Forense Computacional

Forense Computacional Seminrio de Segurana da Informao

1 Semestre de 2012

Alunos: Guilherme Arbex de Camargo Guilherme Mantovani Marcos Takeshi Paulo Csar de Novaes Miguel Rafael Kovalenkovas Hartel

Contedo

O que Forense Computacional?

Forense Computacional a cincia voltada para a obteno, preservao e documentao de evidncias, a partir de dispositivos de armazenagem eletrnica digital, como computadores, pagers, PDAs, Cmeras Digitais, telefones celulares e vrios outros dispositivos de armazenamento em memria. Tudo dever ser feito para preservar o valor comprobatrio das evidncias e para assegurar que isso possa ser utilizado em procedimentos legais.

(An introduction to Computer Forensics,

Information Security and Forensics Society, abr. 04,

disponvel em http://www.isfs.org.hk/publications/public.htm)

Objetivo da Forense Computacional

Objetivo da Forense Computacional: aplicar mtodos cientficos e sistemticos, buscando extrair e analisar tipos de dados dos diferentes dispositivos, para que essas informaes passem a ser caracterizadas como evidncias e, posteriormente, como provas legais de fato.

Aplicao da Forense Computacional

A Forense Computacional na maioria das vezes utilizada para a apurao de crimes como:

Roubo de informaes confidenciais

Remoo Indevida de arquivos

Fraudes (Comerciais, Fiscais,etc...)

Calnia, difamao e injria via e-mail

Pedofilia

Trfico de drogas via Internet

O Processo de Investigao

Coleta

Possveis fontes de dados: Computadores pessoais;

Dispositivos de armazenamento em rede;

CDs, DVDs;

Mquina fotogrfica, relgio com comunicao via USB, etc.

Coleta

Os dados tambm podem estar armazenados em locais fora dos domnios fsicos da cena investigada .

Provedores de Internet

Servidores FTP (File Transfer Protocol)

Servidores corporativos

Nesses casos, a coleta dos dados somente ser possvel mediante ordem judicial.

Coleta

Garantir e preservar a integridade Se no for garantida a integridade, as evidncias

podero ser invalidadas como provas perante a justia.

Assim como os demais objetos apreendidos na cena do crime, os materiais de informtica apreendidos devero ser relacionados em um documento (cadeia de custdia).

Coleta Exemplo de Cadeia de Custdia

Coleta

Cpia dos dados: envolve a utilizao de ferramentas adequadas para a duplicao dos dados.

Cpia lgica (Backup): as cpias lgicas gravam o contedo dos diretrios e os arquivos de um volume lgico. No capturam outros dados: arquivos excludos; fragmentos de dados armazenados nos espaos no utilizados, mas alocados

por arquivos.

Imagem: imagem do disco ou cpia bit-a-bit inclui os espaos livres e os

espaos no utilizados: mais espao de armazenamento, consomem muito mais tempo; permitem a recuperao de arquivos excludos e dados no alocados pelo

sistema de arquivos. Exemplo: setor de 4KB, arquivo com 9KB (3 setores ocupados)

Coleta

Durante a aquisio dos dados muito importante manter a integridade dos atributos de tempo:

mtime (modification time)

atime (access time)

ctime (creation time) MAC Times.

Modificao: registro da data e hora em que ocorreu a ltima alterao no arquivo

Acesso: registro da data e hora em que ocorreu o ltimo acesso ao arquivo

Criao: registro da data e hora em que o arquivo foi criado.

Coleta Integridade dos Atributos

tempo mtime (modification time)

atime (access time)

ctime (creation time) MAC Times.

Exame

O Exame dos dados tem como finalidade: localizar, filtrar e extrair somente as informaes relevantes investigao.

Tarefa Trabalhosa!

Capacidade de armazenamento dos dispositivos atuais

Quantidade de diferentes formatos de arquivos existentes (imagens, udio, arquivos criptografados e compactados)

Muitos formatos de arquivos possibilitam o uso de esteganografia para ocultar dados, o que exige que o perito esteja atento e apto a identificar e recuperar esses dados

Em meio aos dados recuperados podem estar informaes irrelevantes e que devem ser filtradas.

Ex.: o arquivo de log do sistema de um servidor pode conter milhares de entradas, sendo que somente algumas delas podem interessar investigao

Exame

Aps a restaurao da cpia dos dados, o perito faz uma avaliao dos dados encontrados:

Arquivos que haviam sido removidos e foram recuperados

Fragmentos de arquivos encontrados

Arquivos ocultos

Fragmentos de arquivos encontrados em setores alocados, porm no utilizados pelo arquivo.

Anlise

Aps a extrao dos dados considerados relevantes, o perito deve concentrar suas habilidades e conhecimentos na etapa de anlise e interpretao das informaes.

Anlise

A etapa de Anlise tem como finalidade: identificar pessoas, locais e eventos e determinar como esses elementos esto inter-relacionados.

Normalmente necessrio correlacionar informaes de vrias

fontes de dados: Exemplo de correlao: um indivduo tenta realizar um acesso no

autorizado a um determinado servidor.

possvel identificar por meio da anlise dos eventos registrados nos arquivos de log o endereo IP de onde foi originada a requisio de acesso.

Registros gerados por firewalls, sistemas de deteco de intruso e demais mecanismos de proteo.

Resultado

A interpretao dos resultados obtidos a etapa conclusiva da investigao.

O perito elabora um laudo pericial que deve ser escrito de forma clara e concisa, listando todas as evidncias localizadas e analisadas.

O laudo pericial deve apresentar uma concluso imparcial e final a respeito da investigao.

Resultado

Para que o laudo pericial torne-se um documento de fcil interpretao, indicado que o mesmo seja organizado em sees:

Finalidade da investigao Autor do laudo Resumo do incidente Relao de evidncias analisadas e seus detalhes Concluso Anexos Glossrio (ou rodaps)

Resultado

Tambm devem constar no laudo pericial: Metodologia

Tcnicas

Softwares e equipamentos empregados Com um laudo bem escrito torna-se mais fcil a

reproduo das fases da investigao, caso necessrio.

Tcnicas Forenses

Boas prticas que antecedem a coleta dos dados:

Limpar todas as mdias que sero utilizadas ou usar mdias novas a cada investigao.

Certificar-se de que todas as ferramentas (softwares) que sero utilizadas esto devidamente licenciadas e prontas para utilizao. Verificar se todos os equipamentos e materiais necessrios (por

exemplo, a estao forense, as mdias para coleta dos dados, etc.) esto disposio.

Tcnicas Forenses

Boas prticas que antecedem a coleta dos dados:

Quando chegar ao local da investigao, o perito deve providenciar

para que nada seja tocado sem o seu consentimento, com o objetivo de proteger e coletar todos os tipos de evidncias

Os investigadores devem filmar ou fotografar o ambiente e registrar detalhes sobre os equipamentos como: marca, modelo, nmeros de srie, componentes internos, perifricos, etc.

Manter a cadeia de custdia.

Ferramentas Forenses

Algumas ferramentas forenses sero mostradas nas etapas:

Coleta dos dados

Exame dos dados

Anlise dos dados

Ferramentas Forenses- Coleta de Dados

Automated Image & Restore (AIR)

produz um relatrio contendo todos os comandos utilizados durante a sua execuo.

elimina o risco da utilizao de parmetros errados por usurios menos capacitados.

Ferramentas Forenses- Coleta de Dados

Automated Image & Restore (AIR)

Ferramentas Forenses Exame dos dados

Diversas ferramentas j permitem a utilizao dos bancos de dados citados, por exemplo:

Autopsy

pyFlag

EnCase: Padronizao de laudo.

Recuperao de dados, banco de dados de evidncias.

Anlise de hardwares e logs.

Ferramentas Forenses Exame dos dados

EnCase

Ferramentas Forenses Exame dos dados

EnCase

Ferramentas Forenses Anlise dos dados

Utilitrios para construo da linha de tempo dos eventos

Mactime: permite que a partir das informaes contidas nos metadados dos arquivos e diretrios, uma viso cronolgica dos acontecimentos seja mostrada.

Consideraes Finais

Forense computacional um tema bastante atual e que tem

recebido ateno significativa tanto da comunidade cientfica

quanto da indstria.

Consideraes Finais

Muitas vezes a investigao no pode prosseguir sem a verificao de computadores de suspeitos e pessoal qualificado.

Consideraes Finais

O surgimento de legislao e padres a serem aplicados (Brasil) referentes forense computacional tornariam menor a chance de laudos serem inutilizados por falta de experincia dos peritos.

Referncias Bibliogrficas

http://www.imasters.com.br/artigo/4175/forense/introducao_a_computacao_forense/

http://www.guidancesoftware.com/pt/products/ee_index.asp

Neukamp, Paulo A. Forense Computacional: Fundamentos e

Desafios Atuais. 11 Junho de 2007. Universidade do Vale do

Rio dos Sinos (UNISINOS). 06 Nov. 2007.

Dvidas ?

Obrigado !