Transcript
Page 1: Forense em SmartPhone e uma Introdução a Computação Forense

José Francci Neto Júlio César R. Benatto

Page 2: Forense em SmartPhone e uma Introdução a Computação Forense

AGENDA - Introdução

- Ciência Forense - Forense Computacional - Preparação - Aquisição - Análise - Relatórios - Certificações

- Smartphones

- Formas de aquisição de dispositivos móveis - Coleta de evidências - Análise com software Open Source - Análise com software Pago

- Conclusão - Open Source x Software Pago

Page 3: Forense em SmartPhone e uma Introdução a Computação Forense

- O que é a Ciência Forense?

Page 4: Forense em SmartPhone e uma Introdução a Computação Forense

- O que é a Ciência Forense?

- Uso de artifícios, dentre eles, a ciência forense, com o intuito de elucidar fatos acerca de um determinado ocorrido, de natureza criminal ou qualquer outra onde haja conflito de interesses.

Page 5: Forense em SmartPhone e uma Introdução a Computação Forense

- Computação Forense

Page 6: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Computacional O que pode ser análisado?

• Computadores

• Servidores

• SmartPhones • Celulares, Pages, Tablets, etc..

• GPS

• Consoles de Video Games

• Playstation, Xbox, etc.

Page 7: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Computacional Processo de Investigação Forense Computacional

Page 8: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Computacional Processo Macro.

PREPARAÇÃO > AQUISIÇÃO > ANÁLISE > RELATÓRIO

Atividade suspeita

Page 9: Forense em SmartPhone e uma Introdução a Computação Forense

Preparação O que é necessário para execução da atividade

• Pessoas;

• Processos;

• Infra.

• Pessoas;

• Processos;

• Infra.

Page 10: Forense em SmartPhone e uma Introdução a Computação Forense

Aquisição Realizar uma cópia bit a bit da origem que será submetida à análise.

• Criação de imagem forense; • 1 source > 2 targets

• Bloqueador de escrita;

• Geração hash;

• Cadeia de custódia;

• Ata notarial.

Page 11: Forense em SmartPhone e uma Introdução a Computação Forense

Aquisição Ferramentas para aquisição e realização da imagem forense

Tableau TD3

Page 12: Forense em SmartPhone e uma Introdução a Computação Forense

Aquisição Ferramentas para aquisição e realização da imagem forense

Falcon Duplicator

ACCESSDATA FTK Imager 3.1

Page 13: Forense em SmartPhone e uma Introdução a Computação Forense

Aquisição Ferramentas para aquisição e realização da imagem forense

TABLEAU IMAGER

DCFLDD - LINUX

Page 14: Forense em SmartPhone e uma Introdução a Computação Forense

Análise Durante uma análise forense são analisados diversos artefatos que podem

conter informações relevantes sobre comportamentos do(s) usuário(s) do computador ou sistema investigado.

Download – É possível determinar arquivos que o usuário tenha feito download.

Skype – É possível remontar conversas de Skype (chat), entre outras ferramentas de

mensagens instantâneas.

Excluídos – É possível realizar recuperação de arquivos deletados no disco que esta

em análise (Data Carving) e verificar e acessar os dados que estão marcados como

excluídos na MFT (Master File Table).

Execução de programas – Pode-se determinar programas executados no

ambiente em análise.

Uso de dispositivos móveis – É possível determinar dispositivos móveis

conectados no computados analisado.

Page 15: Forense em SmartPhone e uma Introdução a Computação Forense

Análise

Exame dos Dados coletados

• Filtrar, avaliar e extrair informações relevantes;

• Interpretação dos dados coletados • Identificação dos envolvidos; • Estabelecimento de ordem cronológica (TimeLine); • Levantamento de eventos e locais;

• Cruzamento de informações que levem a provas concretas ou evidências.

Page 16: Forense em SmartPhone e uma Introdução a Computação Forense

Análise Exame dos Dados coletados

Page 17: Forense em SmartPhone e uma Introdução a Computação Forense

Análise Ferramentas para análise dos dados coletados

Page 18: Forense em SmartPhone e uma Introdução a Computação Forense

Análise Ferramentas para análise dos dados coletados

Page 19: Forense em SmartPhone e uma Introdução a Computação Forense

Análise Ferramentas para análise dos dados coletados

Autopsy Forensic Browser www.sleuthkit.org/autopsy

Page 20: Forense em SmartPhone e uma Introdução a Computação Forense

Análise Ferramentas para análise dos dados coletados

• Framework para Pentest • Desenvolvido em ruby • Constante atualização • Ambiente de pesquisa para

exploração de vulnerabilidades • Forense

Page 21: Forense em SmartPhone e uma Introdução a Computação Forense

Relatórios Tem a finalidade de relatar os resultados obtidos durante a análise, de

forma imparcial.

• Resposta aos quesitos;

• Análise imparcial;

• Remontar os passos adotados durante a análise;

• Linguagem de adequada ao interlocutor; • Relatório técnico • Laudo pericial

• Conclusivo e sem opiniões.

Page 22: Forense em SmartPhone e uma Introdução a Computação Forense

Certificações

Page 23: Forense em SmartPhone e uma Introdução a Computação Forense

Open Source x Software Pago Aprendizado

x Tempo

x Facilidade de uso

x Cenário

Page 24: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone

Page 25: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Formas de aquisição de dispositivos móveis

• Como manter a energia do mesmo?

• Como acomodar, transportar, identificar o dispositivo?

• Como devem ser examinadas as possíveis informações e dados

relevantes presentes no dispositivo?

Page 26: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Formas de aquisição de dispositivos móveis

Dois pontos chaves para responder estas perguntas:

• Conhecimento sobre o software e o hardware dos dispositivos envolvidos.

• Procedimentos bem definidos para realizar a investigação.

Page 27: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Formas de aquisição de dispositivos móveis

• Ferramentas atuais permitem duas formas de aquisição diferentes

• Aquisição Física

• Cópia bit-a-bit de toda uma unidade de armazenamento (ex.

memória do aparelho)

• Aquisição Lógica

• Cópia bit-a-bit de objetos de armazenamento (ex. arquivos,

diretórios) contidos dentro de uma unidade lógica de

armazenamento (ex. partição do sistema de arquivos)

Page 28: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Coleta de evidências

• Dispositivo deve ser isolado de outros que permitam sincronização

• Se estiver conectado a um computador via cabo, remover o cabo

do computador

• Evidências não digitais (ex. manuais, pacotes, etc) podem ser úteis

• Características do dispositivo

• Características da rede

• Códigos de liberação de PIN

• Informações de contas

Page 29: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Coleta de evidências

• Dispositivo deve ser isolado também da rede de rádio

• Evita que novos tráfegos (ex. SMS, ligações) sobrescrevam

informações atuais

• Evita uso de ferramentas de bloqueio remoto

• Desligar o dispositivo

• Guardá-lo em um recipiente isolante (ex. Faraday Bag)

Page 30: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Coletas de evidências

Gaiola de Faraday é basicamente uma armação metálica fechada (ou de outro material condutor) que mantêm ondas eletromagnéticas em sua superfície criando um campo nulo em seu interior.

Page 31: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Coleta de evidências

• Desligar o dispositivo pode requerer código de desbloqueio ao ligar

• Isolá-lo da rede de rádio aumenta o consumo de bateria

• Alguns telefones apagam os dados de rede após algum tempo sem

sinal

• Recipientes isolantes podem permitir recebimento de sinal

Page 32: Forense em SmartPhone e uma Introdução a Computação Forense

• Framework para análise forense de dispositivos móveis • Análise de malware em dispositivos móveis • Pode ser utilizado para testes de segurança em dispositvos

móveis.

Forense Smartphone Análise Forense de Smartphone utilizando Software Livre

https://santoku-linux.com

Page 33: Forense em SmartPhone e uma Introdução a Computação Forense

• Motorola Milestone 3 (XT860)

• Android v.2.3.6

Forense Smartphone Smartphone XT860 com Android

Page 34: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Preparando o ambiente

Gconftool - Desabilitando o recurso automount do Linux

Page 35: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecimento e acesso a evidência

Adb (android debug bridge) – Reconhecendo o smartphone.

Page 36: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecimento e acesso a evidência

Resultado do comando adb shell mount.

Page 37: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Imagem forense do artefato

Análise do hash artefato que será coletado.

Criação da imagem forense e hash MD5 do dispositivo móvel.

Transferência da imagem forense do dispositivo móvel para estação de análise forense.

Page 38: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Tela inicial da ferramenta Autopsy Forensic Browser.

Page 39: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Tela com dados referentes ao novo caso.

Page 40: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Tela com dados de inclusão de novo host.

Tela com dados de confirmação de criação de caso e inclusão de um host para o caso.

Page 41: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Tela com dados de inclusão da imagem forense.

Tela com dados de confirmação de inclusão de novo host.

Page 42: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Tela com dados de confirmação da integridade.

Tela com dados de inclusão do hash MD5 para análise de integridade.

Page 43: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Tela com dados do diretório /data/com.android.providers.telephony/databases/.

Tela com dados do caso e imagem forense adicionados no Sleuthkit Autopsy.

Page 44: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Tela com dados do diretório /data/com.android.providers.telephony/databases/ e a opção Export.

Tela com resultado da geração de hash MD5 dos arquivos.

Page 45: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Consulta customizada através do Sqliteman.

Page 46: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Opção de exportação de dados através do Sqliteman.

Construtor de consulta customizada através do Sqliteman.

Page 47: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Quantidade de registros retornados pelo Oxigen Forensic SQLite Viewer.

Exemplos de consultas customizadas através do Sqliteman.

Page 48: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Quantidade de registros retornados pelo Sqliteman.

Page 49: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Page 50: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Page 51: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Análise Forense de Smartphone utilizando UFED

Page 52: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Page 53: Forense em SmartPhone e uma Introdução a Computação Forense

• iPhone 5s • iOS v.8.0.2

Forense Smartphone Smartphone XT860 com Android

Page 54: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Relatório

Formato da aquisição

Page 55: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Page 56: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Page 57: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Page 58: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Page 59: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Page 60: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Page 61: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Page 62: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Page 63: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Page 64: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Page 65: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Page 66: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Page 67: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Page 68: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Page 69: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Page 70: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Page 71: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Reconhecendo a evidencia

Page 72: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Correlação de dados

Page 73: Forense em SmartPhone e uma Introdução a Computação Forense

Forense Smartphone Correlação de dados

Page 74: Forense em SmartPhone e uma Introdução a Computação Forense

Open Source x Software Pago Aprendizado

x Tempo

x Facilidade de uso

x Cenário

Page 75: Forense em SmartPhone e uma Introdução a Computação Forense

Muito Obrigado!

José Francci Neto [email protected] http://br.linkedin.com/pub/jos%C3%A9-francci-neto/10/899/187

Júlio César Roque Benatto [email protected] http://br.linkedin.com/pub/julio-cesar-roque-benatto/13/b57/740


Top Related