forense - institutosiegen.com.brinstitutosiegen.com.br/documentos/seguranca10.pdf · que tem como...
Post on 28-Dec-2018
216 Views
Preview:
TRANSCRIPT
FORENSE
COMPUTACIONAL
Palestrante: Carla Regina da Costa Santos
Locard´s Principle of Exchange (Princípio da troca de Locard):Quando dois objetos entram em contato, sempre haverá transferência de material de um objeto para o outro.
“Edmond Locard (1877-1966) e a metodologia da prova indicial: a investigação criminal e os métodos científicos”
Em 1910, um oficial da polícia francesa, Edmond Locard, estabeleceu o princípio de que todas as pessoas deixam marcas de contato totalmente identificáveis. Seu relatório provou ser o pano de fundo da ciência forense.Usando o princípio de Locard, os criminalistas analisam as fibras da cena do crime e são capazes de identificar os menores detalhes –tipo de roupas, origem e até o fabricante. Através de uma simples fibra, a análise pode afirmar a presença de um suspeito no local e conseguir sua condenação.
Não existe crime perfeito...
Definições• Criminalística (“forensics”) : “Ciência auxiliar do Direito Penal
que tem como objeto a descoberta de crimes e a identificação de seus autores”
• Evidência/Prova Digital : qualquer informação de valor probatório armazenada em meio digital.
• Análise Forense : “aplicação de princípios das ciências físicas ao direito, na busca da verdade em questões cíveis, criminais e de comportamento social para que não se cometam injustiças...”
• Forense Computacional : conjunto de técnicas, cientificamente comprovadas, utilizadas para coletar, reunir, identificar, examinar, correlacionar, analisar e apresentar evidências digitais processadas, armazenadas ou transmitidas por computadores
Áreas da Forense• Criminalistica • Psiquiatria• Engenharia • Toxicologia• Jurisprudência • Endocrinologia• Odontologia• Computacional• Patologia• Biologia• Antropologia
Conhecimentos• Práticas de gerenciamento de segurança• Arquitetura e modelos de segurança• Metodologias e sistemas de controle de acesso• Segurança em desenvolvimento de aplicações• Segurança da operação• Segurança física• Criptografia• Segurança em redes, telecomunicações e Internet• Planejamento de continuidade dos negócios• Legislação, investigação e ética
* Fonte : ISC² (http://www.isc2.org)
Forense Digital• Aspectos gerais
– Leis– Processos– Motivação – Componente humano
• Aspectos Técnicos– Estruturas de disco (CHS, RAID...)– Sistemas de arquivos (FAT,NTFS,EXT2,EXT3...)– Esquemas de codificação (ASCII,Unicode...)– Formatos de arquivos (ZIP, Word, Excel...)– Arquivos temporários– Áreas “desperdiçadas” (file slack, RAM slack...)– Informações em memória RAM– Detalhes de fabricantes/modelos/interfaces de aparelhos móveis
• Foco em tecnologia (hardware e software) aplicada aos aspectos técnicos da Forense Digital (Resposta a Incidentes).
Aspectos Técnicos• Fontes de provas/evidências :
– Computadores• HD, disquetes, cartões de memória, dispositivos periféricos...
– Redes• Roteadores, switches, logs
– Dispositivos móveis• Palm, PocketPC, telefones móveis, pagers...
• Enorme volume de dados :– Cenário típico : 6 suspeitos/usuários envolvidos.
• HDs de 60 GB + 20 CDs / suspeito + espaço em servidor de arquivos
• = 500 GB para serem analisados
Aspectos Técnicos• Decisão “Vivo” x “Morto”
– Analisar sistema suspeito em funcionamento (“vivo”) ou desligá-lo (“morto”).
– “Vivo”• capacidade de obter informações voláteis em memória RAM• Impossibilidade de evitar alterações
– “Morto”• Como desligar ? Shutdown x Desligar da tomada• Desligar(?) e realizar duplicação forense. • Trabalhar na cópia !!!!
• Etapas Macro :– Duplicação Forense– Análise e Investigação– Apresentação de resultados
Etapas : Resposta a Incidentes
Etapas : Forense Computacional
Duplicação Forense• Fundamental bloqueio de escrita na mídia original.• Bloqueio de escrita com Windows• Calcular HASH (MD5, SHA-1) durante duplicação.• Alternativas :
– Software• Linux DD• EnCase• SafeBack• Ghost
– Hardware• FastBlock, Solo 3, RoadMASSter II
• Procedimento de duplicação é enorme “gargalo”– Exemplo : 1 HD 60 GB :
• 10/12 horas por Software• 20 minutos com Hardware (até 3.6 GB / minuto nos
equipamentos Solo 3 e RoadMASSter II)
Análise / Investigação• Alta complexidade• Enorme número de diferentes aplicações :
– Browsers : IE, Mozilla, Firefox, Opera...– E-Mail : Outlook, Outlook Express, Lotus Notes, Eudora,
Thunderbird...– P2P : Kazaa, e-Mule, Morpheus, BitTorrent...
• Diversos fabricantes e modelos de telefones móveis (Nokia, Siemens, Samsung, Sony...)
• Infinidade de formatos de arquivos• Detalhes específicos de funcionamento de sistemas operacionais :
– Windows 9x, Windows NT, Windows 2000, Windows XP, Windows 2003, RedHat, Suse, SlackWare, Solaris...
• Enorme número de arquivos (80.762 neste notebook)• Detalhes técnicos específicos e obscuros, ex: NTFS Streams
Análise / Investigação• Software pode automatizar :
– Análise de HASH– Análise de Assinatura (extensão x formato do arquivo)– Reconstrução de arquivos estruturados (ZIP, Office, Registry...)– Visualização no tempo de atributos– Filtros por características de arquivos (tipo, tamanho, datas)– Consulta por palavras chaves / expressões regulares– Histórico de acesso Internet (para browsers comuns)– Histórico de uso de WebMail (Hotmail, Yahoo...)– Histórico de uso de programas P2P– Logs de sistema (event viewer, syslog...)– Documentos impressos (arquivos de spool temporários)– Busca em áreas “desperdiçadas” (file slack, ram slack...)
Onde mora o perigo…
Onde estão as provas nos incidentes de segurança?
• Nas mensagens de E-mail são emitidos ou recebidos, data e hora, o IP do autor;
• Numa rede de computadores , nos arquivos de “logs”, nas tabelas de alocação de arquivos ,nos arquivos e apagados;
• No trafego da rede através de programas como o “sniffer” e outros, podemos colher informações.
Perícia Forense Aplicada a Redes de Computadores
• Define-se perícia forense aplicada a redes como o estudo do tráfego de redes, para procurar a verdade em questões cíveis, criminais e administrativas para proteger usuários e recursos de exploração, invasão de privacidade e qualquer outro crime promovido pela contínua expansão das conexões em rede.
Análise Pericial• A análise pericial é o processo para descobrir
informações valiosas, a busca e extração de dados relevantes para uma investigação e são divididas em duas camadas : análise física e análise lógica.
• A análise física é a pesquisa de seqüências e a extração de dados de toda a imagem pericial, dos arquivos normais às partes inacessíveis da mídia.
• A análise lógica consiste em analisar os arquivos das partições.
Passos para analise pericial
• Delimitação de fonte de análise( o que se deseja investigar)
• Preservação da prova(visualizar e pesquisar sem alterar)
• Análise(filtrar informações desejadas)
• Apresentação de evidência( aos orgãos e/ou pessoas responsáveis( juízes,
advogados)
Ferramentas
Capturando os Dados• FastBlock Lab Edition (LE)
• ImageMASSter Solo 3
• FastBlock Field Edition (FE)
• RoadMASSter II
http://www.icsforensic.com
Equipamentos para duplicação•ICS – Intelligent Computer Solutions
• Processador Pentium 4 3.2 Ghz• 2 GB de memória RAM• Suporta HDs SCSI, ATA, SATA• Suporta dispositivos de memória em estado
sólido• Transferências superiores a 3 GB / minuto• Suporta Hash MD5, SHA-1, SHA-2 e
correção de erro CRC32• WipeOut – zera HDs usado para armazenar
imagens suspeitas com velocidade de até 3 GB / minuto – seguindo padrão DoD.
RoadMASSter II
Equipamentos para duplicação
Equipamentos para duplicação•ICS – Intelligent Computer Solutions
ImageMASSter Solo III • Taxa de transferência até 3.3 GB / minuto• Interface Touch-Screen• Hash MD5 ou CRC32• Integração com dispositivo biométrico opcional• Interfaces FireWire e USB 2.0• Suporta HDs ATA, SATA e SCSI (usando interface
SCSI PCMCIA opcional)• Captura HD suspeito para 2 HDs simultaneamente.• Bloqueio de escrita• Compatibilidade com DD• “Sanitize” HD de provas (zera HD de acordo com
padrões do DoD para uso em outros processos de investigação)
• Pode capturar para DVD-RW através de kit opcional
Forense em Celulares•Micro Systemation
• Unidade de comunicação que se conecta ao micro do investigador via porta USB.
• Kit de cabos com conector específico para cada aparelho em uma ponta, e conector USB para a unidade de comunicação em outra.
• Leitor de cartões SIM para aparelhos GSM.
• Software .XRY• Visualizador .XRY : Pode ser distribuído
gratuitamente.• Documentação em formato PDF,
incluindo detalhada documentação sobre aparelhos suportados.
O profissional forense•São características interessantes para um investigador na aplicação de técnicas de forense computacional:
- Conhecimento e entendimento profundo do funcionamento de sistemas de arquivos, e padrões de comunicação em redes de computadores;
- Familiaridade com as ferramentas, técnicas, estratégias e metodologia de ataques ;
-Faro investigativo;
-Conhecimento da legíslacão envolvida.
www.techbiz.com.br
www.guidancesoftware.netwww.helix.org
Maiores Informações
PERICIA FORENSE COMPUTACIONAL -TEORIA E PRATICA APLICADAAutor: FARMER, DANAutor: VENEMA, WIETSEEditora: PRENTICE HALL BRASIL
ENCASE COMPUTER FORENSICS ENCASE CERTIFIED EXAMINER STUDY GUIDEAutor: BUNTING, STEVEAutor: WEI, WILLIAM W. S.Editora: JOHN WILEY CONSUMER
OBRIGADA PELA ATENÇÃO!
● carla@gra.gov.br
top related