1

Análise Forense

Marco HolperinRodrigo Leobons

Redes de Computadores IUniversidade Federal do Rio de Janeiro

2

IntroduçãoA análise forense computacional é o ramo da criminalística que consiste no uso de métodos científicos na

• Coleta;• Preservação; • Restauração;• Identificação; • Análise;• Interpretação; • Documentação; • Apresentação de evidências computacionais.

Seu propósito é facilitar ou possibilitar posterior reconstrução de eventos criminais, ou ajudar antecipar ações não autorizadas que se mostram anômalas a comportamentos operacionais esperados ou planejados.

3

Operação do Invasor

Finalidades da Invasão:

• obtenção de informações (roubo de segredos, números de cartões de crédito, senhas e outros dados relevantes ao intruso);

• promover algum estrago ( “pichação" de sites, destruição de informações e paralisação do sistema, por exemplo);

• utilização dos recursos do sistema (repositório de dados, disseminação de ataques distribuídos, provimento de serviços, por exemplo);

4

Operação do Invasor

Passos do Invasor

• identificação do alvo;• busca de vulnerabilidades no alvo (probing);• comprometimento inicial;• aumento de privilégio;• tornar-se “invisível" (stealth);• reconhecimento do sistema (reconnaissance);• instalaçao de back doors;• limpeza dos rastros;• retorno por uma back door, inventário e

comprometimento de máquinas vizinhas;

5

Operação do InvasorDescrição Habilidade Evidências

Cluless Praticamente nenhuma. Todas atividades são bem aparentes.

ScriptKiddie

Procura exploits prontos na internet e os utiliza seguindo receitas. Não escreve exploits.

Pode tentar encobrir rastros utilizando rootkits prontos, porém com sucesso limitado. Pode ser analisado com esforço mínimo.

Guru Equivale a um Admin. Checa programas de segurança e logs. Evita alvos seguros.

Cuidadosamente apaga registros em logs. Não deixa evidências de sua presença. Requer uma análise profunda no sistema.

Wizard Possui grande conhecimento sobre o sistema. Capaz de manipular software e hardware.

Não deixa evidencias úteis. Pode comprometer totalmente o sistema.

6

Análise Pericial

Etapas do processo:

• coleta de informações (ou information gathering);• reconhecimento das evidências;• coleta, restauração, documentação e preservação das

evidências encontradas (Manuseio das Evidências);• correlação das evidências;• reconstrução dos eventos; 

7

Ferramentas• A análise forense computacional

necessita de um conjunto de ferramentas que ajudarão o investigador a coletar, documentar, preservar e processar as informações coletadas no sistema investigado;

• Estação forense;

• - The Coroner’s Toolkit (TCT) :• grave-robber;• mactime;• utilitários (icat, ils, pcat, md5, timeout);• unrm e lazarus;

8

Ferramentas

• TCTUTILs

• The @stake Sleuth Kit (TASK)

• Autopsy Forensic Browser (AFB)

• ForensiX

• EnCase

9

Anti-Análise Forense

A anti-análise forense é a “arte” de esconder dados, informações e pistas após uma invasão de um sistema computacional.

• apagando os dados;• criptografia de dados;• uso de rootkit;

10

Conclusão• Como podemos ver nesse trabalho, há cada vez mais maneiras

de se utilizar meios digitais para a prática de crimes. Cada vez mais surgem novos meios e novas ferramentas que ajudam os criminosos a atacar e invadir sistemas.

• Como sabemos que todo crime deixa evidências, por mais escondidas que elas estejam, é necessário um maior investimento em técnicas de análise forense, para que os crimes praticados através de sistemas digitais possam ser solucionados e os seus respectivos idealizadores possam ser devidamente punidos.

11

Perguntas• Cite dois níveis de invasores diferentes, suas

habilidades e os tipos de evidências deixados por eles.

• Por que a maneira como se manuseia as informações obtidas numa investigaçao é tão importante?

• Cite os principais passos a serem tomados durante uma análise pericial.

• O que é uma estação forense.

• O que é anti-análise forense? Cite um meio de anti-análise.

12

Análise Forense

Marco HolperinRodrigo Leobons