Upload
kikhocon
View
212
Download
0
Embed Size (px)
DESCRIPTION
Pdf Forebse
Citation preview
Forense Computacional
Forense Computacional Seminrio de Segurana da Informao
1 Semestre de 2012
Alunos: Guilherme Arbex de Camargo Guilherme Mantovani Marcos Takeshi Paulo Csar de Novaes Miguel Rafael Kovalenkovas Hartel
Contedo
O que Forense Computacional?
Forense Computacional a cincia voltada para a obteno, preservao e documentao de evidncias, a partir de dispositivos de armazenagem eletrnica digital, como computadores, pagers, PDAs, Cmeras Digitais, telefones celulares e vrios outros dispositivos de armazenamento em memria. Tudo dever ser feito para preservar o valor comprobatrio das evidncias e para assegurar que isso possa ser utilizado em procedimentos legais.
(An introduction to Computer Forensics,
Information Security and Forensics Society, abr. 04,
disponvel em http://www.isfs.org.hk/publications/public.htm)
Objetivo da Forense Computacional
Objetivo da Forense Computacional: aplicar mtodos cientficos e sistemticos, buscando extrair e analisar tipos de dados dos diferentes dispositivos, para que essas informaes passem a ser caracterizadas como evidncias e, posteriormente, como provas legais de fato.
Aplicao da Forense Computacional
A Forense Computacional na maioria das vezes utilizada para a apurao de crimes como:
Roubo de informaes confidenciais
Remoo Indevida de arquivos
Fraudes (Comerciais, Fiscais,etc...)
Calnia, difamao e injria via e-mail
Pedofilia
Trfico de drogas via Internet
O Processo de Investigao
Coleta
Possveis fontes de dados: Computadores pessoais;
Dispositivos de armazenamento em rede;
CDs, DVDs;
Mquina fotogrfica, relgio com comunicao via USB, etc.
Coleta
Os dados tambm podem estar armazenados em locais fora dos domnios fsicos da cena investigada .
Provedores de Internet
Servidores FTP (File Transfer Protocol)
Servidores corporativos
Nesses casos, a coleta dos dados somente ser possvel mediante ordem judicial.
Coleta
Garantir e preservar a integridade Se no for garantida a integridade, as evidncias
podero ser invalidadas como provas perante a justia.
Assim como os demais objetos apreendidos na cena do crime, os materiais de informtica apreendidos devero ser relacionados em um documento (cadeia de custdia).
Coleta Exemplo de Cadeia de Custdia
Coleta
Cpia dos dados: envolve a utilizao de ferramentas adequadas para a duplicao dos dados.
Cpia lgica (Backup): as cpias lgicas gravam o contedo dos diretrios e os arquivos de um volume lgico. No capturam outros dados: arquivos excludos; fragmentos de dados armazenados nos espaos no utilizados, mas alocados
por arquivos.
Imagem: imagem do disco ou cpia bit-a-bit inclui os espaos livres e os
espaos no utilizados: mais espao de armazenamento, consomem muito mais tempo; permitem a recuperao de arquivos excludos e dados no alocados pelo
sistema de arquivos. Exemplo: setor de 4KB, arquivo com 9KB (3 setores ocupados)
Coleta
Durante a aquisio dos dados muito importante manter a integridade dos atributos de tempo:
mtime (modification time)
atime (access time)
ctime (creation time) MAC Times.
Modificao: registro da data e hora em que ocorreu a ltima alterao no arquivo
Acesso: registro da data e hora em que ocorreu o ltimo acesso ao arquivo
Criao: registro da data e hora em que o arquivo foi criado.
Coleta Integridade dos Atributos
tempo mtime (modification time)
atime (access time)
ctime (creation time) MAC Times.
Exame
O Exame dos dados tem como finalidade: localizar, filtrar e extrair somente as informaes relevantes investigao.
Tarefa Trabalhosa!
Capacidade de armazenamento dos dispositivos atuais
Quantidade de diferentes formatos de arquivos existentes (imagens, udio, arquivos criptografados e compactados)
Muitos formatos de arquivos possibilitam o uso de esteganografia para ocultar dados, o que exige que o perito esteja atento e apto a identificar e recuperar esses dados
Em meio aos dados recuperados podem estar informaes irrelevantes e que devem ser filtradas.
Ex.: o arquivo de log do sistema de um servidor pode conter milhares de entradas, sendo que somente algumas delas podem interessar investigao
Exame
Aps a restaurao da cpia dos dados, o perito faz uma avaliao dos dados encontrados:
Arquivos que haviam sido removidos e foram recuperados
Fragmentos de arquivos encontrados
Arquivos ocultos
Fragmentos de arquivos encontrados em setores alocados, porm no utilizados pelo arquivo.
Anlise
Aps a extrao dos dados considerados relevantes, o perito deve concentrar suas habilidades e conhecimentos na etapa de anlise e interpretao das informaes.
Anlise
A etapa de Anlise tem como finalidade: identificar pessoas, locais e eventos e determinar como esses elementos esto inter-relacionados.
Normalmente necessrio correlacionar informaes de vrias
fontes de dados: Exemplo de correlao: um indivduo tenta realizar um acesso no
autorizado a um determinado servidor.
possvel identificar por meio da anlise dos eventos registrados nos arquivos de log o endereo IP de onde foi originada a requisio de acesso.
Registros gerados por firewalls, sistemas de deteco de intruso e demais mecanismos de proteo.
Resultado
A interpretao dos resultados obtidos a etapa conclusiva da investigao.
O perito elabora um laudo pericial que deve ser escrito de forma clara e concisa, listando todas as evidncias localizadas e analisadas.
O laudo pericial deve apresentar uma concluso imparcial e final a respeito da investigao.
Resultado
Para que o laudo pericial torne-se um documento de fcil interpretao, indicado que o mesmo seja organizado em sees:
Finalidade da investigao Autor do laudo Resumo do incidente Relao de evidncias analisadas e seus detalhes Concluso Anexos Glossrio (ou rodaps)
Resultado
Tambm devem constar no laudo pericial: Metodologia
Tcnicas
Softwares e equipamentos empregados Com um laudo bem escrito torna-se mais fcil a
reproduo das fases da investigao, caso necessrio.
Tcnicas Forenses
Boas prticas que antecedem a coleta dos dados:
Limpar todas as mdias que sero utilizadas ou usar mdias novas a cada investigao.
Certificar-se de que todas as ferramentas (softwares) que sero utilizadas esto devidamente licenciadas e prontas para utilizao. Verificar se todos os equipamentos e materiais necessrios (por
exemplo, a estao forense, as mdias para coleta dos dados, etc.) esto disposio.
Tcnicas Forenses
Boas prticas que antecedem a coleta dos dados:
Quando chegar ao local da investigao, o perito deve providenciar
para que nada seja tocado sem o seu consentimento, com o objetivo de proteger e coletar todos os tipos de evidncias
Os investigadores devem filmar ou fotografar o ambiente e registrar detalhes sobre os equipamentos como: marca, modelo, nmeros de srie, componentes internos, perifricos, etc.
Manter a cadeia de custdia.
Ferramentas Forenses
Algumas ferramentas forenses sero mostradas nas etapas:
Coleta dos dados
Exame dos dados
Anlise dos dados
Ferramentas Forenses- Coleta de Dados
Automated Image & Restore (AIR)
produz um relatrio contendo todos os comandos utilizados durante a sua execuo.
elimina o risco da utilizao de parmetros errados por usurios menos capacitados.
Ferramentas Forenses- Coleta de Dados
Automated Image & Restore (AIR)
Ferramentas Forenses Exame dos dados
Diversas ferramentas j permitem a utilizao dos bancos de dados citados, por exemplo:
Autopsy
pyFlag
EnCase: Padronizao de laudo.
Recuperao de dados, banco de dados de evidncias.
Anlise de hardwares e logs.
Ferramentas Forenses Exame dos dados
EnCase
Ferramentas Forenses Exame dos dados
EnCase
Ferramentas Forenses Anlise dos dados
Utilitrios para construo da linha de tempo dos eventos
Mactime: permite que a partir das informaes contidas nos metadados dos arquivos e diretrios, uma viso cronolgica dos acontecimentos seja mostrada.
Consideraes Finais
Forense computacional um tema bastante atual e que tem
recebido ateno significativa tanto da comunidade cientfica
quanto da indstria.
Consideraes Finais
Muitas vezes a investigao no pode prosseguir sem a verificao de computadores de suspeitos e pessoal qualificado.
Consideraes Finais
O surgimento de legislao e padres a serem aplicados (Brasil) referentes forense computacional tornariam menor a chance de laudos serem inutilizados por falta de experincia dos peritos.
Referncias Bibliogrficas
http://www.imasters.com.br/artigo/4175/forense/introducao_a_computacao_forense/
http://www.guidancesoftware.com/pt/products/ee_index.asp
Neukamp, Paulo A. Forense Computacional: Fundamentos e
Desafios Atuais. 11 Junho de 2007. Universidade do Vale do
Rio dos Sinos (UNISINOS). 06 Nov. 2007.
Dvidas ?
Obrigado !