SlideShare uma empresa Scribd logo

Forense computacional(ufpe)[1]

Jorge Willians, ITIL®, COBIT®, CompTIA Security, CEH
Jorge Willians, ITIL®, COBIT®, CompTIA Security, CEH
1 de 39
Baixar para ler offline
Forense Digital / Computacional CIn – UFPE, 2007
Forense Computacional • Agenda – Introdução – Ciência Forense • O que é Ciência Forense, O que NÃO É Ciência Forense – Forense Digital / Computacional – Etapas de Investigação • Coleta, Exame, Analise e Resultados – Técnicas Forenses • Ferramentas Forenses (etapas da investigação) • Técnicas Anti-Forense – Conclusão
Introdução “A Forense Computacional pode ser definida como a ciência que estuda a aquisição, preservação, recuperação e análise de dados que estão em formato eletrônico e armazenados em algum tipo de mídia computacional.” computacional
Ciência Forense • Diz-se da aplicação de campo científico específico à investigação de fatos relacionados a crimes e/ou contendas judiciais. • Ou simplesmente: A aplicação da Ciência no Direito The Forensic Science Society (http://www.forensic-science-society.org.uk)
Ciência Forense • Archimedes (287-212 a.C.) – Quantidade real de ouro da Coroa calculada pela teoria do peso específico dos corpos. • Impressões digitais – Utilizadas no século VII como comprovação de débito (a impressão digital do devedor era anexada à conta). • Medicina e Entomologia – Referidas no livro “Collected Cases of Injustice Rectified”, de Xi Yuan Ji Lu, em 1247. • Foice e moscas, afogamento (pulmão e cartilagens do pescoço), entre outros.
Ciência Forense • Século XX – A evolução da Ciência Forense – Pesquisas que conduziram à identificação do tipo sanguíneo e a análise e interpretação do DNA; – Publicação dos principais estudos referentes à aplicação de métodos e técnicas utilizadas na investigação de crimes; – Criado o “The Federal Bureau of Investigation The (FBI)”, uma referência no que tange à investigação de crimes e a utilização de técnicas forenses em diversas áreas.
Ciência Forense • Atualmente, existem peritos especializados em diversas áreas científicas, entre elas: – Análise de documentos (documentoscopia); – Criminalística (Balística, Impressões digitais, substâncias controladas); – Antropologia (identificação de restos mortais, esqueletos) – Arqueologia; – Entomologia (insetos, verificação de data, hora e local); – Odontologia; – Computação (Forense Computacional ou Forense Digital); – E outras: Patologia, Psicologia, Toxicologia, Metrologia, ...
O que Ciência Forense Não é!
Forense Digital/Computacional • Objetivo: – Suprir as necessidades das instituições legais no que se refere à manipulação das novas formas de evidências eletrônicas. – Ela é a ciência que estuda a aquisição, preservação, recuperação e análise de dados que estão em formato eletrônico e armazenados em algum tipo de mídia computacional. – Através da utilização de métodos científicos e sistemáticos, para que essas informações passem a ser caracterizadas como evidências e, posteriormente, como provas legais de fato. “Forense Computacional: Aspectos Legais e Padronização” (http://www.ppgia.pucpr.br/~maziero/pesquisa/ceseg/wseg01/14.pdf )
Forense Digital/Computacional • É utilizada com fins: – Legais • ex.: investigação de casos de espionagem industrial, roubo de identidade, extorsão ou ameaças. – Ações disciplinares internas • ex.: uso indevido de recursos da instituição, ou eventos onde não se deseja chamar a atenção externa
Forense Digital/Computacional • Ocorrências mais comuns: – Calúnia, difamação e injúria via e-mail ou web – Roubo de informações confidenciais – Remoção de arquivos • Outros crimes: – Pedofilia – Fraudes – Auxílio ao tráfico de drogas e intorpecentes
Etapas da investigação • Fases de um processo de investigação Resultados Coleta Exame Análise obtidos • Isolar a área • Identificar • Identificar (pessoas, • Redigir laudo • Coletar evidências • Extrair locais e eventos) • Anexar evidências e • Garantir Integridade • Filtrar • Correlacionar demais documentos • Identificar • Documentar (pessoas, locais e • Comprovar Equipamentos eventos) integridade da cadeia • Embalar evidências • Reconstruir a cena de custódia • Etiquetar evidências • Documentar (formulários e • Cadeia de Custódia registros) Search and Seizure Manual - http://www.usdoj.gov/criminal/cybercrime/s&smanual2002.pdf
Coleta de Dados • Identificação de possíveis fontes de dados: – Computadores pessoais, laptops; – Dispositivos de armazenamento em rede; – CDs, DVDs; http://www.krollontrack.com.br – Portas de comunicação: USB, Firewire, Flash card e PCMCIA; – Máquina fotográfica, relógio com comunicação via USB, etc.
Coleta de Dados • Cópia dos dados: envolve a utilização de ferramentas dados: adequadas para a duplicação dos dados • Garantir e preservar a integridade – Se não for garantida a integridade, as evidências poderão ser invalidadas como provas perante a justiça – A garantia da integridade das evidências consiste na utilização de ferramentas que aplicam algum tipo de algoritmo hash • Assim como os demais objetos apreendidos na cena do crime, os materiais de informática apreendidos cadeia deverão ser relacionados em um documento (cadeia de custódia – ex. Formulário de Cadeia de Custódia custódia)
Coleta de Dados • Após a identificação das possíveis origens dos dados, o perito necessita adquiri-los. • Para a aquisição dos dados, é utilizado um processo composto por três etapas: – Identificação de prioridade; – Cópia dos dados; – Garantia e preservação de integridade.
Coleta de Dados: Identificação de Prioridade • Identificar a prioridade da coleta: o perito deve estabelecer a ordem (prioridade na qual os dados prioridade) devem ser coletados – Volatilidade: dados voláteis devem ser imediatamente coletados pelo perito. • Ex.: o estado das conexões de rede e o conteúdo da memória – Esforço: envolve não somente o tempo gasto pelo perito, mas também o custo dos equipamentos e serviços de terceiros caso sejam necessários. terceiros, • Ex.: dados de um roteador da rede local x dados de um provedor de Internet – Valor estimado: o perito deve estimar um valor relativo para cada provável fonte de dados, para definir a seqüência na qual as fontes de dados serão investigadas
Coleta de Dados: Cópia dos dados • Cópia lógica (Backup): as cópias lógicas gravam o conteúdo dos diretórios e os arquivos de um volume lógico. Não capturam outros dados. – arquivos excluídos; – fragmentos de dados armazenados nos espaços não utilizados, mas alocados por arquivos. • Imagem: imagem do disco ou cópia bit-a-bit inclui os bit- espaços livres e os espaços não utilizados: – mais espaço de armazenamento, consomem muito mais tempo; – permitem a recuperação de arquivos excluídos e dados não alocados pelo sistema de arquivos. • Exemplo: setor de 4KB, arquivo com 9KB (3 setores ocupados) Parte utilizada pelo arquivo Parte não utilizada
Coleta de Dados: Garantia e preservação de integridade • Durante a aquisição dos dados é muito importante manter a integridade dos atributos de tempo mtime (modification time), atime (access time) e ctime (creation time) – MAC Times. Times
Exame dos Dados • Finalidade localizar, filtrar e extrair somente as Finalidade: informações relevantes à investigação. – Devemos considerar: • Capacidade de armazenamento dos dispositivos atuais • Quantidade de diferentes formatos de arquivos existentes – Ex.: imagens, áudio, arquivos criptografados e compactados • Muitos formatos de arquivos possibilitam o uso de esteganografia para ocultar dados, o que exige que o perito esteja atento e apto a identificar e recuperar esses dados – Em meio aos dados recuperados podem estar informações irrelevantes e que devem ser filtradas. • Ex.: o arquivo de log do sistema de um servidor pode conter milhares de entradas, sendo que somente algumas delas podem interessar à investigação
Exame dos Dados • Após a restauração da cópia dos dados, o perito faz uma avaliação dos dados encontrados: – arquivos que haviam sido removidos e foram recuperados; – arquivos ocultos; – fragmentos de arquivos encontrados nas áreas não alocadas; – fragmentos de arquivos encontrados em setores alocados, porém não utilizados pelo arquivo.
Análise dos Dados • Após a extração dos dados considerados relevantes, o perito deve concentrar suas habilidades e conhecimentos na etapa de análise e interpretação das informações. • Finalidade: identificar pessoas, locais e eventos; determinar como esses elementos estão inter- relacionados. • Normalmente é necessário correlacionar informações de várias fontes de dados – Exemplo de correlação: um indivíduo tenta realizar um acesso não autorizado a um determinado servidor • É possível identificar por meio da análise dos eventos registrados nos arquivos de log o endereço IP de onde foi originada a requisição de acesso • Registros gerados por firewalls, sistemas de detecção de intrusão e demais mecanismos de proteção
Resultados • A interpretação e apresentação dos resultados obtidos é a etapa conclusiva da investigação investigação. • O perito elabora um laudo pericial que deve ser escrito de forma clara e concisa listando todas concisa, as evidências localizadas e analisadas. • O laudo pericial deve apresentar uma conclusão imparcial e final a respeito da investigação.
Resultados • Para que o laudo pericial torne-se um documento de fácil interpretação, é indicado que o mesmo seja organizado em seções: – Finalidade da investigação – Autor do laudo – Resumo do incidente – Relação de evidências analisadas e seus detalhes – Conclusão – Anexos – Glossário (ou rodapés)
Resultados • Também devem constar no laudo pericial: – Metodologia – Técnicas – Softwares e equipamentos empregados • Com um laudo bem escrito torna-se mais fácil a reprodução das fases da investigação, caso necessário.
Técnicas Forenses • Boas práticas que antecedem a coleta dos dados: – Limpar todas as mídias que serão utilizadas ou usar mídias novas a cada investigação; – Certificar-se de que todas as ferramentas (softwares) que serão utilizadas estão devidamente licenciadas e prontas para utilização; – Verificar se todos os equipamentos e materiais necessários (por exemplo, a estação forense, as mídias para coleta dos dados, etc.) estão à disposição – Quando chegar ao local da investigação, o perito deve providenciar para que nada seja tocado sem o seu consentimento, com o objetivo de proteger e coletar todos os tipos de evidências – Os investigadores devem filmar ou fotografar o ambiente e registrar detalhes sobre os equipamentos como: marca, modelo, números de série, componentes internos, periféricos, etc. – Manter a cadeia de custódia !!!
Ferramentas Forenses • Algumas ferramentas forenses comumente utilizadas nas etapas: – Coleta dos dados • Avaliar: Live Forensics ou Post-Mortem – Exame dos dados – Análise dos dados
Técnicas Forenses Coleta de dados voláteis • Sempre que possível e relevante a investigação: – Conexões de rede (netstat) (netstat)
Técnicas Forenses Coleta de dados voláteis • Sessões de Login (EventViewer / who –u) – dos usuários; – das ações realizadas; • Conteúdo da memória (WinHEX / dump) (WinHEX dump) • Processos em execução (ProcessXP / ps) (ProcessXP ps) • Arquivos abertos • Configuração de rede • Data e hora do sistema operacional
Ferramentas Forenses Coleta de dados não voláteis • dd (Disk Definition) • dcfldd (Department of Defense Computer Forensics Lab Disk Definition) - Versão aprimorada do dd, com mais dd funcionalidades: – geração do hash dos dados durante a cópia dos mesmos – visualização do processo de geração da imagem – divisão de uma imagem em partes • Automated Image & Restore (AIR): interface gráfica para os comandos dd/dcfldd dd/ – gera e compara automaticamente hashes MD5 ou SHA – produz um relatório contendo todos os comandos utilizados durante a sua execução – elimina o risco da utilização de parâmetros errados por usuários menos capacitados
Ferramentas Forenses Coleta de dados não voláteis
Ferramentas Forenses Exame dos dados • Utilizando assinaturas de arquivos comuns, a quantidade de arquivos a ser analisada pode ser reduzida significativamente – Ex.: projeto National Software Reference Library (NSRL) • http://www.nsrl.nist.gov/Downloads.htm#isos • Total de 43.103.492 arquivos, distribuídos em 4 “discos”
Ferramentas Forenses Exame dos dados • Diversas ferramentas já permitem a utilização dos bancos de dados citados, por exemplo: • EnCase • Autopsy & SleuthKit • PyFLAG
Ferramentas Forenses Exame dos dados • EnCase – Padronização de laudo; – Recuperação de dados, banco de dados de evidências; – Análise de hardwares e logs.
Ferramentas Forenses Análise dos dados • Utilitários para construção da linha de tempo dos eventos – Mactime (Componente do SleuthKit) • Utilitários de navegação em arquivos da estrutura do Sistema Operacional Windows – Pasco - http://www.opensourceforensics.org • Analisa os índices dos arquivos do Internet Explorer – Galleta (Cookie em espanhol) – FoundStone.com • analisa os cookiesexistentes em uma máquina e separa as informações úteis
Ferramentas Anti-forense Destruir/Ocultar dados • Objetivo: destruir, ocultar ou modificar as evidências existentes em um sistema a fim de dificultar o trabalho realizado pelos investigadores – Também podem ser utilizadas antes de venda ou doação de mídias a outras pessoas (evita recuperação de dados) • Destruição dos Dados para impedir ou pelo menos Dados: dificultar a recuperação dos dados, são utilizadas ferramentas conhecidas como wiping tools para a remoção dos dados – Wipe – Secure-delete – PGP/GPG wipe – The Defiler's Toolkit – Darik's Boot and Nuke
Ferramentas Anti-forense Destruir/Ocultar dados • Ocultar Dados – Criptografia e esteganografia podem ser aplicados em arquivos, tornando-se uma barreira difícil de ser superada. • Utilizar ferramentas de esteganoanálise em uma mídia de 80GB requer muito tempo e na prática nem sempre é algo viável de se realizar • O mesmo ocorre quando se trata de arquivos criptografados – Ex.: • TrueCrypt, PGP/GPG, Steganos , Hide and Seek, ...
Ferramentas Anti-forense Destruir/Ocultar dados • Outras finalidades – Principalmente focado em dificultar ou impedir o trabalho do perito forense, algumas ferramentas têm como objetivo impedir uma das etapas da investigação: • Metasploit Anti-Forensic Investigation Arsenal (MAFIA) • Windows Memory Forensic Toolkit
Conclusões • Forense Digital/Computacional é um dos aspectos de Segurança de Informações que chama bastante atenção tanto de corporações quanto da comunidade científica • Apesar das diversas ferramentas disponíveis que facilitam sobremaneira a ação do perito, a conclusão final ainda paira sobre a experiência, competência e integridade do profissional que conduziu a investigação
Algumas Referências • Neukamp, Paulo A. Forense Computacional: Fundamentos e Desafios Atuais. 11 Junho de 2007. Universidade do Vale do Rio dos Sinos (UNISINOS). 06 Nov. 2007. • http://www.imasters.com.br/artigo/4175/forense/introducao _a_computacao_forense • http://www.guidancesoftware.com/pt/products/ee_index.asp

Recomendados

Crimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao ForenseCrimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao ForenseVaine Luiz Barreira, MBA
 
Computação Forense
Computação ForenseComputação Forense
Computação ForenseClaudio Benossi
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoFernando Palma
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoSamantha Nunes
 
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...Felipe Gulert Rodrigues
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoJean Israel B. Feijó
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoEmerson Rocha
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoRodrigo Bueno Santa Maria, BS, MBA
 

Recomendados

Crimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao ForenseCrimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao ForenseVaine Luiz Barreira, MBA
 
Computação Forense
Computação ForenseComputação Forense
Computação ForenseClaudio Benossi
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoFernando Palma
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoSamantha Nunes
 
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...Felipe Gulert Rodrigues
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoJean Israel B. Feijó
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoEmerson Rocha
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoRodrigo Bueno Santa Maria, BS, MBA
 
Desafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãDesafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãLuiz Arthur
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
Redes de computadores e Telecomunicações
Redes de computadores e TelecomunicaçõesRedes de computadores e Telecomunicações
Redes de computadores e TelecomunicaçõesHelder Lopes
 
Investigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseInvestigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseVaine Luiz Barreira, MBA
 
Forense Remota utilizando ferramentas Open Source
Forense Remota utilizando ferramentas Open SourceForense Remota utilizando ferramentas Open Source
Forense Remota utilizando ferramentas Open SourceJulio Cesar Roque Benatto
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoCarlos Henrique Martins da Silva
 
Ameacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdfAmeacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdfEdkallenn Lima
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacaoMariana Gonçalves Spanghero
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da InformaçãoJoão Carlos da Silva Junior
 
Defesa Cibernética: Aspectos Concentuais e Práticos
Defesa Cibernética: Aspectos Concentuais e PráticosDefesa Cibernética: Aspectos Concentuais e Práticos
Defesa Cibernética: Aspectos Concentuais e PráticosGian Gabriel Guglielmelli
 
Laudo Forense Digital (Cenário 4)
Laudo Forense Digital (Cenário 4)Laudo Forense Digital (Cenário 4)
Laudo Forense Digital (Cenário 4)Carlos Eduardo Motta de Castro
 
Seguranca de rede
Seguranca de redeSeguranca de rede
Seguranca de redeUniversidade Federal do Pampa
 
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAAULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAMaraLuizaGonalvesFre
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaGilberto Sudre
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalJefferson Costa
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Carlos Henrique Martins da Silva
 
Lei Geral de Proteção aos Dados (LGPD)
Lei Geral de Proteção aos Dados (LGPD)Lei Geral de Proteção aos Dados (LGPD)
Lei Geral de Proteção aos Dados (LGPD)Soraia Lima
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
 
Certificados Digitais & Criptografia
Certificados Digitais & CriptografiaCertificados Digitais & Criptografia
Certificados Digitais & CriptografiaRaul Oliveira
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoMarco Mendes
 
Histologiadelapiel 101117163635-phpapp01 - mejor
Histologiadelapiel 101117163635-phpapp01 - mejorHistologiadelapiel 101117163635-phpapp01 - mejor
Histologiadelapiel 101117163635-phpapp01 - mejoraplayanariso
 
O trabalho psicopedagógico à luz da psicomotricidade
O trabalho psicopedagógico à luz da psicomotricidadeO trabalho psicopedagógico à luz da psicomotricidade
O trabalho psicopedagógico à luz da psicomotricidadeCaminhos do Autismo
 

Mais conteúdo relacionado

Mais procurados

Desafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãDesafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãLuiz Arthur
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
Redes de computadores e Telecomunicações
Redes de computadores e TelecomunicaçõesRedes de computadores e Telecomunicações
Redes de computadores e TelecomunicaçõesHelder Lopes
 
Investigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseInvestigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseVaine Luiz Barreira, MBA
 
Forense Remota utilizando ferramentas Open Source
Forense Remota utilizando ferramentas Open SourceForense Remota utilizando ferramentas Open Source
Forense Remota utilizando ferramentas Open SourceJulio Cesar Roque Benatto
 
Ameacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdfAmeacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdfEdkallenn Lima
 
Defesa Cibernética: Aspectos Concentuais e Práticos
Defesa Cibernética: Aspectos Concentuais e PráticosDefesa Cibernética: Aspectos Concentuais e Práticos
Defesa Cibernética: Aspectos Concentuais e PráticosGian Gabriel Guglielmelli
 
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAAULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAMaraLuizaGonalvesFre
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaGilberto Sudre
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalJefferson Costa
 
Lei Geral de Proteção aos Dados (LGPD)
Lei Geral de Proteção aos Dados (LGPD)Lei Geral de Proteção aos Dados (LGPD)
Lei Geral de Proteção aos Dados (LGPD)Soraia Lima
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
 
Certificados Digitais & Criptografia
Certificados Digitais & CriptografiaCertificados Digitais & Criptografia
Certificados Digitais & CriptografiaRaul Oliveira
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoMarco Mendes
 

Mais procurados (20)

Desafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãDesafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhã
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Redes de computadores e Telecomunicações
Redes de computadores e TelecomunicaçõesRedes de computadores e Telecomunicações
Redes de computadores e Telecomunicações
 
Investigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseInvestigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação Forense
 
Forense Remota utilizando ferramentas Open Source
Forense Remota utilizando ferramentas Open SourceForense Remota utilizando ferramentas Open Source
Forense Remota utilizando ferramentas Open Source
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da Informação
 
Ameacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdfAmeacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdf
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
 
Defesa Cibernética: Aspectos Concentuais e Práticos
Defesa Cibernética: Aspectos Concentuais e PráticosDefesa Cibernética: Aspectos Concentuais e Práticos
Defesa Cibernética: Aspectos Concentuais e Práticos
 
Laudo Forense Digital (Cenário 4)
Laudo Forense Digital (Cenário 4)Laudo Forense Digital (Cenário 4)
Laudo Forense Digital (Cenário 4)
 
Seguranca de rede
Seguranca de redeSeguranca de rede
Seguranca de rede
 
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAAULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de Segurança
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense Computacional
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Lei Geral de Proteção aos Dados (LGPD)
Lei Geral de Proteção aos Dados (LGPD)Lei Geral de Proteção aos Dados (LGPD)
Lei Geral de Proteção aos Dados (LGPD)
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
 
Certificados Digitais & Criptografia
Certificados Digitais & CriptografiaCertificados Digitais & Criptografia
Certificados Digitais & Criptografia
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 

Destaque

Histologiadelapiel 101117163635-phpapp01 - mejor
Histologiadelapiel 101117163635-phpapp01 - mejorHistologiadelapiel 101117163635-phpapp01 - mejor
Histologiadelapiel 101117163635-phpapp01 - mejoraplayanariso
 
O trabalho psicopedagógico à luz da psicomotricidade
O trabalho psicopedagógico à luz da psicomotricidadeO trabalho psicopedagógico à luz da psicomotricidade
O trabalho psicopedagógico à luz da psicomotricidadeCaminhos do Autismo
 
Nuevo documento de microsoft word (4)
Nuevo documento de microsoft word (4)Nuevo documento de microsoft word (4)
Nuevo documento de microsoft word (4)Yenifer Cabria
 
Deures fis cinem2dim1_estiu2010
Deures fis cinem2dim1_estiu2010Deures fis cinem2dim1_estiu2010
Deures fis cinem2dim1_estiu2010Escola Cervetó
 
Slide share dimofelia
Slide share dimofeliaSlide share dimofelia
Slide share dimofeliadimofelia
 
Crearpginawebenlnea johaine-130820203602-phpapp01
Crearpginawebenlnea johaine-130820203602-phpapp01Crearpginawebenlnea johaine-130820203602-phpapp01
Crearpginawebenlnea johaine-130820203602-phpapp01Johaine De Oro
 
R fe qqox4
R fe qqox4R fe qqox4
R fe qqox4ghop
 
740_monarkia bisigodoa.doc
740_monarkia bisigodoa.doc740_monarkia bisigodoa.doc
740_monarkia bisigodoa.docElhuyarOlinpiada
 
X hill candy
X hill candyX hill candy
X hill candykross3
 
Artigo 2006 revista_pessoal_fev
Artigo 2006 revista_pessoal_fevArtigo 2006 revista_pessoal_fev
Artigo 2006 revista_pessoal_fevHelder Figueiredo
 
Css 11 10_14
Css 11 10_14Css 11 10_14
Css 11 10_14ShiShi26
 
Posibilidades y limitaciones
Posibilidades y limitacionesPosibilidades y limitaciones
Posibilidades y limitacionesglunes1pealismari
 
Muka surat folio
Muka surat folioMuka surat folio
Muka surat folioarmsyah
 
Proyecto inovador prof abel
Proyecto inovador prof abelProyecto inovador prof abel
Proyecto inovador prof abelmarypineda
 
Los milagros de san antonio
Los milagros de san antonioLos milagros de san antonio
Los milagros de san antoniobibliolois
 

Destaque (20)

Histologiadelapiel 101117163635-phpapp01 - mejor
Histologiadelapiel 101117163635-phpapp01 - mejorHistologiadelapiel 101117163635-phpapp01 - mejor
Histologiadelapiel 101117163635-phpapp01 - mejor
 
O trabalho psicopedagógico à luz da psicomotricidade
O trabalho psicopedagógico à luz da psicomotricidadeO trabalho psicopedagógico à luz da psicomotricidade
O trabalho psicopedagógico à luz da psicomotricidade
 
Nuevo documento de microsoft word (4)
Nuevo documento de microsoft word (4)Nuevo documento de microsoft word (4)
Nuevo documento de microsoft word (4)
 
Deures fis cinem2dim1_estiu2010
Deures fis cinem2dim1_estiu2010Deures fis cinem2dim1_estiu2010
Deures fis cinem2dim1_estiu2010
 
Slide share dimofelia
Slide share dimofeliaSlide share dimofelia
Slide share dimofelia
 
Regional accounting
Regional accountingRegional accounting
Regional accounting
 
FinnWars
FinnWarsFinnWars
FinnWars
 
Crearpginawebenlnea johaine-130820203602-phpapp01
Crearpginawebenlnea johaine-130820203602-phpapp01Crearpginawebenlnea johaine-130820203602-phpapp01
Crearpginawebenlnea johaine-130820203602-phpapp01
 
Virus informaticos
Virus informaticosVirus informaticos
Virus informaticos
 
07
0707
07
 
R fe qqox4
R fe qqox4R fe qqox4
R fe qqox4
 
740_monarkia bisigodoa.doc
740_monarkia bisigodoa.doc740_monarkia bisigodoa.doc
740_monarkia bisigodoa.doc
 
X hill candy
X hill candyX hill candy
X hill candy
 
Artigo 2006 revista_pessoal_fev
Artigo 2006 revista_pessoal_fevArtigo 2006 revista_pessoal_fev
Artigo 2006 revista_pessoal_fev
 
Css 11 10_14
Css 11 10_14Css 11 10_14
Css 11 10_14
 
Posibilidades y limitaciones
Posibilidades y limitacionesPosibilidades y limitaciones
Posibilidades y limitaciones
 
Muka surat folio
Muka surat folioMuka surat folio
Muka surat folio
 
4
44
4
 
Proyecto inovador prof abel
Proyecto inovador prof abelProyecto inovador prof abel
Proyecto inovador prof abel
 
Los milagros de san antonio
Los milagros de san antonioLos milagros de san antonio
Los milagros de san antonio
 

Semelhante a Forense computacional(ufpe)[1]

Forense_Computacional(UFPE).pdf
Forense_Computacional(UFPE).pdfForense_Computacional(UFPE).pdf
Forense_Computacional(UFPE).pdfFelipeBarreto98
 
Análise Forense Computacional com Software Livre - Free Software Rio 2010
Análise Forense Computacional com Software Livre - Free Software Rio 2010Análise Forense Computacional com Software Livre - Free Software Rio 2010
Análise Forense Computacional com Software Livre - Free Software Rio 2010Clavis Segurança da Informação
 
V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”
V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”
V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”Clavis Segurança da Informação
 
Aula de Conceitos, bases e normas para a gestão arquivística de documentos di...
Aula de Conceitos, bases e normas para a gestão arquivística de documentos di...Aula de Conceitos, bases e normas para a gestão arquivística de documentos di...
Aula de Conceitos, bases e normas para a gestão arquivística de documentos di...Universidade Estadual de Londrina
 
Apresentação ab drc
Apresentação ab drcApresentação ab drc
Apresentação ab drcdmarques25
 
Pericia Forense
Pericia ForensePericia Forense
Pericia Forenseceife
 
012 computacao forense
012 computacao forense012 computacao forense
012 computacao forenseSimba Samuel
 
Arquivos digitais formação
Arquivos digitais formaçãoArquivos digitais formação
Arquivos digitais formaçãoMarta Antunes
 
Apresentação tcc arquivologia
Apresentação tcc arquivologiaApresentação tcc arquivologia
Apresentação tcc arquivologiaPedro Neto
 
Oficina preservação digital Módulo 2
Oficina preservação digital Módulo 2Oficina preservação digital Módulo 2
Oficina preservação digital Módulo 2Roberto Lopes
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Jefferson Costa
 
Forense em SmartPhone e uma Introdução a Computação Forense.
Forense em SmartPhone e uma Introdução a Computação Forense.Forense em SmartPhone e uma Introdução a Computação Forense.
Forense em SmartPhone e uma Introdução a Computação Forense.Julio Cesar Roque Benatto
 
Sistematização de estratégia de defesa e ataque
Sistematização de estratégia de defesa e ataqueSistematização de estratégia de defesa e ataque
Sistematização de estratégia de defesa e ataqueUrsao Go
 
Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...
Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...
Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...BHack Conference
 
Exame pericial de equipamento Portátil
Exame pericial de equipamento PortátilExame pericial de equipamento Portátil
Exame pericial de equipamento PortátilJefferson Matheus
 
Introdução ao Armazenamento de Dados de Experimentos em Neurociência - Parte 01
Introdução ao Armazenamento de Dados de Experimentos em Neurociência - Parte 01Introdução ao Armazenamento de Dados de Experimentos em Neurociência - Parte 01
Introdução ao Armazenamento de Dados de Experimentos em Neurociência - Parte 01NeuroMat
 

Semelhante a Forense computacional(ufpe)[1] (20)

Forense_Computacional(UFPE).pdf
Forense_Computacional(UFPE).pdfForense_Computacional(UFPE).pdf
Forense_Computacional(UFPE).pdf
 
1ª aula forense computacional
1ª aula forense computacional1ª aula forense computacional
1ª aula forense computacional
 
CNASI 2011
CNASI 2011CNASI 2011
CNASI 2011
 
Análise Forense Computacional com Software Livre - Free Software Rio 2010
Análise Forense Computacional com Software Livre - Free Software Rio 2010Análise Forense Computacional com Software Livre - Free Software Rio 2010
Análise Forense Computacional com Software Livre - Free Software Rio 2010
 
V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”
V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”
V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”
 
Aula de Conceitos, bases e normas para a gestão arquivística de documentos di...
Aula de Conceitos, bases e normas para a gestão arquivística de documentos di...Aula de Conceitos, bases e normas para a gestão arquivística de documentos di...
Aula de Conceitos, bases e normas para a gestão arquivística de documentos di...
 
Apresentação ab drc
Apresentação ab drcApresentação ab drc
Apresentação ab drc
 
Computação forense
Computação forenseComputação forense
Computação forense
 
Pericia Forense
Pericia ForensePericia Forense
Pericia Forense
 
012 computacao forense
012 computacao forense012 computacao forense
012 computacao forense
 
Arquivos digitais formação
Arquivos digitais formaçãoArquivos digitais formação
Arquivos digitais formação
 
Palestra MPDF BSB Mar/2012
Palestra MPDF BSB Mar/2012Palestra MPDF BSB Mar/2012
Palestra MPDF BSB Mar/2012
 
Apresentação tcc arquivologia
Apresentação tcc arquivologiaApresentação tcc arquivologia
Apresentação tcc arquivologia
 
Oficina preservação digital Módulo 2
Oficina preservação digital Módulo 2Oficina preservação digital Módulo 2
Oficina preservação digital Módulo 2
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”
 
Forense em SmartPhone e uma Introdução a Computação Forense.
Forense em SmartPhone e uma Introdução a Computação Forense.Forense em SmartPhone e uma Introdução a Computação Forense.
Forense em SmartPhone e uma Introdução a Computação Forense.
 
Sistematização de estratégia de defesa e ataque
Sistematização de estratégia de defesa e ataqueSistematização de estratégia de defesa e ataque
Sistematização de estratégia de defesa e ataque
 
Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...
Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...
Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...
 
Exame pericial de equipamento Portátil
Exame pericial de equipamento PortátilExame pericial de equipamento Portátil
Exame pericial de equipamento Portátil
 
Introdução ao Armazenamento de Dados de Experimentos em Neurociência - Parte 01
Introdução ao Armazenamento de Dados de Experimentos em Neurociência - Parte 01Introdução ao Armazenamento de Dados de Experimentos em Neurociência - Parte 01
Introdução ao Armazenamento de Dados de Experimentos em Neurociência - Parte 01
 

Forense computacional(ufpe)[1]

  • 1. Forense Digital / Computacional CIn – UFPE, 2007
  • 2. Forense Computacional • Agenda – Introdução – Ciência Forense • O que é Ciência Forense, O que NÃO É Ciência Forense – Forense Digital / Computacional – Etapas de Investigação • Coleta, Exame, Analise e Resultados – Técnicas Forenses • Ferramentas Forenses (etapas da investigação) • Técnicas Anti-Forense – Conclusão
  • 3. Introdução “A Forense Computacional pode ser definida como a ciência que estuda a aquisição, preservação, recuperação e análise de dados que estão em formato eletrônico e armazenados em algum tipo de mídia computacional.” computacional
  • 4. Ciência Forense • Diz-se da aplicação de campo científico específico à investigação de fatos relacionados a crimes e/ou contendas judiciais. • Ou simplesmente: A aplicação da Ciência no Direito The Forensic Science Society (http://www.forensic-science-society.org.uk)
  • 5. Ciência Forense • Archimedes (287-212 a.C.) – Quantidade real de ouro da Coroa calculada pela teoria do peso específico dos corpos. • Impressões digitais – Utilizadas no século VII como comprovação de débito (a impressão digital do devedor era anexada à conta). • Medicina e Entomologia – Referidas no livro “Collected Cases of Injustice Rectified”, de Xi Yuan Ji Lu, em 1247. • Foice e moscas, afogamento (pulmão e cartilagens do pescoço), entre outros.
  • 6. Ciência Forense • Século XX – A evolução da Ciência Forense – Pesquisas que conduziram à identificação do tipo sanguíneo e a análise e interpretação do DNA; – Publicação dos principais estudos referentes à aplicação de métodos e técnicas utilizadas na investigação de crimes; – Criado o “The Federal Bureau of Investigation The (FBI)”, uma referência no que tange à investigação de crimes e a utilização de técnicas forenses em diversas áreas.
  • 7. Ciência Forense • Atualmente, existem peritos especializados em diversas áreas científicas, entre elas: – Análise de documentos (documentoscopia); – Criminalística (Balística, Impressões digitais, substâncias controladas); – Antropologia (identificação de restos mortais, esqueletos) – Arqueologia; – Entomologia (insetos, verificação de data, hora e local); – Odontologia; – Computação (Forense Computacional ou Forense Digital); – E outras: Patologia, Psicologia, Toxicologia, Metrologia, ...
  • 8. O que Ciência Forense Não é!
  • 9. Forense Digital/Computacional • Objetivo: – Suprir as necessidades das instituições legais no que se refere à manipulação das novas formas de evidências eletrônicas. – Ela é a ciência que estuda a aquisição, preservação, recuperação e análise de dados que estão em formato eletrônico e armazenados em algum tipo de mídia computacional. – Através da utilização de métodos científicos e sistemáticos, para que essas informações passem a ser caracterizadas como evidências e, posteriormente, como provas legais de fato. “Forense Computacional: Aspectos Legais e Padronização” (http://www.ppgia.pucpr.br/~maziero/pesquisa/ceseg/wseg01/14.pdf )
  • 10. Forense Digital/Computacional • É utilizada com fins: – Legais • ex.: investigação de casos de espionagem industrial, roubo de identidade, extorsão ou ameaças. – Ações disciplinares internas • ex.: uso indevido de recursos da instituição, ou eventos onde não se deseja chamar a atenção externa
  • 11. Forense Digital/Computacional • Ocorrências mais comuns: – Calúnia, difamação e injúria via e-mail ou web – Roubo de informações confidenciais – Remoção de arquivos • Outros crimes: – Pedofilia – Fraudes – Auxílio ao tráfico de drogas e intorpecentes
  • 12. Etapas da investigação • Fases de um processo de investigação Resultados Coleta Exame Análise obtidos • Isolar a área • Identificar • Identificar (pessoas, • Redigir laudo • Coletar evidências • Extrair locais e eventos) • Anexar evidências e • Garantir Integridade • Filtrar • Correlacionar demais documentos • Identificar • Documentar (pessoas, locais e • Comprovar Equipamentos eventos) integridade da cadeia • Embalar evidências • Reconstruir a cena de custódia • Etiquetar evidências • Documentar (formulários e • Cadeia de Custódia registros) Search and Seizure Manual - http://www.usdoj.gov/criminal/cybercrime/s&smanual2002.pdf
  • 13. Coleta de Dados • Identificação de possíveis fontes de dados: – Computadores pessoais, laptops; – Dispositivos de armazenamento em rede; – CDs, DVDs; http://www.krollontrack.com.br – Portas de comunicação: USB, Firewire, Flash card e PCMCIA; – Máquina fotográfica, relógio com comunicação via USB, etc.
  • 14. Coleta de Dados • Cópia dos dados: envolve a utilização de ferramentas dados: adequadas para a duplicação dos dados • Garantir e preservar a integridade – Se não for garantida a integridade, as evidências poderão ser invalidadas como provas perante a justiça – A garantia da integridade das evidências consiste na utilização de ferramentas que aplicam algum tipo de algoritmo hash • Assim como os demais objetos apreendidos na cena do crime, os materiais de informática apreendidos cadeia deverão ser relacionados em um documento (cadeia de custódia – ex. Formulário de Cadeia de Custódia custódia)
  • 15. Coleta de Dados • Após a identificação das possíveis origens dos dados, o perito necessita adquiri-los. • Para a aquisição dos dados, é utilizado um processo composto por três etapas: – Identificação de prioridade; – Cópia dos dados; – Garantia e preservação de integridade.
  • 16. Coleta de Dados: Identificação de Prioridade • Identificar a prioridade da coleta: o perito deve estabelecer a ordem (prioridade na qual os dados prioridade) devem ser coletados – Volatilidade: dados voláteis devem ser imediatamente coletados pelo perito. • Ex.: o estado das conexões de rede e o conteúdo da memória – Esforço: envolve não somente o tempo gasto pelo perito, mas também o custo dos equipamentos e serviços de terceiros caso sejam necessários. terceiros, • Ex.: dados de um roteador da rede local x dados de um provedor de Internet – Valor estimado: o perito deve estimar um valor relativo para cada provável fonte de dados, para definir a seqüência na qual as fontes de dados serão investigadas
  • 17. Coleta de Dados: Cópia dos dados • Cópia lógica (Backup): as cópias lógicas gravam o conteúdo dos diretórios e os arquivos de um volume lógico. Não capturam outros dados. – arquivos excluídos; – fragmentos de dados armazenados nos espaços não utilizados, mas alocados por arquivos. • Imagem: imagem do disco ou cópia bit-a-bit inclui os bit- espaços livres e os espaços não utilizados: – mais espaço de armazenamento, consomem muito mais tempo; – permitem a recuperação de arquivos excluídos e dados não alocados pelo sistema de arquivos. • Exemplo: setor de 4KB, arquivo com 9KB (3 setores ocupados) Parte utilizada pelo arquivo Parte não utilizada
  • 18. Coleta de Dados: Garantia e preservação de integridade • Durante a aquisição dos dados é muito importante manter a integridade dos atributos de tempo mtime (modification time), atime (access time) e ctime (creation time) – MAC Times. Times
  • 19. Exame dos Dados • Finalidade localizar, filtrar e extrair somente as Finalidade: informações relevantes à investigação. – Devemos considerar: • Capacidade de armazenamento dos dispositivos atuais • Quantidade de diferentes formatos de arquivos existentes – Ex.: imagens, áudio, arquivos criptografados e compactados • Muitos formatos de arquivos possibilitam o uso de esteganografia para ocultar dados, o que exige que o perito esteja atento e apto a identificar e recuperar esses dados – Em meio aos dados recuperados podem estar informações irrelevantes e que devem ser filtradas. • Ex.: o arquivo de log do sistema de um servidor pode conter milhares de entradas, sendo que somente algumas delas podem interessar à investigação
  • 20. Exame dos Dados • Após a restauração da cópia dos dados, o perito faz uma avaliação dos dados encontrados: – arquivos que haviam sido removidos e foram recuperados; – arquivos ocultos; – fragmentos de arquivos encontrados nas áreas não alocadas; – fragmentos de arquivos encontrados em setores alocados, porém não utilizados pelo arquivo.
  • 21. Análise dos Dados • Após a extração dos dados considerados relevantes, o perito deve concentrar suas habilidades e conhecimentos na etapa de análise e interpretação das informações. • Finalidade: identificar pessoas, locais e eventos; determinar como esses elementos estão inter- relacionados. • Normalmente é necessário correlacionar informações de várias fontes de dados – Exemplo de correlação: um indivíduo tenta realizar um acesso não autorizado a um determinado servidor • É possível identificar por meio da análise dos eventos registrados nos arquivos de log o endereço IP de onde foi originada a requisição de acesso • Registros gerados por firewalls, sistemas de detecção de intrusão e demais mecanismos de proteção
  • 22. Resultados • A interpretação e apresentação dos resultados obtidos é a etapa conclusiva da investigação investigação. • O perito elabora um laudo pericial que deve ser escrito de forma clara e concisa listando todas concisa, as evidências localizadas e analisadas. • O laudo pericial deve apresentar uma conclusão imparcial e final a respeito da investigação.
  • 23. Resultados • Para que o laudo pericial torne-se um documento de fácil interpretação, é indicado que o mesmo seja organizado em seções: – Finalidade da investigação – Autor do laudo – Resumo do incidente – Relação de evidências analisadas e seus detalhes – Conclusão – Anexos – Glossário (ou rodapés)
  • 24. Resultados • Também devem constar no laudo pericial: – Metodologia – Técnicas – Softwares e equipamentos empregados • Com um laudo bem escrito torna-se mais fácil a reprodução das fases da investigação, caso necessário.
  • 25. Técnicas Forenses • Boas práticas que antecedem a coleta dos dados: – Limpar todas as mídias que serão utilizadas ou usar mídias novas a cada investigação; – Certificar-se de que todas as ferramentas (softwares) que serão utilizadas estão devidamente licenciadas e prontas para utilização; – Verificar se todos os equipamentos e materiais necessários (por exemplo, a estação forense, as mídias para coleta dos dados, etc.) estão à disposição – Quando chegar ao local da investigação, o perito deve providenciar para que nada seja tocado sem o seu consentimento, com o objetivo de proteger e coletar todos os tipos de evidências – Os investigadores devem filmar ou fotografar o ambiente e registrar detalhes sobre os equipamentos como: marca, modelo, números de série, componentes internos, periféricos, etc. – Manter a cadeia de custódia !!!
  • 26. Ferramentas Forenses • Algumas ferramentas forenses comumente utilizadas nas etapas: – Coleta dos dados • Avaliar: Live Forensics ou Post-Mortem – Exame dos dados – Análise dos dados
  • 27. Técnicas Forenses Coleta de dados voláteis • Sempre que possível e relevante a investigação: – Conexões de rede (netstat) (netstat)
  • 28. Técnicas Forenses Coleta de dados voláteis • Sessões de Login (EventViewer / who –u) – dos usuários; – das ações realizadas; • Conteúdo da memória (WinHEX / dump) (WinHEX dump) • Processos em execução (ProcessXP / ps) (ProcessXP ps) • Arquivos abertos • Configuração de rede • Data e hora do sistema operacional
  • 29. Ferramentas Forenses Coleta de dados não voláteis • dd (Disk Definition) • dcfldd (Department of Defense Computer Forensics Lab Disk Definition) - Versão aprimorada do dd, com mais dd funcionalidades: – geração do hash dos dados durante a cópia dos mesmos – visualização do processo de geração da imagem – divisão de uma imagem em partes • Automated Image & Restore (AIR): interface gráfica para os comandos dd/dcfldd dd/ – gera e compara automaticamente hashes MD5 ou SHA – produz um relatório contendo todos os comandos utilizados durante a sua execução – elimina o risco da utilização de parâmetros errados por usuários menos capacitados
  • 30. Ferramentas Forenses Coleta de dados não voláteis
  • 31. Ferramentas Forenses Exame dos dados • Utilizando assinaturas de arquivos comuns, a quantidade de arquivos a ser analisada pode ser reduzida significativamente – Ex.: projeto National Software Reference Library (NSRL) • http://www.nsrl.nist.gov/Downloads.htm#isos • Total de 43.103.492 arquivos, distribuídos em 4 “discos”
  • 32. Ferramentas Forenses Exame dos dados • Diversas ferramentas já permitem a utilização dos bancos de dados citados, por exemplo: • EnCase • Autopsy & SleuthKit • PyFLAG
  • 33. Ferramentas Forenses Exame dos dados • EnCase – Padronização de laudo; – Recuperação de dados, banco de dados de evidências; – Análise de hardwares e logs.
  • 34. Ferramentas Forenses Análise dos dados • Utilitários para construção da linha de tempo dos eventos – Mactime (Componente do SleuthKit) • Utilitários de navegação em arquivos da estrutura do Sistema Operacional Windows – Pasco - http://www.opensourceforensics.org • Analisa os índices dos arquivos do Internet Explorer – Galleta (Cookie em espanhol) – FoundStone.com • analisa os cookiesexistentes em uma máquina e separa as informações úteis
  • 35. Ferramentas Anti-forense Destruir/Ocultar dados • Objetivo: destruir, ocultar ou modificar as evidências existentes em um sistema a fim de dificultar o trabalho realizado pelos investigadores – Também podem ser utilizadas antes de venda ou doação de mídias a outras pessoas (evita recuperação de dados) • Destruição dos Dados para impedir ou pelo menos Dados: dificultar a recuperação dos dados, são utilizadas ferramentas conhecidas como wiping tools para a remoção dos dados – Wipe – Secure-delete – PGP/GPG wipe – The Defiler's Toolkit – Darik's Boot and Nuke
  • 36. Ferramentas Anti-forense Destruir/Ocultar dados • Ocultar Dados – Criptografia e esteganografia podem ser aplicados em arquivos, tornando-se uma barreira difícil de ser superada. • Utilizar ferramentas de esteganoanálise em uma mídia de 80GB requer muito tempo e na prática nem sempre é algo viável de se realizar • O mesmo ocorre quando se trata de arquivos criptografados – Ex.: • TrueCrypt, PGP/GPG, Steganos , Hide and Seek, ...
  • 37. Ferramentas Anti-forense Destruir/Ocultar dados • Outras finalidades – Principalmente focado em dificultar ou impedir o trabalho do perito forense, algumas ferramentas têm como objetivo impedir uma das etapas da investigação: • Metasploit Anti-Forensic Investigation Arsenal (MAFIA) • Windows Memory Forensic Toolkit
  • 38. Conclusões • Forense Digital/Computacional é um dos aspectos de Segurança de Informações que chama bastante atenção tanto de corporações quanto da comunidade científica • Apesar das diversas ferramentas disponíveis que facilitam sobremaneira a ação do perito, a conclusão final ainda paira sobre a experiência, competência e integridade do profissional que conduziu a investigação
  • 39. Algumas Referências • Neukamp, Paulo A. Forense Computacional: Fundamentos e Desafios Atuais. 11 Junho de 2007. Universidade do Vale do Rio dos Sinos (UNISINOS). 06 Nov. 2007. • http://www.imasters.com.br/artigo/4175/forense/introducao _a_computacao_forense • http://www.guidancesoftware.com/pt/products/ee_index.asp