1
Análise Forense
Marco HolperinRodrigo Leobons
Redes de Computadores IUniversidade Federal do Rio de Janeiro
2
IntroduçãoA análise forense computacional é o ramo da criminalística que consiste no uso de métodos científicos na
• Coleta;• Preservação; • Restauração;• Identificação; • Análise;• Interpretação; • Documentação; • Apresentação de evidências computacionais.
Seu propósito é facilitar ou possibilitar posterior reconstrução de eventos criminais, ou ajudar antecipar ações não autorizadas que se mostram anômalas a comportamentos operacionais esperados ou planejados.
3
Operação do Invasor
Finalidades da Invasão:
• obtenção de informações (roubo de segredos, números de cartões de crédito, senhas e outros dados relevantes ao intruso);
• promover algum estrago ( “pichação" de sites, destruição de informações e paralisação do sistema, por exemplo);
• utilização dos recursos do sistema (repositório de dados, disseminação de ataques distribuídos, provimento de serviços, por exemplo);
4
Operação do Invasor
Passos do Invasor
• identificação do alvo;• busca de vulnerabilidades no alvo (probing);• comprometimento inicial;• aumento de privilégio;• tornar-se “invisível" (stealth);• reconhecimento do sistema (reconnaissance);• instalaçao de back doors;• limpeza dos rastros;• retorno por uma back door, inventário e
comprometimento de máquinas vizinhas;
5
Operação do InvasorDescrição Habilidade Evidências
Cluless Praticamente nenhuma. Todas atividades são bem aparentes.
ScriptKiddie
Procura exploits prontos na internet e os utiliza seguindo receitas. Não escreve exploits.
Pode tentar encobrir rastros utilizando rootkits prontos, porém com sucesso limitado. Pode ser analisado com esforço mínimo.
Guru Equivale a um Admin. Checa programas de segurança e logs. Evita alvos seguros.
Cuidadosamente apaga registros em logs. Não deixa evidências de sua presença. Requer uma análise profunda no sistema.
Wizard Possui grande conhecimento sobre o sistema. Capaz de manipular software e hardware.
Não deixa evidencias úteis. Pode comprometer totalmente o sistema.
6
Análise Pericial
Etapas do processo:
• coleta de informações (ou information gathering);• reconhecimento das evidências;• coleta, restauração, documentação e preservação das
evidências encontradas (Manuseio das Evidências);• correlação das evidências;• reconstrução dos eventos;
7
Ferramentas• A análise forense computacional
necessita de um conjunto de ferramentas que ajudarão o investigador a coletar, documentar, preservar e processar as informações coletadas no sistema investigado;
• Estação forense;
• - The Coroner’s Toolkit (TCT) :• grave-robber;• mactime;• utilitários (icat, ils, pcat, md5, timeout);• unrm e lazarus;
8
Ferramentas
• TCTUTILs
• The @stake Sleuth Kit (TASK)
• Autopsy Forensic Browser (AFB)
• ForensiX
• EnCase
9
Anti-Análise Forense
A anti-análise forense é a “arte” de esconder dados, informações e pistas após uma invasão de um sistema computacional.
• apagando os dados;• criptografia de dados;• uso de rootkit;
10
Conclusão• Como podemos ver nesse trabalho, há cada vez mais maneiras
de se utilizar meios digitais para a prática de crimes. Cada vez mais surgem novos meios e novas ferramentas que ajudam os criminosos a atacar e invadir sistemas.
• Como sabemos que todo crime deixa evidências, por mais escondidas que elas estejam, é necessário um maior investimento em técnicas de análise forense, para que os crimes praticados através de sistemas digitais possam ser solucionados e os seus respectivos idealizadores possam ser devidamente punidos.
11
Perguntas• Cite dois níveis de invasores diferentes, suas
habilidades e os tipos de evidências deixados por eles.
• Por que a maneira como se manuseia as informações obtidas numa investigaçao é tão importante?
• Cite os principais passos a serem tomados durante uma análise pericial.
• O que é uma estação forense.
• O que é anti-análise forense? Cite um meio de anti-análise.
12
Análise Forense
Marco HolperinRodrigo Leobons