FORENSE

COMPUTACIONAL

Palestrante: Carla Regina da Costa Santos

Locard´s Principle of Exchange (Princípio da troca de Locard):Quando dois objetos entram em contato, sempre haverá transferência de material de um objeto para o outro.

“Edmond Locard (1877-1966) e a metodologia da prova indicial: a investigação criminal e os métodos científicos”

Em 1910, um oficial da polícia francesa, Edmond Locard, estabeleceu o princípio de que todas as pessoas deixam marcas de contato totalmente identificáveis. Seu relatório provou ser o pano de fundo da ciência forense.Usando o princípio de Locard, os criminalistas analisam as fibras da cena do crime e são capazes de identificar os menores detalhes –tipo de roupas, origem e até o fabricante. Através de uma simples fibra, a análise pode afirmar a presença de um suspeito no local e conseguir sua condenação.

Não existe crime perfeito...

Definições• Criminalística (“forensics”) : “Ciência auxiliar do Direito Penal

que tem como objeto a descoberta de crimes e a identificação de seus autores”

• Evidência/Prova Digital : qualquer informação de valor probatório armazenada em meio digital.

• Análise Forense : “aplicação de princípios das ciências físicas ao direito, na busca da verdade em questões cíveis, criminais e de comportamento social para que não se cometam injustiças...”

• Forense Computacional : conjunto de técnicas, cientificamente comprovadas, utilizadas para coletar, reunir, identificar, examinar, correlacionar, analisar e apresentar evidências digitais processadas, armazenadas ou transmitidas por computadores

Áreas da Forense• Criminalistica • Psiquiatria• Engenharia • Toxicologia• Jurisprudência • Endocrinologia• Odontologia• Computacional• Patologia• Biologia• Antropologia

Conhecimentos• Práticas de gerenciamento de segurança• Arquitetura e modelos de segurança• Metodologias e sistemas de controle de acesso• Segurança em desenvolvimento de aplicações• Segurança da operação• Segurança física• Criptografia• Segurança em redes, telecomunicações e Internet• Planejamento de continuidade dos negócios• Legislação, investigação e ética

* Fonte : ISC² (http://www.isc2.org)

Forense Digital• Aspectos gerais

– Leis– Processos– Motivação – Componente humano

• Aspectos Técnicos– Estruturas de disco (CHS, RAID...)– Sistemas de arquivos (FAT,NTFS,EXT2,EXT3...)– Esquemas de codificação (ASCII,Unicode...)– Formatos de arquivos (ZIP, Word, Excel...)– Arquivos temporários– Áreas “desperdiçadas” (file slack, RAM slack...)– Informações em memória RAM– Detalhes de fabricantes/modelos/interfaces de aparelhos móveis

• Foco em tecnologia (hardware e software) aplicada aos aspectos técnicos da Forense Digital (Resposta a Incidentes).

Aspectos Técnicos• Fontes de provas/evidências :

– Computadores• HD, disquetes, cartões de memória, dispositivos periféricos...

– Redes• Roteadores, switches, logs

– Dispositivos móveis• Palm, PocketPC, telefones móveis, pagers...

• Enorme volume de dados :– Cenário típico : 6 suspeitos/usuários envolvidos.

• HDs de 60 GB + 20 CDs / suspeito + espaço em servidor de arquivos

• = 500 GB para serem analisados

Aspectos Técnicos• Decisão “Vivo” x “Morto”

– Analisar sistema suspeito em funcionamento (“vivo”) ou desligá-lo (“morto”).

– “Vivo”• capacidade de obter informações voláteis em memória RAM• Impossibilidade de evitar alterações

– “Morto”• Como desligar ? Shutdown x Desligar da tomada• Desligar(?) e realizar duplicação forense. • Trabalhar na cópia !!!!

• Etapas Macro :– Duplicação Forense– Análise e Investigação– Apresentação de resultados

Etapas : Resposta a Incidentes

Etapas : Forense Computacional

Duplicação Forense• Fundamental bloqueio de escrita na mídia original.• Bloqueio de escrita com Windows• Calcular HASH (MD5, SHA-1) durante duplicação.• Alternativas :

– Software• Linux DD• EnCase• SafeBack• Ghost

– Hardware• FastBlock, Solo 3, RoadMASSter II

• Procedimento de duplicação é enorme “gargalo”– Exemplo : 1 HD 60 GB :

• 10/12 horas por Software• 20 minutos com Hardware (até 3.6 GB / minuto nos

equipamentos Solo 3 e RoadMASSter II)

Análise / Investigação• Alta complexidade• Enorme número de diferentes aplicações :

– Browsers : IE, Mozilla, Firefox, Opera...– E-Mail : Outlook, Outlook Express, Lotus Notes, Eudora,

Thunderbird...– P2P : Kazaa, e-Mule, Morpheus, BitTorrent...

• Diversos fabricantes e modelos de telefones móveis (Nokia, Siemens, Samsung, Sony...)

• Infinidade de formatos de arquivos• Detalhes específicos de funcionamento de sistemas operacionais :

– Windows 9x, Windows NT, Windows 2000, Windows XP, Windows 2003, RedHat, Suse, SlackWare, Solaris...

• Enorme número de arquivos (80.762 neste notebook)• Detalhes técnicos específicos e obscuros, ex: NTFS Streams

Análise / Investigação• Software pode automatizar :

– Análise de HASH– Análise de Assinatura (extensão x formato do arquivo)– Reconstrução de arquivos estruturados (ZIP, Office, Registry...)– Visualização no tempo de atributos– Filtros por características de arquivos (tipo, tamanho, datas)– Consulta por palavras chaves / expressões regulares– Histórico de acesso Internet (para browsers comuns)– Histórico de uso de WebMail (Hotmail, Yahoo...)– Histórico de uso de programas P2P– Logs de sistema (event viewer, syslog...)– Documentos impressos (arquivos de spool temporários)– Busca em áreas “desperdiçadas” (file slack, ram slack...)

Onde mora o perigo…

Onde estão as provas nos incidentes de segurança?

• Nas mensagens de E-mail são emitidos ou recebidos, data e hora, o IP do autor;

• Numa rede de computadores , nos arquivos de “logs”, nas tabelas de alocação de arquivos ,nos arquivos e apagados;

• No trafego da rede através de programas como o “sniffer” e outros, podemos colher informações.

Perícia Forense Aplicada a Redes de Computadores

• Define-se perícia forense aplicada a redes como o estudo do tráfego de redes, para procurar a verdade em questões cíveis, criminais e administrativas para proteger usuários e recursos de exploração, invasão de privacidade e qualquer outro crime promovido pela contínua expansão das conexões em rede.

Análise Pericial• A análise pericial é o processo para descobrir

informações valiosas, a busca e extração de dados relevantes para uma investigação e são divididas em duas camadas : análise física e análise lógica.

• A análise física é a pesquisa de seqüências e a extração de dados de toda a imagem pericial, dos arquivos normais às partes inacessíveis da mídia.

• A análise lógica consiste em analisar os arquivos das partições.

Passos para analise pericial

• Delimitação de fonte de análise( o que se deseja investigar)

• Preservação da prova(visualizar e pesquisar sem alterar)

• Análise(filtrar informações desejadas)

• Apresentação de evidência( aos orgãos e/ou pessoas responsáveis( juízes,

advogados)

Ferramentas

Capturando os Dados• FastBlock Lab Edition (LE)

• ImageMASSter Solo 3

• FastBlock Field Edition (FE)

• RoadMASSter II

http://www.icsforensic.com

Equipamentos para duplicação•ICS – Intelligent Computer Solutions

• Processador Pentium 4 3.2 Ghz• 2 GB de memória RAM• Suporta HDs SCSI, ATA, SATA• Suporta dispositivos de memória em estado

sólido• Transferências superiores a 3 GB / minuto• Suporta Hash MD5, SHA-1, SHA-2 e

correção de erro CRC32• WipeOut – zera HDs usado para armazenar

imagens suspeitas com velocidade de até 3 GB / minuto – seguindo padrão DoD.

RoadMASSter II

Equipamentos para duplicação

Equipamentos para duplicação•ICS – Intelligent Computer Solutions

ImageMASSter Solo III • Taxa de transferência até 3.3 GB / minuto• Interface Touch-Screen• Hash MD5 ou CRC32• Integração com dispositivo biométrico opcional• Interfaces FireWire e USB 2.0• Suporta HDs ATA, SATA e SCSI (usando interface

SCSI PCMCIA opcional)• Captura HD suspeito para 2 HDs simultaneamente.• Bloqueio de escrita• Compatibilidade com DD• “Sanitize” HD de provas (zera HD de acordo com

padrões do DoD para uso em outros processos de investigação)

• Pode capturar para DVD-RW através de kit opcional

Forense em Celulares•Micro Systemation

• Unidade de comunicação que se conecta ao micro do investigador via porta USB.

• Kit de cabos com conector específico para cada aparelho em uma ponta, e conector USB para a unidade de comunicação em outra.

• Leitor de cartões SIM para aparelhos GSM.

• Software .XRY• Visualizador .XRY : Pode ser distribuído

gratuitamente.• Documentação em formato PDF,

incluindo detalhada documentação sobre aparelhos suportados.

O profissional forense•São características interessantes para um investigador na aplicação de técnicas de forense computacional:

- Conhecimento e entendimento profundo do funcionamento de sistemas de arquivos, e padrões de comunicação em redes de computadores;

- Familiaridade com as ferramentas, técnicas, estratégias e metodologia de ataques ;

-Faro investigativo;

-Conhecimento da legíslacão envolvida.

www.techbiz.com.br

www.guidancesoftware.netwww.helix.org

Maiores Informações

PERICIA FORENSE COMPUTACIONAL -TEORIA E PRATICA APLICADAAutor: FARMER, DANAutor: VENEMA, WIETSEEditora: PRENTICE HALL BRASIL

ENCASE COMPUTER FORENSICS ENCASE CERTIFIED EXAMINER STUDY GUIDEAutor: BUNTING, STEVEAutor: WEI, WILLIAM W. S.Editora: JOHN WILEY CONSUMER

OBRIGADA PELA ATENÇÃO!

● carla@gra.gov.br