2. $whoami
• Vaine Luiz Barreira
• http://about.me/vlbarreira
• Consultor de TI
• Perito em Computação Forense
• Ethical Hacker
• Professor Universitário
• Palestrante
3. Certificações
• Perito em Análise Forense Computacional
• Ethical Hacker
• ISO 27002
• ITIL v3
• CobiT v4.1
• Microsoft Operations Framework (MOF) v4
• ISO 20000
• IT Management Principles
• Business Information Management (BiSL)
• Microsoft Technology Associate – Security
• Microsoft Technology Associate – Networking
• Cloud Computing
• Secure Cloud Services
• GreenIT
• CA Backup Technical Specialist
• Symantec STS
• SonicWALL CSA
• Novell CNA – NetWare e GroupWise
Membro da Sociedade Brasileira de Ciências Forenses (SBCF)
Membro da High Technology Crime Investigation Association (HTCIA)
4. Representam as condutas criminosas cometidas com o uso das tecnologias de
informação e comunicação, e também os crimes nos quais o objeto da ação
criminosa é o próprio sistema informático.
• Defacements (modificação de páginas na Internet);
• Roubo de dados e/ou negação de serviço;
• E-mails falsos (phishing scam, difamação, ameaças);
• Transações bancárias (internet banking);
• Disseminação de código malicioso, pirataria e pedofilia;
• Crimes comuns com evidências em mídias digitais;
• Etc, etc, etc...
Crimes Digitais
5. Crimes Digitais
Os atacantes se movem rapidamente
Extorsão digital em
ascensão
Malwares estão
inteligentesAmeaças de dia zero
5 de 6
grandes
empresas
atacadas
317M
novas
variantes de
malware
1M de
malware
diários
60% dos ataques
são a pequenas/
médias empresas
113%
aumento de
ransoware
45X mais
dispositivos
atacados
28% dos
malwares são
VM-Aware
24
ameaças
críticas
Top 5 sem
correção por
295 dias
24
Source: Symantec Internet Security Threat Report 2015
11. Slide masterPerito Criminal (Perito Oficial)
Perito ad hoc ou Perito Judicial
Assistente Técnico
Perito Particular
Perito Digital
12. Computação Forense
• Perícia Digital
• Forense Digital
• Perícia Cibernética
• Perícia em Informática
• Forense em Informática
• Perícia Forense Computacional
• Análise Forense Computacional
• Perícia de Sistemas Computacionais
13. “Aplicação da ciência física aplicada à lei na busca pela verdade em
assuntos civis, criminais e de comportamento social, com o fim de que
nenhuma injustiça seja feita a nenhum membro da sociedade”.
(Manual de Patologia Forense do Colégio de Patologistas Americanos)
“Coleta e análise de dados de maneira não tendenciosa e o
mais livre de distorção possível, para reconstruir dados ou
o que aconteceu no passado em um sistema”
(Dan Farmer e Wietse Venema – Computer Forensics Analysis Class
Handouts)
Computação Forense
14. Princípio de Locard (1877-1966):
“Todo contato deixa um rastro (vestígio)”
Computação Forense
15. Exemplos de evidências relacionadas a crimes digitais:
• mensagem de e-mail e bate-papo
• arquivos de logs
• arquivos temporários
• registros de impressão
• registros de conexão à internet
• registros de conexão em sistemas
• registros de instalação/desinstalação de programas
• fragmentos de arquivos
Evidência Digital
16. • Minimizar perda de dados;
• Evitar contaminação de dados;
• Registrar e documentar todas as ações;
• Analisar dados em cópias;
• Reportar as informações coletadas;
• Principalmente: manter-se imparcial.
“É um erro capital teorizar antes de obter todas as evidências.”
Sherlock Holmes
Princípios de análise forense
17. • Razões para não investigar um incidente:
Custo
Demora
Falta de objetividade
Disponibilização de recursos importantes
• Processo que demanda tempo e recursos, nem
sempre útil para a empresa;
• É mais fácil reinstalar um computador do que
realizar uma investigação.
Motivações para investigação
18. Levantar evidências que contam a história do fato:
• O quê? (definição do próprio incidente)
• Onde? (local do incidente e das evidências)
• Quando? (data do incidente e suas partes)
• Quem (quem fez a ação)
• Por quê? (motivo ou causa do incidente)
• Como? (como foi realizado e/ou planejado)
• Quanto? (quantificação de danos)
Motivações para investigação
19. • Identificação do alvo;
• Coleta de informações;
• Identificação de vulnerabilidades;
• Comprometimento do sistema;
• Controle do sistema;
• Instalação de ferramentas;
• Remoção de rastros;
• Manutenção do sistema comprometido.
Modo de ação dos atacantes
20. Equipamento desligado: (Post Mortem Forensics)
• Sem atividade de disco rígido;
• Evidências voláteis perdidas;
• Sem atividade do invasor;
• Sem necessidade de contenção do ataque;
• Possivelmente algumas evidências foram
modificadas.
Tipos de sistemas comprometidos
21. Equipamento ligado: (Live Forensics)
• Atividade no disco rígido;
• Atividade de rede;
• Evidências voláteis;
• Possibilidade de atividade do invasor;
• Necessidade de conter o ataque.
Tipos de sistemas comprometidos
22. Equipamento ligado: (Live Forensics)
• Verificar se o sistema está comprometido;
• Não comprometer as evidências;
• Conter o ataque;
• Coletar evidências;
• Power-off ou shutdown?
Tipos de sistemas comprometidos
23. Etapas Perícia Digital
• Isolar área
• Fotografar o cenário
• Analisar o cenário
• Coletar evidências
• Garantir integridade
• Identificar equipamentos
• Embalar evidências
• Etiquetar evidências
• Cadeia de Custódia
Coleta
• Identificar as evidências
• Extrair
• Filtrar
• Documentar
Exame • Identificar (pessoas e locais)
• Correlacionar (pessoas e locais)
• Reconstruir a cena (incidente)
• Documentar
Análise
• Redigir laudo / parecer técnico
• Anexar evidências e demais
documentos
• Gerar hash de tudo
Resultados
Equipamentos
/ Mídias
Dados Informações Laudo Pericial
25. Ordem de volatilidade – RFC 3227
• Memória RAM;
• Arquivos de página ou de troca;
• Processos em execução;
• Conexões e estado da rede;
• Arquivos temporários;
• Arquivos de log de sistema ou aplicativos;
• Disco rígido (HD);
• Mídias removíveis (HDs externos, pendrives, cartões de
memória, CD-ROM, DVD-ROM, etc);
• Dispositivos não convencionais (câmeras digitais, gps,
relógios, etc).
1. Aquisição
26. • Adquirir o máximo de informações do
equipamento (marca, modelo, no. série, sistema
operacional, nome, memória, discos, partições,
endereço IP, etc);
• Aquisição remota pela rede não é recomendada;
• Aquisição utilizando bloqueadores de escrita ou
garantir a montagem da partição em modo
somente leitura (read only).
1. Aquisição
27. Mídias de armazenamento digital
• ISO 27037
• Imagem X Backup
• Cópia bit a bit / cópia física / duplicação forense
• Evitar a contaminação da evidência e consequente
fragilidade probatória
1. Aquisição
28. • Live Forensics:
Duplicação binária de memória RAM;
Tráfego de rede (grampo digital);
• Post Mortem Forensics:
Duplicação binária de mídia;
Demonstração 1
29. • Impedir alteração da mídia original antes e
durante os procedimentos de aquisição;
• Criar mais de uma cópia do arquivo de imagem;
• Trabalhar sempre na “cópia da cópia”;
• Usar assinaturas HASH para garantir a
integridade dos dados.
2. Preservação
30. • Todo material coletado para análise deve ser
detalhadamente relacionado em um documento
chamado Cadeia de Custódia;
• Qualquer manuseio do material coletado precisa
estar detalhadamente descrito na Cadeia de
Custódia.
3. Identificação
31. • Registro detalhado do modo como as evidências
foram tratadas, desde a coleta até os resultados
finais;
• Deve conter informações sobre quem teve
acesso às evidências ou às cópias utilizadas;
• Durante um processo judicial, vai garantir que as
provas não foram comprometidas;
• Cada evidência coletada deve ter um registro de
custódia associado a ela.
Cadeia de Custódia
32. • Extrair as informações disponíveis das mídias;
• Buscar dados removidos total ou parcialmente,
propositadamente ou não;
• Técnica de “Carving”.
4. Extração e 5. Recuperação
33. Através da imagem gerada:
• Extração de um arquivo – Magic Number
• Recuperação de um arquivo apagado;
Demonstração 2
34. • Correlacionar as evidências;
• Criação da linha de tempo das atividades;
• Documentação de todo o processo.
6. Análise
35. • Elaboração do Laudo Pericial;
• Apresentar as conclusões em linguagem clara e
com dados técnicos comentados.
7. Apresentação
36. • Capacidade dos dispositivos;
• Criptografia mais acessível;
• Dispositivos Móveis:
• Tablets
• Smartphones
• Wearables (relógios, pulseiras, óculos, etc)
• Internet das Coisas (IoT);
• Computação em Nuvem (Cloud Computing).
Novos Desafios