2. Computação Forense
2
Quais as consequências de se detectar um
ataque através do seu IDS?
O que se pode fazer quando um arquivo é
indevidamente apagado?
Quem assina digitalmente tem
responsabilidade?
3. Computação Forense
3
É um processo dividido em 4 fases:
1- Identificar
2- Preservar
3- Analisar
4- Apresentar
evidências digitais que seja legalmente aceitas.
4. Computação Forense
4
1- Identificar
O que deve ser considerado?
Onde está?
Não confundir apenas com apreensão de
computadores (celulares e smart cards).
5. Computação Forense
5
2- Preservar
Uma das tarefas mais críticas para se manter o
valor jurídico das informações.
Transporte físico (policiais)
Alterações lógicas
6. Computação Forense
6
3- Analisar
Quais as ferramentas utilizadas?
Recuperação de dados apagados.
Leitura de arquivos
Clonagem de discos
Rastreamento de mensagens
8. Computação Forense
8
Existem 03 atividades primárias:
É uma área normalmente multidisciplinar.
1- Análise de mídias e dispositivos eletrônicos
2- Análise de comunicação de dados
3- Pesquisa e desenvolvimento
9. Computação Forense
9
04 REGRAS BÁSICAS DA
COMPUTAÇÃO FORENSE:
1- Manipule a informação original o menos
possível
2- Registre toda e qualquer alteração (inclusive
física)
3- Tome ações que estejam de acordo com a
legislação para obtenção de evidências
4- Não ultrapasse o seu limite de conhecimento
10. Computação Forense
10
Exercício MD5
Crie um arquivo “nome.TXT” tendo como
conteúdo o seu nome completo.
Abra o programa md5 e gere o MD5 deste
arquivo. Cole o hash em outra janela do bloco
de notas.
Agora altere apenas um caractere do seu nome
e compare o MD5. Retorne ao caractere original
e teste novamente.
11. Normas e Procedimentos
11
Coleta de evidências
• Busca e apreensão;
• Identificação do material apreendido;
• Estabelecimento da “Cadeia de custódia”;
Manipulação
• Acondicionamento;
• Transporte;
• Guarda;
• Remessa para perícia;
12. Normas e Procedimentos
12
Exames periciais
• Recebimento do material;
• Identificação do material;
• Exames “a quente”;
• Duplicação pericial de mídias;
• Inicialização segura;
• Exames em mídia;
• Documentação dos exames;
14. Imagens de Disco como prova
14
Se houver alguma chance de um caso ir para o
tribunal, é de extrema importância que a
evidência digital seja manipulada corretamente
por todos que tenham acesso.
O ponto principal é que a evidência pode tornar-
se inaceitável se alguém que a manipulou
depois de ocorrer um incidente não fizer nada
para alterá-la.
15. Imagens de Disco como prova
15
Mas simplesmente abrir um arquivo altera a
evidência (por exemplo, a data da última
modificação pode ser alterada), portanto, como
a evidência digital ainda pode ser preservada
em um estado aceitável?
16. Imagens de Disco como prova
16
A resposta é conduzir qualquer exame da
evidência não nos dados originais, mas em uma
cópia exata feita para esta finalidade.
Para atender aos altos padrões do tribunal, não
é tão simples quanto parece.
CÓPIA EXATA: nível de bits da imagem do
disco original, setor a setor de todos os dados e
contém todos os espaços desperdiçados,
espaço livre e outros dados do ambiente.
17. Imagens de Disco como prova
17
Isso requer um software de imagens especial
criado para esta finalidade.
O software de imagens criado para fins forenses
também deve usar algum método de verificação
para garantir que a cópia seja exatamente como
o original.
Não é o caso do Norton Ghost.
18. Imagens de Disco como prova
18
Cópia direta através de um cabo ou o disco é
removido do computador de destino para ser
copiado.
O processo da imagem deve ser feito de forma
que não deixe vestígios (não faça alterações)
no computador de origem.
19. Imagens de Disco como prova
19
Depois que você tiver uma cópia semelhante à
forense, o disco original será reservado e
preservado no estado atual. Todo o trabalho de
exame é feito na cópia.
Você também precisa confirmar se o
computador foi isolado imediatamente da rede e
protegido fisicamente de forma que ninguém
pudesse alterá-lo entre a descoberta do
incidente e a hora em que a imagem do disco
foi criada.
20. Imagens de Disco como prova
20
dd if=/*source* of=/*destination*
onde:
if=/*source* - evidência a ser copiada (hard disk,
tape, etc.)
of=/*destination* - local onde será copiado
dd if=/dev/hda of=/dev/caso10img1
Uma vantagem é que o dd aceita parâmetros para
diversos tipos de block size, etc
21. Imagens de Disco como prova
21
Parâmetros do “dd”:
ibs = input block size
obs = output block size
count = number of blocks to copy
skip = number of blocks to skip at start of input
seek = number of blocks to skip at start of output
conv = conversion
Caso eu tenha uma fita desconhecida, para descobrir
o block size (exceto >= 128):
dd if=/dev/st0 ibs=128 of=/dev/caso10img1 obs=1
count=1
22. Imagens de Disco como prova
22
Dividir a imagem em partes menores:
dd if=/dev/st0 count=1000000 of=/dev/caso10img1
dd if=/dev/st0 count=1000000 skip=1000000
of=/dev/caso10img2
dd if=/dev/st0 count=1000000 skip=2000000
of=/dev/caso10img3
dd if=/dev/st0 count=1000000 skip=3000000
of=/dev/caso10img4
23. Limpando discos
23
Formatadores e particionadores são normalmente
destruidores de tabelas e índices do file system.
Dispositivos semicondutores possuem uma
memória inerente.
DBan – formatador baseado em um live-CE Linux
Técnicas:
Quick Erase; Canadian RCMP TSSIT OPS-II
Standard Wipe; American DoD 5220-22.M Standard
Wipe; Gutmann Wipe; PRNG Stream Wipe
24. Limpando discos
24
Técnicas de limpeza:
Zeroes – Sobrescrever com zero em apenas um
passo. Rápido.
Pseudo-Random – Sobrescrever com números
pseudo-aleatórios e apenas um passo. Rápido.
Esconde o fato de que os dados foram zerados.
DoD 5200.22M (8-306. / E) – Sobrescreve com um
padrão de número especial em 3 passos. Lento.
DoD 5200.28M (8-306. / E, C and E) - Sobrescreve
com um padrão de número especial em 7 passos.
Muito Lento. Muito seguro.
Peter Guttman - Sobrescreve com um padrão de
número especial em 35 passos. Muito Lento. Nível de
segurança militar. (documento disponível)