O documento discute conceitos e técnicas de investigação forense computacional, incluindo tipos comuns de crimes cibernéticos, coleta e análise de evidências digitais, e os passos para conduzir uma investigação.

1. CONCEITOS E TÉCNICAS Luiz Sales Rabelo – Consultor Forense Computacional http://forensics.luizrabelo.com.br [email_address]

2. CENÁRIO MUNDIAL ATUAL Alta dependência da Tecnologia da Informação Virtualização da sociedade (comunidades on line) Alta oferta de serviços on line: de instituições financeiras a supermercados Empresas estão apoiando suas estratégias em componentes tecnológicos: significa fazer mais, melhor e com maior controle, em menor tempo e com menor custo Tecnologia = Diferencial Estratégico

3. CENÁRIO MUNDIAL ATUAL Fonte: http://www.internetworldstats.com/

4. CRIMES CIBERNÉRTICOS COMUNS Envio de informações confidenciais por e-mail Ataque ou tentativa de ataque por concorrentes Ataque ou tentativa de ataque por funcionários Fraude em sistemas financeiros (home banking) Instalação de cavalos-de-tróia em estações de trabalho Envio de ameaças por e-mail Remoção ou alteração indevida de informações Ataques contra a disponibilidade de sistemas

5. O QUE É FORENSE COMPUTACIONAL? PRESERVAÇÃO ANÁLISE EVIDÊNCIAS DIGITAIS COLETA RELATÓRIO

6. O QUE É FORENSE COMPUTACIONAL? EVIDÊNCIAS DIGITAIS PROVA DE AUTORIA (VIOLAÇÕES DE NORMAS INTERNAS OU CRIMES CIBERNÉTICOS) FORMAÇÃO DE PROVA

7. OBJETIVOS DOS “CRIMINOSOS” Ganho Financeiro Roubo de Informação Destruição Satisfação Pessoal Desafio Intelectual “ Grande parte dos incidentes são referentes a roubo de informações por concorrentes.”

8. RECONHECENDO UM INCIDENTE Exemplos de incidentes (ISO 17799:2005) Perda de serviço Mal funcionamento ou sobrecarga de sistema Falha humana Vulnerabilidades no controle do acesso físico Violação de Acesso

9. AVALIANDO INCIDENTES Vírus, worms e trojans Estagiário utilizando ferramenta “nmap” Roubo de Informações Financeiras Remoção de Arquivos da área “Publica” do Fileserver Roubo e Utilização de Senhas do ERP Keyloggers na estação do Diretor Financeiro Ameaça de seqüestro via e-mail

10. Edmund Locard’s Principle of Exchange: Quando dois objetos entram em contato, sempre haverá transferência de material de um objeto para o outro PRINCÍPIO DA TROCA DE LOCARD

11. TIPOS DE INVESTIGAÇÃO Determinar qual será o andamento: 1. Non-liturgical Forensic: “resolvida em casa”. 2. Liturgical Forensic: litígio, com desdobramentos legais.

12. INVESTIGAÇÃO Em alguns casos, não é conveniente envolver terceiros ou agentes legais Quando os agentes legais devem ser notificados? Notificação obrigatória: Quando envolver a segurança de pessoas Quando envolver a segurança nacional Quando envolver pornografia infantil

13. EVIDÊNCIAS Tudo pode ser coletado? Privacidade da Informação Informação de terceiros Quem é o dono da informação?

14. TIPOS DE EVIDÊNCIAS “ Melhor Evidência” Evidência documentada, geralmente contratos assinados (original) – pode ser um email assinado digitalmente. Evidência Secundária Testemunho. Cópia de um documento, arquivo de computador.

15. TIPOS DE EVIDÊNCIAS Evidência Conclusiva Evidência irrefutável que não pode ser negada. Não requer corroboração. Uma filmagem caracteriza este tipo de evidência.

16. TIPOS DE EVIDÊNCIAS Evidência Circunstancial Pode ser utilizada para deduzir ou assumir a existência de outro fato. Ex: Usuário estava logado no momento do incidente. Opinião de um Expert O que chamamos de “visão de um expert”. Não opera opiniões, mas fatos – relatórios ou laudos fornecidos por especialistas.

17. TIPOS DE EVIDÊNCIAS Vestígios (Logs) Evidências de segunda mão. Nesta categoria são enquadrados os registros de computador. Considerar sempre: - suficiência, - confiabilidade e - relevância.

18. ATRIBUTOS DA EVIDÊNCIA 1. Ser confiável Características que garantam a confiabilidade da evidência coletada. 2. Ser suficiente Capaz de explicar o evento como um todo. 3. Ser relevante Ter relação direta com o caso.

19. SOBRE AS EVIDÊNCIAS O que FAZER: Anotar e fotografar o setup e as conexões dos equipamentos Permitir a finalização da impressão Gravar o que estiver na tela Gravar o número do modem se o telefone estiver conectado Empacotar e selar as evidências

20. SOBRE AS EVIDÊNCIAS O que NÃO FAZER: Guardar as mídias próximo a telefone celular ou fontes geradoras de energia Iniciar a investigação imediatamente Fechar programa e desligar o equipamento Deixar suspeitos alterar configurações nas máquinas Mover o equipamento ligado

21. SOBRE AS EVIDÊNCIAS Alguns tipos de evidências: Arquivos digitais Logs dos servidores Cookies Histórico do Browser Fotografias e/ou vídeos Cache do Browser Bookmark E-mail Logs de IRC e IM

22. TRACEBACK Principais aspectos Durante uma investigação, podem-se utilizar técnicas de Traceback como parte do processo Traceback pode ser o foco principal de uma investigação Geração de Laudo Técnico

23. DESENVOLVIMENTO DA INVESTIGAÇÃO Principais passos Gerar hash do Hard Disk Criar imagem do Hard Disk Auditoria em arquivos críticos Busca por arquivos modificados no momento do incidente Análise de histórico de acesso à internet Análise em arquivos removidos Análise de logs (firewall, sistemas críticos, outros ativos...) Mapear portas abertas (port scan)

24. OBJETO DE ANÁLISE LEGAL 20/10/11 Prova vs Evidência As provas são concretas, documentadas. As evidências precisam ser provadas. Uma ou mais evidência podem levar a prova de que algo aconteceu.

25. VALE TUDO? Dicas para quando formos “monitorar”: Informar os colaboradores sobre o monitoramento Monitoramento aplicado de maneira uniforme Rotinas documentadas de auditoria por amostragem Explicitar o que é considerado uso abusivo Não garantir privacidade do uso de e-mail e/ou internet Usar banners de coerção: “STOP! Do not cross!”

26. OBRIGADO! Luiz Sales Rabelo – Consultor Forense Computacional http://forensics.luizrabelo.com.br [email_address]