Carregado porFelipeBarreto98
PDF, PPTX44 visualizações

Forense_Computacional(UFPE).pdf

O documento fornece uma introdução à ciência forense digital, descrevendo suas principais etapas e técnicas. Resume as seguintes informações essenciais: 1) A ciência forense digital estuda a aquisição, preservação, recuperação e análise de dados eletrônicos para uso como evidências legais. 2) As principais etapas de uma investigação digital são a coleta, exame e análise de dados, resultando em um laudo pericial. 3) Técnicas comuns incluem a cópia

Incorporar apresentação

Transferir como PDF, PPTX
Forense Digital / Computacional Digital / Computacional CIn – UFPE, 2007
Forense Computacional • Agenda – Introdução – Ciência Forense • O que é Ciência Forense, O que NÃO É NÃO É Ciência Forense – Forense Digital / Computacional – Forense Digital / Computacional – Etapas de Investigação • Coleta, Exame, Analise e Resultados – Técnicas Forenses • Ferramentas Forenses (etapas da investigação) • Técnicas Anti-Forense – Conclusão
Introdução “A Forense Computacional pode ser definida como a ciência que estuda a aquisição, aquisição, preservação, recuperação e análise de dados preservação, recuperação e análise de dados que estão em formato eletrônico formato eletrônico e que estão em formato eletrônico formato eletrônico e armazenados em algum tipo de mídia mídia computacional computacional.”
Ciência Forense • Diz-se da aplicação de campo científico específico à investigação de fatos relacionados a crimes e/ou contendas judiciais. • Ou simplesmente: A aplicação da Ciência no • Ou simplesmente: A aplicação da Ciência no Direito The Forensic Science Society (http://www.forensic-science-society.org.uk)
Ciência Forense • Archimedes (287-212 a.C.) – Quantidade real de ouro da Coroa calculada pela teoria do peso específico dos corpos. • Impressões digitais – Utilizadas no século VII como comprovação de débito – Utilizadas no século VII como comprovação de débito (a impressão digital do devedor era anexada à conta). • Medicina e Entomologia – Referidas no livro “Collected Cases of Injustice Rectified”, de Xi Yuan Ji Lu, em 1247. • Foice e moscas, afogamento (pulmão e cartilagens do pescoço), entre outros.
Ciência Forense • Século XX – A evolução da Ciência Forense – Pesquisas que conduziram à identificação do tipo sanguíneo e a análise e interpretação do DNA; – Publicação dos principais estudos referentes à aplicação de métodos e técnicas utilizadas na aplicação de métodos e técnicas utilizadas na investigação de crimes; – Criado o “The The Federal Bureau Federal Bureau of of Investigation Investigation (FBI)”, uma referência no que tange à investigação de crimes e a utilização de técnicas forenses em diversas áreas.
Ciência Forense • Atualmente, existem peritos especializados em diversas áreas científicas, entre elas: – Análise de documentos (documentoscopia); – Criminalística (Balística, Impressões digitais, substâncias controladas); controladas); – Antropologia (identificação de restos mortais, esqueletos) – Arqueologia; – Entomologia (insetos, verificação de data, hora e local); – Odontologia; – Computação (Forense Computacional ou Forense Digital); – E outras: Patologia, Psicologia, Toxicologia, Metrologia, ...
O que Ciência Forense Não é! Não é!
Forense Digital/Computacional • Objetivo: – Suprir as necessidades das instituições legais no que se refere à manipulação das novas formas de evidências eletrônicas. – Ela é a ciência que estuda a aquisição, preservação, recuperação e análise de dados que estão em formato recuperação e análise de dados que estão em formato eletrônico e armazenados em algum tipo de mídia computacional. – Através da utilização de métodos científicos e sistemáticos, para que essas informações passem a ser caracterizadas como evidências e, posteriormente, como provas legais de fato. “Forense Computacional: Aspectos Legais e Padronização” (http://www.ppgia.pucpr.br/~maziero/pesquisa/ceseg/wseg01/14.pdf )
Forense Digital/Computacional • É utilizada com fins: – Legais • ex.: investigação de casos de espionagem industrial, roubo de identidade, extorsão ou ameaças. – Ações disciplinares internas • ex.: uso indevido de recursos da instituição, ou eventos onde não se deseja chamar a atenção externa
Forense Digital/Computacional • Ocorrências mais comuns: – Calúnia, difamação e injúria via e-mail ou web – Roubo de informações confidenciais – Remoção de arquivos – Remoção de arquivos • Outros crimes: – Pedofilia – Fraudes – Auxílio ao tráfico de drogas e intorpecentes
Etapas da investigação • Fases de um processo de investigação Coleta Exame Análise Resultados obtidos • Isolar a área • Coletar evidências • Garantir Integridade • Identificar Equipamentos • Embalar evidências • Etiquetar evidências • Cadeia de Custódia • Identificar • Extrair • Filtrar • Documentar • Identificar (pessoas, locais e eventos) • Correlacionar (pessoas, locais e eventos) • Reconstruir a cena • Documentar • Redigir laudo • Anexar evidências e demais documentos • Comprovar integridade da cadeia de custódia (formulários e registros) Search and Seizure Manual - http://www.usdoj.gov/criminal/cybercrime/s&smanual2002.pdf
Coleta de Dados • Identificação de possíveis fontes de dados: – Computadores pessoais, laptops; – Dispositivos de armazenamento em rede; – CDs, DVDs; – Portas de comunicação: USB, Firewire, Flash http://www.krollontrack.com.br – Portas de comunicação: USB, Firewire, Flash card e PCMCIA; – Máquina fotográfica, relógio com comunicação via USB, etc.
Coleta de Dados • • Cópia dos dados Cópia dos dados: : envolve a utilização de ferramentas adequadas para a duplicação dos dados • • Garantir e preservar a integridade Garantir e preservar a integridade – Se não for garantida a integridade, as evidências poderão ser invalidadas como provas perante a justiça – A garantia da integridade das evidências consiste na – A garantia da integridade das evidências consiste na utilização de ferramentas que aplicam algum tipo de algoritmo hash • Assim como os demais objetos apreendidos na cena do crime, os materiais de informática apreendidos deverão ser relacionados em um documento (cadeia cadeia de custódia de custódia) – ex. Formulário de Cadeia de Custódia
Coleta de Dados • Após a identificação das possíveis origens dos dados, o perito necessita adquiri-los. • Para a aquisição dos dados, é utilizado um processo composto por três etapas: processo composto por três etapas: – Identificação de prioridade; – Cópia dos dados; – Garantia e preservação de integridade.
Coleta de Dados: Identificação de Prioridade Identificação de Prioridade • Identificar a prioridade da coleta: o perito deve estabelecer a ordem (prioridade prioridade) na qual os dados devem ser coletados – – Volatilidade: Volatilidade: dados voláteis dados voláteis devem ser imediatamente imediatamente coletados coletados pelo perito. • Ex.: o estado das conexões de rede e o conteúdo da memória • Ex.: o estado das conexões de rede e o conteúdo da memória – – Esforço: Esforço: envolve não somente o tempo gasto tempo gasto pelo perito, mas também o custo custo dos equipamentos e serviços de de terceiros terceiros, caso sejam necessários. • Ex.: dados de um roteador da rede local x dados de um provedor de Internet – – Valor estimado: Valor estimado: o perito deve estimar um valor relativo estimar um valor relativo para cada provável fonte de dados, para definir a definir a seqüência seqüência na qual as fontes de dados serão investigadas
Coleta de Dados: Cópia dos dados Cópia dos dados • • Cópia lógica (Backup): Cópia lógica (Backup): as cópias lógicas gravam o conteúdo dos diretórios e os arquivos de um volume lógico. Não capturam outros dados. – arquivos excluídos; – fragmentos de dados armazenados nos espaços não utilizados, mas alocados por arquivos. utilizados, mas alocados por arquivos. • • Imagem: Imagem: imagem do disco ou cópia bit bit- -a a- -bit bit inclui os espaços livres e os espaços não utilizados: – mais espaço de armazenamento, consomem muito mais tempo; – permitem a recuperação de arquivos excluídos e dados não alocados pelo sistema de arquivos. • • Exemplo: Exemplo: setor de 4KB, arquivo com 9KB (3 setores ocupados) Parte utilizada pelo arquivo Parte não utilizada
Coleta de Dados: Garantia e preservação de integridade Garantia e preservação de integridade • Durante a aquisição dos dados é muito importante muito importante manter a integridade dos atributos de tempo mtime mtime atributos de tempo mtime mtime (modification time), atime atime (access time) e ctime ctime (creation time) – MAC MAC Times Times.
Exame dos Dados • • Finalidade Finalidade: localizar, filtrar e extrair somente as informações relevantes à investigação. – Devemos considerar: • Capacidade de armazenamento dos dispositivos atuais • Quantidade de diferentes formatos de arquivos existentes – – Ex.: Ex.: imagens, áudio, arquivos criptografados e compactados – – Ex.: Ex.: imagens, áudio, arquivos criptografados e compactados • Muitos formatos de arquivos possibilitam o uso de esteganografia esteganografia para ocultar dados, o que exige que o perito esteja atento e apto a identificar e recuperar esses dados – Em meio aos dados recuperados podem estar informações irrelevantes e que devem ser filtradas. • • Ex.: Ex.: o arquivo de log do sistema de um servidor pode conter milhares de entradas, sendo que somente algumas delas podem interessar à investigação
Exame dos Dados • Após a restauração da cópia dos dados, o perito faz uma avaliação dos dados encontrados: – arquivos que haviam sido removidos e foram recuperados; recuperados; – arquivos ocultos; – fragmentos de arquivos encontrados nas áreas não alocadas; – fragmentos de arquivos encontrados em setores alocados, porém não utilizados pelo arquivo.
Análise dos Dados • Após a extração dos dados considerados relevantes, o perito deve concentrar suas habilidades e conhecimentos na etapa de análise e interpretação das informações. • • Finalidade: Finalidade: identificar pessoas, locais e eventos; determinar como esses elementos estão inter- relacionados. relacionados. • Normalmente é necessário correlacionar informações de várias fontes de dados – – Exemplo de correlação: Exemplo de correlação: um indivíduo tenta realizar um acesso não autorizado a um determinado servidor • É possível identificar por meio da análise dos eventos registrados nos arquivos de log o endereço IP de onde foi originada a requisição de acesso • Registros gerados por firewalls, sistemas de detecção de intrusão e demais mecanismos de proteção
Resultados • A interpretação e apresentação dos resultados obtidos é a etapa conclusiva da investigação conclusiva da investigação. • O perito elabora um laudo pericial laudo pericial que deve ser escrito de forma clara e concisa forma clara e concisa, listando todas escrito de forma clara e concisa forma clara e concisa, listando todas as evidências localizadas e analisadas. • O laudo pericial deve apresentar uma conclusão uma conclusão imparcial e final imparcial e final a respeito da investigação.
Resultados • Para que o laudo pericial torne-se um documento de fácil interpretação, é indicado que o mesmo seja organizado em seções: – Finalidade da investigação – Autor do laudo – Autor do laudo – Resumo do incidente – Relação de evidências analisadas e seus detalhes – Conclusão – Anexos – Glossário (ou rodapés)
Resultados • Também devem constar no laudo pericial: – Metodologia – Técnicas – Softwares e equipamentos empregados – Softwares e equipamentos empregados • Com um laudo bem escrito torna-se mais fácil a reprodução das fases da investigação, caso necessário.
Técnicas Forenses • Boas práticas que antecedem a coleta dos dados: – – Limpar todas as mídias Limpar todas as mídias que serão utilizadas ou usar mídias novas a cada investigação; – Certificar-se de que todas as ferramentas ferramentas (softwares) que serão utilizadas estão devidamente devidamente licenciadas licenciadas e prontas para utilização; – Verificar se todos os equipamentos e materiais necessários (por exemplo, a estação forense, as mídias para coleta dos dados, etc.) exemplo, a estação forense, as mídias para coleta dos dados, etc.) estão à disposição – Quando chegar ao local da investigação, o perito deve providenciar para que nada seja tocado sem o seu consentimento, com o objetivo de proteger e coletar todos os tipos de evidências proteger e coletar todos os tipos de evidências – Os investigadores devem filmar ou fotografar filmar ou fotografar o ambiente e registrar detalhes sobre os equipamentos como: marca, modelo, números de série, componentes internos, periféricos, etc. – – Manter a cadeia de custódia !!! Manter a cadeia de custódia !!!
Ferramentas Forenses • Algumas ferramentas forenses comumente utilizadas nas etapas: – Coleta dos dados • Avaliar: Live Forensics ou Post-Mortem • Avaliar: Live Forensics ou Post-Mortem – Exame dos dados – Análise dos dados
Técnicas Forenses Coleta de dados voláteis Coleta de dados voláteis • Sempre que possível e relevante a investigação: – – Conexões de rede ( Conexões de rede (netstat netstat) )
Técnicas Forenses Coleta de dados voláteis Coleta de dados voláteis • • Sessões de Sessões de Login Login ( (EventViewer EventViewer / / who who – –u) u) – dos usuários; – das ações realizadas; • • Conteúdo da memória ( Conteúdo da memória (WinHEX WinHEX / / dump dump) ) • • Conteúdo da memória ( Conteúdo da memória (WinHEX WinHEX / / dump dump) ) • • Processos em execução ( Processos em execução (ProcessXP ProcessXP / / ps ps) ) • • Arquivos abertos Arquivos abertos • • Configuração de rede Configuração de rede • • Data e hora do sistema operacional Data e hora do sistema operacional
Ferramentas Forenses Coleta de dados não voláteis Coleta de dados não voláteis • • dd dd (Disk Definition) • • dcfldd dcfldd (Department of Defense Computer Forensics Lab Disk Definition) - Versão aprimorada do dd dd, com mais funcionalidades: – geração do hash dos dados durante a cópia dos mesmos – visualização do processo de geração da imagem – visualização do processo de geração da imagem – divisão de uma imagem em partes • • Automated Automated Image Image & & Restore Restore (AIR): interface gráfica para os comandos dd dd/ /dcfldd dcfldd – gera e compara automaticamente hashes MD5 ou SHA – produz um relatório contendo todos os comandos utilizados durante a sua execução – elimina o risco da utilização de parâmetros errados por usuários menos capacitados
Ferramentas Forenses Coleta de dados não voláteis Coleta de dados não voláteis
Ferramentas Forenses Exame dos dados Exame dos dados • Utilizando assinaturas de arquivos comuns, a quantidade de arquivos a ser analisada pode ser reduzida significativamente – Ex.: projeto National National Software Software Reference Reference Library Library (NSRL) • http://www.nsrl.nist.gov/Downloads.htm#isos • Total de 43.103.492 arquivos, distribuídos em 4 “discos”
• Diversas ferramentas já permitem a utilização dos bancos de dados citados, por exemplo: • EnCase • Autopsy & SleuthKit • PyFLAG Ferramentas Forenses Exame dos dados Exame dos dados • PyFLAG
Ferramentas Forenses Exame dos dados Exame dos dados • EnCase – Padronização de laudo; – Recuperação de dados, banco de dados de evidências; – Análise de hardwares e logs.
Ferramentas Forenses Análise dos dados Análise dos dados • Utilitários para construção da linha de tempo linha de tempo dos eventos – Mactime (Componente do SleuthKit) • Utilitários de navegação em arquivos da • Utilitários de navegação em arquivos da estrutura do Sistema Operacional Windows – Pasco - http://www.opensourceforensics.org • Analisa os índices dos arquivos do Internet Explorer – Galleta (Cookie em espanhol) – FoundStone.com • analisa os cookiesexistentes em uma máquina e separa as informações úteis
Ferramentas Anti-forense Destruir/Ocultar dados Destruir/Ocultar dados • • Objetivo: Objetivo: destruir, ocultar ou modificar as evidências existentes em um sistema a fim de dificultar o trabalho realizado pelos investigadores – Também podem ser utilizadas antes de venda ou doação de mídias a outras pessoas (evita recuperação de dados) • • Destruição dos Dados Destruição dos Dados: para impedir ou pelo menos • • Destruição dos Dados Destruição dos Dados: para impedir ou pelo menos dificultar a recuperação dos dados, são utilizadas ferramentas conhecidas como wiping wiping tools tools para a remoção dos dados – Wipe – Secure-delete – PGP/GPG wipe – The Defiler's Toolkit – Darik's Boot and Nuke
Ferramentas Anti-forense Destruir/Ocultar dados Destruir/Ocultar dados • • Ocultar Dados Ocultar Dados – Criptografia e esteganografia podem ser aplicados em arquivos, tornando-se uma barreira difícil de ser superada. ser superada. • Utilizar ferramentas de esteganoanálise esteganoanálise em uma mídia de 80GB requer muito tempo e na prática nem sempre é algo viável de se realizar • O mesmo ocorre quando se trata de arquivos criptografados – Ex.: • TrueCrypt, PGP/GPG, Steganos , Hide and Seek, ...
Ferramentas Anti-forense Destruir/Ocultar dados Destruir/Ocultar dados • • Outras finalidades Outras finalidades – Principalmente focado em dificultar ou impedir o trabalho do perito forense, algumas ferramentas têm como objetivo impedir uma das etapas da têm como objetivo impedir uma das etapas da investigação: • Metasploit Anti-Forensic Investigation Arsenal (MAFIA) • Windows Memory Forensic Toolkit
Conclusões • Forense Digital/Computacional é um dos aspectos de Segurança de Informações que chama bastante atenção tanto de corporações quanto da comunidade científica • Apesar das diversas ferramentas disponíveis que facilitam sobremaneira a ação do perito, a conclusão final ainda paira sobre a experiência, competência e integridade do profissional que conduziu a investigação
Algumas Referências • Neukamp, Paulo A. Forense Computacional: Fundamentos e Desafios Atuais. 11 Junho de 2007. Universidade do Vale do Rio dos Sinos (UNISINOS). 06 Nov. 2007. • http://www.imasters.com.br/artigo/4175/forense/introducao _a_computacao_forense _a_computacao_forense • http://www.guidancesoftware.com/pt/products/ee_index.asp

Mais conteúdo relacionado

PDF
Forense computacional(ufpe)[1]
porJorge Willians, ITIL®, COBIT®, CompTIA Security, CEH
 
PDF
Crimes Digitais e a Computacao Forense
porVaine Luiz Barreira, MBA
 
PDF
Palestra Sobre Perícia e Investigação Digital
porDeivison Pinheiro Franco.·.
 
PPTX
Computação forense
porRamyres Aquino
 
PDF
Forense Computacional Introdução
portonyrodrigues
 
PDF
Análise Forense Computacional
porThiago Finardi
 
DOC
Sistematização de estratégia de defesa e ataque
porUrsao Go
 
PPT
1ª aula forense computacional
porJoão Freire Abramowicz
 
Forense computacional(ufpe)[1]
porJorge Willians, ITIL®, COBIT®, CompTIA Security, CEH
 
Crimes Digitais e a Computacao Forense
porVaine Luiz Barreira, MBA
 
Palestra Sobre Perícia e Investigação Digital
porDeivison Pinheiro Franco.·.
 
Computação forense
porRamyres Aquino
 
Forense Computacional Introdução
portonyrodrigues
 
Análise Forense Computacional
porThiago Finardi
 
Sistematização de estratégia de defesa e ataque
porUrsao Go
 
1ª aula forense computacional
porJoão Freire Abramowicz
 

Semelhante a Forense_Computacional(UFPE).pdf

PPTX
Investigação de Crimes Digitais - Carreira em Computação Forense
porVaine Luiz Barreira, MBA
 
ODP
Análise Forense Computacional com Software Livre - Free Software Rio 2010
porClavis Segurança da Informação
 
PPTX
Crimes Digitais e Computacao Forense para Advogados v1
porVaine Luiz Barreira, MBA
 
PDF
Forense Computacional
porGrupo Treinar
 
PPT
Forense Computacional
porrenanwb
 
PDF
Forense
porCesar Rabelo
 
PPTX
Pericia Forense
porceife
 
PPTX
Computação Forense
porClaudio Benossi
 
PDF
E book pericia forense computacional
porGustavo Lima
 
ODP
Forense Digital Utilizando o Ubuntu FDTK
porLinux User Goup Alagoas
 
PPT
Uso de ferramentas OpenSource para Análise Forense (pós mortem)
pordebian-rs
 
PPT
SLIDE MONOGRAFIA JEF LUKA
porJef Dias
 
PPT
Forense computacional - Estudos Praticos
porData Security
 
PPTX
Palestra MPDF BSB Mar/2012
porLuiz Sales Rabelo
 
PPTX
012 computacao forense
porSimba Samuel
 
PPTX
Palestra CGU - BSB Jan/2012
porLuiz Sales Rabelo
 
PDF
Apresentação sobre os serviços do RSI
porRicardo Cavalcante
 
PPT
Emran.ppt
porssuserc3cd74
 
PDF
Perícia Forense com FDTK - FLISOL DF 2010
porAlcyon Ferreira de Souza Junior, MSc
 
PDF
A computacao forense_e_os_crimes_eletronicos
porRoney Médice
 
Investigação de Crimes Digitais - Carreira em Computação Forense
porVaine Luiz Barreira, MBA
 
Análise Forense Computacional com Software Livre - Free Software Rio 2010
porClavis Segurança da Informação
 
Crimes Digitais e Computacao Forense para Advogados v1
porVaine Luiz Barreira, MBA
 
Forense Computacional
porGrupo Treinar
 
Forense Computacional
porrenanwb
 
Forense
porCesar Rabelo
 
Pericia Forense
porceife
 
Computação Forense
porClaudio Benossi
 
E book pericia forense computacional
porGustavo Lima
 
Forense Digital Utilizando o Ubuntu FDTK
porLinux User Goup Alagoas
 
Uso de ferramentas OpenSource para Análise Forense (pós mortem)
pordebian-rs
 
SLIDE MONOGRAFIA JEF LUKA
porJef Dias
 
Forense computacional - Estudos Praticos
porData Security
 
Palestra MPDF BSB Mar/2012
porLuiz Sales Rabelo
 
012 computacao forense
porSimba Samuel
 
Palestra CGU - BSB Jan/2012
porLuiz Sales Rabelo
 
Apresentação sobre os serviços do RSI
porRicardo Cavalcante
 
Emran.ppt
porssuserc3cd74
 
Perícia Forense com FDTK - FLISOL DF 2010
porAlcyon Ferreira de Souza Junior, MSc
 
A computacao forense_e_os_crimes_eletronicos
porRoney Médice
 

Último

PDF
Lição de JOVENS 3 trimestre - 2025.pdf..
pordeboravitoria171105
 
PDF
✨ RAQUEL E SHISHIA – Poesia, Aventuras e um Pouco de Confusão ✨
porRaquel Alves
 
PDF
aula sobre a importancia da NR-10- slide.pdf
porluisgaldiere
 
PDF
Poemas para o Homem do Mar- slide exclusivo
porRaquel Alves
 
PDF
Sociofuncionalismo_Pressupostos Básicos.pdf
porEduardoFreires5
 
PDF
(DIREITO CIVIL) - DIREITO DAS SUCESSÕES.pdf
porleirbagseven1999
 
PPTX
as cores_associar as cores no pré escolar
porSusanaBrito37
 
PPTX
controle de doenças pós-colheita no abacate.pptx
porLuisFelipeVarjao
 
PPTX
Caso Clínico - Retina - BVAC final conv.pptx
pormariomilengo2
 
DOCX
Avaliação da oralidade - grelha 2025.docx
porMa Nogue
 
PPTX
Slides Lição 2, CPAD, O Deus Pai, 1Tr26, Pr Henrique.pptx
porAssembleia de Deus
 
PPT
formar_pares-logicos_atividades pré escolar
porSusanaBrito37
 
PPTX
Comunicar no Ponto de Venda - Atendimento ao Clente.pptx
porSandraM2013
 
PPTX
Slides Lição 1, Betel, Os discípulos de Cristo são novas criaturas, 1Tr26.pptx
porAssembleia de Deus
 
PDF
Ficha de avaliação de Biologia e Geologia, 10.º ano 1 - V2.pdf
porfernandarebelo10
 
PPTX
como um calango sobe na parede sem cair no chão.pptx
pordavid123hume
 
PDF
Os dez pressupostos andragógicos da aprendizagem do adulto
porEnilton Ferreira Rocha
 
PPT
Apresentação - O que é a Terapia da Fala: áreas de intervenção.ppt
porssuser168067
 
PDF
TCC - A organização do trabalho: um olhar GEOGRÁFICO sobre a atividade têxtil...
porzbraz
 
DOCX
Quem é Jesus Cristo - as suas Palavras e Obras
porEspaço Emrc
 
Lição de JOVENS 3 trimestre - 2025.pdf..
pordeboravitoria171105
 
✨ RAQUEL E SHISHIA – Poesia, Aventuras e um Pouco de Confusão ✨
porRaquel Alves
 
aula sobre a importancia da NR-10- slide.pdf
porluisgaldiere
 
Poemas para o Homem do Mar- slide exclusivo
porRaquel Alves
 
Sociofuncionalismo_Pressupostos Básicos.pdf
porEduardoFreires5
 
(DIREITO CIVIL) - DIREITO DAS SUCESSÕES.pdf
porleirbagseven1999
 
as cores_associar as cores no pré escolar
porSusanaBrito37
 
controle de doenças pós-colheita no abacate.pptx
porLuisFelipeVarjao
 
Caso Clínico - Retina - BVAC final conv.pptx
pormariomilengo2
 
Avaliação da oralidade - grelha 2025.docx
porMa Nogue
 
Slides Lição 2, CPAD, O Deus Pai, 1Tr26, Pr Henrique.pptx
porAssembleia de Deus
 
formar_pares-logicos_atividades pré escolar
porSusanaBrito37
 
Comunicar no Ponto de Venda - Atendimento ao Clente.pptx
porSandraM2013
 
Slides Lição 1, Betel, Os discípulos de Cristo são novas criaturas, 1Tr26.pptx
porAssembleia de Deus
 
Ficha de avaliação de Biologia e Geologia, 10.º ano 1 - V2.pdf
porfernandarebelo10
 
como um calango sobe na parede sem cair no chão.pptx
pordavid123hume
 
Os dez pressupostos andragógicos da aprendizagem do adulto
porEnilton Ferreira Rocha
 
Apresentação - O que é a Terapia da Fala: áreas de intervenção.ppt
porssuser168067
 
TCC - A organização do trabalho: um olhar GEOGRÁFICO sobre a atividade têxtil...
porzbraz
 
Quem é Jesus Cristo - as suas Palavras e Obras
porEspaço Emrc
 

Forense_Computacional(UFPE).pdf

  • 1.
    Forense Digital / Computacional Digital/ Computacional CIn – UFPE, 2007
  • 2.
    Forense Computacional • Agenda –Introdução – Ciência Forense • O que é Ciência Forense, O que NÃO É NÃO É Ciência Forense – Forense Digital / Computacional – Forense Digital / Computacional – Etapas de Investigação • Coleta, Exame, Analise e Resultados – Técnicas Forenses • Ferramentas Forenses (etapas da investigação) • Técnicas Anti-Forense – Conclusão
  • 3.
    Introdução “A Forense Computacionalpode ser definida como a ciência que estuda a aquisição, aquisição, preservação, recuperação e análise de dados preservação, recuperação e análise de dados que estão em formato eletrônico formato eletrônico e que estão em formato eletrônico formato eletrônico e armazenados em algum tipo de mídia mídia computacional computacional.”
  • 4.
    Ciência Forense • Diz-seda aplicação de campo científico específico à investigação de fatos relacionados a crimes e/ou contendas judiciais. • Ou simplesmente: A aplicação da Ciência no • Ou simplesmente: A aplicação da Ciência no Direito The Forensic Science Society (http://www.forensic-science-society.org.uk)
  • 5.
    Ciência Forense • Archimedes(287-212 a.C.) – Quantidade real de ouro da Coroa calculada pela teoria do peso específico dos corpos. • Impressões digitais – Utilizadas no século VII como comprovação de débito – Utilizadas no século VII como comprovação de débito (a impressão digital do devedor era anexada à conta). • Medicina e Entomologia – Referidas no livro “Collected Cases of Injustice Rectified”, de Xi Yuan Ji Lu, em 1247. • Foice e moscas, afogamento (pulmão e cartilagens do pescoço), entre outros.
  • 6.
    Ciência Forense • SéculoXX – A evolução da Ciência Forense – Pesquisas que conduziram à identificação do tipo sanguíneo e a análise e interpretação do DNA; – Publicação dos principais estudos referentes à aplicação de métodos e técnicas utilizadas na aplicação de métodos e técnicas utilizadas na investigação de crimes; – Criado o “The The Federal Bureau Federal Bureau of of Investigation Investigation (FBI)”, uma referência no que tange à investigação de crimes e a utilização de técnicas forenses em diversas áreas.
  • 7.
    Ciência Forense • Atualmente,existem peritos especializados em diversas áreas científicas, entre elas: – Análise de documentos (documentoscopia); – Criminalística (Balística, Impressões digitais, substâncias controladas); controladas); – Antropologia (identificação de restos mortais, esqueletos) – Arqueologia; – Entomologia (insetos, verificação de data, hora e local); – Odontologia; – Computação (Forense Computacional ou Forense Digital); – E outras: Patologia, Psicologia, Toxicologia, Metrologia, ...
  • 8.
    O que CiênciaForense Não é! Não é!
  • 9.
    Forense Digital/Computacional • Objetivo: –Suprir as necessidades das instituições legais no que se refere à manipulação das novas formas de evidências eletrônicas. – Ela é a ciência que estuda a aquisição, preservação, recuperação e análise de dados que estão em formato recuperação e análise de dados que estão em formato eletrônico e armazenados em algum tipo de mídia computacional. – Através da utilização de métodos científicos e sistemáticos, para que essas informações passem a ser caracterizadas como evidências e, posteriormente, como provas legais de fato. “Forense Computacional: Aspectos Legais e Padronização” (http://www.ppgia.pucpr.br/~maziero/pesquisa/ceseg/wseg01/14.pdf )
  • 10.
    Forense Digital/Computacional • Éutilizada com fins: – Legais • ex.: investigação de casos de espionagem industrial, roubo de identidade, extorsão ou ameaças. – Ações disciplinares internas • ex.: uso indevido de recursos da instituição, ou eventos onde não se deseja chamar a atenção externa
  • 11.
    Forense Digital/Computacional • Ocorrênciasmais comuns: – Calúnia, difamação e injúria via e-mail ou web – Roubo de informações confidenciais – Remoção de arquivos – Remoção de arquivos • Outros crimes: – Pedofilia – Fraudes – Auxílio ao tráfico de drogas e intorpecentes
  • 12.
    Etapas da investigação •Fases de um processo de investigação Coleta Exame Análise Resultados obtidos • Isolar a área • Coletar evidências • Garantir Integridade • Identificar Equipamentos • Embalar evidências • Etiquetar evidências • Cadeia de Custódia • Identificar • Extrair • Filtrar • Documentar • Identificar (pessoas, locais e eventos) • Correlacionar (pessoas, locais e eventos) • Reconstruir a cena • Documentar • Redigir laudo • Anexar evidências e demais documentos • Comprovar integridade da cadeia de custódia (formulários e registros) Search and Seizure Manual - http://www.usdoj.gov/criminal/cybercrime/s&smanual2002.pdf
  • 13.
    Coleta de Dados •Identificação de possíveis fontes de dados: – Computadores pessoais, laptops; – Dispositivos de armazenamento em rede; – CDs, DVDs; – Portas de comunicação: USB, Firewire, Flash http://www.krollontrack.com.br – Portas de comunicação: USB, Firewire, Flash card e PCMCIA; – Máquina fotográfica, relógio com comunicação via USB, etc.
  • 14.
    Coleta de Dados • •Cópia dos dados Cópia dos dados: : envolve a utilização de ferramentas adequadas para a duplicação dos dados • • Garantir e preservar a integridade Garantir e preservar a integridade – Se não for garantida a integridade, as evidências poderão ser invalidadas como provas perante a justiça – A garantia da integridade das evidências consiste na – A garantia da integridade das evidências consiste na utilização de ferramentas que aplicam algum tipo de algoritmo hash • Assim como os demais objetos apreendidos na cena do crime, os materiais de informática apreendidos deverão ser relacionados em um documento (cadeia cadeia de custódia de custódia) – ex. Formulário de Cadeia de Custódia
  • 15.
    Coleta de Dados •Após a identificação das possíveis origens dos dados, o perito necessita adquiri-los. • Para a aquisição dos dados, é utilizado um processo composto por três etapas: processo composto por três etapas: – Identificação de prioridade; – Cópia dos dados; – Garantia e preservação de integridade.
  • 16.
    Coleta de Dados: Identificaçãode Prioridade Identificação de Prioridade • Identificar a prioridade da coleta: o perito deve estabelecer a ordem (prioridade prioridade) na qual os dados devem ser coletados – – Volatilidade: Volatilidade: dados voláteis dados voláteis devem ser imediatamente imediatamente coletados coletados pelo perito. • Ex.: o estado das conexões de rede e o conteúdo da memória • Ex.: o estado das conexões de rede e o conteúdo da memória – – Esforço: Esforço: envolve não somente o tempo gasto tempo gasto pelo perito, mas também o custo custo dos equipamentos e serviços de de terceiros terceiros, caso sejam necessários. • Ex.: dados de um roteador da rede local x dados de um provedor de Internet – – Valor estimado: Valor estimado: o perito deve estimar um valor relativo estimar um valor relativo para cada provável fonte de dados, para definir a definir a seqüência seqüência na qual as fontes de dados serão investigadas
  • 17.
    Coleta de Dados: Cópiados dados Cópia dos dados • • Cópia lógica (Backup): Cópia lógica (Backup): as cópias lógicas gravam o conteúdo dos diretórios e os arquivos de um volume lógico. Não capturam outros dados. – arquivos excluídos; – fragmentos de dados armazenados nos espaços não utilizados, mas alocados por arquivos. utilizados, mas alocados por arquivos. • • Imagem: Imagem: imagem do disco ou cópia bit bit- -a a- -bit bit inclui os espaços livres e os espaços não utilizados: – mais espaço de armazenamento, consomem muito mais tempo; – permitem a recuperação de arquivos excluídos e dados não alocados pelo sistema de arquivos. • • Exemplo: Exemplo: setor de 4KB, arquivo com 9KB (3 setores ocupados) Parte utilizada pelo arquivo Parte não utilizada
  • 18.
    Coleta de Dados: Garantiae preservação de integridade Garantia e preservação de integridade • Durante a aquisição dos dados é muito importante muito importante manter a integridade dos atributos de tempo mtime mtime atributos de tempo mtime mtime (modification time), atime atime (access time) e ctime ctime (creation time) – MAC MAC Times Times.
  • 19.
    Exame dos Dados • •Finalidade Finalidade: localizar, filtrar e extrair somente as informações relevantes à investigação. – Devemos considerar: • Capacidade de armazenamento dos dispositivos atuais • Quantidade de diferentes formatos de arquivos existentes – – Ex.: Ex.: imagens, áudio, arquivos criptografados e compactados – – Ex.: Ex.: imagens, áudio, arquivos criptografados e compactados • Muitos formatos de arquivos possibilitam o uso de esteganografia esteganografia para ocultar dados, o que exige que o perito esteja atento e apto a identificar e recuperar esses dados – Em meio aos dados recuperados podem estar informações irrelevantes e que devem ser filtradas. • • Ex.: Ex.: o arquivo de log do sistema de um servidor pode conter milhares de entradas, sendo que somente algumas delas podem interessar à investigação
  • 20.
    Exame dos Dados •Após a restauração da cópia dos dados, o perito faz uma avaliação dos dados encontrados: – arquivos que haviam sido removidos e foram recuperados; recuperados; – arquivos ocultos; – fragmentos de arquivos encontrados nas áreas não alocadas; – fragmentos de arquivos encontrados em setores alocados, porém não utilizados pelo arquivo.
  • 21.
    Análise dos Dados •Após a extração dos dados considerados relevantes, o perito deve concentrar suas habilidades e conhecimentos na etapa de análise e interpretação das informações. • • Finalidade: Finalidade: identificar pessoas, locais e eventos; determinar como esses elementos estão inter- relacionados. relacionados. • Normalmente é necessário correlacionar informações de várias fontes de dados – – Exemplo de correlação: Exemplo de correlação: um indivíduo tenta realizar um acesso não autorizado a um determinado servidor • É possível identificar por meio da análise dos eventos registrados nos arquivos de log o endereço IP de onde foi originada a requisição de acesso • Registros gerados por firewalls, sistemas de detecção de intrusão e demais mecanismos de proteção
  • 22.
    Resultados • A interpretaçãoe apresentação dos resultados obtidos é a etapa conclusiva da investigação conclusiva da investigação. • O perito elabora um laudo pericial laudo pericial que deve ser escrito de forma clara e concisa forma clara e concisa, listando todas escrito de forma clara e concisa forma clara e concisa, listando todas as evidências localizadas e analisadas. • O laudo pericial deve apresentar uma conclusão uma conclusão imparcial e final imparcial e final a respeito da investigação.
  • 23.
    Resultados • Para queo laudo pericial torne-se um documento de fácil interpretação, é indicado que o mesmo seja organizado em seções: – Finalidade da investigação – Autor do laudo – Autor do laudo – Resumo do incidente – Relação de evidências analisadas e seus detalhes – Conclusão – Anexos – Glossário (ou rodapés)
  • 24.
    Resultados • Também devemconstar no laudo pericial: – Metodologia – Técnicas – Softwares e equipamentos empregados – Softwares e equipamentos empregados • Com um laudo bem escrito torna-se mais fácil a reprodução das fases da investigação, caso necessário.
  • 25.
    Técnicas Forenses • Boaspráticas que antecedem a coleta dos dados: – – Limpar todas as mídias Limpar todas as mídias que serão utilizadas ou usar mídias novas a cada investigação; – Certificar-se de que todas as ferramentas ferramentas (softwares) que serão utilizadas estão devidamente devidamente licenciadas licenciadas e prontas para utilização; – Verificar se todos os equipamentos e materiais necessários (por exemplo, a estação forense, as mídias para coleta dos dados, etc.) exemplo, a estação forense, as mídias para coleta dos dados, etc.) estão à disposição – Quando chegar ao local da investigação, o perito deve providenciar para que nada seja tocado sem o seu consentimento, com o objetivo de proteger e coletar todos os tipos de evidências proteger e coletar todos os tipos de evidências – Os investigadores devem filmar ou fotografar filmar ou fotografar o ambiente e registrar detalhes sobre os equipamentos como: marca, modelo, números de série, componentes internos, periféricos, etc. – – Manter a cadeia de custódia !!! Manter a cadeia de custódia !!!
  • 26.
    Ferramentas Forenses • Algumasferramentas forenses comumente utilizadas nas etapas: – Coleta dos dados • Avaliar: Live Forensics ou Post-Mortem • Avaliar: Live Forensics ou Post-Mortem – Exame dos dados – Análise dos dados
  • 27.
    Técnicas Forenses Coleta dedados voláteis Coleta de dados voláteis • Sempre que possível e relevante a investigação: – – Conexões de rede ( Conexões de rede (netstat netstat) )
  • 28.
    Técnicas Forenses Coleta dedados voláteis Coleta de dados voláteis • • Sessões de Sessões de Login Login ( (EventViewer EventViewer / / who who – –u) u) – dos usuários; – das ações realizadas; • • Conteúdo da memória ( Conteúdo da memória (WinHEX WinHEX / / dump dump) ) • • Conteúdo da memória ( Conteúdo da memória (WinHEX WinHEX / / dump dump) ) • • Processos em execução ( Processos em execução (ProcessXP ProcessXP / / ps ps) ) • • Arquivos abertos Arquivos abertos • • Configuração de rede Configuração de rede • • Data e hora do sistema operacional Data e hora do sistema operacional
  • 29.
    Ferramentas Forenses Coleta dedados não voláteis Coleta de dados não voláteis • • dd dd (Disk Definition) • • dcfldd dcfldd (Department of Defense Computer Forensics Lab Disk Definition) - Versão aprimorada do dd dd, com mais funcionalidades: – geração do hash dos dados durante a cópia dos mesmos – visualização do processo de geração da imagem – visualização do processo de geração da imagem – divisão de uma imagem em partes • • Automated Automated Image Image & & Restore Restore (AIR): interface gráfica para os comandos dd dd/ /dcfldd dcfldd – gera e compara automaticamente hashes MD5 ou SHA – produz um relatório contendo todos os comandos utilizados durante a sua execução – elimina o risco da utilização de parâmetros errados por usuários menos capacitados
  • 30.
    Ferramentas Forenses Coleta dedados não voláteis Coleta de dados não voláteis
  • 31.
    Ferramentas Forenses Exame dosdados Exame dos dados • Utilizando assinaturas de arquivos comuns, a quantidade de arquivos a ser analisada pode ser reduzida significativamente – Ex.: projeto National National Software Software Reference Reference Library Library (NSRL) • http://www.nsrl.nist.gov/Downloads.htm#isos • Total de 43.103.492 arquivos, distribuídos em 4 “discos”
  • 32.
    • Diversas ferramentasjá permitem a utilização dos bancos de dados citados, por exemplo: • EnCase • Autopsy & SleuthKit • PyFLAG Ferramentas Forenses Exame dos dados Exame dos dados • PyFLAG
  • 33.
    Ferramentas Forenses Exame dosdados Exame dos dados • EnCase – Padronização de laudo; – Recuperação de dados, banco de dados de evidências; – Análise de hardwares e logs.
  • 34.
    Ferramentas Forenses Análise dosdados Análise dos dados • Utilitários para construção da linha de tempo linha de tempo dos eventos – Mactime (Componente do SleuthKit) • Utilitários de navegação em arquivos da • Utilitários de navegação em arquivos da estrutura do Sistema Operacional Windows – Pasco - http://www.opensourceforensics.org • Analisa os índices dos arquivos do Internet Explorer – Galleta (Cookie em espanhol) – FoundStone.com • analisa os cookiesexistentes em uma máquina e separa as informações úteis
  • 35.
    Ferramentas Anti-forense Destruir/Ocultar dados Destruir/Ocultardados • • Objetivo: Objetivo: destruir, ocultar ou modificar as evidências existentes em um sistema a fim de dificultar o trabalho realizado pelos investigadores – Também podem ser utilizadas antes de venda ou doação de mídias a outras pessoas (evita recuperação de dados) • • Destruição dos Dados Destruição dos Dados: para impedir ou pelo menos • • Destruição dos Dados Destruição dos Dados: para impedir ou pelo menos dificultar a recuperação dos dados, são utilizadas ferramentas conhecidas como wiping wiping tools tools para a remoção dos dados – Wipe – Secure-delete – PGP/GPG wipe – The Defiler's Toolkit – Darik's Boot and Nuke
  • 36.
    Ferramentas Anti-forense Destruir/Ocultar dados Destruir/Ocultardados • • Ocultar Dados Ocultar Dados – Criptografia e esteganografia podem ser aplicados em arquivos, tornando-se uma barreira difícil de ser superada. ser superada. • Utilizar ferramentas de esteganoanálise esteganoanálise em uma mídia de 80GB requer muito tempo e na prática nem sempre é algo viável de se realizar • O mesmo ocorre quando se trata de arquivos criptografados – Ex.: • TrueCrypt, PGP/GPG, Steganos , Hide and Seek, ...
  • 37.
    Ferramentas Anti-forense Destruir/Ocultar dados Destruir/Ocultardados • • Outras finalidades Outras finalidades – Principalmente focado em dificultar ou impedir o trabalho do perito forense, algumas ferramentas têm como objetivo impedir uma das etapas da têm como objetivo impedir uma das etapas da investigação: • Metasploit Anti-Forensic Investigation Arsenal (MAFIA) • Windows Memory Forensic Toolkit
  • 38.
    Conclusões • Forense Digital/Computacionalé um dos aspectos de Segurança de Informações que chama bastante atenção tanto de corporações quanto da comunidade científica • Apesar das diversas ferramentas disponíveis que facilitam sobremaneira a ação do perito, a conclusão final ainda paira sobre a experiência, competência e integridade do profissional que conduziu a investigação
  • 39.
    Algumas Referências • Neukamp,Paulo A. Forense Computacional: Fundamentos e Desafios Atuais. 11 Junho de 2007. Universidade do Vale do Rio dos Sinos (UNISINOS). 06 Nov. 2007. • http://www.imasters.com.br/artigo/4175/forense/introducao _a_computacao_forense _a_computacao_forense • http://www.guidancesoftware.com/pt/products/ee_index.asp