1
Pró-Reitoria de Graduação
Curso de Tecnologia em Segurança da Informação
Disciplina de Estratégia de Defesa e Ataque
Sis...
2
Sumário
1 - Introdução
1.1 - Resumo
1.2 - Aspectos positivos encontrados
1.3 - Aspectos negativos encontrados
1.4 - Opin...
3
1 - Introdução
O trabalho que escolhi para analisar, opinar e sugerir novas ideias tem o título de:
Introdução a Computa...
4
investigação como para o acesso indevido dos dados. O que diferencia um do outro é a
ética profissional da área de foren...
5
D) Caso o equipamento esteja em uso (Live Forensics), o tempo de intervenção seja o
menor possível;
E) Qualquer informaç...
6
Um dos princípios fundamentais da forense é o Princípio da Troca de
Locard. De acordo com esse princípio, qualquer um, o...
7
processados eletronicamente e armazenados em mídias computacionais. Na figura
abaixo é apresentado um modelo proposto po...
8
lidam com a investigação forense devem manter um alto nível de qualidade a fim de
assegurar a confiabilidade e a precisã...
9
Apresentação
De acordo com Freitas (2006) esta fase é tecnicamente chamada de
"substanciação da evidência", pois nela co...
10
recolhendo as informações, assegurando que elas possam ser usadas como suporte para
a uma investigação. (Brassanini, Mo...
11
tempo mtime (modification time), atime (acess time) e ctime (creation time) – MAC
times. Mactime: permite que a partir ...
12
ou embalagem plástica apropriada, na presença de duas testemunhas. Utilizar lacres
confiáveis, seguros e numerados.
Alg...
13
Inserir um HD ou pendrive de maior capacidade que a memória ram do
equipamento a ser periciado e de preferência montar ...
14
É importante especificar o tamanho da memória para o dd não entrar em looping
(caso o comando dcfldd esteja disponível,...
15
Porém algum desses processos podem estar ocultos para o comando ps, assim usa-se,
se estiver disponível no sistema oper...
16
de pacotes do Debian, e classificado como um ferramenta de nível médio para gerência
de pacotes. Usado para instalação ...
17
# uname -r > /mnt/kernel_ver
• Informações dos dispositivos de rede; É necessário verificar como esta configurado o
dis...
18
# dcfldd if=/dev/fmem of=/mnt/memoria.dump bs=1M
count=2048
hash=md5,sha256md5log=/mnt/memoria.dump.md5sha256log=/mnt/m...
19
Agora é necessário lacrar o computador ou abrir o equipamento e lacrar o HD. Para
isso, acompanhado das testemunhas, ut...
20
Data: Nome/Org.: Nome/Org.:
Hora: Assinatura: Assinatura:
Data: Nome/Org.: Nome/Org.:
Hora: Assinatura: Assinatura:
Dat...
21
________________________________________
BELTRANO SILVA E SILVA
CPF 010101011-01
1.14 - Conclusão
Desde 2013 quando os ...
22
BRASSANINI, David; MORENO, Karine e TAXMAN. Guia de Campo sobre prova
digital. 1ª. Edição.
CASTRO JÚNIOR, Antônio Pires...
Próximos SlideShares
Carregando em…5
×

Sistematização de estratégia de defesa e ataque

545 visualizações

Publicada em

Perícia Computacional

Publicada em: Tecnologia
0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
545
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
11
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Sistematização de estratégia de defesa e ataque

  1. 1. 1 Pró-Reitoria de Graduação Curso de Tecnologia em Segurança da Informação Disciplina de Estratégia de Defesa e Ataque Sistematização Autor: Professor:
  2. 2. 2 Sumário 1 - Introdução 1.1 - Resumo 1.2 - Aspectos positivos encontrados 1.3 - Aspectos negativos encontrados 1.4 - Opinião do aluno: 1.5 - O que é Forense Computacional 1.6 - Obtenção e Coleta de Dados 1.7 - Prova Digital 1.8 - Cuidados Necessários para Coleta 1.9 - Coletas dos Dados Voláteis 1.10 - Coletas dos dados de Memória Física 1.11 - Procedimentos Finais da Coleta 1.12 - Formulários de Cadeia de Custódia 1.13 - Certidões de Integridade de Dados 1.14 - Conclusão 1.15 - Referencias bibliográficas Índice de Ilustrações 1.1 – Ciclo dos Procedimentos Forenses 1.2 – Formulário da Cadeia de Custódia 1.3 – Como Funciona a Pericia Digital
  3. 3. 3 1 - Introdução O trabalho que escolhi para analisar, opinar e sugerir novas ideias tem o título de: Introdução a Computação Forense. Segue o Link abaixo: http://jeiks.net/wp-content/uploads/2013/10/Comp_Forense-Slide_01.pdf 1.1 - Resumo Quero aqui contextualizar sobre a maneira superficial a qual foi apresentado o trabalho em questão, pois o tema Perícia Forense Computacional é muito abrangente e é assunto recorrente em vários meios de comunicação, principalmente após o vazamento de informações por parte do ex-analista de Inteligencia Edward Snowden sobre a espionagem das comunicações realizadas pela NSA, a qual despertou muita curiosidade nas pessoas sobre se isso é possível ou era pura ficção. Então o trabalho deveria primar por uma explanação mais detalhada e rica de mecanismos facilitadores voltados para quem ainda não se interou do assunto, poder familiarizar-se um pouco mais. Mas ao ler este trabalho ficaria de certa forma frustrado com o conhecimento adquirido. É do conhecimento de todos que a grande migração de informações para o ambiente digital aumentou o potencial de exposições de dados sensíveis, pessoais ou corporativas, aumentando a possibilidade de seu uso indevido. Os mesmos recursos tecnológicos desenvolvidos para facilitar a vida de pessoas e empresas de boa índole colaboram para fragilizar a privacidade e podem ser exploradas por pessoas de má fé. A busca por informações para obter vantagens pessoais (indivíduos) ou competitivas (empresas) nem sempre é pautada pela legalidade e ética. Alguns dos acontecimentos que motivaram uma grande preocupação com a segurança da informação foram os atentados de 11 de setembro, nos Estados Unidos, fazendo com que o governo americano investisse pesado no aparelhamento com instrumentos legais para investigar a vida do cidadãos, em nome da segurança coletiva. Muitas vezes, estes instrumentos possibilitam a investigação de maneira discutível, por exemplo, em junho de 2013 ocorreu o vazamento de informações relacionadas á espionagem americana que ocorria em diversos países, incluindo o Brasil. As técnicas que habilitam a invasão de privacidade pela recuperação de dados registrados em mídia de armazenamento são chamadas de forense digital e, em contrapartida, a antiforense digital define métodos de remoção, ocultação e subversão de evidencias com o objetivo de mitigar os resultados de analise forenses (Garfinkel 2007). As técnicas de forense digital utilizam exastivamente recursos de recuperação de arquivos, fragmentos de arquivos ou fragmentos de texto que o proprietário do equipamento julgava como excluído. Desta forma, indícios e evidencias digitais podem ser obtidos para construir prova técnica de delitos cometidos. Entretanto, as mesma técnicas podem ser usadas para atividades criminosas, expondo informações de estratégias corporativas ou dados que possam prejudicar um indivíduo (Garfinkel 2007). Ou seja, as mesmas técnicas e conhecimentos podem ser utilizados tanto para
  4. 4. 4 investigação como para o acesso indevido dos dados. O que diferencia um do outro é a ética profissional da área de forense digital. 1.2 - Aspectos positivos encontrados: Como está em voga a forense digital, acredito que a contribuição de quem produziu o trabalho terá seu objetivo alcançado pela simples razão de que quem quer realmente aprender procura enriquecer seus conhecimentos com novas e várias pesquisas. Os assuntos abordados tais como: computação forense, passos de uma investigação, Investigação digital, etc. farão o seu papel de despertar no “iniciante” um panorama de como se começa e se desenrola os caminhos da forense digital. Como é comum nos dias atuais verificar nas mídias notícias relacionadas a situações onde informações ou imagens sigilosas são divulgadas em redes públicas, segredos corporativos são compartilhados com a concorrência e o acesso a informações financeiras privadas facilita negócios muito lucrativos. Um exemplo de vazamento de dados sensíveis ocorrido no Brasil e que resultou em um movimento para aprovação de lei que trata de crimes cibernéticos ( Lei 12.737/12) foi o “Caso Carolina Dieckmann”. Na verdade, muitos outros casos semelhantes ou com maiores consequências vem ocorrendo há muito tempo, só que por ser uma pessoa pública a celeridade foi impar. O nobre autor foi muito feliz quando citou o ciclo dos procedimentos forenses, que aqui eu acrescento a figura ilustrativa 1.1. com intuito de aclarar o entendimento desse passo a passo. O processo forense transforma a mídia em evidencia, necessária para a aplicação de lei ou para uso interno das empresas. A primeira transformação ocorre quando os dados coletados são examinados e as informações extraídas da mídia são analisadas por ferramentas forenses. A segunda, quando a analise dos dados cria informações que, processadas, resultam em evidencias (Kent ET AL. 2006). Diferente das provas físicas dos crimes convencionais, comprovações encontradas nas mídias magnéticas são digitais e podem existir de diversas formas. Arquivos, fragmentos de logs e outros indícios residentes em uma mídia podem ser relacionados para criar uma evidencia que indique a ocorrência de um crime ou auxilie a identificação de um criminoso. 1.3 - Aspectos negativos encontrados: O autor poderia ter se detido com maior ênfase aos fatores mais importantes na forense digital que é a proteção das provas. Uma das atribuições do perito é garantir que o equipamento sob análise e os processos de coleta sejam administrados com cuidado para garantir que: A) Nenhuma evidencia seja danificada, destruída ou comprometida pelos procedimentos utilizados para investigar o equipamento; B) O processo não crie nenhuma condição que possa inviabilizar uma verificação futura; C) Seja estabelecida (e mantida) uma cadeia de custodia;
  5. 5. 5 D) Caso o equipamento esteja em uso (Live Forensics), o tempo de intervenção seja o menor possível; E) Qualquer informação obtida, não pertinete ao escopo da investigação, seja tratada dentro dos limites éticos e legais, e não seja divulgada; F) Todo o processo deve ser documentada para permitir a sua reprodução. Ressaltamos que a forense digital pode ser classificada em dois tipos básicos: Live forensics e Post-Mortem Forensics (Carvey 2009). A Live Forensics, especifica procedimentos de investigação não intrusivos, sem equipamentos em uso, e analisa informações persistentes (gravadas em dispositivos de armazenamento) e voláteis (com tempo de vida restrito). A Post-Mortem implica na apreensão de equipamentos para analise em laboratório e não inclui a analise de dados voláteis, como os gravados em memoria RAM, que são perdidos quando há a falta de energia. Quanto à definição de Computação Forense, o nobre colega se superou no fator negativo, pois apresentou uma definição simplista da computação forense e principalmente em relação a historia da computação foi ainda mais infeliz. 1.4 - Opinião do aluno: Vamos aqui tentar aprimorar o trabalho do autor para não só ratificar as “criticas” feitas por mim como também mostrar que é perfeitamente possível apresentar um trabalho mais elaborado e enriquecedor.
  6. 6. 6 Um dos princípios fundamentais da forense é o Princípio da Troca de Locard. De acordo com esse princípio, qualquer um, ou qualquer coisa, que entra em um local de crime leva consigo algo do local e deixa alguma coisa para trás quando parte. No mundo virtual dos computadores, o Princípio da Troca de Locard ainda é válido (ou pelo menos parte dele): onde quer que o intruso vá ele deixa rastros. Tais rastros podem ser extremamente difíceis ou praticamente impossíveis de serem identificados e seguidos, mas eles existem. Nesses casos, o processo de análise forense pode tornar-se extremamente complexo e demorado, necessitando do desenvolvimento de novas tecnologias para a procura de evidências. Toda e qualquer informação digital capaz de determinar que houve uma intrusão ou que provenha alguma ligação entre o invasor e a vítima ou entre a invasão e o atacante, poderá ser considerada como uma evidência. O investigador deve ser capaz de identificar as evidências através das informações previamente coletadas por ele. 1.5 - O que é Forense Computacional? É a ciência que estuda a aquisição, preservação, recuperação e análise de dados armazenados em mídias computadorizadas e procura caracterizar crimes de informática de acordo com as evidências digitais encontradas no sistema invadido. A Forense Computacional é uma área de especialização relativamente nova no mundo e está se desenvolvendo principalmente pela necessidade das instituições legais atuarem no combate aos crimes eletrônicos. É notório e as estatísticas reveladas através das pesquisas mostram o aumento expressivo das fraudes eletrônicas, sendo que a perícia forense se mostra uma eficiente ferramenta para identificação e redução desses riscos. As ações com base na prática de forense computacional são uma técnica cientifica, aplicada dentro de um processo legal que busca evidências e responsabilização de envolvidos em incidentes que usem os meios computacionais para execução de crimes ou burlar regras estabelecidas. De acordo com Freitas (2006) a Forense Computacional é o ramo da criminalística que compreende a aquisição, prevenção, restauração e análise de evidências computacionais, quer sejam os componentes físicos ou dados que foram
  7. 7. 7 processados eletronicamente e armazenados em mídias computacionais. Na figura abaixo é apresentado um modelo proposto por Ubrich e Valle (2005), que procede de uma estrutura hierárquica de duas classes multiníveis (Aspectos Legais e Aspectos Técnicos). Na classe dos Aspectos Legais encontram-se as exigências legais, baseadas na área de Direito, às quais devem estar sujeitas aos procedimentos periciais. Já a classe dos Aspectos Técnicos corresponde às questões práticas da área computacional. Diariamente há diversos tipos de casos de fraudes e crimes onde o meio eletrônico foi em algum momento utilizado para este fim, sendo este tipo de caso chamado, de acordo com Ubrich e Valle (2005), de CyberCrime. De acordo com Adams (2000), atualmente já existem padrões metodológicos bem definidos e desenvolvidos pelo SWGDE (Scientific Working Group on Digital Evidence), que é o representante norte-americano na International Organization on Computer Evidence (IOCE). Tais padrões foram apresentados durante a International Hi-Tech Crime and Forensics Conference (IHCFC), realizada em Londres, de 4 a 7 de outubro de 1999. Esses padrões seguem um único princípio: o de que todas as organizações que
  8. 8. 8 lidam com a investigação forense devem manter um alto nível de qualidade a fim de assegurar a confiabilidade e a precisão das evidências. Esse nível de qualidade pode ser atingido através da elaboração de SOPs (Standard Operating Procedures), que devem conter os procedimentos para todo tipo de análise conhecida e prever a utilização de técnicas aceitas na comunidade científica internacional, apresentadas a seguir. 1.6 - Obtenção e Coleta de Dados Os procedimentos adotados na coleta de dados devem ser formais, seguindo toda uma metodologia e padrões de como se obter provas para apresentação judicial, como um checkList, de acordo com as normas internacionais de padronização, citadas acima. Um exemplo de checkList adotado na obtenção e coleta de provas pode ser encontrado no site da Comissão Européia (2004). Identificação Dentre os vários fatores envolvidos no caso, é extremamente necessário saber separar os fatos dos fatores, que possam vir a influenciar ou não um crime, para estabelecer uma correlação na qual se faz um levantamento das ligações relevantes como datas, nomes de pessoas, autarquias, etc, dentre as quais foi estabelecida a comunicação eletrônica. Preservação Um Perito Forense Computacional experiente, de acordo com Kerr (2001), terá de ter certeza de que uma evidência extraída deverá ser adequadamente manuseada e protegida para se assegurar de que nenhuma evidência seja danificada, destruída ou mesmo comprometida pelos maus procedimentos usados na investigação e que nenhum vírus ou código malicioso seja introduzido em um computador durante a análise forense. Análise Na concepção de Kerr (2001), a análise será a pesquisa propriamente dita, onde o investigador se detém especificamente nos elementos relevantes ao caso em questão pois todos os filtros de camadas de informação anteriores já foram transpostos. Novamente, deve-se sempre ser um profissional atento e cuidadoso em termos da obtenção da chamada "prova legítima", a qual consiste numa demonstração implacável e inquestionável dos rastros e elementos da comunicação entre as partes envolvidas e seu teor, além das datas e trilhas dos segmentos de disco utilizados.
  9. 9. 9 Apresentação De acordo com Freitas (2006) esta fase é tecnicamente chamada de "substanciação da evidência", pois nela consiste o enquadramento das evidências dentro do formato jurídico, sendo inseridas, pelo juiz ou pelos advogados, na esfera civil ou criminal ou mesmo em ambas. Desta forma, quando se tem a certeza material das evidências, atua se em conjunto com uma das partes acima descritas para a apresentação das mesmas. O investigador precisa estar perfeitamente sintonizado com os objetivos de cada etapa metodológica apresentada na figura exposta anteriormente para poder minimizar o tempo e a quantidade de dados que deve desde obter até apresentar, maximizando sua eficiência e eficácia. A aplicação minuciosa de técnicas investigativas na computação forense é, sem dúvida, muito semelhante às técnicas de perícias investigativas utilizadas em crimes convencionais. De a cordo com uma metodologia criada pela SWGDE é possível conhecer as características do ambiente de trabalho e entender o ambiente forense computacional como a cena de um crime, por isso há a necessidade de seguí-la como forma de aperfeiçoar o trabalho pericial. A grande abrangência da atividade forense computacional em diversas áreas que envolvem segurança computacional traz complexidade aos trabalhos a serem realizados na investigação de cada caso. A validade técnica e jurídica das metodologias para recuperar dados de computadores envolvidos em incidentes de segurança tem se tornado fundamental, pois os procedimentos têm que ser tecnologicamente robustos para garantir que toda a informação útil como prova seja obtida e também de uma forma a ser legalmente aceita de forma a garantir que nada na evidência original seja alterado, adicionado ou excluído. 1.7 - PROVA DIGITAL As provas podem ser as mais diversas possíveis como e-mails, arquivos de registros (conhecidos como logs), arquivos temporários com informações pessoais, conexões abertas, processos em execução e outras evidências que possam existir no computador. Mas para serem aceitas num processo jurídico, devem ter sido obtidas de forma lícita. (Souza, 2011) É importante que o perito forense digital saiba manusear apropriadamente as provas digitais coletadas, conservando o local onde se está
  10. 10. 10 recolhendo as informações, assegurando que elas possam ser usadas como suporte para a uma investigação. (Brassanini, Moreno e Taxman) O perito precisa ter em mente sempre que em diversos tipos de crimes há provas digitais. Seja onde e qual for o crime, o nível de cuidado deve ser o mesmo: preservar o local, garantir a custódia e o controle das provas recolhidas, pois é de suma importância para o sucesso da perícia. O material que será coletado como prova pode ser facilmente adulterado. No local nada pode ser tocado ou alterado, pois esse cuidado é de grande importância para que as provas coletadas fiquem íntegras. Assim nenhuma pessoa sem ser o perito deve manusear equipamentos, ficando sob responsabilidade dele avisar logo ao ser chamado. A prova digital é um material muito frágil que precisa ser manuseado corretamente, sendo necessário um armazenamento correto, longe do calor e frio excessivo, um transporte adequado e longe de objetos magnéticos. Qualquer dado ou informação digital é criada, guardada, traduzida ou decodificada por um dispositivo digital seja ele Computadores Pessoais, dispositivos de Armazenamento em rede, CDs, DVDs, máquina Fotográfica, relógio com comunicação via USB, entre outros. Os Dados também podem estar armazenados em locais fora dos domínios físicos da cena investigada, como provedores de internet, Servidores FTP - File Transfer Protocol - e servidores Corporativos. Nesses Casos, a coleta dos dados somente será possível mediante ordem judicial. A cópia de dados envolve a utilização de ferramentas adequadas para duplicação dos dados, pois é de vital importância que seja garantida a preservação da integridade das evidências coletadas, pois caso isso não ocorra, as evidências poderão ser invalidadas como provas perante a justiça. A garantia da integridade das evidências consiste na utilização de ferramentas que aplicam algum tipo de algoritmo hash. Assim como os demais objetos apreendidos na cena do crime, os materiais de informática apreendidos deverão ser relacionados em um documento chamado Cadeia de Custodia. Deve ser feito cópia lógica (Backup) do material a ser analisado, no mínimo duas cópias, uma para ser realizada coleta dos dados pertinentes a investigação e a outra copia deve ser guardada em um local seguro, caso haja a necessidade de novas análises. Durante a coleta de dados é muito importante manter a integridade dos atributos de
  11. 11. 11 tempo mtime (modification time), atime (acess time) e ctime (creation time) – MAC times. Mactime: permite que a partir das informações contidas nos metadados dos arquivos e diretórios, uma visão cronológica dos acontecimentos seja mostrada. (Silva, 2010). 1.8 - CUIDADOS NECESSÁRIOS PARA COLETA Os procedimentos devem ser feitos com no mínimo duas testemunhas, de preferência com um mínimo de conhecimento em informática. O perito tem por obrigação explicar os procedimentos executados de forma clara e simples, a fim de conseguir um entendimento básico dos ouvintes. Se possível deve-se flmar o procedimento de coleta. Segundo Mota Filho (2010) os gerentes de rede devem ser orientados em caso de invasão a seguir os seguintes procedimentos: • Quando se identifica uma invasão não se pode de maneira alguma acessar ou emitir comandos na máquina comprometida. • Desconectar o cabo de rede para que o invasor não execute nenhuma operação remota no equipamento. • Em hipótese alguma a máquina deve ser desligada, a não ser que o invasor o faça. Sendo assim é necessário aguardar a chegada do perito para ligar o equipamento. • Caso o equipamento seja ligado e se descubra que o mesmo foi vítima de invasão, não se deve mexer mais em nada e aguardar a chegada do perito. • O perito deve ser chamado o mais rápido possível e um responsável deve acompanhar os procedimentos, pois a ajuda é de suma importância para sanar eventuais dúvidas que o perito possa ter em relação ao ambiente periciado. Segundo Mota Filho (2010) as autoridades que aprendem máquinas suspeitas devem seguir as seguintes orientações: • Se ao efetuar o flagrante o equipamento estiver ligado, chamar um perito forense computacional para realizar uma coleta da memória. Isso ajudará nas investigações, pois os dados da memória são preciosos numa investigação. • Para remover a máquina ou provas do local (qualquer aparelho ou periférico que possa conter informações digitais), lacrar os mesmos dentro de uma caixa
  12. 12. 12 ou embalagem plástica apropriada, na presença de duas testemunhas. Utilizar lacres confiáveis, seguros e numerados. Alguns equipamentos que podem ser utilizados para armazenamento de provas digitais: • Telefones Celulares; • Pen drives; • Câmeras Digitais; • DVDs/CDs; • MP3 Players; • Cartões de memória flash; • Impressoras com Smart Media ou memória interna; • Gravador de vídeo digital (por exemplo, DVR’s); • Secretárias eletrônicas; • GPS; • Consoles de jogos (por exemplo, Xbox, Playstation); • Gravadores digitais de voz. • 1.9 - COLETA DOS DADOS VOLÁTEIS A seguir serão descritos procedimentos, considerando que o perito encontrou uma máquina com Linux (Ubuntu 11.04) instalado e a mesma estava ligada. Todos os procedimentos devem ser seguidos por duas testemunhas e de preferencia que todas as operações sejam filmadas. Não esquecer de anotar a hora da execução dos procedimentos. Ao se deparar com o equipamento em funcionamento, chamar o administrador do mesmo e solicitar a senha de root. O primeiro passo é recolher o conteúdo da memória RAM. Mas porque o dump de memória é importante? Tudo o que está em execução no equipamento fica temporariamente na memória. Criando uma imagem da memória, ou dump de memória pode-se identificar os arquivos (processos) em execução, processos pais e processos filhos. Tornando-se possível verificar como estava sendo a utilização do equipamento no momento do dump de memória, quais programas estavam sendo executados e provavelmente algumas senhas também ficam temporariamente na memória.
  13. 13. 13 Inserir um HD ou pendrive de maior capacidade que a memória ram do equipamento a ser periciado e de preferência montar eles no diretório /mnt com o comando: # mount -t vfat -o umask=0000 /dev/sdb1 /mnt Obs: O procedimento de montar outros tipos de dispositivos não será abordado, nesse caso para o dump de memória foi utilizado um pendrive de 16GB numa máquina com 2 GB de memória RAM. Verificar com o comando a seguir a versão do kernel e a arquitetura da distribuição instalada no equipamento: # uname -r-n As versões de kernel anteriores a versão 2.6.27 não possuem restrição de acesso à memória, assim o comando dd funciona corretamente. Executar o comando para fazer o dump de memória: # dd if=/dev/mem of=/mnt/memoria.dd Caso o kernel seja igual ou posterior ao 2.6.27, então se faz necessário o módulo fmen, disponível em http://hysteria.sk/~niekt0/foriana. Fazer o download do módulo, compilar e instalar o módulo com os seguintes comandos: #tar -xzf arquivo.tgz - para descompactar o arquivo tgz #make - para compilar #run.sh para instalar o módulo ( verificar o arquivo README após descompactar o arquivo para maiores informações). Após instalar o módulo executar o comando: # dd if=/dev/fmem of=/mnt/memoria.dump bs=1M count=2048
  14. 14. 14 É importante especificar o tamanho da memória para o dd não entrar em looping (caso o comando dcfldd esteja disponível, fazer o dump de memória com ele pois os comando e as opções do comando são as mesmas). Após esse procedimento ainda é necessário coletar algumas informações importantes para perícia, que são: • Usuários logados no sistema; Para verificar os usuários logados no sistema, executar o comando: # w > /mnt/users Assim todos os usuários conectados e seus respectivos terminais ficam armazenados no arquivo users. • Situação do uso da memória; Para verificar o uso da memória do equipamento, executar o comando: # free -m >/mnt/memoria.free Esse comando lista o uso da memória ram e swap do equipamento e a opção –m é para a resposta do comando ser mostrada de forma amigável em MB. • Histórico de comandos do equipamento; O comando history exibe os últimos comandos digitados no bash. Para isso executar o comando: # history > /mnt/history Assim a lista de comandos estará armazenada para futura verificação. • Quais processos estão ativos; Com o comando ps -aux todos os processos em execução no equipamento serão listados com várias informações importantes como, por exemplo, dono do processo em execução, PID, tempo do processo, quando iniciou o processo e outros. Para isso executar o comando da seguinte forma: # ps –aux > /mnt/processo
  15. 15. 15 Porém algum desses processos podem estar ocultos para o comando ps, assim usa-se, se estiver disponível no sistema operacional, ( não se deve instalar nada em uma máquina viva), o comando unride. Esse comando é uma ferramenta forense desenvolvida para encontrar processos ocultos. Executar os seguintes comandos se estiver disponível: # unhide proc > /mnt/unhide.proc # unhide sys > /mnt/unhide.sys # unhide brute > /mnt/unhide.brute O unhide é útil também para listar portas TCP ocultas. Se existirem, executar o comando: # unhide-tcp > /mnt/unhide.tcp • Quanto tempo à máquina esta ligada; Já que a máquina estava ligada antes mesmo do perito chegar ao local é importante saber quanto tempo o sistema tem de operação sem reiniciar. Para isso executar o comando: # uptime > /mnt/uptime • Conexões e portas de redes abertas; Com o comando netstat são verificadas todas as portas e conexões de rede abertas e quais processos. Para isso executar o comando: # netstat tunap > /mnt/netstat. Executar esse comando mesmo que o cabo de rede não esteja conectado. • Relação de pacotes instalados; Como na máquina periciada o sistema operacional é o Ubuntu 11.04, ele é baseado em Debian. Segundo o site Ubuntu.org o sistema de pacotes do Debian utiliza pacotes com extensão .deb. Trata-se de arquivos compactados contendo os arquivos dos programas em questão (binários e configuração), juntamente com arquivos de controle para o gerenciamento de pacotes. O dpkg é a base do sistema
  16. 16. 16 de pacotes do Debian, e classificado como um ferramenta de nível médio para gerência de pacotes. Usado para instalação e remoção de pacotes primitivamente (Guia Ubuntu PT, 2009). Para verificar os pacotes instalados no equipamento executar o seguinte comando: # dpkg –l > /mnt/list_pacotes • Data e hora do sistema; Logicamente existe a possibilidade de que a hora do sistema não esteja certa, portanto deve-se anotar a hora correta e data, posteriormente executar o comando: # date > /mnt/date • Discos utilizados e suas partições; É necessário saber quantos discos existem no equipamento e como os mesmos estão particionados, executando o comando para obter essa informação: #df -hT > /mnt/df • Dispositivos montados; O comando mount mostra os dispositivos montados e suas permissões. Para obter essas informações executar o comando: # mount > /mnt/mount • Esquema de particionamento dos discos; Para verificar como os discos estão particionados e o tipo de partição, executar o seguinte comando: # fdisk -l > /mnt/fdisk • Versão do kernel; Anteriormente foi utilizado o comando uname –r para verificar qual a versão do kernel utilizada, vai executar o comando novamente direcionando a saída para um arquivo no dispositivo, montado no diretório /mnt. Executar o comando:
  17. 17. 17 # uname -r > /mnt/kernel_ver • Informações dos dispositivos de rede; É necessário verificar como esta configurado o dispositivo de rede. Para isso executar o comando: # ifconfig > /mnt/ifconfig • Rotas; Verificar as rotas das interfaces de rede executando o comando: # route -n > /mnt/rotas • Módulos do kernel; Por fim e não menos importante, destacar o lsmod para listar os módulos do kernel carregados no sistema. Executar o comando: # lsmod > /mnt/lsmod. Terminada a coleta dos dados preliminares. O próprio sistema operacional da máquina periciada foi utilizado para a coleta, não foi utilizado nenhum live CD para extrair tais dados e nem reiniciado o equipamento. Com isso o objetivo de manter a confiabilidade e a disponibilidade das informações contidas na memória ram e as informações contidas na máquina antes de ser reiniciada ou desligada foi mantido. Para garantir a integridade e a confiabilidade do dump de memória do sistema que será periciado, explicar para as duas testemunhas o que é o md5 e hash e mostrar o funcionamento se for necessário. Executar os comandos a seguir para criar o hash e o md5 do dump de memória criado anteriormente. # md5sum memoria.dump > memoria.dump.md5 # sha256sum memoria.dump > memoria.dump.sha256 No caso o pacote dcfldd não estava disponível quando foi criado o dump da memória, por isso foi usado o dd. Se ele estivesse disponível, o hash e o md5 poderiam ser criados simultaneamente com o seguinte comando:
  18. 18. 18 # dcfldd if=/dev/fmem of=/mnt/memoria.dump bs=1M count=2048 hash=md5,sha256md5log=/mnt/memoria.dump.md5sha256log=/mnt/memoria.dump.sh a256 Após isso, desmontar o pendrive do equipamento e verificar em outra estação se esta tudo correto. Não esquecer de preencher o laudo de custódia corretamente. 1.10 - COLETA DOS DADOS DE MEMÓRIA FÍSICA Para prosseguir, foi escolhida a distribuição FDTK V3 live cd para coleta dos dados do harddisk. Existem várias distribuições no mercado como BackTrack, Helix, CAINE, DEFT Linux e muitas outras. Escolher a distribuição mais agradável para prosseguir com a coleta. Pode ser um CD, DVD ou pendrive USB. Nunca esquecer que esse procedimento tem de ser acompanhado pelas testemunhas. Desligar a energia do equipamento e inserir um HD maior que a do equipamento periciado, pode ser um HD externo ou interno. Sempre explicar o procedimento para as testemunhas. Ligar o equipamento e inicializar o live cd. Montar o dispositivo de armazenamento de coleta no /mnt. No caso a máquina periciada possui um hd de 80 GB SATA (/dev/sda). Foi utilizada para a coleta um HD externo USB da Samsung de 500GB. Agora usando o dcfldd foi criada a imagem do disco e ainda os hashes md5 e sha256 da imagem. Para isso executar o comando: #dcfldd if=/dev/sda of=/mnt/hd.sata.dd hash=md5,sha256 md5log=/mnt/ hd.sata.dd.md5 sha256log=/mnt/ hd.sata.dd.sha256 1.11 - PROCEDIMENTOS FINAIS DA COLETA Verificar se o procedimento anterior foi executado corretamente e verificar o tamanho da imagem criada e se os hashes estão corretos. Desligar o equipamento.
  19. 19. 19 Agora é necessário lacrar o computador ou abrir o equipamento e lacrar o HD. Para isso, acompanhado das testemunhas, utilizar lacres numerados e embalagens adequadas para o armazenamento. Preencher um laudo de custódia e um laudo de integridade, colocando todos os dados da imagem da memória e do disco rígido. Como nas figuras abaixo: EVIDÊNCIA ELETRÔNICA 1.12 - FORMULÁRIO DE CADEIA DE CUSTÓDIA Caso Núm.: 1209087 Pág.: 1 De: 1 MÍDIA ELETRÔNICA/DETALHES EQUIPAMENTO Item: 1 Descrição: Hard Disc Seagate Barracuda 7200.7 80 GB Fabricante: Seagate Modelo: ST30808272AS Num. de serie: 5MT2MK9Y DETALHES SOBRE A IMAGEM DOS DADOS Data/Hora: 05/05 - 15:32 Criada por: Leandro Método usado: DCFLDD Nome da Imagem: hd.sata.dd Partes: 1 Drive: HASH: 8369b53a57f27c00b90faacafd26b40baec03b40ae0342145687da 76af53ee1c CADEIA DE CUSTÓDIA Destino: Data/Hora: Origem: Destino Motivo: Análise Forense Data: 05/05 Nome/Org.: Leandro Nome/Org.: Leandro Analizar conteúdo Hora: 18:00 Assinatura: Assinatura: Data: Nome/Org.: Nome/Org.: Hora: Assinatura: Assinatura: Data: Nome/Org.: Nome/Org.: Hora: Assinatura: Assinatura: Data: Nome/Org.: Nome/Org.: Hora: Assinatura: Assinatura: DEVSDA
  20. 20. 20 Data: Nome/Org.: Nome/Org.: Hora: Assinatura: Assinatura: Data: Nome/Org.: Nome/Org.: Hora: Assinatura: Assinatura: Data: Nome/Org.: Nome/Org.: Hora: Assinatura: Assinatura: Data: Nome/Org.: Nome/Org.: Hora: Assinatura: Assinatura: Figura 01 – Formulário de cadeia de custódia 1.13 - Certidão de Integridade de Dados Eu Leandro Catini, perito forense computacional, portador do CPF no. 000000000-53 às 15:32 do dia 05 de maio de 2014, no departamento de perícia digital, na presença do Senhor Fulano de Tal , advogado, portador do CPF no. 010101011-00 e Beltrano Silva e Silva, analista de sistema, portador do CPF no. 010101011-01 foi criada a imagem do HD de 80GB referente ao caso número 1209087. Hash gerado no ato da coleta Nome da imagem: hd.sata.dd Hash md5: f7dccb120ec0e78a4d84d2c0d5501511 Hash sha 256: 8369b53a57f27c00b90faacafd26b40baec03b40ae0342145687da76af53ee1c ________________________________________ LEANDRO CATINI CPF 000000000-53 Perito Forense ________________________________________ FULANO DE TAL CPF 010101011-00
  21. 21. 21 ________________________________________ BELTRANO SILVA E SILVA CPF 010101011-01 1.14 - Conclusão Desde 2013 quando os jornais e revistas aumentaram a divulgação do acesso de informações de governos e grandes empresas pela NSA dos Estados Unidos da América, muita discussão tem sido gerada em relação à forma como a informação podem facilmente ser acessada. Existe uma tendência de que as pessoas comuns passem a se preocupar mais com a forma de armazenamento suas informações, salientando que a criptografia é fundamental para parte da segurança. O acesso a ferramentas e técnicas está cada vez mais difundido o que pode vir a facilitar a sua utilização por pessoas comuns. A coleta da prova digital é de suma importância para obter sucesso numa perícia computacional. Foi testado e comprovado em uma situação real a forma correta de coletar os dados visando o sucesso de uma perícia forense computacional. A utilização de softwares livres tem o objetivo de reduzir os custos para o perito, ficando assim, mais acessível para quem solicita a pericia. Ainda pode-se muitas vezes modificar o código fonte e adequar esses softwares a necessidade do perito ou da perícia em questão. Acredita-se que seguindo esses passos o perito executará de forma correta uma coleta de dados em uma máquina com sistema operacional baseado em Linux, ou mesmo outros, claro com alguma mudanças. 1.15 - REFERÊNCIAS BIBLIOGRÁFICAS http://www.gta.ufrj.br/grad/07_1/forense/reconhecimento.html Minicursos do XIII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais — SBSeg 2013
  22. 22. 22 BRASSANINI, David; MORENO, Karine e TAXMAN. Guia de Campo sobre prova digital. 1ª. Edição. CASTRO JÚNIOR, Antônio Pires de, et al. Forense Computacional em Memória Principal. Disponível em: < http://www.mp.go.gov.br/portalweb/hp/1/docs/forencomp- ram.pdf > Acesso em 21/09/2011 GUIA UBUNTU PT. Explicacao do Dpkg e Apt Disponível em : < http://www.guiaubuntupt.org/wiki/index.php?title=Explicacao_do_Dpkg_e_Apt > Acesso em: 22/09/2011 MOTA FILHO, Eriberto João. Perícia Linux com Debian GNU/Linux Parte 1 Procedimentos iniciais e coletas. Disponível em: < http://eriberto.pro.br/forense/guia_forense_1.1_parte_1.pdf > Acesso em: 22/09/2011 PAIVA, Jadilson Alves de. Praticas Anti-Forense: Um estudo de seus impactos na forense computacional. Disponível em: < http://www.nogueira.eti.br/profmarcio/obras/Jadilson%20-%20Anti-Forense.pdf > Acesso em: 20/09/2011 SILVA, Segura Rodrigo. Forense Digital: Produzindo Provas Legais. Disponível em: < http://www.prevenirperdas.com.br/portal/index.php?option=com_content&view=article &id=177:forensedigital&catid=18:prevencao-a-fraudes&Itemid=7 > Acesso em: 22/09/2011 SOUZA, Rafael. Perícia Forense Computacional. Disponível em: < http://www.ticnics.com.br/pericia-forense-computacional/> Acesso em: 21/09/2011

×