cnasi 2011

45
Introdução a Computação Forense com Ferramentas Avançadas Luiz Sales Rabelo http://4n6.cc 1 © 2011 - TechBiz Education

Upload: luiz-rabelo

Post on 16-Jan-2015

1.363 views

Category:

Technology


0 download

DESCRIPTION

Apresentação do 20o. CNASI

TRANSCRIPT

Page 1: CNASI 2011

1

Introdução a Computação Forense com Ferramentas Avançadas

Luiz Sales Rabelohttp://4n6.cc

© 2011 - TechBiz Education

Page 2: CNASI 2011

Luiz Sales Rabelo

2

•Consultor TechBiz Forense Digital desde 2009

•Certificações internacionais EnCE e ACE

•Membro Comissão Crimes Alta Tecnologia OAB/SP

•NÃO SOU ADVOGADO!!

Page 3: CNASI 2011

3

•Conceitos Básicos

•Processo Investigativo

•Forense Digital

• Início do Caso

• Coleta de Dados

• Análise de Informações

• Relatório Final

Agenda

Page 4: CNASI 2011

Conceitos Básicos

4

Page 5: CNASI 2011

Conceitos Básicos

5

Reconhecendo um incidente (ISO 17799:2005)

•Perda de serviço

•Mal funcionamento ou sobrecarga de sistema

•Falha humana

•Vulnerabilidades no controle do acesso físico

•Violação de Acesso

Page 6: CNASI 2011

Ciência Forense

Metodologia científica aplicada, que atua em conjunto

com o Investigador e é utilizada para esclarecer

questionamentos jurídicos:

Toxicologia Forense, Genética e Biologia Forense,

Psiquiatria Forense, Antropologia Forense, Odontologia

Forense, Entomologia Forense, Balística Forense,

Tanatologia Forense...

6

Page 7: CNASI 2011

Ciência Forense

Forense Computacional

X

Forense Digital

7

Page 8: CNASI 2011

Dispositivos Móveis

Na atualidade, os celulares são verdadeiros computadores, e em alguns casos

guardam muito mais sobre nossas vidas do que nossos computadores. Ex:

• E-mails

• Contatos / Agenda

• Fotos, imagens e vídeos

• Ring Tones e Jogos (copyright)

• Histórico, cookies, senhas de navegação (browser)

• Chamadas (discadas e recebidas) em determinada

data/hora

• Detalhes de mensagens SMS (data, origem/destino,

templates)

8

Page 9: CNASI 2011

Perícia em dispositivo Móveis

9

Page 10: CNASI 2011

Perícia em dispositivo GPS

10

Page 11: CNASI 2011

Processo Investigativo

11

Page 12: CNASI 2011

O que é Forense Digital?

12

ANÁLISE RELATÓRIOCOLETA

PRESERVAÇÃO

Page 13: CNASI 2011

“Sanitização”

•Evitar cross-contamination

•Demanda wipe completo das mídias reutilizáveis

13

Page 14: CNASI 2011

“Sanitização”

Visualização de

mídia no EnCase

após wipe

14

Page 15: CNASI 2011

“Efeito” CSI

•Adaptação livre do tema para televisão

•Relata fatos no formato de série de TV

•Diferença quanto a métodos, organização e tempos

15

Page 16: CNASI 2011

“Efeito” CSI

16

Page 17: CNASI 2011

“Efeito” CSI

17

Page 18: CNASI 2011

“Efeito” CSI

18

Page 19: CNASI 2011

“Efeito” CSI

19

Page 20: CNASI 2011

“Efeito” CSI

20

Page 21: CNASI 2011

“Efeito” CSI

21

Page 22: CNASI 2011

Forense Digital: Início do Caso

22

Page 23: CNASI 2011

Início do Caso

•Fotografar e/ou filmar o ambiente

•Realizar ata notarial ou documento que ateste o

acautelamento de informações

•Elaboração do documento de custódia

•Preservação das Evidências

•Duplicação (Coleta)

23

Page 24: CNASI 2011

Forense Digital: Coleta

24

Page 25: CNASI 2011

Cadeia de Custódia

•O que é a cadeia de custódia?

•Pra que serve?

•Ela (o processo) é utilizada realmente?

25

Page 26: CNASI 2011

Documento de Custódia

26 Refe

rênci

a :

htt

p:/

/sophosn

et.

word

pre

ss.c

om

/20

09

/03

/

Page 27: CNASI 2011

Coleta

•Não é recomendável realizar perícia

diretamente na prova.

•Devem ser realizadas cópias

forenses de forma a preservar a

evidência.

•Organização!

•Cautela!

27

Page 28: CNASI 2011

Coleta (Enterprise)

•Processos

•Arquivos relevantes

•Logs de aplicativos

•Arquivos temporários

•Swapfile

•Registry

•Conexões ativas

•...28

Page 29: CNASI 2011

Duplicação bit-a-bit

Cópia exata dos bits e de sua disposição

seqüencial dentro do disco rígido.

29

Page 30: CNASI 2011

Integridade de Dados

•Algoritmos de Hash

• MD5

• SHA-1

• SHA-256

•Softwares para Pericia

•Bloqueadores de Escrita

•Técnicas para proteção contra gravação

30

Page 31: CNASI 2011

Demo: Coleta de HD suspeito Ferramenta utilizada: FTK Imager

31

Page 32: CNASI 2011

Forense Digital: Análise

32

Page 33: CNASI 2011

Objetivo da Análise

Extrair de um universo de dados coletados,

informações que direta ou indiretamente associem um

indivíduo a uma determinada atividade.

33

Page 34: CNASI 2011

File Systems

Arquivos localizados no computador periciado devem

ser avaliados minuciosamente. Alguns dos pontos a

serem analisados são:

• Assinatura de arquivos

• Imagens de dispositivos

• ADS (Alternate Data Streams)

34

Page 35: CNASI 2011

Demo: Análise Preliminar dos dadosFerramenta utilizada: FTK Imager

35

Page 36: CNASI 2011

Demo: Manipulando ADS com o WindowsFerramenta utilizada: Prompt de

Comandos

36

Page 37: CNASI 2011

Arquivos Apagados

O espaço em disco marcado como livre na

tabela de alocação de arquivos

geralmente contém informações

essenciais para a análise: são os

dados dos arquivos removidos

37

Page 38: CNASI 2011

Data Carving

38

Esculpir informações a partir

dos dados disponíveis no

disco rígido suspeito

Page 39: CNASI 2011

39

Demo: Análise Avançada dos dadosFerramenta utilizada: FTK 3

Page 40: CNASI 2011

Forense Digital: Relatório

40

Page 41: CNASI 2011

Relatório

41

•Oficializar encerramento do caso

•Preenchimento dos documentos de

controle

Page 42: CNASI 2011

Geração de Relatório

Bookmarking

•Seleção de informações relevantes, realizada durante o

processo de análise

Geração de relatórios

•Correlação das hipóteses com as evidências coletadas,

agrupamento de todos os aspectos avaliados e

conclusão. 42

Page 43: CNASI 2011

Demo: Criação de BookmarksFerramenta utilizada: FTK 3

43

Page 44: CNASI 2011

Demo: Criação de RelatóriosFerramenta utilizada: FTK 3

44

Page 45: CNASI 2011

45

Obrigado!

Luiz Sales Rabelohttp://4n6.cc

© 2011 - TechBiz Education