minicurso forense 2012 1
TRANSCRIPT
-
Minicurso Forense Digital
UniInfo-2012
-
Roteiro
Apresentao
Histrico
O que Forense Computacional?
Principais desafios da Forense Computacional
Crime Ciberntico
Etapas de uma Investigao
Passos de uma Investigao
Anlise Viva e Post Mortem
Distribuies Linux para Forense
Ferramentas Livres e Toolkits para Forense
Paulo A. Neukamp 03/06/2012
-
Mais de 15 anos de atuao na rea do TI;
Formando da 1 turma do curso de Segurana da Informao + MBA em Administrao da Tecnologia da Informao;
Criador e mantenedor da Distro FDTK Forense Digital ToolKit;
Um dos autores do Minicurso Forense Computacional: fundamentos, tecnologias e desafios atuais SBSeg 2007;
Palestrante no 1 Seminrio de Segurana da Informao SENAI CTAI;
Um dos autores do Artigo Ensino da Forense Digital Baseado em Ferramentas Open Source ICCYBER 2011;
Professor do Curso de Segurana da Informao a 4 anos;
Administrador de infraestrutura;
Apresentao
Paulo A. Neukamp 03/06/2012
-
Sculo 19 Francis Galton elabora um estudo complexo sobre as impresses
digitais (5%); (Papiloscopia)
Sculo 20 Leone Lattes descobre que os tipos sanguneos podem ser
divididos em grupos de acordo com caratersticas prprias; (Gentica)
http://www.portalsaofrancisco.com.br/alfa/corpo-humano-sistema-cardiovascular/tipos-de-sangue.php
Calvin Goddard desenvolve um estudo sobre a comparao entre projteis de armas de fogo. (Balstica)
Histrico
Paulo A. Neukamp 03/06/2012
-
Albert Osborn - desenvolve uma pesquisa sobre as caractersticas e metodologias para anlise de documentos;
Hans Gross - desenvolve o mtodo cientfico para a realizao de investigaes criminalsticas.
1932 No FBI, foi organizado um laboratrio para prover
servios de anlise forense a todos os agentes de campo e outras autoridades legais Americanas.
Histrico
Paulo A. Neukamp 03/06/2012
Frank Abagnale JR
Catch Me If You Can (2002)
-
O que Forense Computacional?
Paulo A. Neukamp 03/06/2012
Aplicao da cincia fsica lei na busca pela verdade em assuntos civis, criminais e de comportamento social, com o fim de que nenhuma injustia seja feita nenhum membro da sociedade.
Handbook of Forensic Pathology College of American Pathologists
Forense Computacional compreende a aquisio, preservao, identificao, extrao, restaurao, anlise e documentao de evidncias computacionais, quer sejam componentes fsicos ou dados que foram processados eletronicamente e armazenados em mdias computacionais.
Warren G. Kruse II & Jay G. Heiser
-
Ainda mais uma arte do que cincia;
Ainda est em seus estados iniciais de desenvolvimento;
H pouco conhecimento terico sobre o qual as hipteses empricas so baseadas;
H falta de treinamento apropriado;
No h padronizao de ferramentas.
Desafios da Forense Computacional
Paulo A. Neukamp 03/06/2012
-
A forense computacional o equivalente ao levantamento na cena de um crime ou a autpsia da vtima . - James Borek
Busca identificar dados em um computador;
Recuperar arquivos deletados, encriptados ou corrompidos em um sistema;
Fundamentar demisses de funcionrios que desrespeitam normas organizacionais;
Auxiliar na quebra de contratos que no so respeitados;
Provar fatos;
Fazer cumprir as leis de privacidade.
Por que Forense Computacional?
Paulo A. Neukamp 03/06/2012
-
Um crime ciberntico definido como qualquer ato ilegal envolvendo um computador, seu sistema ou suas Aplicaes.
Para ser tipificado como crime, o ato deve ser intencional, e no acidental.
Trs aspectos:
Ferramentas do crime;
Alvo do crime;
Tangente do crime;
Duas categorias:
Ataque interno
Ataque externo
Crime Ciberntico
Paulo A. Neukamp 03/06/2012
-
Exemplos: Roubo de propriedade intelectual;
Avaria na rede das empresas;
Fraude financeira;
Invaso de hackers;
Distribuio e execuo de vrus ou worm.
Motivaes: Testes ou tentativas de aprender na prtica, por script kiddies;
Necessidade psicolgica;
Vingana ou outras razes maliciosas;
Espionagem Corporativa ou Governamental;
Exemplos e Motivaes
Paulo A. Neukamp 03/06/2012
-
O principal objetivo do investigador forense computacional determinar a natureza e os eventos relacionados a um crime ou ato malicioso e localizar quem o perpetrou, seguindo um procedimento de investigao estruturado.
4W1H What Qual;
Who Quem;
When Quando;
Where Onde
How Como
Funo do Investigador
Paulo A. Neukamp 03/06/2012
-
A conduta profissional determina a credibilidade de uma investigao forense;
O profissional deve demonstrar o mais alto nvel de integridade tica e moral;
Confidencialidade uma caracterstica essencial que todo investigador deve possuir;
Discutir detalhes dos casos investigados apenas com as pessoas que possuem permisso para tomar conhecimento do processo;
Conduta do Investigador
Paulo A. Neukamp 03/06/2012
-
Uma investigao Forense Computacional, pode assumir diversas caractersticas, dependendo do contexto onde a investigao realizada.
Investigao Forense Computacional
Paulo A. Neukamp 03/06/2012
-
Avaliao inicial do caso;
Preparar um projeto detalhado;
Determinao dos recursos necessrios;
Identificao dos riscos envolvidos;
Coletar as evidncias;
Investigao das informaes recuperadas;
Preenchimento do relatrio do caso;
Concluso do caso.
O trabalho de processar as evidncias composto de quatro parte bsicas, que consistem na Coleta, Anlise, Exame e Documentao das mesmas.
Paulo A. Neukamp 03/06/2012
Passos de uma Investigao
-
Paulo A. Neukamp 03/06/2012
-
Situao do caso;
Natureza do caso;
Questes especficas;
Tipo de evidncias;
Sistema operacional envolvido;
Formato do disco;
Localizao das evidncias;
Motivaes do caso.
Paulo A. Neukamp 03/06/2012
Avaliao inicial do caso
-
Disponibilidade de profissionais habilitados e com expertise para o caso;
Ter certeza de que o perito tenha capacidade, se necessrio, de testemunhar em um tribunal;
O perito capaz de explicar a metodologia utilizada ao logo da investigao de forma simples e sem fazer uso de terminologias;
O perito capaz de explicar questes do jri utilizando analogias, como por exemplo, a de arquivos em espaos ocultos (ex. biblioteca);
Paulo A. Neukamp 03/06/2012
Recursos necessrios
-
Disponibilidade dos recursos fsicos e lgicos necessrios; Mdias esterilizadas (processo documentado);
Etiquetas para provas;
Cmera fotogrfica;
Formulrio de cadeia de custdia;
Envelopes para provas;
Definir atribuies de cada membro da equipe;
Definir qual perito far o deslocamento se necessrio at o local do incidente;
Paulo A. Neukamp 03/06/2012
Recursos necessrios (continuao)
-
Isolar a rea;
Fotografar todo o ambiente e os equipamentos detalhadamente (conexes, anotaes, telas de equipamentos);
Se possvel filmar o ambiente;
Fazer anotaes detalhadas do que est sendo visualizado; Detalhes como fotografias e objetos pessoais podem auxiliar em
descobertas de senhas;
De acordo com os quesitos, definir a necessidade de mudar o status dos equipamentos a ser investigados (Coleta Live ou puxar o cabo de fora Post-Mortem);
Local do incidente ou Crime
Paulo A. Neukamp 03/06/2012
-
Dados Volteis So informaes que ficam armazenados na memria principal do
computador. Isso quer dizer que elas possuem um ciclo de vida curto. Esse tipo de anlise chamada de Anlise Viva.
Dados no-volteis Dados no volteis, so dados que podem permanecer na mquina
durante longos perodos de tempo e podem ser recuperados mesmo aps a mesma ser desligada. As anlises baseadas em dados armazenados em mdia de backup, pendrives, CDs, ou memria auxiliar como um HD, so chamadas de Anlise Post-Mortem.
Anlise Viva e Post Mortem
Paulo A. Neukamp 03/06/2012
-
Documentar todas as etapas do processo;
Fotografar conexes do equipamento;
Utilizar Pendrive com Kit de Ferramentas pr-compiladas;
Coletar dados volteis:
Paulo A. Neukamp 03/06/2012
Data/Hora do sistema;
Identificao do equipamento;
Sistema operacional;
Estado da memoria;
Tempo de utilizao do equipamento;
Tempo de funcionamento;
Usurio(s) logado(s);
Configurao IP;
Estado das conexes;
Tabela de roteamento;
Utilizao do(s) disco(s);
Processos em execuo,
Lista de todos os arquivos do equipamento;
Hash de todos os arquivos;
Coleta Live
-
Paulo A. Neukamp 03/06/2012
Coleta Live - Linux
-
Paulo A. Neukamp 03/06/2012
Coleta Live - Windows
-
Paulo A. Neukamp 03/06/2012
Coleta Live - Windows
-
Paulo A. Neukamp 03/06/2012
Coleta Live - Windows
-
Documentar todas as etapas do processo (data hora inicial e final);
Fotografar TUDO;
Abrir equipamento;
Fotografar conexes internas e externas do equipamento;
Desconectar o(s) disco(s) para cpia (modo somente leitura ou utilizar bloqueador de escrita);
Anotar os dados do(s) disco(s) no Formulrio de Custdia;
Etiquetar o(s) Disco(s);
Conectar o(s) Disco(s) a estao forense para realizar 2 cpias bit-a-bit;
Embalar, lacrar e etiquetar o(s) disco(s);
Fotografar o(s) discos(s) etiquetados;
Coleta Post-Mortem
Paulo A. Neukamp 03/06/2012
-
Paulo A. Neukamp 03/06/2012
Coleta Post-Mortem
-
FDTK Forense Digital ToolKit
Helix
CAINE - Computer Aided INvestigative Environment
DEFT - Digital Evidence Forense Toolkit
REMnux
Backtrack
Distribuies linux para Forense
Paulo A. Neukamp 03/06/2012
-
Toolkits Autopsy;
Framework Volatility;
Sleuth Kit;
PTK;
DFF;
Ferramentas foremost;
dcfldd;
john the ripper;
shred;
pasco;
etc, etc, etc...
Ferramentas Livres e Toolkits para Forense
Paulo A. Neukamp 03/06/2012
-
Paulo A. Neukamp 03/06/2012
-
Paulo A. Neukamp 03/06/2012
-
FDTK
-
CONTATOS
www.fdtk.com.br
professor.unisinos.br/pneukamp