Crimes Digitais e a Computacao Forense

1.018 visualizações

Publicada em

Uma apresentação básica de como a Computação Forense ajuda a solucionar os Crimes Digitais.

Publicada em: Tecnologia
0 comentários
5 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
1.018
No SlideShare
0
A partir de incorporações
0
Número de incorporações
125
Ações
Compartilhamentos
0
Downloads
155
Comentários
0
Gostaram
5
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Crimes Digitais e a Computacao Forense

  1. 1. Crimes Digitais e a Computação Forense
  2. 2. $whoami • Vaine Luiz Barreira • http://about.me/vlbarreira • Consultor de TI • Perito em Computação Forense • Ethical Hacker • Professor Universitário • Palestrante
  3. 3. Certificações • Perito em Análise Forense Computacional • Ethical Hacker • ISO 27002 • ITIL v3 • CobiT v4.1 • Microsoft Operations Framework (MOF) v4 • ISO 20000 • IT Management Principles • Business Information Management (BiSL) • Microsoft Technology Associate – Security • Microsoft Technology Associate – Networking • Cloud Computing • Secure Cloud Services • GreenIT • CA Backup Technical Specialist • Symantec STS • SonicWALL CSA • Novell CNA – NetWare e GroupWise Membro da Sociedade Brasileira de Ciências Forenses (SBCF) Membro da High Technology Crime Investigation Association (HTCIA)
  4. 4. Representam as condutas criminosas cometidas com o uso das tecnologias de informação e comunicação, e também os crimes nos quais o objeto da ação criminosa é o próprio sistema informático. • Defacements (modificação de páginas na Internet); • Roubo de dados e/ou negação de serviço; • E-mails falsos (phishing scam, difamação, ameaças); • Transações bancárias (internet banking); • Disseminação de código malicioso, pirataria e pedofilia; • Crimes comuns com evidências em mídias digitais; • Etc, etc, etc... Crimes Digitais
  5. 5. Crimes Digitais Os atacantes se movem rapidamente Extorsão digital em ascensão Malwares estão inteligentesAmeaças de dia zero 5 de 6 grandes empresas atacadas 317M novas variantes de malware 1M de malware diários 60% dos ataques são a pequenas/ médias empresas 113% aumento de ransoware 45X mais dispositivos atacados 28% dos malwares são VM-Aware 24 ameaças críticas Top 5 sem correção por 295 dias 24 Source: Symantec Internet Security Threat Report 2015
  6. 6. Crimes Digitais Source: Symantec Internet Security Threat Report 2015 Vários setores sofrendo ataques cibernéticos Saúde + 37% Varejo +11% Educação +10% Governos +8% Financeiro +6%
  7. 7. Crimes Digitais
  8. 8. Crimes Digitais
  9. 9. Definições • Cyber Guerra motivação política, visam enfraquecer nações • Cyber Espionagem busca por propriedade intelectual visando o lucro • Cyber Terrorismo busca causar pânico ou sensação de insegurança • Hacktivismo motivação política, visam causas específicas
  10. 10. Formação
  11. 11. Slide masterPerito Criminal (Perito Oficial) Perito ad hoc ou Perito Judicial Assistente Técnico Perito Particular Perito Digital
  12. 12. Computação Forense • Perícia Digital • Forense Digital • Perícia Cibernética • Perícia em Informática • Forense em Informática • Perícia Forense Computacional • Análise Forense Computacional • Perícia de Sistemas Computacionais
  13. 13. “Aplicação da ciência física aplicada à lei na busca pela verdade em assuntos civis, criminais e de comportamento social, com o fim de que nenhuma injustiça seja feita a nenhum membro da sociedade”. (Manual de Patologia Forense do Colégio de Patologistas Americanos) “Coleta e análise de dados de maneira não tendenciosa e o mais livre de distorção possível, para reconstruir dados ou o que aconteceu no passado em um sistema” (Dan Farmer e Wietse Venema – Computer Forensics Analysis Class Handouts) Computação Forense
  14. 14. Princípio de Locard (1877-1966): “Todo contato deixa um rastro (vestígio)” Computação Forense
  15. 15. Exemplos de evidências relacionadas a crimes digitais: • mensagem de e-mail e bate-papo • arquivos de logs • arquivos temporários • registros de impressão • registros de conexão à internet • registros de conexão em sistemas • registros de instalação/desinstalação de programas • fragmentos de arquivos Evidência Digital
  16. 16. • Minimizar perda de dados; • Evitar contaminação de dados; • Registrar e documentar todas as ações; • Analisar dados em cópias; • Reportar as informações coletadas; • Principalmente: manter-se imparcial. “É um erro capital teorizar antes de obter todas as evidências.” Sherlock Holmes Princípios de análise forense
  17. 17. • Razões para não investigar um incidente: Custo Demora Falta de objetividade Disponibilização de recursos importantes • Processo que demanda tempo e recursos, nem sempre útil para a empresa; • É mais fácil reinstalar um computador do que realizar uma investigação. Motivações para investigação
  18. 18. Levantar evidências que contam a história do fato: • O quê? (definição do próprio incidente) • Onde? (local do incidente e das evidências) • Quando? (data do incidente e suas partes) • Quem (quem fez a ação) • Por quê? (motivo ou causa do incidente) • Como? (como foi realizado e/ou planejado) • Quanto? (quantificação de danos) Motivações para investigação
  19. 19. • Identificação do alvo; • Coleta de informações; • Identificação de vulnerabilidades; • Comprometimento do sistema; • Controle do sistema; • Instalação de ferramentas; • Remoção de rastros; • Manutenção do sistema comprometido. Modo de ação dos atacantes
  20. 20. Equipamento desligado: (Post Mortem Forensics) • Sem atividade de disco rígido; • Evidências voláteis perdidas; • Sem atividade do invasor; • Sem necessidade de contenção do ataque; • Possivelmente algumas evidências foram modificadas. Tipos de sistemas comprometidos
  21. 21. Equipamento ligado: (Live Forensics) • Atividade no disco rígido; • Atividade de rede; • Evidências voláteis; • Possibilidade de atividade do invasor; • Necessidade de conter o ataque. Tipos de sistemas comprometidos
  22. 22. Equipamento ligado: (Live Forensics) • Verificar se o sistema está comprometido; • Não comprometer as evidências; • Conter o ataque; • Coletar evidências; • Power-off ou shutdown? Tipos de sistemas comprometidos
  23. 23. Etapas Perícia Digital • Isolar área • Fotografar o cenário • Analisar o cenário • Coletar evidências • Garantir integridade • Identificar equipamentos • Embalar evidências • Etiquetar evidências • Cadeia de Custódia Coleta • Identificar as evidências • Extrair • Filtrar • Documentar Exame • Identificar (pessoas e locais) • Correlacionar (pessoas e locais) • Reconstruir a cena (incidente) • Documentar Análise • Redigir laudo / parecer técnico • Anexar evidências e demais documentos • Gerar hash de tudo Resultados Equipamentos / Mídias Dados Informações Laudo Pericial
  24. 24. 1. Aquisição; 2. Preservação; 3. Identificação; 4. Extração; 5. Recuperação; 6. Análise; 7. Apresentação (laudo pericial). Processo investigativo
  25. 25. Ordem de volatilidade – RFC 3227 • Memória RAM; • Arquivos de página ou de troca; • Processos em execução; • Conexões e estado da rede; • Arquivos temporários; • Arquivos de log de sistema ou aplicativos; • Disco rígido (HD); • Mídias removíveis (HDs externos, pendrives, cartões de memória, CD-ROM, DVD-ROM, etc); • Dispositivos não convencionais (câmeras digitais, gps, relógios, etc). 1. Aquisição
  26. 26. • Adquirir o máximo de informações do equipamento (marca, modelo, no. série, sistema operacional, nome, memória, discos, partições, endereço IP, etc); • Aquisição remota pela rede não é recomendada; • Aquisição utilizando bloqueadores de escrita ou garantir a montagem da partição em modo somente leitura (read only). 1. Aquisição
  27. 27. Mídias de armazenamento digital • ISO 27037 • Imagem X Backup • Cópia bit a bit / cópia física / duplicação forense • Evitar a contaminação da evidência e consequente fragilidade probatória 1. Aquisição
  28. 28. • Live Forensics: Duplicação binária de memória RAM; Tráfego de rede (grampo digital); • Post Mortem Forensics: Duplicação binária de mídia; Demonstração 1
  29. 29. • Impedir alteração da mídia original antes e durante os procedimentos de aquisição; • Criar mais de uma cópia do arquivo de imagem; • Trabalhar sempre na “cópia da cópia”; • Usar assinaturas HASH para garantir a integridade dos dados. 2. Preservação
  30. 30. • Todo material coletado para análise deve ser detalhadamente relacionado em um documento chamado Cadeia de Custódia; • Qualquer manuseio do material coletado precisa estar detalhadamente descrito na Cadeia de Custódia. 3. Identificação
  31. 31. • Registro detalhado do modo como as evidências foram tratadas, desde a coleta até os resultados finais; • Deve conter informações sobre quem teve acesso às evidências ou às cópias utilizadas; • Durante um processo judicial, vai garantir que as provas não foram comprometidas; • Cada evidência coletada deve ter um registro de custódia associado a ela. Cadeia de Custódia
  32. 32. • Extrair as informações disponíveis das mídias; • Buscar dados removidos total ou parcialmente, propositadamente ou não; • Técnica de “Carving”. 4. Extração e 5. Recuperação
  33. 33. Através da imagem gerada: • Extração de um arquivo – Magic Number • Recuperação de um arquivo apagado; Demonstração 2
  34. 34. • Correlacionar as evidências; • Criação da linha de tempo das atividades; • Documentação de todo o processo. 6. Análise
  35. 35. • Elaboração do Laudo Pericial; • Apresentar as conclusões em linguagem clara e com dados técnicos comentados. 7. Apresentação
  36. 36. • Capacidade dos dispositivos; • Criptografia mais acessível; • Dispositivos Móveis: • Tablets • Smartphones • Wearables (relógios, pulseiras, óculos, etc) • Internet das Coisas (IoT); • Computação em Nuvem (Cloud Computing). Novos Desafios
  37. 37. Segurança Cibernética http://flip.it/GYGQY /vaineluizbarreira www.ciberforense.com.br @vlbarreira br.linkedin.com/in/vlbarreira

×