CNASI 2011

Embed Size (px)

DESCRIPTION

Apresentação do 20o. CNASI

Text of CNASI 2011

  • 1. Introduo a Computao Forense com Ferramentas Avanadas Luiz Sales Rabelo http://4n6.cc 2011 - TechBiz Education 1
  • 2. Luiz Sales Rabelo Consultor TechBiz Forense Digital desde 2009 Certificaes internacionais EnCE e ACE Membro Comisso Crimes Alta Tecnologia OAB/SP NO SOU ADVOGADO!! 2
  • 3. Agenda Conceitos Bsicos Processo Investigativo Forense Digital Incio do Caso Coleta de Dados Anlise de Informaes Relatrio Final 3
  • 4. Conceitos Bsicos 4
  • 5. Conceitos BsicosReconhecendo um incidente (ISO 17799:2005) Perda de servio Mal funcionamento ou sobrecarga de sistema Falha humana Vulnerabilidades no controle do acesso fsico Violao de Acesso 5
  • 6. Cincia ForenseMetodologia cientfica aplicada, que atua em conjunto com oInvestigador e utilizada para esclarecer questionamentosjurdicos: Toxicologia Forense, Gentica e Biologia Forense, Psiquiatria Forense, Antropologia Forense, Odontologia Forense, Entomologia Forense, Balstica Forense, Tanatologia Forense... 6
  • 7. Cincia ForenseForense Computacional X Forense Digital 7
  • 8. Dispositivos MveisNa atualidade, os celulares so verdadeiros computadores, e em alguns casos guardammuito mais sobre nossas vidas do que nossos computadores. Ex: E-mails Contatos / Agenda Fotos, imagens e vdeos Ring Tones e Jogos (copyright) Histrico, cookies, senhas de navegao (browser) Chamadas (discadas e recebidas) em determinada data/hora Detalhes de mensagens SMS (data, origem/destino, templates) 8
  • 9. Percia em dispositivo Mveis 9
  • 10. Percia em dispositivo GPS 10
  • 11. Processo Investigativo 11
  • 12. O que Forense Digital? PRESERVAOCOLETA ANLISE RELATRIO 12
  • 13. Sanitizao Evitar cross-contamination Demanda wipe completo das mdias reutilizveis 13
  • 14. Sanitizao Visualizao de mdia no EnCase aps wipe 14
  • 15. Efeito CSI Adaptao livre do tema para televiso Relata fatos no formato de srie de TV Diferena quanto a mtodos, organizao e tempos 15
  • 16. Efeito CSI 16
  • 17. Efeito CSI 17
  • 18. Efeito CSI 18
  • 19. Efeito CSI 19
  • 20. Efeito CSI 20
  • 21. Efeito CSI 21
  • 22. Forense Digital: Incio do Caso 22
  • 23. Incio do Caso Fotografar e/ou filmar o ambiente Realizar ata notarial ou documento que ateste oacautelamento de informaes Elaborao do documento de custdia Preservao das Evidncias Duplicao (Coleta) 23
  • 24. Forense Digital: Coleta 24
  • 25. Cadeia de Custdia O que a cadeia de custdia? Pra que serve? Ela (o processo) utilizada realmente? 25
  • 26. Documento de Custdia26Referncia : http://sophosnet.wordpress.com/2009/03/
  • 27. Coleta No recomendvel realizar perciadiretamente na prova. Devem ser realizadas cpias forensesde forma a preservar a evidncia. Organizao! Cautela! 27
  • 28. Coleta (Enterprise) Processos Arquivos relevantes Logs de aplicativos Arquivos temporrios Swapfile Registry Conexes ativas ... 28
  • 29. Duplicao bit-a-bitCpia exata dos bits e de sua disposio seqencial dentro do disco rgido. 29
  • 30. Integridade de Dados Algoritmos de Hash MD5 SHA-1 SHA-256 Softwares para Pericia Bloqueadores de Escrita Tcnicas para proteo contra gravao 30
  • 31. Demo: Coleta de HD suspeitoFerramenta utilizada: FTK Imager 31
  • 32. Forense Digital: Anlise 32
  • 33. Objetivo da AnliseExtrair de um universo de dados coletados, informaes quedireta ou indiretamente associem um indivduo a umadeterminada atividade. 33
  • 34. File SystemsArquivos localizados no computador periciado devem seravaliados minuciosamente. Alguns dos pontos a seremanalisados so: Assinatura de arquivos Imagens de dispositivos ADS (Alternate Data Streams) 34
  • 35. Demo: Anlise Preliminar dos dados Ferramenta utilizada: FTK Imager 35
  • 36. Demo: Manipulando ADS com o WindowsFerramenta utilizada: Prompt de Comandos 36
  • 37. Arquivos ApagadosO espao em disco marcado como livre natabela de alocao de arquivosgeralmente contm informaesessenciais para a anlise: so osdados dos arquivos removidos 37
  • 38. Data CarvingEsculpir informaes a partir dos dados disponveis no disco rgido suspeito 38
  • 39. Demo: Anlise Avanada dos dados Ferramenta utilizada: FTK 3 39
  • 40. Forense Digital: Relatrio 40
  • 41. Relatrio Oficializar encerramento do caso Preenchimento dos documentos decontrole 41
  • 42. Gerao de RelatrioBookmarking Seleo de informaes relevantes, realizada durante oprocesso de anliseGerao de relatrios Correlao das hipteses com as evidnciascoletadas, agrupamento de todos os aspectos avaliados econcluso.