O documento discute computação forense, que é dividida em 4 fases: identificar, preservar, analisar e apresentar evidências digitais de forma legalmente aceita. Também discute regras básicas como manipular informações originais o menos possível e documentar qualquer alteração.

1. Segurança Corporativa da
Informação
1
Alexandre Lôbo
Alexandre.lobo@alianca.co.ao

2. Computação Forense
2
Quais as consequências de se detectar um
ataque através do seu IDS?
O que se pode fazer quando um arquivo é
indevidamente apagado?
Quem assina digitalmente tem
responsabilidade?

3. Computação Forense
3
É um processo dividido em 4 fases:
1- Identificar
2- Preservar
3- Analisar
4- Apresentar
evidências digitais que seja legalmente aceitas.

4. Computação Forense
4
1- Identificar
O que deve ser considerado?
Onde está?
Não confundir apenas com apreensão de
computadores (celulares e smart cards).

5. Computação Forense
5
2- Preservar
Uma das tarefas mais críticas para se manter o
valor jurídico das informações.
Transporte físico (policiais)
Alterações lógicas

6. Computação Forense
6
3- Analisar
Quais as ferramentas utilizadas?
Recuperação de dados apagados.
Leitura de arquivos
Clonagem de discos
Rastreamento de mensagens

7. Computação Forense
7
4- Preservar
Envolve a forma de apresentação dos dados,
como foram manipulados e a credibilidade de
quem o fez.

8. Computação Forense
8
Existem 03 atividades primárias:
É uma área normalmente multidisciplinar.
1- Análise de mídias e dispositivos eletrônicos
2- Análise de comunicação de dados
3- Pesquisa e desenvolvimento

9. Computação Forense
9
04 REGRAS BÁSICAS DA
COMPUTAÇÃO FORENSE:
1- Manipule a informação original o menos
possível
2- Registre toda e qualquer alteração (inclusive
física)
3- Tome ações que estejam de acordo com a
legislação para obtenção de evidências
4- Não ultrapasse o seu limite de conhecimento

10. Computação Forense
10
Exercício MD5
Crie um arquivo “nome.TXT” tendo como
conteúdo o seu nome completo.
Abra o programa md5 e gere o MD5 deste
arquivo. Cole o hash em outra janela do bloco
de notas.
Agora altere apenas um caractere do seu nome
e compare o MD5. Retorne ao caractere original
e teste novamente.

11. Normas e Procedimentos
11
Coleta de evidências
• Busca e apreensão;
• Identificação do material apreendido;
• Estabelecimento da “Cadeia de custódia”;
Manipulação
• Acondicionamento;
• Transporte;
• Guarda;
• Remessa para perícia;

12. Normas e Procedimentos
12
Exames periciais
• Recebimento do material;
• Identificação do material;
• Exames “a quente”;
• Duplicação pericial de mídias;
• Inicialização segura;
• Exames em mídia;
• Documentação dos exames;

13. Normas e Procedimentos
13
Elaboração do Laudo Pericial
• Abordagem;
• Metodologia
• Padrão do documento;

14. Imagens de Disco como prova
14
Se houver alguma chance de um caso ir para o
tribunal, é de extrema importância que a
evidência digital seja manipulada corretamente
por todos que tenham acesso.
O ponto principal é que a evidência pode tornar-
se inaceitável se alguém que a manipulou
depois de ocorrer um incidente não fizer nada
para alterá-la.

15. Imagens de Disco como prova
15
Mas simplesmente abrir um arquivo altera a
evidência (por exemplo, a data da última
modificação pode ser alterada), portanto, como
a evidência digital ainda pode ser preservada
em um estado aceitável?

16. Imagens de Disco como prova
16
A resposta é conduzir qualquer exame da
evidência não nos dados originais, mas em uma
cópia exata feita para esta finalidade.
Para atender aos altos padrões do tribunal, não
é tão simples quanto parece.
CÓPIA EXATA: nível de bits da imagem do
disco original, setor a setor de todos os dados e
contém todos os espaços desperdiçados,
espaço livre e outros dados do ambiente.

17. Imagens de Disco como prova
17
Isso requer um software de imagens especial
criado para esta finalidade.
O software de imagens criado para fins forenses
também deve usar algum método de verificação
para garantir que a cópia seja exatamente como
o original.
Não é o caso do Norton Ghost.

18. Imagens de Disco como prova
18
Cópia direta através de um cabo ou o disco é
removido do computador de destino para ser
copiado.
O processo da imagem deve ser feito de forma
que não deixe vestígios (não faça alterações)
no computador de origem.

19. Imagens de Disco como prova
19
Depois que você tiver uma cópia semelhante à
forense, o disco original será reservado e
preservado no estado atual. Todo o trabalho de
exame é feito na cópia.
Você também precisa confirmar se o
computador foi isolado imediatamente da rede e
protegido fisicamente de forma que ninguém
pudesse alterá-lo entre a descoberta do
incidente e a hora em que a imagem do disco
foi criada.

20. Imagens de Disco como prova
20
dd if=/*source* of=/*destination*
onde:
if=/*source* - evidência a ser copiada (hard disk,
tape, etc.)
of=/*destination* - local onde será copiado
dd if=/dev/hda of=/dev/caso10img1
Uma vantagem é que o dd aceita parâmetros para
diversos tipos de block size, etc

21. Imagens de Disco como prova
21
Parâmetros do “dd”:
ibs = input block size
obs = output block size
count = number of blocks to copy
skip = number of blocks to skip at start of input
seek = number of blocks to skip at start of output
conv = conversion
Caso eu tenha uma fita desconhecida, para descobrir
o block size (exceto >= 128):
dd if=/dev/st0 ibs=128 of=/dev/caso10img1 obs=1
count=1

22. Imagens de Disco como prova
22
Dividir a imagem em partes menores:
dd if=/dev/st0 count=1000000 of=/dev/caso10img1
dd if=/dev/st0 count=1000000 skip=1000000
of=/dev/caso10img2
dd if=/dev/st0 count=1000000 skip=2000000
of=/dev/caso10img3
dd if=/dev/st0 count=1000000 skip=3000000
of=/dev/caso10img4

23. Limpando discos
23
Formatadores e particionadores são normalmente
destruidores de tabelas e índices do file system.
Dispositivos semicondutores possuem uma
memória inerente.
DBan – formatador baseado em um live-CE Linux
Técnicas:
Quick Erase; Canadian RCMP TSSIT OPS-II
Standard Wipe; American DoD 5220-22.M Standard
Wipe; Gutmann Wipe; PRNG Stream Wipe

24. Limpando discos
24
Técnicas de limpeza:
Zeroes – Sobrescrever com zero em apenas um
passo. Rápido.
Pseudo-Random – Sobrescrever com números
pseudo-aleatórios e apenas um passo. Rápido.
Esconde o fato de que os dados foram zerados.
DoD 5200.22M (8-306. / E) – Sobrescreve com um
padrão de número especial em 3 passos. Lento.
DoD 5200.28M (8-306. / E, C and E) - Sobrescreve
com um padrão de número especial em 7 passos.
Muito Lento. Muito seguro.
Peter Guttman - Sobrescreve com um padrão de
número especial em 35 passos. Muito Lento. Nível de
segurança militar. (documento disponível)

25. Monitoramento de Aplicativos
25
Monitoramento de redes
P2P;
Orkut;
MSN e similares
Classificação por IPs.