SlideShare uma empresa Scribd logo

Segurança da Informação e Computação Forense

Transferir como PPTX, PDF
Simba Samuel
Simba Samuel

Segurança Corporativa da Informação

Internet
1 de 25
Segurança Corporativa da Informação 1 Alexandre Lôbo Alexandre.lobo@alianca.co.ao
Computação Forense 2 Quais as consequências de se detectar um ataque através do seu IDS? O que se pode fazer quando um arquivo é indevidamente apagado? Quem assina digitalmente tem responsabilidade?
Computação Forense 3 É um processo dividido em 4 fases: 1- Identificar 2- Preservar 3- Analisar 4- Apresentar evidências digitais que seja legalmente aceitas.
Computação Forense 4 1- Identificar O que deve ser considerado? Onde está? Não confundir apenas com apreensão de computadores (celulares e smart cards).
Computação Forense 5 2- Preservar Uma das tarefas mais críticas para se manter o valor jurídico das informações. Transporte físico (policiais) Alterações lógicas
Computação Forense 6 3- Analisar Quais as ferramentas utilizadas? Recuperação de dados apagados. Leitura de arquivos Clonagem de discos Rastreamento de mensagens
Computação Forense 7 4- Preservar Envolve a forma de apresentação dos dados, como foram manipulados e a credibilidade de quem o fez.
Computação Forense 8 Existem 03 atividades primárias: É uma área normalmente multidisciplinar. 1- Análise de mídias e dispositivos eletrônicos 2- Análise de comunicação de dados 3- Pesquisa e desenvolvimento
Computação Forense 9 04 REGRAS BÁSICAS DA COMPUTAÇÃO FORENSE: 1- Manipule a informação original o menos possível 2- Registre toda e qualquer alteração (inclusive física) 3- Tome ações que estejam de acordo com a legislação para obtenção de evidências 4- Não ultrapasse o seu limite de conhecimento
Computação Forense 10 Exercício MD5 Crie um arquivo “nome.TXT” tendo como conteúdo o seu nome completo. Abra o programa md5 e gere o MD5 deste arquivo. Cole o hash em outra janela do bloco de notas. Agora altere apenas um caractere do seu nome e compare o MD5. Retorne ao caractere original e teste novamente.
Normas e Procedimentos 11 Coleta de evidências • Busca e apreensão; • Identificação do material apreendido; • Estabelecimento da “Cadeia de custódia”; Manipulação • Acondicionamento; • Transporte; • Guarda; • Remessa para perícia;
Normas e Procedimentos 12 Exames periciais • Recebimento do material; • Identificação do material; • Exames “a quente”; • Duplicação pericial de mídias; • Inicialização segura; • Exames em mídia; • Documentação dos exames;
Normas e Procedimentos 13 Elaboração do Laudo Pericial • Abordagem; • Metodologia • Padrão do documento;
Imagens de Disco como prova 14 Se houver alguma chance de um caso ir para o tribunal, é de extrema importância que a evidência digital seja manipulada corretamente por todos que tenham acesso. O ponto principal é que a evidência pode tornar- se inaceitável se alguém que a manipulou depois de ocorrer um incidente não fizer nada para alterá-la.
Imagens de Disco como prova 15 Mas simplesmente abrir um arquivo altera a evidência (por exemplo, a data da última modificação pode ser alterada), portanto, como a evidência digital ainda pode ser preservada em um estado aceitável?
Imagens de Disco como prova 16 A resposta é conduzir qualquer exame da evidência não nos dados originais, mas em uma cópia exata feita para esta finalidade. Para atender aos altos padrões do tribunal, não é tão simples quanto parece. CÓPIA EXATA: nível de bits da imagem do disco original, setor a setor de todos os dados e contém todos os espaços desperdiçados, espaço livre e outros dados do ambiente.
Imagens de Disco como prova 17 Isso requer um software de imagens especial criado para esta finalidade. O software de imagens criado para fins forenses também deve usar algum método de verificação para garantir que a cópia seja exatamente como o original. Não é o caso do Norton Ghost.
Imagens de Disco como prova 18 Cópia direta através de um cabo ou o disco é removido do computador de destino para ser copiado. O processo da imagem deve ser feito de forma que não deixe vestígios (não faça alterações) no computador de origem.
Imagens de Disco como prova 19 Depois que você tiver uma cópia semelhante à forense, o disco original será reservado e preservado no estado atual. Todo o trabalho de exame é feito na cópia. Você também precisa confirmar se o computador foi isolado imediatamente da rede e protegido fisicamente de forma que ninguém pudesse alterá-lo entre a descoberta do incidente e a hora em que a imagem do disco foi criada.
Imagens de Disco como prova 20 dd if=/*source* of=/*destination* onde: if=/*source* - evidência a ser copiada (hard disk, tape, etc.) of=/*destination* - local onde será copiado dd if=/dev/hda of=/dev/caso10img1 Uma vantagem é que o dd aceita parâmetros para diversos tipos de block size, etc
Imagens de Disco como prova 21 Parâmetros do “dd”: ibs = input block size obs = output block size count = number of blocks to copy skip = number of blocks to skip at start of input seek = number of blocks to skip at start of output conv = conversion Caso eu tenha uma fita desconhecida, para descobrir o block size (exceto >= 128): dd if=/dev/st0 ibs=128 of=/dev/caso10img1 obs=1 count=1
Imagens de Disco como prova 22 Dividir a imagem em partes menores: dd if=/dev/st0 count=1000000 of=/dev/caso10img1 dd if=/dev/st0 count=1000000 skip=1000000 of=/dev/caso10img2 dd if=/dev/st0 count=1000000 skip=2000000 of=/dev/caso10img3 dd if=/dev/st0 count=1000000 skip=3000000 of=/dev/caso10img4
Limpando discos 23 Formatadores e particionadores são normalmente destruidores de tabelas e índices do file system. Dispositivos semicondutores possuem uma memória inerente. DBan – formatador baseado em um live-CE Linux Técnicas: Quick Erase; Canadian RCMP TSSIT OPS-II Standard Wipe; American DoD 5220-22.M Standard Wipe; Gutmann Wipe; PRNG Stream Wipe
Limpando discos 24 Técnicas de limpeza: Zeroes – Sobrescrever com zero em apenas um passo. Rápido. Pseudo-Random – Sobrescrever com números pseudo-aleatórios e apenas um passo. Rápido. Esconde o fato de que os dados foram zerados. DoD 5200.22M (8-306. / E) – Sobrescreve com um padrão de número especial em 3 passos. Lento. DoD 5200.28M (8-306. / E, C and E) - Sobrescreve com um padrão de número especial em 7 passos. Muito Lento. Muito seguro. Peter Guttman - Sobrescreve com um padrão de número especial em 35 passos. Muito Lento. Nível de segurança militar. (documento disponível)
Monitoramento de Aplicativos 25 Monitoramento de redes P2P; Orkut; MSN e similares Classificação por IPs.

Recomendados

Métodos usados na recuperação de dados
Métodos usados na recuperação de dadosMétodos usados na recuperação de dados
Métodos usados na recuperação de dadosjulio-wong
 
Técnicas forenses para a recuperação de arquivos
Técnicas forenses para a recuperação de arquivosTécnicas forenses para a recuperação de arquivos
Técnicas forenses para a recuperação de arquivosCampus Party Brasil
 
Perícia Forense - Análise dos Sistemas de Arquivos
Perícia Forense - Análise dos Sistemas de ArquivosPerícia Forense - Análise dos Sistemas de Arquivos
Perícia Forense - Análise dos Sistemas de ArquivosThaís Favore
 
FDTK - O Ubuntu para Perícia Forense Digital
FDTK - O Ubuntu para Perícia Forense DigitalFDTK - O Ubuntu para Perícia Forense Digital
FDTK - O Ubuntu para Perícia Forense DigitalJunior Abreu
 
Perícia Forense - Análise dos Sistemas de Arquivos
Perícia Forense - Análise dos Sistemas de ArquivosPerícia Forense - Análise dos Sistemas de Arquivos
Perícia Forense - Análise dos Sistemas de ArquivosSofia Trindade
 
Laudo Forense Digital (Cenário 4)
Laudo Forense Digital (Cenário 4)Laudo Forense Digital (Cenário 4)
Laudo Forense Digital (Cenário 4)Carlos Eduardo Motta de Castro
 
Anti forense
Anti forenseAnti forense
Anti forenseGustavo Paulo
 
1928 d
1928 d1928 d
1928 dTuane Paixão
 

Recomendados

Métodos usados na recuperação de dados
Métodos usados na recuperação de dadosMétodos usados na recuperação de dados
Métodos usados na recuperação de dadosjulio-wong
 
Técnicas forenses para a recuperação de arquivos
Técnicas forenses para a recuperação de arquivosTécnicas forenses para a recuperação de arquivos
Técnicas forenses para a recuperação de arquivosCampus Party Brasil
 
Perícia Forense - Análise dos Sistemas de Arquivos
Perícia Forense - Análise dos Sistemas de ArquivosPerícia Forense - Análise dos Sistemas de Arquivos
Perícia Forense - Análise dos Sistemas de ArquivosThaís Favore
 
FDTK - O Ubuntu para Perícia Forense Digital
FDTK - O Ubuntu para Perícia Forense DigitalFDTK - O Ubuntu para Perícia Forense Digital
FDTK - O Ubuntu para Perícia Forense DigitalJunior Abreu
 
Perícia Forense - Análise dos Sistemas de Arquivos
Perícia Forense - Análise dos Sistemas de ArquivosPerícia Forense - Análise dos Sistemas de Arquivos
Perícia Forense - Análise dos Sistemas de ArquivosSofia Trindade
 
Laudo Forense Digital (Cenário 4)
Laudo Forense Digital (Cenário 4)Laudo Forense Digital (Cenário 4)
Laudo Forense Digital (Cenário 4)Carlos Eduardo Motta de Castro
 
Anti forense
Anti forenseAnti forense
Anti forenseGustavo Paulo
 
1928 d
1928 d1928 d
1928 dTuane Paixão
 
V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”
V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”
V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”Clavis Segurança da Informação
 
CNASI 2011
CNASI 2011CNASI 2011
CNASI 2011Luiz Sales Rabelo
 
Crimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao ForenseCrimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao ForenseVaine Luiz Barreira, MBA
 
Investigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseInvestigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseVaine Luiz Barreira, MBA
 
Palestra MPDF BSB Mar/2012
Palestra MPDF BSB Mar/2012Palestra MPDF BSB Mar/2012
Palestra MPDF BSB Mar/2012Luiz Sales Rabelo
 
Forense Digital Utilizando o Ubuntu FDTK
Forense Digital Utilizando o Ubuntu FDTKForense Digital Utilizando o Ubuntu FDTK
Forense Digital Utilizando o Ubuntu FDTKLinux User Goup Alagoas
 
Forense_Computacional(UFPE).pdf
Forense_Computacional(UFPE).pdfForense_Computacional(UFPE).pdf
Forense_Computacional(UFPE).pdfFelipeBarreto98
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Jefferson Costa
 
Palestra CGU - BSB Jan/2012
Palestra CGU - BSB Jan/2012Palestra CGU - BSB Jan/2012
Palestra CGU - BSB Jan/2012Luiz Sales Rabelo
 
Android forensics the hard work
Android forensics the hard workAndroid forensics the hard work
Android forensics the hard workLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Forense Computacional com Software Livre
Forense Computacional com Software LivreForense Computacional com Software Livre
Forense Computacional com Software LivreLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
1ª aula forense computacional
1ª aula forense computacional1ª aula forense computacional
1ª aula forense computacionalJoão Freire Abramowicz
 
Pericia Forense
Pericia ForensePericia Forense
Pericia Forenseceife
 
Copias de seguranca
Copias de segurancaCopias de seguranca
Copias de segurancaTiago Ângelo
 
Apresentação ab drc
Apresentação ab drcApresentação ab drc
Apresentação ab drcdmarques25
 
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...Sandro Suffert
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalJefferson Costa
 
Forense computacional(ufpe)[1]
Forense computacional(ufpe)[1]Forense computacional(ufpe)[1]
Forense computacional(ufpe)[1]Jorge Willians, ITIL®, COBIT®, CompTIA Security, CEH
 
Computacao forense
Computacao forenseComputacao forense
Computacao forenseIntellecta
 
Computação Forense
Computação ForenseComputação Forense
Computação ForenseClaudio Benossi
 
Manual cctv v3.1
Manual cctv v3.1 Manual cctv v3.1
Manual cctv v3.1 Simba Samuel
 
Manual do curso de cftv
Manual do curso de cftvManual do curso de cftv
Manual do curso de cftvSimba Samuel
 

Mais conteúdo relacionado

Semelhante a Segurança da Informação e Computação Forense

V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”
V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”
V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”Clavis Segurança da Informação
 
Investigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseInvestigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseVaine Luiz Barreira, MBA
 
Forense Digital Utilizando o Ubuntu FDTK
Forense Digital Utilizando o Ubuntu FDTKForense Digital Utilizando o Ubuntu FDTK
Forense Digital Utilizando o Ubuntu FDTKLinux User Goup Alagoas
 
Forense_Computacional(UFPE).pdf
Forense_Computacional(UFPE).pdfForense_Computacional(UFPE).pdf
Forense_Computacional(UFPE).pdfFelipeBarreto98
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Jefferson Costa
 
Pericia Forense
Pericia ForensePericia Forense
Pericia Forenseceife
 
Apresentação ab drc
Apresentação ab drcApresentação ab drc
Apresentação ab drcdmarques25
 
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...Sandro Suffert
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalJefferson Costa
 
Computacao forense
Computacao forenseComputacao forense
Computacao forenseIntellecta
 

Semelhante a Segurança da Informação e Computação Forense (20)

V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”
V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”
V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”
 
CNASI 2011
CNASI 2011CNASI 2011
CNASI 2011
 
Crimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao ForenseCrimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao Forense
 
Investigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseInvestigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação Forense
 
Palestra MPDF BSB Mar/2012
Palestra MPDF BSB Mar/2012Palestra MPDF BSB Mar/2012
Palestra MPDF BSB Mar/2012
 
Forense Digital Utilizando o Ubuntu FDTK
Forense Digital Utilizando o Ubuntu FDTKForense Digital Utilizando o Ubuntu FDTK
Forense Digital Utilizando o Ubuntu FDTK
 
Forense_Computacional(UFPE).pdf
Forense_Computacional(UFPE).pdfForense_Computacional(UFPE).pdf
Forense_Computacional(UFPE).pdf
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”
 
Palestra CGU - BSB Jan/2012
Palestra CGU - BSB Jan/2012Palestra CGU - BSB Jan/2012
Palestra CGU - BSB Jan/2012
 
Android forensics the hard work
Android forensics the hard workAndroid forensics the hard work
Android forensics the hard work
 
Forense Computacional com Software Livre
Forense Computacional com Software LivreForense Computacional com Software Livre
Forense Computacional com Software Livre
 
1ª aula forense computacional
1ª aula forense computacional1ª aula forense computacional
1ª aula forense computacional
 
Pericia Forense
Pericia ForensePericia Forense
Pericia Forense
 
Copias de seguranca
Copias de segurancaCopias de seguranca
Copias de seguranca
 
Apresentação ab drc
Apresentação ab drcApresentação ab drc
Apresentação ab drc
 
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense Computacional
 
Forense computacional(ufpe)[1]
Forense computacional(ufpe)[1]Forense computacional(ufpe)[1]
Forense computacional(ufpe)[1]
 
Computacao forense
Computacao forenseComputacao forense
Computacao forense
 
Computação Forense
Computação ForenseComputação Forense
Computação Forense
 

Mais de Simba Samuel

Manual do curso de cftv
Manual do curso de cftvManual do curso de cftv
Manual do curso de cftvSimba Samuel
 
Ubuntu guia do_iniciante-2-0
Ubuntu guia do_iniciante-2-0Ubuntu guia do_iniciante-2-0
Ubuntu guia do_iniciante-2-0Simba Samuel
 
Capítulo 3 funcionalidades e protocolos da camada de aplicação
Capítulo 3 funcionalidades e protocolos da camada de aplicaçãoCapítulo 3 funcionalidades e protocolos da camada de aplicação
Capítulo 3 funcionalidades e protocolos da camada de aplicaçãoSimba Samuel
 
Linguagem de-programacao-html 2
Linguagem de-programacao-html 2Linguagem de-programacao-html 2
Linguagem de-programacao-html 2Simba Samuel
 
Segurança de informação1
Segurança de informação1Segurança de informação1
Segurança de informação1Simba Samuel
 
Android in action 2nd edition 2011
Android in action 2nd edition 2011Android in action 2nd edition 2011
Android in action 2nd edition 2011Simba Samuel
 
Projecto de Programação de Aluno(Samuel)
Projecto de Programação de Aluno(Samuel)Projecto de Programação de Aluno(Samuel)
Projecto de Programação de Aluno(Samuel)Simba Samuel
 
Mgp sisp --plano_de_gerenciamento_do_projeto
Mgp sisp --plano_de_gerenciamento_do_projetoMgp sisp --plano_de_gerenciamento_do_projeto
Mgp sisp --plano_de_gerenciamento_do_projetoSimba Samuel
 

Mais de Simba Samuel (15)

Manual cctv v3.1
Manual cctv v3.1 Manual cctv v3.1
Manual cctv v3.1
 
Manual do curso de cftv
Manual do curso de cftvManual do curso de cftv
Manual do curso de cftv
 
Ubuntu guia do_iniciante-2-0
Ubuntu guia do_iniciante-2-0Ubuntu guia do_iniciante-2-0
Ubuntu guia do_iniciante-2-0
 
Curriculum vitae
Curriculum vitaeCurriculum vitae
Curriculum vitae
 
Angola2
Angola2Angola2
Angola2
 
Motivação
MotivaçãoMotivação
Motivação
 
Html
HtmlHtml
Html
 
Capítulo 3 funcionalidades e protocolos da camada de aplicação
Capítulo 3 funcionalidades e protocolos da camada de aplicaçãoCapítulo 3 funcionalidades e protocolos da camada de aplicação
Capítulo 3 funcionalidades e protocolos da camada de aplicação
 
Linguagem de-programacao-html 2
Linguagem de-programacao-html 2Linguagem de-programacao-html 2
Linguagem de-programacao-html 2
 
Segurança de informação1
Segurança de informação1Segurança de informação1
Segurança de informação1
 
Android in action 2nd edition 2011
Android in action 2nd edition 2011Android in action 2nd edition 2011
Android in action 2nd edition 2011
 
Projecto de Programação de Aluno(Samuel)
Projecto de Programação de Aluno(Samuel)Projecto de Programação de Aluno(Samuel)
Projecto de Programação de Aluno(Samuel)
 
Poster08
Poster08Poster08
Poster08
 
Mgp sisp --plano_de_gerenciamento_do_projeto
Mgp sisp --plano_de_gerenciamento_do_projetoMgp sisp --plano_de_gerenciamento_do_projeto
Mgp sisp --plano_de_gerenciamento_do_projeto
 
Exercicios
ExerciciosExercicios
Exercicios
 

Segurança da Informação e Computação Forense

  • 1. Segurança Corporativa da Informação 1 Alexandre Lôbo Alexandre.lobo@alianca.co.ao
  • 2. Computação Forense 2 Quais as consequências de se detectar um ataque através do seu IDS? O que se pode fazer quando um arquivo é indevidamente apagado? Quem assina digitalmente tem responsabilidade?
  • 3. Computação Forense 3 É um processo dividido em 4 fases: 1- Identificar 2- Preservar 3- Analisar 4- Apresentar evidências digitais que seja legalmente aceitas.
  • 4. Computação Forense 4 1- Identificar O que deve ser considerado? Onde está? Não confundir apenas com apreensão de computadores (celulares e smart cards).
  • 5. Computação Forense 5 2- Preservar Uma das tarefas mais críticas para se manter o valor jurídico das informações. Transporte físico (policiais) Alterações lógicas
  • 6. Computação Forense 6 3- Analisar Quais as ferramentas utilizadas? Recuperação de dados apagados. Leitura de arquivos Clonagem de discos Rastreamento de mensagens
  • 7. Computação Forense 7 4- Preservar Envolve a forma de apresentação dos dados, como foram manipulados e a credibilidade de quem o fez.
  • 8. Computação Forense 8 Existem 03 atividades primárias: É uma área normalmente multidisciplinar. 1- Análise de mídias e dispositivos eletrônicos 2- Análise de comunicação de dados 3- Pesquisa e desenvolvimento
  • 9. Computação Forense 9 04 REGRAS BÁSICAS DA COMPUTAÇÃO FORENSE: 1- Manipule a informação original o menos possível 2- Registre toda e qualquer alteração (inclusive física) 3- Tome ações que estejam de acordo com a legislação para obtenção de evidências 4- Não ultrapasse o seu limite de conhecimento
  • 10. Computação Forense 10 Exercício MD5 Crie um arquivo “nome.TXT” tendo como conteúdo o seu nome completo. Abra o programa md5 e gere o MD5 deste arquivo. Cole o hash em outra janela do bloco de notas. Agora altere apenas um caractere do seu nome e compare o MD5. Retorne ao caractere original e teste novamente.
  • 11. Normas e Procedimentos 11 Coleta de evidências • Busca e apreensão; • Identificação do material apreendido; • Estabelecimento da “Cadeia de custódia”; Manipulação • Acondicionamento; • Transporte; • Guarda; • Remessa para perícia;
  • 12. Normas e Procedimentos 12 Exames periciais • Recebimento do material; • Identificação do material; • Exames “a quente”; • Duplicação pericial de mídias; • Inicialização segura; • Exames em mídia; • Documentação dos exames;
  • 13. Normas e Procedimentos 13 Elaboração do Laudo Pericial • Abordagem; • Metodologia • Padrão do documento;
  • 14. Imagens de Disco como prova 14 Se houver alguma chance de um caso ir para o tribunal, é de extrema importância que a evidência digital seja manipulada corretamente por todos que tenham acesso. O ponto principal é que a evidência pode tornar- se inaceitável se alguém que a manipulou depois de ocorrer um incidente não fizer nada para alterá-la.
  • 15. Imagens de Disco como prova 15 Mas simplesmente abrir um arquivo altera a evidência (por exemplo, a data da última modificação pode ser alterada), portanto, como a evidência digital ainda pode ser preservada em um estado aceitável?
  • 16. Imagens de Disco como prova 16 A resposta é conduzir qualquer exame da evidência não nos dados originais, mas em uma cópia exata feita para esta finalidade. Para atender aos altos padrões do tribunal, não é tão simples quanto parece. CÓPIA EXATA: nível de bits da imagem do disco original, setor a setor de todos os dados e contém todos os espaços desperdiçados, espaço livre e outros dados do ambiente.
  • 17. Imagens de Disco como prova 17 Isso requer um software de imagens especial criado para esta finalidade. O software de imagens criado para fins forenses também deve usar algum método de verificação para garantir que a cópia seja exatamente como o original. Não é o caso do Norton Ghost.
  • 18. Imagens de Disco como prova 18 Cópia direta através de um cabo ou o disco é removido do computador de destino para ser copiado. O processo da imagem deve ser feito de forma que não deixe vestígios (não faça alterações) no computador de origem.
  • 19. Imagens de Disco como prova 19 Depois que você tiver uma cópia semelhante à forense, o disco original será reservado e preservado no estado atual. Todo o trabalho de exame é feito na cópia. Você também precisa confirmar se o computador foi isolado imediatamente da rede e protegido fisicamente de forma que ninguém pudesse alterá-lo entre a descoberta do incidente e a hora em que a imagem do disco foi criada.
  • 20. Imagens de Disco como prova 20 dd if=/*source* of=/*destination* onde: if=/*source* - evidência a ser copiada (hard disk, tape, etc.) of=/*destination* - local onde será copiado dd if=/dev/hda of=/dev/caso10img1 Uma vantagem é que o dd aceita parâmetros para diversos tipos de block size, etc
  • 21. Imagens de Disco como prova 21 Parâmetros do “dd”: ibs = input block size obs = output block size count = number of blocks to copy skip = number of blocks to skip at start of input seek = number of blocks to skip at start of output conv = conversion Caso eu tenha uma fita desconhecida, para descobrir o block size (exceto >= 128): dd if=/dev/st0 ibs=128 of=/dev/caso10img1 obs=1 count=1
  • 22. Imagens de Disco como prova 22 Dividir a imagem em partes menores: dd if=/dev/st0 count=1000000 of=/dev/caso10img1 dd if=/dev/st0 count=1000000 skip=1000000 of=/dev/caso10img2 dd if=/dev/st0 count=1000000 skip=2000000 of=/dev/caso10img3 dd if=/dev/st0 count=1000000 skip=3000000 of=/dev/caso10img4
  • 23. Limpando discos 23 Formatadores e particionadores são normalmente destruidores de tabelas e índices do file system. Dispositivos semicondutores possuem uma memória inerente. DBan – formatador baseado em um live-CE Linux Técnicas: Quick Erase; Canadian RCMP TSSIT OPS-II Standard Wipe; American DoD 5220-22.M Standard Wipe; Gutmann Wipe; PRNG Stream Wipe
  • 24. Limpando discos 24 Técnicas de limpeza: Zeroes – Sobrescrever com zero em apenas um passo. Rápido. Pseudo-Random – Sobrescrever com números pseudo-aleatórios e apenas um passo. Rápido. Esconde o fato de que os dados foram zerados. DoD 5200.22M (8-306. / E) – Sobrescreve com um padrão de número especial em 3 passos. Lento. DoD 5200.28M (8-306. / E, C and E) - Sobrescreve com um padrão de número especial em 7 passos. Muito Lento. Muito seguro. Peter Guttman - Sobrescreve com um padrão de número especial em 35 passos. Muito Lento. Nível de segurança militar. (documento disponível)
  • 25. Monitoramento de Aplicativos 25 Monitoramento de redes P2P; Orkut; MSN e similares Classificação por IPs.