Download - TCC III - Apresentação
![Page 1: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/1.jpg)
PROCEDIMENTOS COMPUTACIONAIS NO AUXÍLIO À PERÍCIA FORENSE APLICADA
EM WEB BROWSERS
ACADÊMICO: SIDNEY ROBERTO DA SILVA WEBBA ORIENTADOR: PAULO JOÃO MARTINS
UNIVERSIDADE DO EXTREMO SUL CATARINENSE CIÊNCIA DA COMPUTAÇÃO
CRICIÚMA, NOVEMBRO DE 2010
![Page 2: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/2.jpg)
Sumário 1. Introdução:
" Problema
" Objetivo Geral
" Objetivos Específicos
" Justificativa
2. Fundamentação Teórica:
" O Browser
" Mercado dos Web Browsers
" Funcionamento dos Browsers
" Perícia Forense Computacional
" Metodologia SOP
" Perícia Forense em Web Browser
" Ferramentas Forense
3. Trabalho Desenvolvido
4. Resultados Obtidos
5. Conclusão
6. Trabalhos Futuros
![Page 3: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/3.jpg)
Problema
" Como proceder numa avaliação forense computacional, de modo a que se consiga encontrar evidências eletrônicas suficientemente boas para serem usadas em processos criminais?
![Page 4: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/4.jpg)
Objetivo Geral
" Analisar e aplicar os procedimentos de perícia forense computacional na busca por evidências em web browsers.
![Page 5: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/5.jpg)
Objetivos Específicos
" Abordar os aspectos de segurança em web browsers;
" Examinar e descrever quais informações um web browser armazena localmente durante uma seção de acesso a Internet;
" Compreender e aplicar os conceitos sobre perícia forense computacional;
![Page 6: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/6.jpg)
Objetivos Específicos
" Analisar e delinear quais ferramentas open source e de software livre são usadas na busca e análise de evidências em web browsers;
" Observar os tipos de evidências obtidas em diferentes web browsers.
![Page 7: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/7.jpg)
Justificativa
" Aumento da relevância da evidência digital em processos jurídicos ... ;
" Carência bibliográfica dedicada à perícia forense computacional no país … ;
" Urgente necessidade de se apresentar uma resposta adequada para os graves problemas existentes relacionados ao uso indevido da Internet … .
![Page 8: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/8.jpg)
O Browser
" O browser é percebido pelos usuários finais como a interface para a Internet, constituindo a forma mais conhecida de um cliente para a mesma (KRISHNAMURTHY; REXFORD, 2001).
![Page 9: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/9.jpg)
Mercado dos Browsers
51,20%
32%
5,20%
4,70% 1,20%
5,70% Web Market Share
Internet Explorer
Firefox
Safari
Chrome
Opera
Outros
" W3Counter (2009)
![Page 10: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/10.jpg)
FUNCIONAMENTO DOS BROWSERS
Browser
Servidor DNS
Servidor de Origem
URL 1 Consulta DNS
2 Conexão TCP
3 Pedido HTTP
4 Resposta HTTP
5 Transações Paralelas Opcionais
![Page 11: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/11.jpg)
Perícia Forense Computacional
" A perícia forense computacional é definida como a coleta, preservação, análise e apresentação de evidências digitais, utilizando-se de ferramentas e técnicas computacionais no ambiente investigado, e auxiliando os juízes nas tomadas de decisões num processo judicial (VACCA,2002).
![Page 12: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/12.jpg)
Metodologia SOP
" Autorização e Preparação;
" Identificação;
" Coleta e Preservação;
" Exame e Análise;
" Documentação;
" Reconstrução da Cena do Crime.
![Page 13: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/13.jpg)
Perícia Forense em Web Borwsers
" Lado do cliente e lado do servidor.
" O que procurar: " Pesquisas realizadas;
" Histórico de Navegação; " Downloads de arquivos;
" Informações fornecidas (Formulários/Senhas);
" E-mails;
" Cookies.
![Page 14: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/14.jpg)
Ferramentas Forense
" Pasco;
" Galleta;
" Web Historian;
" Firefox 3 Extractor;
" Mozilla Cache View;
" PasswordFox.
![Page 15: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/15.jpg)
Estudo de Caso
" Estudo de Caso fictício simulando a realização de uma perícia forense computacional com foco na busca e análise de evidências em web browsers, nos laboratórios da UNESC.
" Para a realização do estudo foram selecionados aleatoriamente os laboratórios 16 do Bloco XXI-A e 8 do Bloco XXI-B, e da mesma forma, delimitaram-se 10 computadores a serem analisados em cada sala.
![Page 16: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/16.jpg)
Metodologia
" Práticas metodológicas (MARTINS; THEÓPHILO, 2009):
" Coleta das evidências; " Composição;
" Análise e validação dos resultados;
" Conclusões;
" Verificação de possíveis interferências;
" Relatório final.
" Metodologia SOP.
![Page 17: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/17.jpg)
Autorização e Preparação
" Buscou-se autorização para a realização da perícia.
" Definiu-se o que se pretendia descobrir ao final da mesma.
![Page 18: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/18.jpg)
Identificação
" Todos os computadores apresentaram as seguintes configurações de hardware:
" Memória RAM: 2 GB;
" Disco Rígido: 150 GB;
" Processador: Intel Core 2 Duo;
" Velocidade do Processador: 2,26 GHz;
" Número de Processadores: 1;
" Número de Núcleos: 2;
" Fabricante: HP.
" Bem como, as seguintes especificações de software:
" SO: Windows XP, Service Pack 3;
" Browsers: IE versão 8.0.6, Firefox versão 3.6.12.
![Page 19: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/19.jpg)
Coleta e Preservação
Cache do IE Histórico de Navegação do IE
Cookies do IE Arquivos Sqlite do Firefox
Lab 8 10 63 1908 105
Lab 16 10 44 757 114
Total 20 107 2665 219
Arquivos Coletados
Arquivos Analisados Cache do IE Histórico de
Navegação do IE
Cookies do IE Arquivos Sqlite do Firefox
Lab 8 10 63 30 55
Lab 16 10 44 30 55
Total 20 107 60 110
![Page 20: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/20.jpg)
Exame e Análise
" Conversão das evidências para formatos legíveis, nomeadamente: xls, csv e html.
" Análise das evidências para obtenção de informações relevantes ao crime.
![Page 21: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/21.jpg)
Análise dos Arquivos de Cache do IE
" Obtém-se 7 campos para investigação (Type, URL, Modified Time, Access Time, Filename, Directory, HTTP Headers).
" Identificou-se acesso no dia 11/11/10 às 20:25:17
![Page 22: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/22.jpg)
Análise dos Arquivos de Cache do IE
" Análise dos cabeçalhos HTTP recebidos.
" Usuário lab8b identificado.
![Page 23: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/23.jpg)
Análise dos Arquivos de Cookie do IE
" Foram obtidos 6 campos para análise (Site, Variable, Value, Creation Time, Expire Time, Flags).
" Foi identificado acesso no dia 11/11/10 às 20:49:08
![Page 24: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/24.jpg)
Análise do Histórico de Navegação do IE
" O arquivo contém 7 campos para análise (URL Adress, Modified Time, Accessed Time, Type, Deleted, Cached Files, HTTP Headers).
" Acesso identificado no dia 11/11/10 às 20:46:12.
![Page 25: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/25.jpg)
Análise dos Arquivos Sqlite do Firefox
" Places.sqlite;
" CACHE_MAP;
" Downloads.sqlite;
" Formhistory.sqlite;
" Cookies.sqlite;
" Signons.sqlite.
![Page 26: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/26.jpg)
Análise do Histórico de Navegação do Firefox
![Page 27: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/27.jpg)
Tabela Moz_Places
" Identificaram-se buscas realizadas no site em questão no dia 11/11/10 às 21:33:10.
![Page 28: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/28.jpg)
Análise dos Arquivos de Cache do Firefox
" Obtiveram-se 8 campos para análise (URL, Content Type, File Size, Last Modified, Last Fetched Time, Expiration Time, Fetch Count, Server Name).
![Page 29: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/29.jpg)
Análise do Histórico de Downloads do Firefox
" Tabela Moz_Downloads;
" Não foram identificados downloads.
![Page 30: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/30.jpg)
Análise do Histórico de Formulários Preenchidos do Firefox
" Analisou-se a tabela moz_formhistory, com 6 campos para análise (Id, Fieldname, Value, TimesUsed, FirstUsed, LastUsed).
" Foram identificadas buscas realizadas objetivando obter conhecimento sobre como invadir um servidor web.
![Page 31: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/31.jpg)
Análise do Histórico de Formulários Preenchidos do Firefox
" Foi identificado um email enviado;
" Foi identificado o nome do usuário usado para logar no servidor comprometido;
" Foi identificado o nome do acadêmico que criou uma conta no site afetado.
![Page 32: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/32.jpg)
Decodificação do PRTime " Formato de data e hora usado pelo Firefox;
" Inteiro de 64 bits, representando o número de microssegundos desde a meia-noite de 1 de Janeiro de 1970;
" Busca realizada no dia 11/11/10 às 21:31:40 e o email foi enviado no mesmo dia às 21:35:10;
" Estreitou-se a investigação.
![Page 33: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/33.jpg)
Análise das Senhas e Nomes de Usuário
" Identificou-se um email e uma senha usados para logar no servidor em questão;
" O programa não disponibiliza informações como: data em que as informações foram salvas, ou data de último acesso ao servidor.
![Page 34: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/34.jpg)
Reconstrução da Cena do Crime
" Crimes foram cometidos no dia 11/11/10 às 20:46:12 e às 21:33:10;
" Analisando-se as evidências do IE, descobriu-se que: " Computador 5, lab8 do Bloco XII-B;
" Acessos no dia 11/11/10 das 20:46:12 às 21:22:45;
" Usuário logado no SO identificado como lab8b.
![Page 35: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/35.jpg)
Reconstrução da Cena do Crime
" Analisando-se as evidências do Firefox, descobriu-se que:
" Computador 5, lab8 do Bloco XII-B; " Acessos no dia 11/11/10 das 21:31:15 às
21:36:46;
" Identificou-se uma busca sobre “como invadir um servidor web” às 21:31:40;
" Identificou-se que o email [email protected] foi usado para logar no servidor afetado.
![Page 36: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/36.jpg)
Reconstrução da Cena do Crime
" Confirmou-se junto a instituição que o dono do email usado para logar no servidor é um acadêmico da mesma;
" Descobriu-se que o mesmo usou o computador 5, do lab 8 do Bloco XXI-B, enquanto atendia a uma aula do seu curso, nas datas e horários em que o crime foi identificado;
![Page 37: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/37.jpg)
Resultados Obtidos
Ferramentas Converteu com Sucesso
Converteu com Falhas
Não Converteu
Pasco 100%
Galleta 100%
Web Historian 60% 40%
F3E 70% 20% 10%
Mozilla CacheView
100%
PasswordFox 100%
Comparação do desempenho das ferramentas
![Page 38: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/38.jpg)
Resultados Obtidos
Laboratórios Com Evidências Sem Evidências
Lab 8 6 computadores 4 computadores
Lab 16 3 computadores 7 computadores
Número de computadores com evidências do IE
Laboratórios Com Evidências Sem Evidências
Lab 8 10 computadores 0 computadores
Lab 16 10 computadores 0 computadores
Número de computadores com evidências do Firefox
Apenas 1 computador apresentou evidências que se transformaram em provas periciais.
![Page 39: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/39.jpg)
Conclusão
" Sucesso ao aplicar os conceitos de perícia forense na coleta e análise de evidências oriundas de web browsers;
" Falha ocasional ao usar algumas ferramentas;
" O uso de diversas ferramentas é recomendado;
" Dependendo do ambiente e aparatos tecnológicos envolvidos outras ferramentas e técnicas podem ser utilizadas;
![Page 40: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/40.jpg)
Trabalhos Futuros
" Análise de ferramentas que permitam realizar uma perícia em várias máquinas conectadas em rede;
" Analisar ferramentas que permitam recuperar informações (histórico de navegação, cache, entre outras) deletadas;
" Que técnicas e ferramentas usar quando o usuário usa a navegação privativa;
" Como realizar uma perícia quando são usadas técnicas anti-forense.
![Page 41: TCC III - Apresentação](https://reader034.vdocuments.com.br/reader034/viewer/2022042505/5571f8da49795991698e3bdb/html5/thumbnails/41.jpg)
" Obrigado !