:: armas para combate aos crimes digitais ::.. noções práticas e funcionalidades das ferramentas...
TRANSCRIPT
..:: ARMAS PARA COMBATE AOS CRIMES DIGITAIS ::.. Noções Práticas e Funcionalidades das Ferramentas Forenses
DESAFIOS E MOTIVADORES
NO
ÇÕES BÁSICAS
Fraudes Perpretadas por Empregados ou Terceiros Disputas Contratuais Abusos na Utilização de Email e Internet / Difamação Online; Disputas entre Empregados; Assédio Sexual; Armazenamento Indevido de Imagens Pornográficas e/ou Pedofilia; Roubo de Dados Confidenciais e Espionagem Industrial; Acesso Não-Autorizado a Informações; Roubo de recursos computacionais corporativos para uso pessoal; Uso de meios digitais corporativos para planejamento e execução de
crimes Falha de sistemas computacionais, causando dano a terceiros deixando
margem à reclamações judiciais por quebra de contrato ou negligência;
Motivadores
O PROCESSO DA FORENSE COMPUTACIONAL
FOREN
SE COM
PUTACIO
NAL
Principais Fases
Análise Relatório: Laudo Técnico
Electronic Crime Scene Investigation Guide: A Guide for First Responders, National Institute of Justice, 2001. http://www.ncjrs.gov/pdffiles1/nij/187736.pdf
Preparação: Pessoas/Infra/Processos
Coleta e Preservação
FOREN
SE COM
PUTACIO
NAL
Processos bem definidos Treinamento de equipes de campo e laboratório
Técnico Processual
Equipamentos/Software adequados ao trabalho Especializado Adequado ao volume Confiável Padronizado
Preparação
FOREN
SE COM
PUTACIO
NAL
Coleta e Preservação
Existem várias formas de se efetuar a coleta das evidências. É preciso entender as limitações e vantagens de cada uma para escolher a mais adequada.Podemos coletar utilizando: Duplicador Forense SOLO 3 Bloqueadores para desktops (Ultrabay para o FRED + EnCase) Disco de boot (ImageMasster/Helix) Coleta via rede (EnCase FIM) Etc
Importante: Espaço de Armazenamento com acesso rápido
FOREN
SE COM
PUTACIO
NAL
Análise
Uma das etapas mais técnicas e variáveis Conhecimento sobre sistemas operacionais e seus aplicativos
Requer software especializado EnCase, FTK, PRTK, LTU Finder, Gargoyle, StegoSuite, etc... Utilizados em conjunto Ferramentas não-forenses podem ajudar (desde que manipuladas
corretamente) Para minimizar esforços, podemos criar rotinas padrão de análise, desde
que os pedidos de análise também sejam padronizados Procedimentos Padrão Automatização com EnScript
FOREN
SE COM
PUTACIO
NAL
Relatório
Importante adaptar a linguagem do relatório ao público alvo Utilizar os recursos dos softwares de análise para gerar os relatórios
Menor tempo de confecção Consistência
Deve ser claro e sem "opiniões" É o produto final de uma análise forense
FOREN
SE COM
PUTACIO
NAL
Todo o processo deve ser controlado
Informação sobre o andamento de cada análise
Definição de métricas Tempo gasto por etapa
Etapas mais dispendiosas Tempo Recursos (pessoas e
equipamentos) Tipos de análise executadas
Com informações: Priorizar investimentos em
Equipamentos, Treinamento e Pessoal
Controle
FUNCIONALIDADES DAS FERRAMENTAS
FUN
CION
ALIDAD
ES DAS FERRAM
ENTAS
Plataforma de Análise Forense
Principal Objetivo: Análise de mídias de armazenamento (HD, pen drives, CD/DVD, cartões de memória, etc...);
Flexível: Permite que outros softwares também analisem os dados sem comprometê-los;
Consistente: Uma única inteface com o usuário; Confiável: Amplamente confrontado em cortes internacionais e
nacionais; Aumenta a produtividade: automação de terefas, compartilhamento de
resultados e dados com outros intervinientes.
EnCase Forensics
FUN
CION
ALIDAD
ES DAS FERRAM
ENTAS
Via Bloqueador Via Cabo Cross-Over Via Rede Abertura de outros formatos
(DD, VMWare, etc)
EnCase Forensic/FIM – Coleta Forense
FUN
CION
ALIDAD
ES DAS FERRAM
ENTAS
A cópia forense ou imagem forense pode ter vários formatos: Linux DD
Muito usado Sem controles específicos para forense (integridade e
confiabilidade) Sem compactação nativa
EnCase Evidence File Utilizado pelo EnCase Funcionalidades para validação forense (Hash e CRC) Compactação nativa Verificação automática
EnCase Forensic/FIM – Formatos
Cab. Dados Dados Dados Dados
FUN
CION
ALIDAD
ES DAS FERRAM
ENTAS
EnCase Forensics – Visualização dos dados
Uma forma mais eficiente de enxergar toda a estrutura de arquivos e seus conteúdos, independente do sistema de arquivos ou sistema operacional que estava na mídia suspeita e de em qual mídia estavam esses dados.
FUN
CION
ALIDAD
ES DAS FERRAM
ENTAS
EnCase Forensics – Localização de Dados
Busca de informações Palavras-Chave
Poucos Termos Buscas específicas
Index Muitos Termos Buscas mais genéricas Mais veloz depois de gerado
o index mas requer espaço de armazenamento do arquivo de indexação
FUN
CION
ALIDAD
ES DAS FERRAM
ENTAS
Header x ExtensionHeader Primeiros bytes do arquivoPadronizado pela ISOMais confiável que extensãoExtensãoIndica o tipo de arquivo no WindowsFacilmente alterávelPode "ocultar" informações
EnCase Forensics – Assinatura de Arquivos
CabeçalhosJPEG: ÿØÿà [FF D8 FF E0 ]GIF: GIF87a / GIF89aZIP: PKExecutáveis: MZ
Identificando trocas (Signature): Match * [Alias] Unknown !Bad Extension
FUN
CION
ALIDAD
ES DAS FERRAM
ENTAS
Função Hash Função matemática Seu poder depende do algoritmo
usado e do tamanho do resultado (bits)
É uma função "sem volta" Usada para identificar conteúdos
de forma única, "impressão digital"
Blacklist Queremos encontrarWhitelist Podemos Ignorar
EnCase Forensics – Hash
f hash(arquivo)
9d0c0e2cede0ec5eee3b794fb5252811
12ea4945d1110ac1693dacacebe7b187
74bd3dda83bb2f447e5ce8c63d568235
FUN
CION
ALIDAD
ES DAS FERRAM
ENTAS
EnCase Forensics – Arquivos Compostos
Arquivos com estrutura interna Arquivos compactados – ZIP,
RAR, CAB, JAR... Arquivos de Email – Outlook,
Notes, Thunderbird... Arquivos do Office – Word, Excel,
PowerPoint Registro do Windows
FUN
CION
ALIDAD
ES DAS FERRAM
ENTAS
Arquivos Apagados Localizar arquivos em áreas
“livres” através de buscas Executar procedimento do
EnCase Recuperar dados da lixeira
EnCase Forensics – Recuperação de Arquivos
FUN
CION
ALIDAD
ES DAS FERRAM
ENTAS
Coleta e Triagem pela Rede
HARDWARES PARA FORENSE COMPUTACIONAL
Recomendações Mínimas de Hardware
Sistema Médio
Processador: 3.8 GHz Hyper-Threading/Dual Core Memória: 2 GB Rede: Gigabit Network Card I/O Interfaces: FireWire (400 & 800), USB 2.0, Flash Media Readers: Multi-Reader Optical Drive: Dual Layer DVD +/- RW Drive Disco do SO: SATA 10k RPM SCSI Card: Adaptec 29160 Disco para Armazenamento de Evidências: ATA RAID
7200/10k RPM Sistema Operacional: Windows XP Professional ou
Windows 2003 Server Monitor: 19” CRT ou LCD duplo Bloqueador de Escrita::FastBloc2 LE and FastBloc SE
Sistema Ideal
Processador: Quad Xeon or Quad, Dual-Core Opterons
Memória: 4+ GB Rede: Gigabit Network Card I/O Interfaces: FireWire (400 & 800), USB 2.0,
Parallel Flash Media Readers: Multi-Reader Optical Drive: Dual Layer DVD +/- RW Disco do OS: U320 LVD SCSI 15k RPM Page file Drive: Sep. U320 LVD SCSI 15k RPM SCSI Card: Adaptec 39160 Disco de Evidências: SCSI RAID-5 Array
comprised of 10k ou 15k RPM SCSI Drives SO: Windows 2003 Enterprise Edition Monitor: Triple 19” LCD or single 42” Plasma Bloqueadores de escrita: FastBloc2 LE,
FastBloc2 FE & Adaptor Kit, FastBloc SE
HARD
WARE PARA FO
RENSE CO
MPU
TACION
AL
HARD
WARE PARA FO
RENSE CO
MPU
TACION
ALEstações de Trabalho e Servidores para Forense Computacional
11/04/23
FunçãoAltíssimo poder de processamentoSegurança no armazenamento de dados
HARD
WARE PARA FO
RENSE CO
MPU
TACION
ALBloqueadores de Escrita
11/04/23
FunçãoManutenção da cadeia de custódiaGarantir idoneidade técnicaMinimizar erros humanos
DU
PLICADO
R DE D
ISCOS SO
LO3
FunçãoColeta e Duplicação de Dados
ConteúdoAparelho de Coleta e DuplicaçãoCabos e AdaptadoresBolsa ou Maleta para TransporteLanternaManual
Duplicador Forense
DU
PLICADO
R DE D
ISCOS SO
LO3
Tipos de InterfaceDiscos Rígidos: IDE, SATA, SCSi
AdaptadoresDiscos Rígidos: ZIF, SAS
Outras VariaçõesA facilidade de manipulação de interfaces e atualização de Firmware/Software tornam a ferramenta mais aplicável ao contexto do investigado.
Coleta de Dados
DU
PLICADO
R DE D
ISCOS SO
LO3
O Modelo Operacional apresenta várias funções de capturas de Dados como:
1.Single Capture2.LinuxDD Capture3.LinuxDD Restore4.LinuxDD Hash5.Hash Only
Captura de Dados
DU
PLICADO
R DE D
ISCOS SO
LO3
Captura de Dados via NoteBook
DU
PLICADO
R DE D
ISCOS SO
LO3
Utilização do Equipamento
Vantagens de Manuseio Equipamento Portátil e Leve Tela TouchScreen Bloqueador de Escrita Acoplado Flexibilidade de Funções Diversidade de Adaptadores e Cabos Aquisição acima de 3G/min Sanitização de Dados Atualizações on site de Firmeware
CAPTURA DE DADOS EM CELULARES
CAPTURA D
E DAD
OS EM
CELULARES .XRY
FunçãoCaptura de Dados em Celulares
ConteúdoAparelho de CapturaCabosSIM ID ClonerMaleta para Transporte
Equipamento
CAPTURA D
E DAD
OS EM
CELULARES .XRY
Modelos de Aparelhos
AlcatelAppleBenQ-SiemensEricsson HPHTC LGMotorolaNEC
- Capacidade de captura de dados dos maiores fabricantes de celulares do mundo, atendendo 669 modelos do mercado internacional, compatíveis com Sistema Operacional Symbian e Windows Mobile.
Aparelhos Atendidos
NokiaPanasonicSagemSamsungSanyoSharp SiemensSony Ericsson
CAPTURA D
E DAD
OS EM
CELULARES .XRY
InterfaceInterface com Idioma em Português
CapturaVia Infra-vermelho, Bluetooth e Cabos
Cabos AdaptadoresTodas as marcas apresentadas
SIM ID ClonerDispositivo de Clonagem para Investigação
Usabilidade e Aplicabilidade
CAPTURA D
E DAD
OS EM
CELULARES .XRY
SegurançaEncriptação de Dados e Cadeia de Custódia
Extração de DadosAgenda, Chamadas, Imagens, SMS, MMS, Vídeos, Calendário, Áudio
ExportarMicrosoft Word, Excel e OppenOffice
RelatóriosFacilita a Customização de Relatórios
Novas TechnologiasAdaptado e totalmente Integrado á Tecnologias Touchscreen
Usabilidade e Aplicabilidade
CAPTURA D
E DAD
OS EM
CELULARES .XRY
UtilizaçãoFerramenta de fácil instalação, manuseio e com design novo para facilitar a captura, extração e apresentação uniforme de dados coletados.
Usabilidade
IDENTIFICAÇÃO E ANÁLISE DE IMAGENS
MÉTO
DO
S TRADICIO
NAIS
Técnicas para Identificação de Texto – Palavras-Chave:
Busca avançada: GREP( antigo padrão usado desde o Unix que é extremamente poderoso na busca de padrões)
Padrão de Busca:
f(ulano)?(\.)?(da)?(\.)?(silva)?@empresa\.com
O que seria encontrado:
IMPRECISÃO
NAS CO
NSU
LTASComo podemos encontrar imagens hoje?
Metadados (nome, tamanho, data de gravação, extensão, etc.)
Original: spider.jpgNome, extensão Data, Tamanho (kb)
Resultadosimprecisos
IDEN
TIFICAÇÃO PO
R HASH
Como podemos encontrar imagens hoje?
Hash (identificador único: MD5, SHA1, etc)
Hash: 4f0343032b31b43cbdcd855d6b782dc3
Hash: 95f2cf0d3b6a9c7359d87f13ceac1e20
Qualquer alteração =
0 resultados
O D
ESAFIOO que pode gerar uma imagem alterada?
Thumbnails do Windows (tamanho diferente) Thumbnails de Webmails (Gmail, Hotmail, Yahoo) Temporários do IE/Firefox (nome diferente) Arquivo corrompido (erro de transferência, conteúdo parcial) Photoshop, Paint, etc. (conteúdo alterado)
Várias formas de se modificar
o original
A SOLU
ÇÃOReconhecimento Digital de Imagem
LTU Finder for EnCase
A SOLU
ÇÃOPrincípios de Funcionamento
Algoritmo Finder“DNA” da Imagem
cbc8b0f84bcb83e294ae51bf0555e92f
A SOLU
ÇÃOIdentificação de Grandes Volumes de Imagens
Evi
dên
cia
“DNA” referênciacbc8b0f84bcb83e294ae51bf0555e92f
Localizado
cbc8b0f84bcb83e294ae51bf0555e92f(85)
A SOLU
ÇÃOArquivo de Compartilhamento de Informações
- <dna> <type>50</type> <segmentation_type>100</segmentation_type> <process_type>107</process_type> <resize>128</resize> <binary>RXmZqqqpmIdVeZqqqqqZh1Z5mqqqqqmXVnh1aZqalmVWQkM1WapzIlZBNEI63+ohZkJYU0q//BFz ETl0R6yWIVIRGGVWh2UhUhE4VVVmZSFCIUcRQ2ZlITNDNhERVlQhMzRWIRERQyFVVWZjISM1QWaG OKqRSSIhESMkVmE1EREaKUzE</binary> </dna>
Imagens XML
CENÁRIO
SOnde poderia ser utilizado?
Pedofilia - Utilizando uma base de dados XML (gerada pelo Image Seeker Server)
Banco de IMG Policial
- <dna> <type>50</type> <segmentation_type>100</segmentation_type> <process_type>107</process_type> <resize>128</resize> <binary>RXmZqqqpmIdVeZqqqqqZh1Z5mqqqqqmXVnh1aZqalmVWQkM1WapzIlZBNEI63+ohZkJYU0q//BFzETl0R6yWIVIRGGVWh2UhUhE4VVVmZSFCIUcRQ2ZlITNDNhERVlQhMzRWIRERQyFVVWZjISM1QWaGOKqRSSIhESMkVmE1EREaKUzE</binary> </dna>
Investigadores só carregam XML Nenhum risco de vazamento das imagens originais
CENÁRIO
SOnde poderia ser utilizado?
Vazamento de Informações;
Desenhos industriais;
Mapas;
“Print Screens” de sistemas com informações confidenciais;
Identificação de obras de arte roubadas.
CENÁRIO
SOnde poderia ser utilizado?
Difamação
Fotomontagem
Imagem distribuída por email (usada como referência)
Original encontradano disco do suspeito
DN
A DE IM
AGEN
S
Comparação rápida de imagens coletadas com uma base de dados de referência ou com imagens de referência
Acelera dramaticamente a análise de conteúdo gráfico
Possibilita a utilização de grandes bases de dados com “DNA de Imagem” do LTU Finder
Crie sua própria base de dados que pode ser armazenada e analisada localmente
Aplicável a qualquer tipo de análise de imagens: fraude, vazamento de informação, contra-inteligência, etc.
Detecta e analisa imagens escondidas (arquivos com extensão trocada)
Processa mais de 20 tipos de arquivos de imagem
Pode ser encadeado com outros enscripts, permitindo a busca de imagens já apagadas ou em espaços não alocados do disco
Compatível com EnCase versões 5 e 6
Benefícios – Análise de Imagens
IDENTIFICAÇÃO E ANÁLISE DE TRÁFEGO DE REDES
NETW
ITNESS IN
VESTIGATO
RMapeamento Online de Tráfego
Utilização
Identificação de artefatos e comunicações de internet e redes em tempo real
FÁCIL IDEN
TIFICAÇÃO D
E SUSPEITAS
Mapeamento Online de Tráfego
Identificação automática de:
Origem e destinos de conexão, tipos de serviços em uso, portas sendo utilizadas, usuários logados, etc;
Coletas de log com garantia de cadeia de custódia.
GO
OG
LE EARTHIntegração com Google Earth
CONCLUSÕES
CON
CLUSÕ
ESConclusões
Vantagens de uma estrutura planejada para análises forenses Velocidade de análise Profundidade de análise Simplificação de Emissão dos Relatórios Flexibilidade de funções Agilidade para triagem de muitos dados Triagem online in-loco
Sempre lembrar Fundamental a definição dos processos Outras ferramentas complementares Forense apenas complementa o trabalho de inteligência em uma
investigação
