ANÁLISE FORENSE
Redes
ComputadoresCelulares
DNA
Criminal
Smartphones
quarta-feira, 19 de junho de 13
“uso de métodos cientificamente desenvolvidos e provados visando a preservação, coleta, validação, identificação, análise, interpretação, documentação e
apresentação de evidência digital oriundas de fontes digitais com o propósito de facilitar ou expandir a reconstrução de eventos de origem criminosa, ou ajudar a antecipar ações não autorizadas que prejudiquem operações planejadas”
* De acordo com Palmerquarta-feira, 19 de junho de 13
SEGURANÇA DA INFORMAÇÃO
Disponibilidade Integridade
Confidencialidade
quarta-feira, 19 de junho de 13
SEGURANÇA DA INFORMAÇÃO
Disponibilidade Integridade
ConfidencialidadeIdentificação
Autenticação
Accountability
Não repúdioAutorizaçãoPrivacidade
quarta-feira, 19 de junho de 13
SEGURANÇA DA INFORMAÇÃO
Disponibilidade Integridade
ConfidencialidadeIdentificação
Autenticação
Accountability
Não repúdioAutorizaçãoPrivacidade
quarta-feira, 19 de junho de 13
INCIDENTES DE SEGURANÇA
Qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das
redes de computadores
*Definição do CERT CCquarta-feira, 19 de junho de 13
INCIDENTES DE SEGURANÇA* Disponível em: http://www.cert.br/stats/incidentes/
quarta-feira, 19 de junho de 13
BONUS - ANTI-FORENSE
• Compreende diversas técnicas que visam atrapalhar a aplicação da ciência forense.
quarta-feira, 19 de junho de 13
TERMINOLOGIA
• Indício
• circunstância conhecida e provada que tenha relação com o fato e que, por indução, conclui a existência de outra circunstância.
quarta-feira, 19 de junho de 13
TERMINOLOGIA
• Vestígio
• qualquer produto de agente ou evento provocador
quarta-feira, 19 de junho de 13
TERMINOLOGIA
• Evidência
• vestígio que mostou vinculação direta com o evento que está sendo investigado
quarta-feira, 19 de junho de 13
CIÊNCIA FORENSE CLÁSSICA
• Transferência
• Identificação
• Classificação
• Individualização
• Associação
• Reconstrução
quarta-feira, 19 de junho de 13
• Ao trazer esses conceitos para a ciência forense digital, encontramos problemas!
CIÊNCIA FORENSE CLÁSSICA
quarta-feira, 19 de junho de 13
• Ao trazer esses conceitos para a ciência forense digital, encontramos problemas!
• Mas, vamos conhecer eles antes...
CIÊNCIA FORENSE CLÁSSICA
quarta-feira, 19 de junho de 13
TRANSFERÊNCIA
• Baseada no “Princípio de Locard” -> todo contato deixa vestígio
quarta-feira, 19 de junho de 13
TRANSFERÊNCIA
• Baseada no “Princípio de Locard” -> todo contato deixa vestígio
• Ao aplicar força suficiente sobre um objeto, a matéria é dividida
quarta-feira, 19 de junho de 13
TRANSFERÊNCIA
• Baseada no “Princípio de Locard” -> todo contato deixa vestígio
• Ao aplicar força suficiente sobre um objeto, a matéria é dividida
• Compartilham as características (podem ser classificados juntos)
quarta-feira, 19 de junho de 13
TRANSFERÊNCIA
• Baseada no “Princípio de Locard” -> todo contato deixa vestígio
• Ao aplicar força suficiente sobre um objeto, a matéria é dividida
• Compartilham as características (podem ser classificados juntos)
• Possuem características únicas, de acordo com o processo de divisão (facilmente individualizados)
quarta-feira, 19 de junho de 13
TRANSFERÊNCIA
• Valores definidos pelos eventos são consequência da lógica do evento.
• funcao(valor1) = saida1
• funcao(valor2) = saida2
Digital
quarta-feira, 19 de junho de 13
TRANSFERÊNCIA
• A informação necessita de um contexto referencial para ser formada, junto com seus metadados.
Digital
quarta-feira, 19 de junho de 13
TRANSFERÊNCIA
• A informação necessita de um contexto referencial para ser formada, junto com seus metadados.
• Dependendo do contexto referencial podemos ter :
Digital
quarta-feira, 19 de junho de 13
TRANSFERÊNCIA
• A informação necessita de um contexto referencial para ser formada, junto com seus metadados.
• Dependendo do contexto referencial podemos ter :
• funcao(valor1) = saida1
Digital
quarta-feira, 19 de junho de 13
TRANSFERÊNCIA
• A informação necessita de um contexto referencial para ser formada, junto com seus metadados.
• Dependendo do contexto referencial podemos ter :
• funcao(valor1) = saida1
• funcao2(valor2) = saida1
Digital
quarta-feira, 19 de junho de 13
TRANSFERÊNCIA
• A informação necessita de um contexto referencial para ser formada, junto com seus metadados.
• Dependendo do contexto referencial podemos ter :
• funcao(valor1) = saida1
• funcao2(valor2) = saida1
• No meio digital existe a necessidade de outras evidências para sustentar a linha de investigação.
Digital
quarta-feira, 19 de junho de 13
IDENTIFICAÇÃO
• Determinar atributos da matéria
• análise do DNA
• análise de composição
quarta-feira, 19 de junho de 13
IDENTIFICAÇÃO
• Determinar atributos da matéria
• análise do DNA
• análise de composição
• análise das estruturas
quarta-feira, 19 de junho de 13
IDENTIFICAÇÃO
• Determinar “o que é” um conjunto de bits.
• Geralmente usa assinaturas...
Digital
quarta-feira, 19 de junho de 13
IDENTIFICAÇÃO
• Determinar “o que é” um conjunto de bits.
• Geralmente usa assinaturas...
Digital
quarta-feira, 19 de junho de 13
IDENTIFICAÇÃO
• Determinar “o que é” um conjunto de bits.
• Geralmente usa assinaturas...
• Existem dois problemas:
Digital
quarta-feira, 19 de junho de 13
IDENTIFICAÇÃO
• Determinar “o que é” um conjunto de bits.
• Geralmente usa assinaturas...
• Existem dois problemas:
• quantidade -> muitos dados
Digital
quarta-feira, 19 de junho de 13
IDENTIFICAÇÃO
• Determinar “o que é” um conjunto de bits.
• Geralmente usa assinaturas...
• Existem dois problemas:
• quantidade -> muitos dados
• complexidade -> muitas camadas de abstração
Digital
quarta-feira, 19 de junho de 13
CLASSIFICAÇÃO
• Determinar a origem dos objetos de investigação
• Análises técnicas
quarta-feira, 19 de junho de 13
CLASSIFICAÇÃO
• Determinar a origem dos objetos de investigação
• Análises técnicas
• Categorização
quarta-feira, 19 de junho de 13
CLASSIFICAÇÃO
• Associar os dados ao seu uso
• sistema
• hardware
• programas
• pessoais
Digital
quarta-feira, 19 de junho de 13
INDIVIDUALIZAÇÃO
• Rastrear objetos a sua fonte
• Determinar características de uso
quarta-feira, 19 de junho de 13
INDIVIDUALIZAÇÃO
• Rastrear objetos a sua fonte
• Determinar características de uso
• Determinar traços de processos únicos (fabricação, erosão)
quarta-feira, 19 de junho de 13
INDIVIDUALIZAÇÃO
• Problema: Eventos determinísticos (sem aleatoriedade)
Digital
quarta-feira, 19 de junho de 13
INDIVIDUALIZAÇÃO
• Problema: Eventos determinísticos (sem aleatoriedade)
• Problema: Identificadores podem ser forjados
Digital
quarta-feira, 19 de junho de 13
INDIVIDUALIZAÇÃO
• Problema: Eventos determinísticos (sem aleatoriedade)
• Problema: Identificadores podem ser forjados
• Só pode ser feita através de sistemas confiáveis...
Digital
quarta-feira, 19 de junho de 13
INDIVIDUALIZAÇÃO
• Problema: Eventos determinísticos (sem aleatoriedade)
• Problema: Identificadores podem ser forjados
• Só pode ser feita através de sistemas confiáveis...
• O que é confiável?
Digital
quarta-feira, 19 de junho de 13
ASSOCIAÇÃO
• Deduções sobre elementos da investigação (projétil - arma)
• Análise técnica em busca de relações
• Essencial para determinar a culpa
quarta-feira, 19 de junho de 13
ASSOCIAÇÃO
• Não existe contato
• usuário interage através de camadas (teclado, tela, etc)
• Problema: eventos podem ser remotos
• Dados necessitam ser correlacionados
Digital
quarta-feira, 19 de junho de 13
RECONSTRUÇÃO
• Ordenação dos fatos
• Conceitos meteorológicos, físicos e químicos
quarta-feira, 19 de junho de 13
RECONSTRUÇÃO
• Limitação de eventos válidos no sistema
• Problema: depende do que estava registrado antes do incidente
• Problema: podem existir muitos eventos e todos tem que ser compreendidos
Digital
quarta-feira, 19 de junho de 13
PERGUNTAS
• Por que devemos usar o nome ``Análise Forense Digital"?
• Em uma análise forense, entre a coleta dos dados do disco e a coleta dos dados da memória, qual deve ser coletada primeiro? Explique.
quarta-feira, 19 de junho de 13
PERGUNTAS
• Por que devemos usar o nome ``Análise Forense Digital"?
• Em uma análise forense, entre a coleta dos dados do disco e a coleta dos dados da memória, qual deve ser coletada primeiro? Explique.
• Qual a importância da análise forense em segurança da informação?
quarta-feira, 19 de junho de 13
PERGUNTAS
• Por que devemos usar o nome ``Análise Forense Digital"?
• Em uma análise forense, entre a coleta dos dados do disco e a coleta dos dados da memória, qual deve ser coletada primeiro? Explique.
• Qual a importância da análise forense em segurança da informação?
• Explique com suas palavras o que é anti-forense?
quarta-feira, 19 de junho de 13
PERGUNTAS
• Por que devemos usar o nome ``Análise Forense Digital"?
• Em uma análise forense, entre a coleta dos dados do disco e a coleta dos dados da memória, qual deve ser coletada primeiro? Explique.
• Qual a importância da análise forense em segurança da informação?
• Explique com suas palavras o que é anti-forense?
• Quais preocupações devem existir durante uma coleta de informações em sistemas online?
quarta-feira, 19 de junho de 13