CNASI 2011

1.343 visualizações

Publicada em

Apresentação do 20o. CNASI

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
1.343
No SlideShare
0
A partir de incorporações
0
Número de incorporações
534
Ações
Compartilhamentos
0
Downloads
23
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

CNASI 2011

  1. 1. Introdução a Computação Forense com Ferramentas Avançadas Luiz Sales Rabelo http://4n6.cc © 2011 - TechBiz Education 1
  2. 2. Luiz Sales Rabelo• Consultor TechBiz Forense Digital desde 2009• Certificações internacionais EnCE e ACE• Membro Comissão Crimes Alta Tecnologia OAB/SP• NÃO SOU ADVOGADO!! 2
  3. 3. Agenda• Conceitos Básicos• Processo Investigativo• Forense Digital • Início do Caso • Coleta de Dados • Análise de Informações • Relatório Final 3
  4. 4. Conceitos Básicos 4
  5. 5. Conceitos BásicosReconhecendo um incidente (ISO 17799:2005)• Perda de serviço• Mal funcionamento ou sobrecarga de sistema• Falha humana• Vulnerabilidades no controle do acesso físico• Violação de Acesso 5
  6. 6. Ciência ForenseMetodologia científica aplicada, que atua em conjunto com oInvestigador e é utilizada para esclarecer questionamentosjurídicos: Toxicologia Forense, Genética e Biologia Forense, Psiquiatria Forense, Antropologia Forense, Odontologia Forense, Entomologia Forense, Balística Forense, Tanatologia Forense... 6
  7. 7. Ciência ForenseForense Computacional X Forense Digital 7
  8. 8. Dispositivos MóveisNa atualidade, os celulares são verdadeiros computadores, e em alguns casos guardammuito mais sobre nossas vidas do que nossos computadores. Ex: • E-mails • Contatos / Agenda • Fotos, imagens e vídeos • Ring Tones e Jogos (copyright) • Histórico, cookies, senhas de navegação (browser) • Chamadas (discadas e recebidas) em determinada data/hora • Detalhes de mensagens SMS (data, origem/destino, templates) 8
  9. 9. Perícia em dispositivo Móveis 9
  10. 10. Perícia em dispositivo GPS 10
  11. 11. Processo Investigativo 11
  12. 12. O que é Forense Digital? PRESERVAÇÃOCOLETA ANÁLISE RELATÓRIO 12
  13. 13. “Sanitização”• Evitar cross-contamination• Demanda wipe completo das mídias reutilizáveis 13
  14. 14. “Sanitização” Visualização de mídia no EnCase após wipe 14
  15. 15. “Efeito” CSI• Adaptação livre do tema para televisão• Relata fatos no formato de série de TV• Diferença quanto a métodos, organização e tempos 15
  16. 16. “Efeito” CSI 16
  17. 17. “Efeito” CSI 17
  18. 18. “Efeito” CSI 18
  19. 19. “Efeito” CSI 19
  20. 20. “Efeito” CSI 20
  21. 21. “Efeito” CSI 21
  22. 22. Forense Digital: Início do Caso 22
  23. 23. Início do Caso• Fotografar e/ou filmar o ambiente• Realizar ata notarial ou documento que ateste oacautelamento de informações• Elaboração do documento de custódia• Preservação das Evidências• Duplicação (Coleta) 23
  24. 24. Forense Digital: Coleta 24
  25. 25. Cadeia de Custódia• O que é a cadeia de custódia?• Pra que serve?• Ela (o processo) é utilizada realmente? 25
  26. 26. Documento de Custódia26Referência : http://sophosnet.wordpress.com/2009/03/
  27. 27. Coleta• Não é recomendável realizar períciadiretamente na prova.• Devem ser realizadas cópias forensesde forma a preservar a evidência.• Organização!• Cautela! 27
  28. 28. Coleta (Enterprise)• Processos• Arquivos relevantes• Logs de aplicativos• Arquivos temporários• Swapfile• Registry• Conexões ativas• ... 28
  29. 29. Duplicação bit-a-bitCópia exata dos bits e de sua disposição seqüencial dentro do disco rígido. 29
  30. 30. Integridade de Dados• Algoritmos de Hash • MD5 • SHA-1 • SHA-256• Softwares para Pericia• Bloqueadores de Escrita• Técnicas para proteção contra gravação 30
  31. 31. Demo: Coleta de HD suspeitoFerramenta utilizada: FTK Imager 31
  32. 32. Forense Digital: Análise 32
  33. 33. Objetivo da AnáliseExtrair de um universo de dados coletados, informações quedireta ou indiretamente associem um indivíduo a umadeterminada atividade. 33
  34. 34. File SystemsArquivos localizados no computador periciado devem seravaliados minuciosamente. Alguns dos pontos a seremanalisados são: • Assinatura de arquivos • Imagens de dispositivos • ADS (Alternate Data Streams) 34
  35. 35. Demo: Análise Preliminar dos dados Ferramenta utilizada: FTK Imager 35
  36. 36. Demo: Manipulando ADS com o WindowsFerramenta utilizada: Prompt de Comandos 36
  37. 37. Arquivos ApagadosO espaço em disco marcado como livre natabela de alocação de arquivosgeralmente contém informaçõesessenciais para a análise: são osdados dos arquivos removidos 37
  38. 38. Data CarvingEsculpir informações a partir dos dados disponíveis no disco rígido suspeito 38
  39. 39. Demo: Análise Avançada dos dados Ferramenta utilizada: FTK 3 39
  40. 40. Forense Digital: Relatório 40
  41. 41. Relatório• Oficializar encerramento do caso• Preenchimento dos documentos decontrole 41
  42. 42. Geração de RelatórioBookmarking• Seleção de informações relevantes, realizada durante oprocesso de análiseGeração de relatórios• Correlação das hipóteses com as evidênciascoletadas, agrupamento de todos os aspectos avaliados econclusão. 42
  43. 43. Demo: Criação de BookmarksFerramenta utilizada: FTK 3 43
  44. 44. Demo: Criação de RelatóriosFerramenta utilizada: FTK 3 44
  45. 45. Obrigado!Luiz Sales Rabelo http://4n6.cc © 2011 - TechBiz Education 45

×