar Fatos
ü Identificar, Comprovar e Combater Crimes
ü Recuperação de Dados
- Aplicação
ü Coletar, Registrar, Analisar e Relatar Tudo;
com o Mínimo de Perdas
ü Objetividade à Finalidade
ü Especificidade à Tema/Tipo de Perícia
ü Síntese à Consolidação/Demonstração
ü Celeridade à Agilidade Eficiente/Eficaz
ü Preservação à Integridade
- Princípios
9. 1. Introdução
9
- Desafios
ü Efetivamente Ainda é Mais Arte que Ciência
ü Em Estado Inicial de Desenvolvimento
ü Pouco Conhecimento Teórico à Hipóteses Empíricas
(Baseadas em Experiência)
ü Falta de Treinamento/Formação Apropriada
ü Falta de Padronização de Ferramentas
- Curiosidades
ü Hackers x Crackers à White Hackers x Black Hackers
ü Hacker Action à Penetration Testers à Segurança x Auditoria de TI
ü Phreackers à Telefonia (Móvel ou Fixa)
ü Hacktivismo à “A Nova Cara da Invasão”
NÍVEL HABILIDADES
Clueless Nenhuma à “zerado”.
Script Kiddie Baixa programas da Internet à segue “receitas de bolo”.
Wizard Experiente à conhecimentos avançados em diversas soluções.
Guru Conhecimentos mais avançados à capaz de manipular hardware e software.
10. 2. Crimes/Ataques Cibernéticos
ü Não!
ü Informações Trocadas e Armazenadas em Meios Físicos
ü Crime no Mundo Virtual/Digital
ü Vestígios Digitais à Bits (0/1)
ü Autenticação de Usuários
ü Conexões e Serviços
ü Mídias
ü Volatilidade de Dados 10
- Existe Crime Virtual?
ü O Crime Deixa Rastros (Vestígios) à Princípio de Locard
ü Crime à Conduta Típica, Ilícita e Culpável
(Tipificada no Código Penal)
ü Ataque à Evento que Ameaça a Segurança de
um Sistema/Rede
11. 2. Crimes/Ataques Cibernéticos
11
ü Virtual
ü Registros de Conexões/Serviços de Internet
- Local de Crime - Real X Virtual
ü Real
ü Material Impresso
ü Mudança de Paradigma
ü Especialização Tecnológica
ü Velocidade
ü Estrutura Ubíqua
Ä Roubo de senha de cartão de crédito por criminoso de São
Paulo, com vítima de Belém, utilizando-se de um site do
Paraguai, com servidores/sistemas Chineses.
12. 2. Crimes/Ataques Cibernéticos
ü Atividade Criminal à Internet e/ou Sistemas de TI
ü Auxiliados pela TI ou Ter como Meio/Alvo a TI
ü Dispositivos Eletrônicos, PCs, Servidores
ü Dispositivos Conectados em Rede
ü Old Crime, New Media/Tools
ü Extorsão, Fraudes, Pirataria, Pedofilia, Lavagem de Dinheiro etc.
ü New Crime, New Media/Tools
ü Ataques / Malwares à Vírus, Spywares, Rootkits, Botnets etc.
ü Key Loggers, “Chupa-Cabras”, Computadores, Redes, Internet etc.
12
- Por Computador / Dispositivos Eletrônicos
13. 2. Crimes/Ataques Cibernéticos
ü TI é a Ferramenta de Apoio (“Testemunha”)
ü Crime Pode ser Cometido sem TI
ü Mídias com Vestígios Importantes
ü Exemplos
ü Fraudes
ü Sonegação Fiscal
ü Corrupção
ü Jogos Ilegais
ü Tráfico de Influência
13
Ä Se a TI Não Existisse, o Crime Seria Praticado!
ü Atividades Criminais Auxiliadas pela TI
14. 2. Crimes/Ataques Cibernéticos
ü A TI é a Peça Central para a Ocorrência do Crime
ü Mau Uso do Computador e da Internet
ü Roubo de Informações / Divulgação de Material Ilícito
ü Exemplos
ü Fraude - Internet Banking
ü Espionagem
ü Pedofilia, Racismo
ü Vírus, Ataques
ü Pichação de Páginas de Internet (Defacement)
14
Ä Se a TI Não Existisse, o Crime Não Seria Praticado!
ü Atividades Criminais que Têm como Meio/Alvo a TI
16. 2. Crimes/Ataques Cibernéticos
16
ü Motivação/Comportamento do Criminoso
ü Técnicas/Metodologias Utilizadas
ü Dinâmica/Evolução de Técnicas/Metodologias
- Dinâmica
18. 3. Perícia Forense Computacional
18
- Principais Perícias
ü Locais de Crime de Informática
ü Exames Inloco
ü Mapeamento, Identificação e Preservação
ü Seleção do Material a ser Apreendido
ü Dispositivos de Armazenamento
ü Mais Solicitados
ü Analisar HDs, CDs, DVDs, Blu-Rays, Pen Drives e Outros
ü Composto de 4 Fases: Coleta/Exame/Análise e Resultados (ou
Preservação/Extração/Análise e Formalização)
ü Aparelhos de Telefonia Celular/Tablets
ü Extração/Recuperação de Dados
ü Agenda, Ligações, Fotos, Mensagens etc.
ü Sites
ü Verificação e Cópia de Conteúdo Existente e Publicado na Internet
ü Investigação do Responsável por um Domínio/Site/Endereço
Ä Dados Digitais Periciais e/ou Periciáveis à Evidências Digitais
19. - Principais Áreas de Atuação
ü Análise de Mídias/Equipamentos
3. Perícia Forense Computacional
19
ü Análise de Sistemas
ü Análise de Redes
20. 3. Perícia Forense Computacional
20
3.1 Dados Digitais Periciais/Periciáveis
ü Qualquer Informação Extraída de Computadores ou Dispositivos
Eletrônicos, Interpretada por Especialistas e Apresentadas em
Formato Inteligível
ü Armazenada ou Transmitida
ü Valor Probatório
ü Nexo Causal
ü Fraude x Vítima / Vítima x Agente à Fraude x Agente
ü Exemplos
ü Recuperação de Arquivos/E-mails Apagados
ü Investigação de Atividades Suspeitas
ü Recuperação de Mídias Formatadas
DADO DEFINIÇÃO
Vestígio Elementos materiais possivelmente relacionadas ao fato à potencial indício.
Indício Circunstância conhecida, provada e relacionada ao fato à indicação de algo.
Evidência Dado mais apurado, vestígio verdadeiro à certeza do que é evidente.
Prova Demonstra e estabelece a verdade do fato à convicção, ou não, do fato.
- Classificação
21. 3.1 Dados Digitais Periciais/Periciáveis
21
- Fontes de Dados/Evidências Digitais
ü Computadores
ü Disco Rígido
ü Dispositivos Auxiliares
ü Servidores
ü Logs
ü Dispositivos de Rede
ü Roteadores
ü Switches
ü Firewalls
ü IDS
ü Outros
ü Mídias Diversas
ü Tablets
ü Máquinas Digitais
Análise Forense
Post Mortem
AnáliseForensedeRede
Análise Forense
In Vivo
Tipos de Análises Forenses
22. 3.1 Dados Digitais Periciais/Periciáveis
22
- Live Analysis - Análise “In Vivo”
ü Possibilidade de Encontrar Dados Contaminados
ü Análise em 3 Camadas
ü Processos à Estados de Processos em Execução
ü Rede à Conexões/Tráfego de Rede
ü Sistema Operacional à Softwares Maliciosos
- Dead Analysis - Análise “Post-Mortem”
ü Maior Credibilidade dos Dados
ü Análise em 5 Camadas
ü Física à Dispositivos para Armazenamento de Dados
ü Dados à Setor de Boot e Particionamento
ü Sistema de Arquivos à Estrutura de Arquivos
ü Metadados à Itens Manipulados/Iseridos
ü Arquivos à Informações de Arquivos
23. 3.1 Dados Digitais Periciais/Periciáveis
23
- Novas Modalidades de Análises Forenses
25. 3.2 Fases da Perícia Forense Computacional
25
- Esquema Ilustrativo
Busca e Apreensão
Duplicação Pericial
Análise (nas cópias)
ü Mensagens de E-mail;
ü Documentos/Imagens;
ü Registros de Impressão;
ü Arquivos Apagados/Fragmentos;
ü Quebra de Senhas;
ü Uso da Internet;
ü Engenharia Reversa de Programas;
ü Conversão de Banco de Dados.
Documentação/Cadeia de Custódia Laudo
26. - Coleta à Busca e Apreensão (Mandado Judicial)
ü Quais Máquinas Apreender?
ü As Conexões são Importantes?
ü Como Apreender?
ü Relevância
ü Informações Úteis (Usuários/Senhas)
ü Identificação (Redes/Conexões)
ü Preservação (Coleta/Transporte/Acondicionamento)
3.2 Fases da Perícia Forense Computacional
26
ü Cadeia de Custódia
27. - Coleta à Cadeia de Custódia
ü Garantia e Controle de Integridade e Autenticidade
ü O Que Foi Manipulado?
ü Quando Foi Manipulado?
ü Quem Manipulou?
ü O Que Foi Feito? à Quais Procedimentos?
ü 2 ou Mais Peritos à 1 Conclusão
Linha Item Data Hora Quem Descrição
1 Disco Rígido #1 02/01/2012 10h15
Deivison
Franco
Apreendeu o HD no local, com permissão
dada pelo dono da empresa.
2 Disco Rígido #1 03/01/2012 10h45
Deivison
Franco
Transportou o HD para local de proteção de
evidências no escritório principal.
3 Disco Rígido #1 03/01/2012 14h00
Deivison
Franco
Retirou o HD para criar cópia de análise.
4 Disco Rígido #1 04/01/2012 10h00
Deivison
Franco
Retornou o HD ao local seguro para
evidências.
3.2 Fases da Perícia Forense Computacional
27
28. 3.2 Fases da Perícia Forense Computacional
ü Identificação de Possíveis Fontes de Dados
ü Computadores Pessoais
ü Dispositivos de Armazenamento
ü Portas de Comunicação à USB, Firewire, Flash Card etc.
ü Novas Tecnologias à Máquinas Digitais, Relógios, Canetas etc.
28
- Coleta à Dados
29. 3.2 Fases da Perícia Forense Computacional
ü Cópia dos Dados
ü Investigação Sempre nas Cópias
ü Ferramentas/Procedimentos Adequados e Aceitos
ü Garantir e Preservar a Integridade
ü Evidências Podem ser Invalidadas como Prova
ü Ferramentas Hash
ü Aquisição
ü Identificação de Prioridade
ü Coleta de Dados
ü Garantia e Preservação de Integridade
29
- Coleta à Dados
ü Cadeia de Custódia
30. 3.2 Fases da Perícia Forense Computacional
ü Estabelecer Ordem para a Coleta de Dados
ü Volatilidade à Imediatamente Coletados
ü Esforço à Tempo X Custo
ü Valor à Valor Relativo Para Cada Fonte de Dados
30
- Coleta de Dados à Identificação de Prioridade
ü Backup à Cópia Lógica (“CTRL C/CTRL V”) à Arquivos e Pastas
ü Arquivos Excluídos
ü Fragmentos de Dados
ü Imagem à Cópia Bit a Bit (Softwares)
ü Mais Espaço à Mais Tempo de Cópia
ü Recuperação de Arquivos mais Eficiente
- Coleta de Dados à Cópia/Clone
31. 3.2 Fases da Perícia Forense Computacional
ü Integridade dos Atributos de Tempo
ü Creation Time (ctime) à Data e Hora de Criação
ü Modification Time (mtime) à Data/Hora de Modificação
ü Access Time (atime) à Data e Hora de Acesso
31
- Coleta de Dados à Integridade
32. 3.2 Fases da Perícia Forense Computacional
ü Obtenção de Informações sobre o Sistema
ü Campos Magnéticos e Pulsos Eletrônicos
ü CPU, Memória, Rede, SO, Armazenamento
ü Informações Escondidas/Deletadas
ü Análise de Partições Estendidas e Lógicas
ü Tabela de Partições X Tamanho das Partições
ü Programas para Análise de Partições
ü Sistemas de Arquivos
ü Estruturas Internas
32
- Coleta de Dados à Voláteis X Não Voláteis
33. 3.2 Fases da Perícia Forense Computacional
ü Localizar, Filtrar e Extrair Dados Relevantes à Reconstrução de
Eventos X Correlação com o Fato/Crime
ü Ferramental/Procedimentos Adequados e Aceitos
ü Identificação de Características Anormais e Indevidas
ü Formatos/Extensões de Arquivos
ü Imagem, Áudio, Arquivos Compactados etc. à Esteganografia
ü Técnicas Anti-Forense
ü Quantidade de Evidências Inversamente Proporcional à Habilidade
ü Avaliação dos Dados Encontrados
ü Arquivos Recuperados
ü Arquivos Ocultos
ü Fragmentos de Arquivos
33
- Exameà Dados
34. 3.2 Fases da Perícia Forense Computacional
ü Paralela ao Exame de Dados
ü Análise e Interpretação dos Dados
ü O Perito Deve Pensar como o Criminoso
ü Identificar Pessoas, Locais, Eventos e Correlacioná-los
ü Nexo Causal à Fraude x Vítima / Vítima x Agente à Fraude x Agente
ü Recriar os Eventos Investigados
ü Identificar Origem e Relação de Requisições de Acesso, Registros de
Firewalls, Registros de IDS etc.
ü Construir Time Line
34
- Análise à Informações
ü Etapa Conclusiva à Elaboração do Laudo Pericial
ü Listagem de Todas as Evidências Periciadas
ü Conclusão Imparcial e Final à 2 ou Mais Peritos = 1 Conclusão
- Resultados à Evidências
35. 3.2 Fases da Perícia Forense Computacional
35
1 - Finalidade da Perícia
(Objetivos da Perícia)
6 - Técnicas
(Procedimentos Empregados)
2 - Autor(es) do Laudo
(Especialidades e Responsabilidades)
7 - Programas e Equipamentos
Utilizados
(Softwares e Hardwares – Versão e
Especificação Técnica)
3 - Resumo do Incidente
(Incidente e Consequências)
8 - Conclusão
(Comprovação com Evidências)
4 - Relação das Evidências
Analisadas e seus Detalhes
(Especificação, Estado/Condições e
Manipulação – Cadeia de Custódia)
9 - Anexos
(Documentação, Fotos etc.)
5 - Metodologia
(Métodos Adotados)
10 - Glossário (ou Rodapés)
(Termos Técnicos)
- Deve Constar no Laudo Pericial
36. - Softwares/SO e Hardwares
4. Ferramentas para Análise Forense Computacional
36
37. 4. Ferramentas para Análise Forense Computacional
ü FTK - Forensic ToolKit
ü EnCase Forensic
ü WinHex Forensic
37
- Softwares
41. 4. Ferramentas para Análise Forense Computacional
ü Linux Back Track
ü Linux FDTK (Forensic Digital ToolKit)
ü Linux CAINE (Computer Aided INvestigative Environment)
41
- Sistemas Operacionais
42. - Linux Back Track
4. Ferramentas para Análise Forense Computacional
42
43. - Linux FDTK
4. Ferramentas para Análise Forense Computacional
43
44. - Linux CAINE
4. Ferramentas para Análise Forense Computacional
44
45. 4. Ferramentas para Análise Forense Computacional
ü Mobile Forensic Workstation com RAID - Rapid Action
Imaging Device
ü Ultrabook, Discos de Alta Performance, Impressora, Máquina
Fotográfica, Adaptadores, Conectores, Cabos, Ferramentas
para Hardware, Softwares Forenses e Bateria Extra
ü FRED - Forensic Recovery of Evidence Device
ü Processamento/Análise de Servidores/HD de Grande Porte
ü Aircapture WLAN
ü Captura, Grava e Analisa Transmissões Wireless em um Raio
de 5 Km
45
- Hardwares
46. - Mobile Forensic Workstation com RAID
4. Ferramentas para Análise Forense Computacional
46
49. Concluindo...
49
- O Perito Forense Computacional
ü Nível Superior, com experiência comprovada no assunto,
nomeado por um Juiz para responder questões específicas sobre
determinado caso e para preservar a verdade e apresentá-la sob
a forma de Laudo Pericial
ü Funciona como um assessor técnico do Juiz
ü Indicado pelo Juiz
ü Honorários definidos pelo Juiz
ü Trabalha com prazos especificados
50. Concluindo...
50
- O Assistente Técnico das Partes
ü Nível Superior, com experiência comprovada no assunto,
nomeado/contratado pelas partes de um processo para
preservar a verdade e apresentá-la sob a forma de Parecer
Técnico
ü Funciona como um assessor técnico da Parte
ü Indicado pela Parte, ou pelo advogado da mesma
ü Honorários negociados diretamente com a Parte contratante
ü Trabalha com prazos repassados às Partes pelo Juiz
51. Concluindo...
51
- O Investigador em Forense Computacional
ü Profissional habilitado em Forense Computacional que trabalha
no mercado privado
ü Funcionário ou Consultor
ü Valores negociados diretamente com o contratante
ü Realiza investigações sem seguir a formalização
ü O resultado pode ou não ser usado em Juízo
52. Concluindo...
52
- O Perito Criminal em Forense Computacional
ü Policial ou funcionário público habilitado na área de Forense
Computacional
ü Nível Superior
ü Somente por Concurso Público
ü É quem trata dos processos quando há crime
ü A maior parte está na Polícia Federal
53. Concluindo...
53
- Certificações
ü CEH – Certified Ethical Hacker
ü CHFI – Certified Hacking Forensic Investigator
ü CIFI – Certified Information Forensic Investigator
ü CFCE – Certified Forensic Computer Examiner
ü DSFE – Data Security Forensics Examiner
54. Concluindo...
54
ü A tecnologia trouxe melhorias enormes para os negócios, mas
também criou um novo terreno para os criminosos
ü A perspectiva é de que seja cada vez mais necessário o trabalho
do Perito/Investigador Forense Computacional
ü Há várias ferramentas para o trabalho do profissional de
Forense Computacional, incluindo ferramentas com código livre
ü As técnicas de análise evoluem a cada dia...
ü E os criminosos também!
55. PROF. DEIVISON PINHEIRO FRANCO
PERITO FORENSE COMPUTACIONAL, AUDITOR DE TI E PENTESTER
ISO/IEC 27002 FOUNDATION
CEH, CHFI, CIFI, CFCE E DSFE
deivison.pfranco@gmail.com
Dúvidas?
OBRIGADO PELA ATENÇÃO!