forense computacional

Download Forense Computacional

Post on 18-Nov-2014

2.289 views

Category:

Technology

3 download

Embed Size (px)

DESCRIPTION

Seminario apresentado por Renan Wiezel Battaglin, Carlos Santos e Leonardo Scanferla Amaral

TRANSCRIPT

  • 1. Forense Computacional Renan Wiezel Battaglin Carlos Santos Leonardo Scanferla Amaral UNICAMP - Universidade Estadual de Campinas
  • 2. Agradecimento :-)
    • Agradecimento especial Polcia Federalpela colaborao na investigao dos mistrios da computao forense
    UNICAMP - Universidade Estadual de Campinas
  • 3. Agenda
    • Agradecimento
    • Introduo
    • Aspectos Legais
    • Tcnicas da Forense Computacional
    • Ferramentas Forenses
      • Software
      • Hardware
    • Coleta e Exame de Evidncias
      • Volteis
      • No Volteis
    UNICAMP - Universidade Estadual de Campinas
  • 4. Introduo
    • " a cincia que estuda a aquisio, preservao, recuperao e anlise de dados que esto em formato eletrnico e armazenados em algum tipo de mdia computacional."
    UNICAMP - Universidade Estadual de Campinas Cincia Forense Forense Computacional
  • 5. Incidentes digitais reportados pelo CERT.br UNICAMP - Universidade Estadual de Campinas
  • 6. Aspectos Legais
    • Obteno de Evidncias digitais: informao armazenada ou transmitida em meio digital de valor probatrio.
    • A manipulao dessas novas formas de evidncias eletrnicas devem ser aceitas em juzo.
    • Hackers brasileiros: os mais ativos do mundo.
    • A ausncia de uma legislao especfica para esse tipo de crime e o descaso das empresas em descobrir o responsvel pelo delito.
    • Falta de legislao especfica: utilizao de normas gerais, que se aplicam a todo tipo de percia
    UNICAMP - Universidade Estadual de Campinas
  • 7. Crimes Mais Comuns
    • Obteno de informaes (roubo de segredos, nmeros de cartes de crdito, senhas, etc);
    • Promover algum estrago ("pichao" de sites, destruio de informaes e paralisaes do sistema);
    • Utilizao dos recursos do sistema (como repositrio de dados, para disseminao de ataques distribudos ou para provimento de algum servio);
    • Trfico de material proibido (comunicao referente a trfico de drogas, pedofilia, etc).
    UNICAMP - Universidade Estadual de Campinas
  • 8. Evidncia Digital
    • Campos magnticos e pulsos eletrnicos que podem ser coletados e analisados atravs de tcnicas e ferramentas apropriadas.
      • CPU (registradores e caches)
      • Memria de perifricos (memria de vdeo, por exemplo)
      • Memria principal do sistema
      • Trfego de rede
      • Estado do sistema operacional (como, por exemplo, estado das conexes de rede e dos processos em execuo, usurios logados e tabelas e mdulos do sistema)
      • Dispositivos de armazenagem secundria.
    • Quantidade de evidncias deixadas inversamente proporcional habilidade do criminoso (Tcnicas Anti-Forense).
    • O investigador/perito tem que pensar como um criminoso
    UNICAMP - Universidade Estadual de Campinas
  • 9. Tcnicas da Forense Computacional UNICAMP - Universidade Estadual de Campinas
  • 10. Coleta: Acesso aos Dados
    • Mandado de busca
    • Obter informaes sobre o sistema
    • Garantir a autenticidade e integridade das evidncias coletadas
    • Aumentar a probabilidade de dois investigadores chegarem s mesmas concluses ao examinarem as mesmas evidncias
    • Cpias das evidncias originais devem ser produzidas e, sempre que possvel, a investigao deve ser conduzida sobre as cpias
    • As ferramentas (hardware e software) devem ser amplamente aceitas na rea
    UNICAMP - Universidade Estadual de Campinas
  • 11. Exame: Organizar os Dados
    • Perigo: perda e alterao
    • Qualquer atividade executada diretamente no sistema suspeito no deve utilizar os programas nele encontrados (os binrios podem no ser originais)
    • Autenticar, identificar, catalogar e preservar cada item coletado
    • Tratar cada informao como se ela fosse ser usada para fins judiciais
    UNICAMP - Universidade Estadual de Campinas
  • 12. Anlise: Montar o Quebra Cabea
    • Buscar evidncias e formular concluses
    • Identificar caractersticas anormais e indevidas
    • Pensar como o atacante e tentar construir um Time Line
    • Os procedimentos devem ser aceitos pela comunidade cientfica.
    • Documentao da cadeia de custdia
    • Criar base para uma ao judicial
    • Obteno de novas solues de segurana
    UNICAMP - Universidade Estadual de Campinas
  • 13. Resultados: Uso Legal
    • Provar para o Juiz que a Cadeia de Custdia foi respeitada
    • Apresentar concluses da Anlise
    • Esclarecer dvidas sobre o laudo (Bastante comum)
    • Atender solicitao de novas percias (Esclarecer alguns pontos)
    UNICAMP - Universidade Estadual de Campinas
  • 14. Ferramentas: Software FDTK-UbuntuBr
    • Asa
    • dd
    UNICAMP - Universidade Estadual de Campinas
  • 15. UNICAMP - Universidade Estadual de Campinas Ferramentas: Software FDTK-UbuntuBr
  • 16.
    • Coleta de Dados : screenshots, hash criptogrfico bit a bit, informao do hardware.
    • Documentao Judicial : Formulrio de cadeia de custdia
    • Exame dos dados : comparaes, converses entre formatos, leitores de arquivos com formatos especficos, exame de parties de disco de vrios tipos.
    • Anlise : Construo de linha do tempo baseada na informao de metadados de arquivos e diretrios (ordem cronolgica dos acontecimentos).
    UNICAMP - Universidade Estadual de Campinas Ferramentas: Software FDTK-UbuntuBr
  • 17.
    • Alguns Exemplos:
    • ddrescue - Copia dados de um dispositivo de arquivos ou blocos para outro dispositivo
    • sleuthkit - Conjunto de comandos UNIX-based para se manipular file systems em investigaes forenses. Permite que voc examine um computador suspeito de uma forma no intrusiva.
    • Stegdetect - Detecta e extrai menssagens steanografadas em imagens JPEG.
    • chkrootkit - Verifica indcios de rootkits no file system local
    • wireshark - Analisador de trfego de rede ou "sniffer"
    UNICAMP - Universidade Estadual de Campinas Ferramentas: Software FDTK-UbuntuBr
  • 18. Ferramentas: Hardware DIBS-USA
    • Kit contendo: Laptop, discos high speed, baterias extras, adaptadores, conectores, cabos, impressora, mquina fotogrfica e softwares forenses.
    UNICAMP - Universidade Estadual de Campinas Mobile Forensis Workstation
  • 19. Ferramentas: Hardware DIBS-USA
    • Capturar, gravar e analisar transmisses wireless em um raio de 4 quilmetros
    • Usado pelas foras armadas
    UNICAMP - Universidade Estadual de Campinas Aircapture WLAN 14
  • 20. Ferramentas: Hardware DIBS-USA
    • Kit contendo: Dois discos de alta performance, adaptadores, conectores, cabos, ferramentas para hardware e bateria extra.
    UNICAMP - Universidade Estadual de Campinas RAID - Rapid Action Imaging Device
  • 21. Live analysis X Post-mortem analysis
    • Live analysis Possibilidade de encontrar dados contaminados;
    • Post-mortem Maior credibilidade dos dados.
    • Puxar o fio ou no?
      • Se puxar, preserva os dados no-volteis, mas perde os dados volteis.
    • Alguns sistemas no podem ser desligados;
    UNICAMP - Universidade Estadual de Campinas
  • 22.
    • Extrao e reproduo dos dados da memria de vdeo:
    • # xwd -display localhost:0 -root > screen.xwd
    • Pode extrair a memria de vdeo remotamente (necessita estar como root)
    UNICAMP - Univers

Recommended

View more >