Luiz Sales Rabelo
• Coordenador de Prevenção a Fraudes – Nextel (2012)
• Consultor TechBiz Forense Digital (2009 a 2012)
•...
Conceitos Básicos
Como responder a um incidente??
O que é um incidente?
Conceitos Básicos
Reconhecendo um incidente (ISO 17799:2005)
• Perda de serviço
• Mal funcionamento ou sobrecarga de siste...
Ciência Forense
Metodologia científica aplicada, que atua em conjunto com o
Investigador e é utilizada para esclarecer que...
Dispositivos Móveis
Na atualidade, os celulares são verdadeiros computadores, e em alguns casos guardam
muito mais sobre n...
Perícia em dispositivo Móveis
7
Perícia em dispositivo Móveis - GPS
O que não é Forense Digital? O “Efeito” CSI
• Adaptação livre do tema para televisão
• Relata fatos no formato de série de...
“Efeito” CSI
“Efeito” CSI
“Efeito” CSI
“Efeito” CSI
“Efeito” CSI
“Efeito” CSI
Ferramentas Avançadas
AccessData FTK – Forensic Toolkit
Guidance Software – EnCase Forensic
Qual o melhor?
Discussão filos...
Arquivos Apagados
O espaço em disco marcado como livre na
tabela de alocação de arquivos
geralmente contém informações
ess...
Arquivos Apagados
“Sanitização”
• Evitar cross-contamination
• Demanda wipe completo das mídias reutilizáveis
“Sanitização”
Visualização de mídia
no EnCase após wipe
“Data Hidding”
Ocultando arquivos
no disco
File Systems
Um sistema de arquivos é um conjunto de estruturas lógicas e de
rotinas, que permitem ao sistema operacional ...
Assinatura de arquivos – números mágicos
Assinatura de arquivos – números mágicos
São usados em arquivos para que o
formato de seu conteúdo possa ser
reconhecido i...
Assinatura de arquivos – números mágicos
ADS – Alternate Data Stream
ADS – Alternate Data Stream
ADS – Alternate Data Stream
Ferramentas para Resposta a Incidentes - ago12
Ferramentas para Resposta a Incidentes - ago12
Próximos SlideShares
Carregando em…5
×

Ferramentas para Resposta a Incidentes - ago12

446 visualizações

Publicada em

Ferramentas para Resposta a Incidentes - ago12

Publicada em: Tecnologia
  • Seja o primeiro a comentar

Ferramentas para Resposta a Incidentes - ago12

  1. 1. Luiz Sales Rabelo • Coordenador de Prevenção a Fraudes – Nextel (2012) • Consultor TechBiz Forense Digital (2009 a 2012) • Certificações internacionais EnCE e ACE • Membro Comissão Crimes Alta Tecnologia OAB/SP • Membro HTCIA – U.S. Investigation Association • NÃO SOU ADVOGADO!!
  2. 2. Conceitos Básicos Como responder a um incidente?? O que é um incidente?
  3. 3. Conceitos Básicos Reconhecendo um incidente (ISO 17799:2005) • Perda de serviço • Mal funcionamento ou sobrecarga de sistema • Falha humana • Vulnerabilidades no controle do acesso físico • Violação de Acesso
  4. 4. Ciência Forense Metodologia científica aplicada, que atua em conjunto com o Investigador e é utilizada para esclarecer questionamentos jurídicos: Toxicologia Forense, Genética e Biologia Forense, Psiquiatria Forense, Antropologia Forense, Odontologia Forense, Entomologia Forense, Balística Forense, Tanatologia Forense...
  5. 5. Dispositivos Móveis Na atualidade, os celulares são verdadeiros computadores, e em alguns casos guardam muito mais sobre nossas vidas do que nossos computadores. Ex: • E-mails • Contatos / Agenda • Fotos, imagens e vídeos • Ring Tones e Jogos (copyright) • Histórico, cookies, senhas de navegação (browser) • Chamadas (discadas e recebidas) em determinada data/hora • Detalhes de mensagens SMS (data, origem/destino, templates)
  6. 6. Perícia em dispositivo Móveis 7
  7. 7. Perícia em dispositivo Móveis - GPS
  8. 8. O que não é Forense Digital? O “Efeito” CSI • Adaptação livre do tema para televisão • Relata fatos no formato de série de TV • Diferença quanto a métodos, organização e tempos
  9. 9. “Efeito” CSI
  10. 10. “Efeito” CSI
  11. 11. “Efeito” CSI
  12. 12. “Efeito” CSI
  13. 13. “Efeito” CSI
  14. 14. “Efeito” CSI
  15. 15. Ferramentas Avançadas AccessData FTK – Forensic Toolkit Guidance Software – EnCase Forensic Qual o melhor? Discussão filosófica..
  16. 16. Arquivos Apagados O espaço em disco marcado como livre na tabela de alocação de arquivos geralmente contém informações essenciais para a análise: são os dados dos arquivos removidos
  17. 17. Arquivos Apagados
  18. 18. “Sanitização” • Evitar cross-contamination • Demanda wipe completo das mídias reutilizáveis
  19. 19. “Sanitização” Visualização de mídia no EnCase após wipe
  20. 20. “Data Hidding” Ocultando arquivos no disco
  21. 21. File Systems Um sistema de arquivos é um conjunto de estruturas lógicas e de rotinas, que permitem ao sistema operacional controlar o acesso ao disco rígido. Diferentes sistemas operacionais usam diferentes sistemas de arquivos. Alguns dos pontos a serem analisados são: • Assinatura de arquivos • ADS (Alternate Data Streams)
  22. 22. Assinatura de arquivos – números mágicos
  23. 23. Assinatura de arquivos – números mágicos São usados em arquivos para que o formato de seu conteúdo possa ser reconhecido independente de formas externas. Cada sistema operacional tenta identificar o tipo dos arquivos de formas diferentes. O Windows utiliza extensões, enquanto os sistemas operacionais Mac usam meta-dados, que são gravados na estrutura do arquivo.
  24. 24. Assinatura de arquivos – números mágicos
  25. 25. ADS – Alternate Data Stream
  26. 26. ADS – Alternate Data Stream
  27. 27. ADS – Alternate Data Stream

×