Download - Apresentação ab drc
1
10 de abril de 2023
LOCAL : Lisboa DATA : 29-10-2009
Informática Forense
2
29 de Outubro de 2009
Seminário Cibercrime & Informática Forense
www.drc.pt
O que é “Informática Forense”“Computer Forensics”
• Definição (Wikipédia): Informática Forense é um ramo da ciência forense relacionado com provas digitais descobertas em suportes de armazenamento digital.
• Objectivo: Analisar e relatar provas de alguma actividade efectuada em meios digitais.
3
29 de Outubro de 2009
Seminário Cibercrime & Informática Forense
www.drc.pt
Porquê?
• Crescimento exponencial de utilização de meios digitais como arquivo de informação.
• Aumento generalizado de incidentes relacionados com segurança informática e cibercrime.
• Cenários ou circunstâncias diferentes, exigem abordagens ou métodos diferentes.
4
29 de Outubro de 2009
Seminário Cibercrime & Informática Forense
www.drc.pt
Porquê?
• As provas descobertas através da Informática Forense podem ser determinantes para o desfecho de um caso.
• Única forma de utilizar provas digitais, sem comprometer a viabilidade e integridade das mesmas.
• Exemplo: Ligar um disco rígido em ambiente Windows.
5
29 de Outubro de 2009
Seminário Cibercrime & Informática Forense
www.drc.pt
Circunstâncias Comuns
- Intrusões na rede empresarial
- Malware (Identificação de elementos ocultos)
- Espionagem Industrial
- Actividades indevidas por parte de colaboradores (Recuperação e
identificação de informação eliminada; tráfego web)
- Roubo de informação (acesso a dados confidenciais; discos USB)
- Roubo de dados bancários
- Roubo de identidade
- Ameaças por meios digitais (e-mail; sms)
- Crimes informáticos (ex: pirataria)
- Terrorismo
- Pedofilia
6
29 de Outubro de 2009
Seminário Cibercrime & Informática Forense
Provas Digitais?
• Dados recuperados de um disco rígido de um computador.
• Qualquer tipo de dispositivo de armazenamento digital.
• Factor de apoio na fase de preparação processual e na fase de processo judicial.
7
29 de Outubro de 2009
Seminário Cibercrime & Informática Forense
Provas Digitais?
8
29 de Outubro de 2009
Seminário Cibercrime & Informática Forense
Manuseamento de Provas Digitais
• Comprovação da validade e da não manipulação da prova
digital.
• Preservação adequada das provas digitais, pois existirá a
tentativa de desacreditação.
• Manual de boas práticas (ACPO). Princípios base para
manuseamento de provas digitais.
• Procedimentos DRC: Fotografar; Etiquetar; Proteger Contra-
Escrita; Detalhar (Marca, Modelo, Nº Série); Validar equipamentos.
• Análise do equipamento, para verificar se é elegível para o efeito
de que é alvo.
9
29 de Outubro de 2009
Seminário Cibercrime & Informática Forense
www.drc.pt
Manuseamento de Provas Digitais
• Acções a evitar?
– Não desligar computador sem recolher dados da memória
– Não desligar computador no caso de o suporte ser
encriptado
– Não executar aplicações que possam alterar datas dos
ficheiros ou escrever algum tipo de informação no suporte de
armazenamento digital.
– Não utilizar aplicações de imagem convencionais
– Cautela contra a violação da privacidade dos dados
10
29 de Outubro de 2009
Seminário Cibercrime & Informática Forense
www.drc.pt
Manuseamento de Provas Digitais
• Fidedignidade das provas digitais
– Recolhidas com bloqueadores de escrita (hardware ou
software)
– Firmadas com Hash MD5 ou SHA-1. Impressões digitais a
nível binário.
– Hash: é a transformação de uma grande quantidade de
informação em uma pequena quantidade de informação”. É um
método para transformar dados de tal forma que o resultado
seja exclusivo.
11
29 de Outubro de 2009
Seminário Cibercrime & Informática Forense
www.drc.pt
Manuseamento de Provas Digitais
• Exemplo:
Como comparação com as impressões digitais humanas, existem duas teorias sobre a possibilidade de existirem duas impressões digitais iguais.
Galton: 6.400.000.000
Osterburg: 100.000.000.000.000.000.000
MD5: 340.282.366.920.938.463.374.607.431.768.211.456
12
29 de Outubro de 2009
Seminário Cibercrime & Informática Forense
www.drc.pt
Manuseamento de Provas Digitais
• Dificuldades ao lidar com provas digitais:
- Volatilidade das provas digitais
- Facilidade de manipulação e ocultação
- Evolução constante e rápida das tecnologias de informação
- Produção constante de novos cenários e circunstâncias (ex: Phishing)
13
29 de Outubro de 2009
Seminário Cibercrime & Informática Forense
www.drc.pt
Fases do Processo de Análise Forense
• Análise do Incidente (entendimento do cenário ou
circunstâncias)
• Recolha das evidências
• Identificação da origem das evidências digitais
• Preservação das evidências
• Análise das evidências
• Preparação de relatórios e conclusões
• Apresentação de relatórios ou resultados
• Armazenamento dos relatórios e evidências
14
29 de Outubro de 2009
Seminário Cibercrime & Informática Forense
www.drc.pt
Metodologias e Técnicas Forenses
• Definição de linha temporal
• Keywords
• Análise de assinaturas de ficheiros
• Criação de Hash values
• Análise de espaço não alocado ou espaço livre
• Análise comportamental do sistema (Sistema virtual)
• Análise de Malware
• Análise de processos, registo e logs
• Esteganografia (do grego: “escrita escondida”)
15
29 de Outubro de 2009
Seminário Cibercrime & Informática Forense
www.drc.pt
Análise de Tráfego e Auditorias Forenses
• Preparação de regulamento interno e boas práticas
• Solução preventiva e não reactiva
• Appliance de rede com análise de 21 protocolos (ex: http, ftp, voip,
im)
• Sistema de reconstrução de tráfego
• Auditorias regulares seleccionadas ou aleatórias
• Análise de pontos pré-definidos
• Verificação de cumprimento de normas internas
16
ABREU ADVOGADOS
LISBOAAv. Forças Armadas, 125, 12º
1600-079 Lisboa PortugalTel. +351 21 723 18 00Fax. +351 21 723 18 99
PORTORua S. João de Brito, 605 E, 4º, 4.1
4100-455 Porto PortugalTel. +351 22 605 64 00Fax. +351 22 600 18 16
MADEIRA Rua Dr. Brito Câmara, 20
9000-039 Funchal - MadeiraTel.: +351 291 209 900Fax: +351 291 209 920
ANGOLA (in Association)Tel: + 351 217 231 800Fax: +351 217 231 899
DATA RECOVER CENTER
LISBOARua Alexandre Herculano,Edifício Central Park, 1 – 7º
2795-242 Linda-a-Velha PortugalTel. +351 21 414 68 10Fax. +351 21 414 68 19
BELVERDEAv. do Mar, 22
2845-484 Amora PortugalTel. +351 21 414 68 10Fax. +351 21 414 68 19
29 de Outubro de 2009
Seminário Cibercrime & Informática Forense
www.drc.pt
17
www.abreuadvogados.com
www.drc.pt
29 de Outubro de 2009
Seminário Cibercrime & Informática Forense