012 computacao forense
TRANSCRIPT
2
Computação Forense
Quais as consequências de se detectar um ataque através do seu IDS?
O que se pode fazer quando um arquivo é indevidamente apagado?
Quem assina digitalmente tem responsabilidade?
3
Computação ForenseÉ um processo dividido em 4 fases:
1- Identificar2- Preservar3- Analisar4- Apresentar
evidências digitais que seja legalmente aceitas.
4
Computação Forense1- Identificar
O que deve ser considerado?Onde está?
Não confundir apenas com apreensão de computadores (celulares e smart cards).
5
Computação Forense2- Preservar
Uma das tarefas mais críticas para se manter o valor jurídico das informações.
Transporte físico (policiais)Alterações lógicas
6
Computação Forense3- Analisar
Quais as ferramentas utilizadas?
Recuperação de dados apagados.Leitura de arquivosClonagem de discosRastreamento de mensagens
7
Computação Forense4- Preservar
Envolve a forma de apresentação dos dados, como foram manipulados e a credibilidade de quem o fez.
8
Computação ForenseExistem 03 atividades primárias:
É uma área normalmente multidisciplinar.
1- Análise de mídias e dispositivos eletrônicos2- Análise de comunicação de dados3- Pesquisa e desenvolvimento
9
Computação Forense04 REGRAS BÁSICAS DA COMPUTAÇÃO FORENSE:
1- Manipule a informação original o menos possível2- Registre toda e qualquer alteração (inclusive física)3- Tome ações que estejam de acordo com a legislação para obtenção de evidências4- Não ultrapasse o seu limite de conhecimento
10
Computação ForenseExercício MD5Crie um arquivo “nome.TXT” tendo como conteúdo o seu nome completo.
Abra o programa md5 e gere o MD5 deste arquivo. Cole o hash em outra janela do bloco de notas.
Agora altere apenas um caractere do seu nome e compare o MD5. Retorne ao caractere original e teste novamente.
11
Normas e Procedimentos
Coleta de evidências• Busca e apreensão; • Identificação do material apreendido; • Estabelecimento da “Cadeia de custódia”;
Manipulação• Acondicionamento;• Transporte;• Guarda;• Remessa para perícia;
12
Normas e Procedimentos
Exames periciais• Recebimento do material;• Identificação do material;• Exames “a quente”;• Duplicação pericial de mídias;• Inicialização segura;• Exames em mídia;• Documentação dos exames;
13
Normas e Procedimentos
Elaboração do Laudo Pericial• Abordagem;• Metodologia• Padrão do documento;
14
Imagens de Disco como provaSe houver alguma chance de um caso ir para o
tribunal, é de extrema importância que a evidência digital seja manipulada corretamente por todos que tenham acesso.
O ponto principal é que a evidência pode tornar-se inaceitável se alguém que a manipulou depois de ocorrer um incidente não fizer nada para alterá-la.
15
Imagens de Disco como prova
Mas simplesmente abrir um arquivo altera a evidência (por exemplo, a data da última modificação pode ser alterada), portanto, como a evidência digital ainda pode ser preservada em um estado aceitável?
16
Imagens de Disco como provaA resposta é conduzir qualquer exame da
evidência não nos dados originais, mas em uma cópia exata feita para esta finalidade.
Para atender aos altos padrões do tribunal, não é tão simples quanto parece.
CÓPIA EXATA: nível de bits da imagem do disco original, setor a setor de todos os dados e contém todos os espaços desperdiçados, espaço livre e outros dados do ambiente.
17
Imagens de Disco como provaIsso requer um software de imagens especial
criado para esta finalidade.
O software de imagens criado para fins forenses também deve usar algum método de verificação para garantir que a cópia seja exatamente como o original.
Não é o caso do Norton Ghost.
18
Imagens de Disco como provaCópia direta através de um cabo ou o disco é
removido do computador de destino para ser copiado.
O processo da imagem deve ser feito de forma que não deixe vestígios (não faça alterações) no computador de origem.
19
Imagens de Disco como provaDepois que você tiver uma cópia semelhante à
forense, o disco original será reservado e preservado no estado atual. Todo o trabalho de exame é feito na cópia.
Você também precisa confirmar se o computador foi isolado imediatamente da rede e protegido fisicamente de forma que ninguém pudesse alterá-lo entre a descoberta do incidente e a hora em que a imagem do disco foi criada.
20
Imagens de Disco como provadd if=/*source* of=/*destination*
onde:if=/*source* - evidência a ser copiada (hard disk, tape, etc.)of=/*destination* - local onde será copiado
dd if=/dev/hda of=/dev/caso10img1
Uma vantagem é que o dd aceita parâmetros para diversos tipos de block size, etc
21
Imagens de Disco como provaParâmetros do “dd”:
ibs = input block sizeobs = output block sizecount = number of blocks to copyskip = number of blocks to skip at start of inputseek = number of blocks to skip at start of outputconv = conversion
Caso eu tenha uma fita desconhecida, para descobrir o block size (exceto >= 128):
dd if=/dev/st0 ibs=128 of=/dev/caso10img1 obs=1 count=1
22
Imagens de Disco como provaDividir a imagem em partes menores:
dd if=/dev/st0 count=1000000 of=/dev/caso10img1dd if=/dev/st0 count=1000000 skip=1000000
of=/dev/caso10img2dd if=/dev/st0 count=1000000 skip=2000000
of=/dev/caso10img3dd if=/dev/st0 count=1000000 skip=3000000
of=/dev/caso10img4
23
Limpando discosFormatadores e particionadores são normalmente destruidores de tabelas e índices do file system.
Dispositivos semicondutores possuem uma memória inerente.
DBan – formatador baseado em um live-CE LinuxTécnicas:Quick Erase; Canadian RCMP TSSIT OPS-II Standard Wipe; American DoD 5220-22.M Standard Wipe; Gutmann Wipe; PRNG Stream Wipe
24
Limpando discosTécnicas de limpeza:
Zeroes – Sobrescrever com zero em apenas um passo. Rápido. Pseudo-Random – Sobrescrever com números pseudo-aleatórios e apenas um passo. Rápido. Esconde o fato de que os dados foram zerados.DoD 5200.22M (8-306. / E) – Sobrescreve com um padrão de número especial em 3 passos. Lento.DoD 5200.28M (8-306. / E, C and E) - Sobrescreve com um padrão de número especial em 7 passos. Muito Lento. Muito seguro. Peter Guttman - Sobrescreve com um padrão de número especial em 35 passos. Muito Lento. Nível de segurança militar. (documento disponível)
25
Monitoramento de AplicativosMonitoramento de redes
P2P; Orkut;MSN e similares
Classificação por IPs.