Upload
luiz-rabelo
View
1.363
Download
0
Embed Size (px)
DESCRIPTION
Apresentação do 20o. CNASI
Citation preview
1
Introdução a Computação Forense com Ferramentas Avançadas
Luiz Sales Rabelohttp://4n6.cc
© 2011 - TechBiz Education
Luiz Sales Rabelo
2
•Consultor TechBiz Forense Digital desde 2009
•Certificações internacionais EnCE e ACE
•Membro Comissão Crimes Alta Tecnologia OAB/SP
•NÃO SOU ADVOGADO!!
3
•Conceitos Básicos
•Processo Investigativo
•Forense Digital
• Início do Caso
• Coleta de Dados
• Análise de Informações
• Relatório Final
Agenda
Conceitos Básicos
4
Conceitos Básicos
5
Reconhecendo um incidente (ISO 17799:2005)
•Perda de serviço
•Mal funcionamento ou sobrecarga de sistema
•Falha humana
•Vulnerabilidades no controle do acesso físico
•Violação de Acesso
Ciência Forense
Metodologia científica aplicada, que atua em conjunto
com o Investigador e é utilizada para esclarecer
questionamentos jurídicos:
Toxicologia Forense, Genética e Biologia Forense,
Psiquiatria Forense, Antropologia Forense, Odontologia
Forense, Entomologia Forense, Balística Forense,
Tanatologia Forense...
6
Ciência Forense
Forense Computacional
X
Forense Digital
7
Dispositivos Móveis
Na atualidade, os celulares são verdadeiros computadores, e em alguns casos
guardam muito mais sobre nossas vidas do que nossos computadores. Ex:
• E-mails
• Contatos / Agenda
• Fotos, imagens e vídeos
• Ring Tones e Jogos (copyright)
• Histórico, cookies, senhas de navegação (browser)
• Chamadas (discadas e recebidas) em determinada
data/hora
• Detalhes de mensagens SMS (data, origem/destino,
templates)
8
Perícia em dispositivo Móveis
9
Perícia em dispositivo GPS
10
Processo Investigativo
11
O que é Forense Digital?
12
ANÁLISE RELATÓRIOCOLETA
PRESERVAÇÃO
“Sanitização”
•Evitar cross-contamination
•Demanda wipe completo das mídias reutilizáveis
13
“Sanitização”
Visualização de
mídia no EnCase
após wipe
14
“Efeito” CSI
•Adaptação livre do tema para televisão
•Relata fatos no formato de série de TV
•Diferença quanto a métodos, organização e tempos
15
“Efeito” CSI
16
“Efeito” CSI
17
“Efeito” CSI
18
“Efeito” CSI
19
“Efeito” CSI
20
“Efeito” CSI
21
Forense Digital: Início do Caso
22
Início do Caso
•Fotografar e/ou filmar o ambiente
•Realizar ata notarial ou documento que ateste o
acautelamento de informações
•Elaboração do documento de custódia
•Preservação das Evidências
•Duplicação (Coleta)
23
Forense Digital: Coleta
24
Cadeia de Custódia
•O que é a cadeia de custódia?
•Pra que serve?
•Ela (o processo) é utilizada realmente?
25
Documento de Custódia
26 Refe
rênci
a :
htt
p:/
/sophosn
et.
word
pre
ss.c
om
/20
09
/03
/
Coleta
•Não é recomendável realizar perícia
diretamente na prova.
•Devem ser realizadas cópias
forenses de forma a preservar a
evidência.
•Organização!
•Cautela!
27
Coleta (Enterprise)
•Processos
•Arquivos relevantes
•Logs de aplicativos
•Arquivos temporários
•Swapfile
•Registry
•Conexões ativas
•...28
Duplicação bit-a-bit
Cópia exata dos bits e de sua disposição
seqüencial dentro do disco rígido.
29
Integridade de Dados
•Algoritmos de Hash
• MD5
• SHA-1
• SHA-256
•Softwares para Pericia
•Bloqueadores de Escrita
•Técnicas para proteção contra gravação
30
Demo: Coleta de HD suspeito Ferramenta utilizada: FTK Imager
31
Forense Digital: Análise
32
Objetivo da Análise
Extrair de um universo de dados coletados,
informações que direta ou indiretamente associem um
indivíduo a uma determinada atividade.
33
File Systems
Arquivos localizados no computador periciado devem
ser avaliados minuciosamente. Alguns dos pontos a
serem analisados são:
• Assinatura de arquivos
• Imagens de dispositivos
• ADS (Alternate Data Streams)
34
Demo: Análise Preliminar dos dadosFerramenta utilizada: FTK Imager
35
Demo: Manipulando ADS com o WindowsFerramenta utilizada: Prompt de
Comandos
36
Arquivos Apagados
O espaço em disco marcado como livre na
tabela de alocação de arquivos
geralmente contém informações
essenciais para a análise: são os
dados dos arquivos removidos
37
Data Carving
38
Esculpir informações a partir
dos dados disponíveis no
disco rígido suspeito
39
Demo: Análise Avançada dos dadosFerramenta utilizada: FTK 3
Forense Digital: Relatório
40
Relatório
41
•Oficializar encerramento do caso
•Preenchimento dos documentos de
controle
Geração de Relatório
Bookmarking
•Seleção de informações relevantes, realizada durante o
processo de análise
Geração de relatórios
•Correlação das hipóteses com as evidências coletadas,
agrupamento de todos os aspectos avaliados e
conclusão. 42
Demo: Criação de BookmarksFerramenta utilizada: FTK 3
43
Demo: Criação de RelatóriosFerramenta utilizada: FTK 3
44
45
Obrigado!
Luiz Sales Rabelohttp://4n6.cc
© 2011 - TechBiz Education