Minicurso Forense Digital (Sbseg 07)

Download Minicurso Forense Digital (Sbseg 07)

Post on 18-Nov-2014

5.331 views

Category:

Education

1 download

DESCRIPTION

 

TRANSCRIPT

1. Forense Computacional: fundamentos, tecnologias e desafios atuais Evandro Della Vecchia Pereira, Leonardo Lemes Fagundes, Paulo Neukamp, Glauco Ludwig, Marlom Konrath Universidade do Vale do Rio dos Sinos (UNISINOS) evandrodvp@unisinos.br SBSeg 2007 2. Autores Mestre em Cincia da Computao pela UFRGS, Bacharel em Cincia da Computao pela PUCRS. Atualmente perito criminal do Estado do Rio Grande do Sul (SSP/IGP Instituto Geral de Percias) e professor da Graduao Tecnolgica em Segurana da UNISINOS. Contato: evandrodvp@unisinos.br Mestre em Computao Aplicada e Bacharel em Informtica - Hab. Anlise de Sistemas pela Universidade do Vale do Rio dos Sinos UNISINOS. Atualmente coordenador executivo e professor da Graduao Tecnolgica em Segurana da UNISINOS. Contato: llemes@unisinos.br Tecnlogo em Segurana da informao Graduado na Universidade do Vale do Rio dos Sinos UNISINOS. Criador e mantenedor da distribuio FDTK- UbuntuBr (Forense Digital ToolKit), Analista de suporte em uma multinacional qumica em Novo Hamburgo - RS. Contato: pneukamp@gmail.com Mestre em Computao Aplicada e Especialista em Redes de Computadores pela Universidade do Vale do Rio dos Sinos UNISINOS. Atualmente professor da Graduao Tecnolgica em Segurana, Desenvolvimento de Jogos e Engenharia da Computao desta instituio. Contato: glaucol@unisinos.br Mestre em Computao Aplicada e Bacharel em Informtica (Anlise de Sistemas) pela Universidade do Vale do Rio dos Sinos UNISINOS. Atualmente trabalha em uma empresa de desenvolvimento de software em So Paulo. Possui interesse nas reas: Peer-to-Peer, Redes e Segurana. Contato: marlomk@unisinos.br 2 3. Roteiro Introduo Cdigos maliciosos (malware) Forense computacional Tcnicas forenses Exame dos dados Ferramentas forenses Estudos de caso Desafios atuais em forense computacional Consideraes finais 3 4. Introduo Cyber crime: so utilizados dispositivos eletrnicos, computadores e Internet Mais difcil de ser investigado devido possibilidade de anonimato As evidncias podem estar distribudas em diversos servidores Segundo estatsticas, em 2006, aproximadamente U$200.000.000,00 foram perdidos em fraudes eletrnicas Ex.: Nigerian Letter Fraud Cerca de 76% dos casos reportados tiveram o e-mail como meio de comunicao com a vtima 4 5. Introduo Ocorrncias mais comuns: Calnia, difamao e injria via e-mail Roubo de informaes confidenciais Remoo de arquivos Outros crimes: Pedofilia Fraudes Trfico de drogas via Internet 5 6. Introduo Investigaes comeam a depender de conhecimento tcnico para desvendar crimes cibernticos forense computacional Forense Computacional pode ser definida como a inspeo cientfica e sistemtica em ambientes computacionais, com a finalidade de angariar evidncias derivadas de fontes digitais para que seja possvel promover a reconstituio dos eventos encontrados (podendo assim, determinar se o ambiente em anlise foi utilizado na realizao de atividades ilegais ou no autorizadas) 6 7. Cdigos maliciosos (Malware) Conjunto de instrues executadas em um computador e que fazem o sistema realizar algo que um atacante deseja Cada malware classificado em uma ou mais categorias, de acordo com aes que este realiza Geralmente conhecidos como vrus ou trojans (cavalos de tria), mas existem outras categorias: Backdoors Spywares Worms Keyloggers Rootkits Bots 7 8. Cdigos maliciosos - Vrus Possuem a capacidade de se auto-replicarem Um vrus considerado uma funo computvel que infecta qualquer programa. Um programa infectado pode realizar trs aes, disparadas conforme as entradas: Ser executado para propagar a infeco Danificar o sistema Se faz passar por algum programa Uma das caractersticas de um vrus: necessidade de anexar-se a um arquivo hospedeiro Arquivo executvel Setor de inicializao Documento que suporte macros 8 9. Cdigos maliciosos - Vrus Propagao de vrus: Mdias removveis E-mails Downloads Diretrios compartilhados Os vrus possuem diferentes classificaes, de acordo com autores de publicaes Vrus acompanhantes: no infectam arquivos executveis, mas utilizam o mesmo nome, com extenso diferente (aquela que tem prioridade) Ex.: Se o usurio clicar em Iniciar Executar, e digitar notepad, ser executado um arquivo com nome notepad e com qual extenso? 9 10. Cdigos maliciosos - Vrus 10 11. Cdigos maliciosos - Vrus Nos vrus que infectam um arquivo executvel, modificando seu cdigo, a infeco pode ser feita: No incio do arquivo. Ex.: Nimda No fim do arquivo (mais utilizado). Ex.: Natas Alguns vrus podem se instalar nos primeiros setores lidos durante a inicializao de um S.O. (vrus de boot) Ex.: Michelangelo Vrus de macro so executados em softwares que tm a capacidade de interpretar cdigo presente dentro dos arquivos de dados Microsoft Word, ex.: Melissa 11 12. Cdigos maliciosos - Vrus Vrus simples: no fazem nada muito significativo alm de replicar- se, podendo consumir toda memria. Ex.: Jerusalem. Vrus com auto-reconhecimento: detectam um sistema j infectado atravs de alguma assinatura, no gerando duplicidade de infeco. Ex.: Lehigh. Vrus invisveis: interceptam chamadas de sistemas para tentar esconder a sua presena. Ex.: Tequila, Frodo. Vrus com arsenal: empregam tcnicas para dificultar a anlise de seu cdigo e podem atacar antivrus presentes no sistema. Ex.: Whale, Samara.1536. Vrus polimrficos: infectam novos alvos com verses modificadas ou criptografadas de si mesmo. Ex.: V2P6, Nuah. 12 13. Cdigos maliciosos - Backdoor Software que permite uma entrada pela porta dos fundos Habilita um atacante a furar os controles normais de segurana de um sistema, ganhando acesso ao mesmo atravs de um caminho alternativo Normalmente opera sobre Telnet, rlogin ou SSH Tipicamente fornece uma das seguintes funcionalidades ao atacante: Aumento dos privilgios locais Acesso remoto e execuo de comandos Controle remoto da interface grfica 13 14. Cdigos maliciosos - Backdoor Netcat (canivete suio): pode ser utilizado como um backdoor Pode executar praticamente qualquer comando em uma mquina e desvia a entrada/sada padro para uma conexo de rede Pode-se programar para escutar em uma porta UDP ou TCP (mquina alvo) Exemplo: -l = listening, -p = porta, -e = comando, -vv = modo detalhado de visualizao 14 15. Cdigos maliciosos - Backdoor Virtual Network Computing (VNC): utilizado comumente para administrao remota 15 16. Cdigos maliciosos Cavalo de Tria Comumente chamado de trojan (trojan horse) um programa que se mascara ou aparenta possuir um propsito benigno, mas que arbitrariamente realiza aes maliciosas Normalmente no capaz de replicar-se automaticamente As aes de um cavalo de tria podem variar, mas geralmente instalam backdoors Para no ser descoberto, comum que cavalos de tria tentem disfarar-se de programas legtimos 16 17. Cdigos maliciosos Cavalo de Tria 17 18. Cdigos maliciosos Cavalo de Tria Outra prtica comum um programa cavalo de tria ser combinado com um programa executvel normal em um nico executvel Programas que juntam dois ou mais executveis so chamados de wrappers, ex.: File Joiner 18 19. Cdigos maliciosos Spyware Software que auxilia a coleta de informaes sobre uma pessoa ou organizao sem o seu conhecimento Pode enviar informaes a algum sem o consentimento do proprietrio Pode tomar o controle do computador sem que o usurio saiba Pesquisa conduzida pela Dell (set/2004) Aproximadamente 90% dos PCs com Windows possuam no mnimo um spyware Este tipo de software foi responsvel por metade das falhas em ambientes Windows reportados por usurios da Microsoft 19 20. Cdigos maliciosos Spyware Advertising displays: cdigos que mostram anncios de vrios tipos no PC do usurio; Automatic download software: instalam outros softwares sem o conhecimento e consentimento do usurio; Autonomous spyware: programas que so executados fora de um navegador Web, normalmente sendo executados na inicializao e permanecendo indetectveis pelo usurio; Tracking software: programas que monitoram os hbitos de um usurio ou os dados fornecidos por ele em pginas web e enviam estas informaes pela Internet para algum servidor remoto; 20 21. Cdigos maliciosos Spyware 21 22. Cdigos maliciosos Spyware Anti-spywares mais conhecidos: Spybot Search and Destroy Ad-Aware Pest Patrol Microsoft Windows Defender Recentemente os softwares de antivrus comearam tambm a detectar e remover este tipo de cdigo malicioso 22 23. Cdigos maliciosos Worm Caracterizados como programas que se auto-propagam por meio de uma rede de computadores explorando vulnerabilidades em servios usados em larga escala No necessita de interveno humana para se disseminar Considerados uma das maiores ameaas virtuais No Brasil chega a atingir 65% dos incidentes de segurana (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil (CERT.br) - perodo de Janeiro a Maro de 2007) Um worm pode ter as mais diversas finalidades: espalhar-se consumindo largura de banda causar ataques de negao de servio apagar arquivos enviar arquivos por e-mail instalar outros malwares como keyloggers, rootkits e backdoors 23 24. Cdigos maliciosos Worm Exemplo: Code red 1. O worm tenta conectar-se na porta TCP 80 de mquinas selecionadas aleatoriamente. No caso de obter conexo, o atacante envia uma requisio HTTP GET para o alvo. A presena da seguinte string em um log de um servidor web pode indicar o comprometimento do servidor por parte do Code Red: /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u 6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090 %u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00 =a 24 25. Cdigos maliciosos Worm 2. Uma vez executado, o worm faz uma busca pelo arquivo c:notworm. Caso esse arquivo seja encontrado, a execuo do Code Red cancelada. Caso contrrio, o worm gera 100 threads; 3. Se a data do sistema invadido for anterior ao dia 20 do ms, 99 threads so usadas para a tentativa de invadir mais sistemas; 4. A centsima thread responsvel por modificar a pgina principal do servidor Web (caso a linguagem padro do sistema seja o ingls), a qual passar a exibir a mensagem: HELLO! Welcome to http://www.worm.com! Hacked by Chinese!. Essas alteraes so realizadas sem modificar o arquivo da pgina no disco fsico, mas sim, na memria; 5. Caso a data do sistema for entre os dias 20 e 28, o worm tenta ento disparar um ataque de negao de servio ao domnio www.whitehouse.com; 6. Caso a data seja superior ao dia 28, a execuo do worm cancelada. 25 26. Cdigos maliciosos Keyloggers Tipo de spyware cuja finalidade capturar tudo o que for digitado em um determinado computador As intenes no uso de um keylogger podem ser as mais diversas: monitorar as atividades dos funcionrios de uma determinada empresa capturar conversas em programas de mensagens instantneas capturar informaes e senhas bancrias As informaes obtidas podem ento ser enviadas pela Internet para: o gerente da empresa (com ou sem consentimento do funcionrio) um atacante (sem o consentimento do usurio) 26 27. Cdigos maliciosos Keyloggers Hardware keylogger: trata-se de um dispositivo fsico posicionado entre o teclado e o computador da vtima 27 28. Cdigos maliciosos Keyloggers Sofware keylogger usando um mecanismo de hooking: um hook trata-se de uma rotina que tem como objetivo ficar no meio do caminho do tratamento normal da execuo de informaes do S.O. Kernel keylogger: trabalha no nvel do kernel e usa suas prprias rotinas para receber os dados diretamente dos dispositivos de entrada (no caso, o teclado). mtodo mais difcil de ser desenvolvido, por exigir um elevado conhecimento de programao Mais difcil de ser detectado (substitui as rotinas padro do S.O. e inicializado como parte do prprio sistema) No so capazes de capturar informaes que so trocadas diretamente no nvel de aplicaes (ex: operaes de copiar e colar e operaes de autocompletar) Exs.: THC vlogger, ttyrpld 28 29. Cdigos maliciosos Keyloggers Um dos mais conhecidos: BPK (Blazing Perfect Keylogger) Baseado em hooking Processo de instalao simples Interface amigvel Preo acessvel: U$ 34,95 Verso de avaliao disponvel Pode ser executado em modo background e ficar invisvel ao gerenciador de tarefas do Windows! Nos ltimos anos foi desenvolvido tambm o conceito de screenlogger Obtm uma cpia (screenshot) da tela do computador da vtima assim que um clicar do mouse for efetuado. Alguns keyloggers possibilitam a captura de tela a cada perodo de tempo, formando um filme (videologger) 29 30. Cdigos maliciosos Keyloggers 30 31. Cdigos maliciosos Keyloggers 31 32. Cdigos maliciosos Rootkits Conjunto de programas usado por um atacante para que o mesmo consiga ocultar sua presena em um determinado sistema e, ainda, para permitir acesso futuro a esse sistema Rootkits tradicionais: caracterizados por verses modificadas de comandos do sistema, como ls, ps, ifconfig e netstat. Esses comandos passaram a ser programados para ocultarem do administrador do sistema os processos, os arquivos e as conexes utilizadas pelo atacante. Ex.: ifconfig substitudo por uma verso maliciosa que oculta o fato de uma determinada interface de rede estar sendo executada em modo promscuo 32 33. Cdigos maliciosos Rootkits Rootkits baseados em LKM (Loadable Kernel Modules): funcionam alterando as chamadas do sistema. Normalmente altera as chamadas do sistema que permitem listar os mdulos de kernel instalados. O processo de deteco desses malwares muito mais difcil, pois os comandos do sistema continuam inalterados e o prprio kernel responder s requisies. 33 34. Cdigos maliciosos Bots H trs atributos que caracterizam um bot (nome derivado de Robot): Existncia de um controle remoto Implementao de vrios comando Mecanismo de espalhamento, que permite ao bot espalhar-se ainda mais. Tipicamente um bot conecta-se a uma rede IRC (Internet Relay Chat) e fica esperando por comandos em um canal especfico Ao identificar seu mestre, o bot ir realizar o que lhe for ordenado atravs de comandos. Ataques de negao de servio Spam ... 34 35. Forense Computacional - Introduo Objetivo: a partir de mtodos cientficos e sistemticos, reconstruir as aes executadas nos diversos ativos de tecnologia utilizados em cyber crimes. A forense aplicada tecnologia muito recente, porm a cincia forense como um todo existe h muito tempo. Historiador romano Virtrvio relata que Arquimedes foi chamado pelo rei Hieron para atestar que a coroa encomendada junto a um arteso local no era composta pela quantidade de ouro combinada previamente entre as partes (teoria do peso especfico dos corpos). No sculo VII j eram utilizadas impresses digitais para determinar as identidades dos devedores. As impresses digitais dos cidados eram anexadas s contas que ficavam em poder dos credores. 35 36. Forense Computacional - Introduo Sculo XX: evoluo da cincia forense Pesquisas que conduziram identificao do tipo sanguneo e a anlise e interpretao do DNA; Publicao dos principais estudos referentes aplicao de mtodos e tcnicas utilizadas na investigao de crimes; Criado o The Federal Bureau of Investigation (FBI) uma referncia no que tange investigao de crimes e a utilizao de tcnicas forenses em diversas reas. 36 37. Forense Computacional - Introduo Atualmente, existem peritos especializados em diversas reas: Anlise de documentos (documentoscopia); Balstica; Criminalstica; Gentica; Odontologia; Qumica; Computao (Forense Computacional? Forense Digital?) 37 38. Forense Computacional Processo de investigao Relembrando...a forense computacional empregada: para fins legais (ex.: investigar casos de espionagem industrial); em aes disciplinares internas (ex.: uso indevido de recursos da instituio); O intuito obter evidncias relacionadas realizao dos eventos. Evidncias: peas utilizadas por advogados nos tribunais e cortes do mundo inteiro. Para serem consideradas provas vlidas, muito importante que o perito realize o processo de investigao de maneira cuidadosa e sistemtica. Preservao das evidncias Documentao detalhada 38 39. Forense Computacional Processo de investigao Fases de um processo de investigao: 39 40. Forense Computacional Coleta dos dados Identificao de possveis fontes de dados: Computadores pessoais, laptops; Dispositivos de armazenamento em rede; CDs, DVDs; Portas de comunicao: USB, Firewire, Flash card e PCMCIA; Mquina fotogrfica, relgio com comunicao via USB, etc. 40 41. Forense Computacional Coleta dos dados Os dados tambm podem estar armazenados em locais fora de domnios fsicos da cena investigada. Provedores de Internet Servidores FTP (File Transfer Protocol) Servidores coorporativos Nesses casos, a coleta dos dados somente ser possvel mediante ordem judicial. 41 42. Forense Computacional Coleta dos dados Aps a identificao das possveis origens dos dados, o perito necessita adquiri-los. Para a aquisio dos dados, utilizado um processo composto por trs etapas: identificao de prioridade; cpia dos dados; garantia e preservao de integridade. 42 43. Forense Computacional Coleta dos dados Identificar a prioridade da coleta: o perito deve estabelecer a ordem (prioridade) na qual os dados devem ser coletados Volatilidade: dados volteis devem ser imediatamente coletados pelo perito. Ex.: o estado das conexes de rede e o contedo da memria Esforo: envolve no somente o tempo gasto pelo perito, mas tambm o custo dos equipamentos e servios de terceiros, caso sejam necessrios. Ex.: dados de um roteador da rede local x dados de um provedor de Internet Valor estimado: o perito deve estimar um valor relativo para cada provvel fonte de dados, para definir a seqncia na qual as fontes de dados sero investigadas 43 44. Forense Computacional Coleta dos dados Exemplo: investigao de invaso de rede, ordem da coleta de dados: dados volteis: conexes da rede, estado das portas TCP e UDP e quais programas esto em execuo; dados no-volteis: a principal fonte de dados no-volteis o sistema de arquivos que armazena arquivos: temporrios; de configurao; de swap; de dados; de hibernao; de log. 44 45. Forense Computacional Coleta dos dados Copiar dados: envolve a utilizao de ferramentas adequadas para a duplicao dos dados Ex.: utilitrio dd (Linux) - pode ser usado para coletar os dados volteis como os contidos na memria e para realizar a duplicao das fontes de dados no-volteis. Garantir e preservar a integridade dos dados: aps a coleta dos dados, o perito deve garantir e preservar a integridade dos mesmos Se no for garantida a integridade, as evidncias podero ser invalidadas como provas perante a justia A garantia da integridade das evidncias consiste na utilizao de ferramentas que aplicam algum tipo de algoritmo hash Assim como os demais objetos apreendidos na cena do crime, os materiais de informtica apreendidos devero ser relacionados em um relatrio (cadeia de custdia) 45 46. Forense Computacional Coleta dos dados 46 47. Forense Computacional Exame dos dados Finalidade: avaliar e extrair somente as informaes relevantes investigao tarefa trabalhosa! Capacidade de armazenamento dos dispositivos atuais Quantidade de diferentes formatos de arquivos existentes (imagens, udio, arquivos criptografados e compactados) Em meio aos dados recuperados podem estar informaes irrelevantes e que devem ser filtradas Ex.: o arquivo de log do sistema de um servidor pode conter milhares de entradas, sendo que somente algumas delas podem interessar investigao Muitos formatos de arquivos possibilitam o uso de esteganografia para ocultar dados, o que exige que o perito esteja atento e apto a identificar e recuperar esses dados 47 48. Forense Computacional Exame dos dados A correta aplicao das diversas ferramentas e tcnicas disponveis pode reduzir muito a quantidade de dados que necessitam de um exame minucioso Utilizao de filtros de palavras-chave (com ou sem expresses regulares) Utilizao de filtros de arquivos, por: Tipo Extenso Nome Permisso de acesso Caminho Etc. 48 49. Forense Computacional Exame dos dados 49 50. Forense Computacional Exame dos dados 50 51. Forense Computacional Exame dos dados 51 52. Forense Computacional Exame dos dados Outra prtica vantajosa utilizar ferramentas e fontes de dados que possam determinar padres para cada tipo de arquivo teis para identificar e filtrar arquivos que tenham sido manipulados por ferramentas de esteganografia, arquivos de sistema, imagens de pedofilia, etc. Projeto National Software Reference Library (NSRL): contm uma coleo de assinaturas digitais referentes a milhares de arquivos 52 53. Forense Computacional Anlise das informaes Aps a extrao dos dados considerados relevantes, o perito deve concentrar suas habilidades e conhecimentos na etapa de anlise e interpretao das informaes. Finalidade: identificar pessoas, locais e eventos; determinar como esses elementos esto inter-relacionados Normalmente necessrio correlacionar informaes de vrias fontes de dados Ex. de correlao: um indivduo tenta realizar um acesso no autorizado a um determinado servidor possvel identificar por meio da anlise dos eventos registrados nos arquivos de log o endereo IP de onde foi originada a requisio de acesso Registros gerados por firewalls, sistemas de deteco de intruso e demais mecanismos de proteo 53 54. Forense Computacional Anlise das informaes Alm de consumir muito tempo, a anlise de informaes est muito suscetvel a equvocos, pois depende muito da experincia e do conhecimento dos peritos. Poucas ferramentas realizam anlise de informaes com preciso. 54 55. Forense Computacional Resultados A interpretao dos resultados obtidos a etapa conclusiva da investigao. O perito elabora um laudo pericial que deve ser escrito de forma clara e concisa, elencando todas as evidncias localizadas e analisadas. O laudo pericial deve apresentar uma concluso imparcial e final a respeito da investigao. 55 56. Forense Computacional Resultados Para que o laudo pericial torne-se um documento de fcil interpretao indicado que o mesmo seja organizado em sees: Finalidade da investigao Autor do laudo Resumo do incidente Relao de evidncias analisadas e seus detalhes Concluso Anexos Glossrio (ou rodaps) 56 57. Forense Computacional Resultados Tambm devem constar no laudo pericial: Metodologia Tcnicas Softwares e equipamentos empregados Com um laudo bem escrito torna-se mais fcil a reproduo das fases da investigao, caso necessrio. 57 58. Forense Computacional Live forensics Qual o melhor procedimento, desligar os equipamentos ou mant- los operando a fim de executar os procedimentos de uma investigao? Ex.: IDS gera alerta que o servidor Web da empresa est sendo atacado, o que fazer no servidor? Deslig-lo (o que pode representar a perda de dinheiro para a instituio, mas garante o tempo e as condies necessrias para que os peritos realizem as suas atividades)? Mant-lo ligado (coletar dados volteis, correndo o risco de contaminao das evidncias)? 58 59. Forense Computacional Live forensics Pode ser considerada uma fotografia da cena do crime. Tem como objetivo obter o mximo de informaes relacionadas ao contexto: estado das conexes contedo da memria dados referentes aos processos em execuo Quando realizada de forma correta, complementa e contribui para que o resultado da investigao seja conclusivo e preciso. 59 60. Forense Computacional Live forensics Em cenrios em que os dispositivos no foram desligados importante que as ferramentas utilizadas para executar os procedimentos forenses no tenham sido comprometidas para evitar: Gerao de dados falsos: caso um rootkit esteja instalado; Omisso de informaes, ex.: ocultar processos em execuo no sistema operacional ou no mostrar determinadas entradas do arquivo de log do servidor. Rootkits podem: Modificar as ferramentas (comandos) do sistema operacional e assim permanecerem com acesso ao host e no serem identificados; Inserir filtros em determinadas partes do S.O. que impedem a visualizao de algumas informaes; 60 61. Forense Computacional Live forensics 61 62. Forense Computacional Live forensics A fim de evitar os riscos mencionados, sugere-se que o perito utilize um live CD com um conjunto de ferramentas apropriadas e que sejam confiveis, pois isso servir como contramedida para rootkits que atuam no nvel da aplicao e de bibliotecas Atualmente, existem algumas distribuies Linux voltadas a Forense Computacional FDTK (Forense Digital ToolKit): baseado na anlise de 10 distribuies voltadas a Forense Computacional, conta com quase 100 ferramentas, organizadas de acordo com as fases de um processo de investigao. http://fdtk-ubuntubr.110mb.com/ 62 63. Forense Computacional Live forensics Contornar os problemas com rootkits que atuam no nvel do kernel mais complicado porque no h como acessar a memria ou o hardware sem passar pelo kernel Principal recomendao utilizar os detectores de rootkits, mas esse tipo de ferramenta pode interferir no sistema de alguma forma 63 64. Forense Computacional Live forensics importante relembrar que o perito deve: manter uma lista contendo hash de todas as evidncias coletadas, para garantir a integridade; ter em mente que alguns dados so mais efmeros do que outros e, portanto, a ordem de volatilidade deve ser considerada no momento da coleta dos dados. Em suma, alm dos tipos de dados que podem ser coletados, a diferena mais significativa entre live e post-mortem analysis o grau de confiana existente nos resultados obtidos. Ferramentas e comandos instalados no sistema investigado podem ter sido modificados para produzir dados falsos e tambm porque qualquer erro do perito pode contaminar ou alterar os dados existentes. 64 65. Tcnicas Forenses Relembrando...Boas prticas que antecedem a coleta dos dados: Esterilizar todas as mdias que sero utilizadas ou usar mdias novas a cada investigao Certificar-se de que todas as ferramentas (softwares) que sero utilizadas esto devidamente licenciadas e prontas para utilizao Verificar se todos os equipamentos e materiais necessrios (por exemplo, a estao forense, as mdias para coleta dos dados, etc.) esto a disposio Quando chegar ao local da investigao, o perito deve providenciar para que nada seja tocado sem o seu consentimento, com o objetivo de proteger e coletar todos os tipos de evidncias Os investigadores devem filmar ou fotografar o ambiente e registrar detalhes sobre os equipamentos como: marca, modelo, nmeros de srie, componentes internos, perifricos, etc. Manter a cadeia de custdia. 65 66. Tcnicas Forenses Coleta de dados volteis A primeira ao a ser tomada manter o estado do equipamento (ligado dados volteis ou desligado dados no-volteis) Conexes de rede: os sistemas operacionais oferecem recursos que permitem visualizar informaes sobre as conexes de rede atuais. (endereos IP de origem e destino, estado das conexes e o programa associado a cada uma das portas, etc.) 66 67. Tcnicas Forenses Coleta de dados volteis Sesses de Login: dados como a lista dos usurios atualmente conectados, o horrio em que a conexo foi realizada e o endereo de rede de onde partiu essas conexes podem ajudar na identificao: dos usurios; das aes realizadas; do horrio em que essas atividades foram executadas auxiliam na correlao! Contedo da memria: o espao de troca e a memria principal normalmente contm os dados acessados recentemente: senhas e os ltimos comandos executados; resduos de dados nos espaos livres ou que no esto em utilizao. 67 68. Tcnicas Forenses Coleta de dados volteis Processos em execuo: lista o estado de cada um dos processos do sistema. Arquivos abertos: comandos como o lsof (Linux) geram uma lista contendo o nome de todos os arquivos que esto abertos no momento. Configurao de rede: incluem informaes como o nome da mquina, o endereo IP e o MAC Address de cada uma das interfaces de rede. Data e hora do sistema operacional: a data e hora atual do sistema e as configuraes de fuso horrio. 68 69. Tcnicas Forenses Coleta de dados no volteis Cpia lgica (Backup): as cpias lgicas gravam o contedo dos diretrios e os arquivos de um volume lgico. No capturam outros dados: arquivos excludos; fragmentos de dados armazenados nos espaos no utilizados, mas alocados por arquivos. Imagem: imagem do disco ou imagem bit-a-bit inclui os espaos livres e os espaos no utilizados: mais espao de armazenamento, consomem muito mais tempo; permitem a recuperao de arquivos excludos e dados no alocados pelo sistema de arquivos. Exemplo: setor de 4KB, arquivo com 9KB (3 setores ocupados) Parte utilizada pelo arquivo Parte no utilizada pelo arquivo 69 70. Tcnicas Forenses Coleta de dados no volteis 70 71. Tcnicas Forenses Coleta de dados no volteis A principal fonte de dados no-volteis o sistema de arquivos que armazena diversos tipos de dados: Arquivos temporrios: durante a instalao e execuo das aplicaes so gerados arquivos temporrios, que nem sempre so excludos ao desligar os equipamentos Arquivos de configurao: fornecem uma srie de informaes, como a lista dos servios que devem ser ativados durante o processo de inicializao, a localizao de arquivos de log, a relao de grupos e usurios do sistema, etc. Arquivos de swap: fornecem dados sobre aplicaes, nome e senha de usurios, entre outros tipos de dados 71 72. Tcnicas Forenses Coleta de dados no volteis Arquivos de Dados: so aqueles arquivos gerados por softwares como editores de texto, planilhas, agendas, etc. Arquivos de Hibernao: arquivos de hibernao so criados para preservar o estado do sistema e contm dados sobre a memria do dispositivo e os arquivos em uso. Arquivos de Log: normalmente os sistemas operacionais registram diversos eventos relacionados ao sistema. 72 73. Tcnicas Forenses Coleta de dados no volteis Durante a aquisio dos dados muito importante manter a integridade dos atributos de tempo mtime (modification time), atime (access time) e ctime (creation time) MAC Times. Modificao: registro da data e hora em que ocorreu a ltima alterao no arquivo; Acesso: registro da data e hora em que ocorreu o ltimo acesso ao arquivo; Criao: registro da data e hora em que o arquivo foi criado. 73 74. Tcnicas Forenses Coleta de dados no volteis 74 75. Exame dos dados Aps a restaurao da cpia dos dados, o perito inicia o exame dos dados coletados e faz uma avaliao dos dados encontrados: arquivos que haviam sido removidos e foram recuperados; arquivos ocultos; fragmentos de arquivos encontrados nas reas no alocadas; fragmentos de arquivos encontrados em setores alocados, porm no utilizados pelo arquivo. Finalidade: localizar, filtrar e extrair somente as informaes que possam de alguma maneira contribuir para a reconstruo dos eventos que deram origem investigao. 75 76. Exame dos dados Extrao dos dados A extrao manual dos dados um processo difcil e demorado: exige do perito conhecimento aprofundado, principalmente, sobre o sistema de arquivos; existem algumas ferramentas disponveis que podem automatizar o processo de extrao dos dados, bem como na recuperao dos arquivos excludos. 76 77. Exame dos dados Localizao de arquivos O perito no deve se basear apenas na extenso de arquivos (Windows) Arquivos podem armazenar outros dados (esteganografia em udio, vdeo e imagem) Usurios espertos podem modificar a extenso utilizar ferramentas de anlise de cabealhos (assinatura de arquivo), site: http://filext.com/ No funciona para Linux comando file 77 78. Exame dos dados Localizao de arquivos 78 79. Exame dos dados Localizao de arquivos A criptografia est freqentemente presente entre os desafios enfrentados pelos peritos Criptografia de arquivos, pastas, volumes ou parties Em alguns casos no possvel decriptografar esses arquivos, pois mesmo com a ajuda de ferramentas como John the Ripper, esta tarefa pode exigir um tempo excessivo para a descoberta da senha Para identificar o uso de esteganografia, normalmente se utiliza histogramas, mas a presena de programas de esteganografia uma evidncia de que arquivos podem ter sido esteganografados. Uma vez determinada a presena de arquivos que tenham sido submetidos esteganografia, importante empregar tcnicas de esteganoanlise. 79 80. Exame dos dados Localizao de arquivos Imagem original (1) Imagem a ser escondida (2) Imagem (1) + (2) Fonte: http://www.ene.unb.br/~juliana/cursos/pimagens/projetos/alunos/alaorandre 80 81. Exame dos dados Anlise dos dados A escolha das ferramentas a serem utilizadas nesta fase depende de cada caso, exemplo: ataque ou tentativa de invaso 1. Ferramentas que auxiliem na identificao da origem do ataque (endereo IP) 2. Identificao do responsvel 3. No caso do responsvel pelo endereo do atacante ser um ISP (Internet Service Provider), ser necessria a solicitao de um mandado judicial, pedindo informaes a respeito do seu cliente que utilizava o endereo IP identificado, na data/hora do incidente Todas as etapas e concluses sobre as anlises realizadas devem ser devidamente registradas e ao final anexadas ao laudo pericial. 81 82. Exame dos dados Interpretao dos dados Alguns procedimentos que podem ser benficos organizao da documentao necessria para a confeco do laudo pericial: Reunir todas as documentaes e anotaes geradas nas etapas de coleta, exame e anlise dos dados, incluindo as concluses prvias j alcanadas; Identificar os fatos que fornecero suporte s concluses descritas no laudo pericial; Criar uma lista de todas as evidncias analisadas, para que as mesmas sejam enumeradas no laudo pericial; Listar as concluses que devem ser relatadas no laudo pericial; Organizar e classificar as informaes recolhidas para garantir a redao de um laudo conciso. 82 83. Exame dos dados Redao do laudo Algumas das sees e informaes que podem auxiliar na redao do laudo pericial: Finalidade do relatrio: explicar claramente os objetivos do laudo; Autor do relatrio: listar todos os autores e co-autores do relatrio, incluindo suas especialidades, responsabilidades e informaes para contato; Resumo do incidente: sntese do incidente investigado e suas conseqncias; Evidncias: descrio sobre o estado das evidncias: como, quando e por quem elas foram adquiridas no decorrer das investigaes (cadeia de custdia). 83 84. Exame dos dados Redao do laudo Detalhes: descrio detalhada de quais evidncias foram analisadas, quais os mtodos utilizados e quais as concluses alcanadas Concluses: os resultados da investigao devem ser somente descritos, citando as evidncias que comprovem as concluses. A concluso deve ser clara e no oferecer dupla interpretao Anexos: documentao referente investigao (diagramas da rede, formulrios descritivos dos procedimentos utilizados, formulrio de cadeia de custdia, informaes gerais sobre as tecnologias envolvidas na investigao, contedo dos dados encontrados 84 85. Ferramentas Forenses Algumas ferramentas forenses sero mostradas nas etapas: Coleta dos dados Exame dos dados Anlise dos dados 85 86. Ferramentas Forenses Coleta dos dados dd (Disk Definition) dcfldd (Department of Defense Computer Forensics Lab Disk Definition): verso aprimorada do dd, com mais funcionalidades: gerao do hash dos dados durante a cpia dos mesmos visualizao do processo de gerao da imagem diviso de uma imagem em partes Automated Image & Restore (AIR): interface grfica para os comandos dd/dcfldd gera e compara automaticamente hashes MD5 ou SHA produz um relatrio contendo todos os comandos utilizados durante a sua execuo elimina o risco da utilizao de parmetros errados por usurios menos capacitados 86 87. Ferramentas Forenses Coleta dos dados 87 88. Ferramentas Forenses Exame dos dados Utilizando assinaturas de arquivos (ex.: projeto National Software Reference Library (NSRL)), a quantidade de arquivos a ser analisada pode ser reduzida significativamente http://www.nsrl.nist.gov/Downloads.htm#isos Total de 43.103.492 arquivos, distribudos em 4 discos 88 89. Ferramentas Forenses Exame dos dados Diversas ferramentas j permitem a utilizao dos bancos de dados citados, por exemplo: Encase Autopsy pyFLAG 89 90. Ferramentas Forenses Anlise dos dados Utilitrios para construo da linha de tempo dos eventos Mactime: permite que a partir das informaes contidas nos metadados dos arquivos e diretrios, uma viso cronolgica dos acontecimentos seja mostrada Muitos arquivos importantes que fazem parte dos sistemas operacionais da famlia Windows no possuem uma clara explicao de suas estruturas Pasco: analisa os ndices dos arquivos do Internet Explorer (index.dat), exportando os resultados em um formato de texto padro, inteligvel por humanos e que utiliza como delimitador de campos o caractere | Galleta: analisa os cookies existentes em uma mquina e separa as informaes teis em campos para que possam ser manipuladas por outros programas 90 91. Ferramentas Forenses Anti-forense Objetivo: destruir, ocultar ou modificar as evidncias existentes em um sistema a fim de dificultar o trabalho realizado pelos investigadores Tambm podem ser utilizadas antes de venda ou doao de mdias a outras pessoas (evita recuperao de dados) Destruio dos Dados: para impedir ou pelo menos dificultar a recuperao dos dados, so utilizadas ferramentas conhecidas como wiping tools para a remoo dos dados Wipe secure-delete pgp wipe The Defiler's Toolkit. 91 92. Ferramentas Forenses Anti-forense Ferramentas de destruio de dados empregam uma variedade de tcnicas para sobrescrever o contedo dos arquivos Sobrescrita de bits 1 Sobrescrita de bits 0 Sobrescrita de bits aleatrios Combinao das anteriores n vezes Alm da destruio lgica, o atacante pode danificar fisicamente as mdias utilizadas 92 93. Ferramentas Forenses Anti-forense Ocultao dos Dados: os dados de um arquivo podem ser escondidos pelo menos de duas formas: fragmentando um arquivo e armazenando esses fragmentos em espaos no alocados ou naqueles marcados como bad blocks utilizando recursos como Alternate Data Stream (ADS), existente em sistemas de arquivos NTFS, que possibilitam esconder arquivos que no sero visualizados por comandos de listagem de contedo Criptografia e esteganografia podem ser aplicados em arquivos, tornando-se uma barreira difcil de ser superada Utilizar ferramentas de esteganoanlise em uma mdia de 80GB requer muito tempo e na prtica nem sempre algo vivel de se realizar O mesmo ocorre quando se trata de arquivos criptografados 93 94. Ferramentas Forenses Anti-forense Os rootkits (conforme mostrado anteriormente) implementam mtodos eficientes para ocultar informaes como arquivos e dados Modificao dos Dados: os mtodos mais comuns para realizar a modificao dos dados so: alterar a extenso dos arquivos alterar o contedo do cabealho dos arquivos Outros mtodos de modificao incluem a alterao dos atributos de tempo, atravs de ferramentas como touch e timestamp, e ataques de coliso em hash do tipo MD5 Algumas ferramentas: Metasploit Anti-Forensic Investigation Arsenal (MAFIA) Windows Memory Forensic Toolkit 94 95. Estudos de caso Com base em investigaes reais, quatro estudos de caso sero apresentados Acesso remoto de uma empresa outra, considerado pela denunciante como indevido (sem permisso) Investigao de um possvel roubo de informaes, mais especificamente, de dados bancrios Investigaes para a descoberta da origem de e-mails Mquina suspeita (origem do e-mail) Mquina da vtima 95 96. Estudo de caso 1 Acesso indevido vtima invasora X Uma empresa vtima acusa uma outra empresa (invasora) de ter acessado um sistema X atravs da rede da vtima O sistema X possui informaes fundamentais para determinado ramo empresarial O acesso ao mesmo controlado e existe a cobrana de uma mensalidade Para evitar que mais de uma empresa utilize o sistema com o pagamento de apenas uma mensalidade, a autenticao baseada no endereo IP 96 97. Estudo de caso 1 Acesso indevido Os responsveis pela auditoria do sistema X verificaram que havia mais de uma empresa acessando o sistema atravs da rede da vtima O acesso foi bloqueado, ocasionando grande prejuzo empresa vtima, visto que ela possua clientes que dependiam de informaes acessadas no sistema X A empresa vtima verificou em seus logs o acesso remoto da empresa invasora, os imprimiu e levou s autoridades para investigao As autoridades decidiram apreender os computadores da empresa invasora, o que pode ser considerado por muitos uma deciso arriscada: A empresa dependia do uso dos mesmos para trabalhar Logs podem ser facilmente construdos ou manipulados (texto!) 97 98. Estudo de caso 1 Acesso indevido Metodologia aplicada: post mortem forensic, visto que os computadores foram enviados aos peritos Todos computadores foram fotografados (internas e externas), identificados e seus componentes foram descritos Todas as mdias encontradas foram associadas ao computador em que se encontravam conectadas (CPU01, HD01-CPU01, HD02- CPU01,...) Foi realizada a coleta do contedo de cada mdia. Para isto foi utilizado um disco de boot da ferramenta Encase (cpia bit-a-bit com gerao de hash) 98 99. Estudo de caso 1 Acesso indevido Exame dos dados: como o objetivo da percia estava bem definido, identificar possveis acessos conforme os logs impressos, a seqncia dos procedimentos foi definida: Procurar em diretrios onde geralmente existem logs (Linux). No entanto, a maioria dos computadores possua sistema operacional Windows Os computadores com sistema Windows possuam diversos e-mails comerciais, documentos, entre outros Durante a anlise dos e-mails foi encontrado um contrato onde constava um acordo comercial de acesso ao sistema X pelas duas empresas, compartilhando o acesso Com a anlise mais aprofundada dos e-mails e documentos encontrados foi possvel elaborar uma lista de palavras-chave, contendo nomes de funcionrios, endereos de e-mail, nomes de empresas, entre outros Estas chaves foram colocadas no Encase e uma busca foi realizada Foram encontrados arquivos excludos, trechos de texto encontrados em parte do disco no alocada pelo sistema de arquivos e trechos de texto encontrados em setores alocados por outros arquivos 99 100. Estudo de caso 1 Acesso indevido Alm das constataes j relacionadas, ainda foi possvel verificar em alguns casos evidncias de formatao de discos e redimensionamento de algumas parties Quanto mais se encontrava evidncias de comunicao entre as empresas, mais se encontrava palavras-chave. Assim, mais buscas eram realizadas Nenhum indcio de acesso entre as empresas havia sido encontrado at ento. Tudo indicava que as mquinas com sistema Windows eram apenas utilizadas por pessoas da rea administrativa/comercial Porm, estas informaes foram teis para mostrar que se houve acesso entre elas, tudo indicava que era um acesso lcito, pois havia inclusive um contrato entre elas Continuando as buscas, acabou sendo encontrado um desentendimento (e-mails e documentos de texto) e a parceria teria sido rompida 100 101. Estudo de caso 1 Acesso indevido Na percia em mquinas com sistema Linux foi verificado que essas no possuam e-mails ou dados comerciais, indicando que se tratavam de servidores (servios tpicos de um provedor de acesso Internet) Foram realizadas buscas por comandos e endereos IP que poderiam gerar os logs apresentados em formato impresso Finalmente foi encontrado um comando de acesso ao endereo IP da empresa vtima! No entanto, em nenhum momento foi encontrado algum indcio de invaso propriamente dita, e sim, um acesso remoto com um usurio e senha legtimos 101 102. Estudo de caso 1 Acesso indevido Aps reunidas as informaes e analisada a cronologia dos eventos, concluiu-se que: havia um contrato de parceria entre as empresas envolvidas foi constatado certo desentendimento entre as empresas e a parceria teria sido interrompida foram verificadas seqncias de comandos compatveis com a gerao dos logs impressos pela empresa vtima, sendo as datas posteriores ao possvel desentendimento relatado no foi constatado nenhum tipo de ataque, foram constatados acessos legtimos utilizando credenciais autnticas e vlidas 102 103. Estudo de caso 1 Acesso indevido Elaborao do laudo pericial: Metodologia, como foi feita a coleta de dados Descrio do incidente, objetivo da percia Peritos designados (relator e revisor) Descrio do que foi encontrado de relevante Todos os arquivos e dados considerados relevantes para a elaborao do laudo foram gravados em CD (anexo) Garantia da integridade do CD: hash para cada arquivo, esses cdigos foram gravados em um novo arquivo. Um novo hash foi gerado no arquivo de hashes. Este ltimo foi adicionado ao laudo juntamente com a explicao de como comprovar a integridade dos arquivos. No CD foi gravado um software livre que gera cdigos hash utilizando o algoritmo MD5 e instrues de como utiliz-lo. Concluso do laudo (j descrita) 103 104. Estudo de caso 1 Acesso indevido Importante: Se tivesse sido solicitada a presena do perito no local da apreenso, o ambiente poderia ser fotografado e detalhado Ajudaria na identificao dos computadores de acordo com a localizao (recepo, contabilidade, servidor, etc.) 104 105. Estudo de caso 2 Malware Um funcionrio de confiana possua os dados da conta bancria e senha da empresa onde trabalhava Aps a conferncia de um extrato bancrio, foi constatada a transferncia de uma grande quantia de dinheiro para outra conta Apenas este funcionrio e o dono da empresa sabiam a senha da conta bancria e ambos garantiam que a transferncia no tinha sido feita por eles Foi instaurado inqurito policial Investigaes concluram que dono da conta para a qual foi feita a transferncia era uma pessoa com poucos recursos, semi- analfabeto, e que a conta havia sido aberta h poucos dias Este foi interrogado e falou que um desconhecido lhe ofereceu uma pequena quantia em dinheiro para que ele abrisse uma conta bancria e que entregasse o carto eletrnico ao tal desconhecido 105 106. Estudo de caso 2 Malware Neste caso, a empresa vtima solicitou ao banco o ressarcimento do valor transferido, alegando que alguma fraude eletrnica deveria ter ocorrido O banco concordou, entretanto, a fraude deveria ser provada Por se tratar de suspeita de crime e no haver nenhum suspeito, a soluo adotada foi apreender (ou neste caso, solicitar) o computador utilizado pela vtima na empresa Coleta dos dados (cpia bit-a-bit e garantia de integridade) Objetivo bem definido: procurar evidncias de roubo de informaes Comeou-se a anlise das caixas de e-mail (meio mais utilizado para contato com vtimas) Foi encontrada uma mensagem de phishing scam solicitando ao usurio para clicar em um determinado link 106 107. Estudo de caso 2 Malware Para verificar se o link ainda estava ativo, foi clicado no mesmo. O link j no estava mais ativo No entanto, era possvel verificar o nome do arquivo que seria baixado (exemplo: fotos.exe). Procurou-se ento pelo arquivo fotos.exe na imagem e o mesmo foi encontrado Alguns softwares antivrus foram executados e constatou-se que o arquivo continha o keylogger o BPK Uma pesquisa foi realizada e foi constatado que o BPK foi desenvolvido para monitorar, entre outros, filhos e esposo(a), segundo o site do fabricante 107 108. Estudo de caso 2 Malware O keylogger este foi extrado da imagem para anlise. Nas configuraes foram encontrados: armazenamento de logs (teclas digitadas) e telas (arquivos .gif com pedaos de tela capturada) a partir do acesso a seis sites de bancos pr-definidos envio dos arquivos gerados para um servidor FTP, com usurio e senha pr-definidos Partiu-se para uma nova busca: evidncias de que os dados bancrios teriam sido enviados para o servidor FTP mencionado Foi realizada ento uma busca por palavras-chave sem a utilizao de expresses regulares, pois se procuravam palavras especficas, incluindo usurio e endereo IP do servidor 108 109. Estudo de caso 2 Malware Foram encontrados indcios na memria virtual com conexes realizadas ao servidor FTP mencionado e com o usurio configurado Por se tratar de memria virtual, no foi possvel extrair grande quantidade de informao til, sem haver sujeira entre um comando e outro Contudo, os fragmentos encontrados puderam indicar a conexo com o servidor e algumas datas e horrios puderam ser coletadas em texto claro O servidor FTP encontrava-se em outro pas e possua a modalidade de contas gratuitas Um teste foi realizado no site da empresa provedora do servio e uma conta foi criada sem informao de dados pessoais validados 109 110. Estudo de caso 2 Malware Todas as informaes mostradas foram relatadas no laudo pericial, incluindo o endereo IP do servidor FTP, caso a investigao tivesse algum acesso a logs do servidor No foi possvel concluir que os dados da conta foram enviados a algum destinatrio, porque os arquivos de log gerados pelo BPK eram excludos de tempos em tempos Mesmo com uma busca por arquivos excludos, no foram encontrados dados relativos conta. Mas foi possvel relatar que: que o computador estava infectado foi infectado logo aps o recebimento da mensagem com phishing scam H indcios de conexes com um servidor FTP previamente configurado no keylogger 110 111. Estudo de caso 3 Ameaa por e-mail (sem cabealho) Um diretor de uma empresa recebeu uma ameaa por e-mail, com cpia a diversos membros da diretoria O diretor imprimiu o e-mail e o entregou polcia O cabealho do e-mail no foi impresso e o computador contendo o e-mail recebido no foi entregue para a percia O contedo do e-mail mencionava fatos ocorridos na empresa Foi utilizado um Webmail Suspeitou-se que seria um dos funcionrios Os funcionrios tinham acesso a uma mquina com Internet no servio Cada funcionrio entrava com seu usurio no sistema Esta mquina foi apreendida e enviada percia 111 112. Estudo de caso 3 Ameaa por e-mail (sem cabealho) Objetivo da percia: verificar se aquele e-mail impresso foi originado na mquina enviada para percia Coleta dos dados: cpia bit-a-bit do disco rgido questionado No exame dos dados foram realizadas duas atividades em paralelo: Seleo de palavras-chave com erros de grafia ou palavras muito especficas encontradas no e-mail Verificao de arquivos encontrados na pasta de arquivos temporrios da Internet Diversos acessos a sites de Webmail foram encontrados, com um total de seis usurios diferentes Na pasta de arquivos temporrios no foi encontrado o e-mail com as ameaas nem mesmo os dados da conta de e-mail que foi utilizada 112 113. Estudo de caso 3 Ameaa por e-mail (sem cabealho) Antes de continuar a anlise manual, o processamento da busca foi concludo, mostrando algumas ocorrncias para as palavras-chave selecionadas Analisando as ocorrncias, foi encontrado a maior parte do e-mail dentro do arquivo de memria virtual (Windows) Antes do incio da mensagem havia o seguinte metadado:

Recommended

View more >