Download pptx - Palestra MPDF BSB Mar/2012

Transcript

1

Computação Forense – Primeiros Passos

Luiz Sales Rabelohttp://4n6.cc

© 2011 - TechBiz Education

Luiz Sales Rabelo

2

•Consultor TechBiz Forense Digital desde 2009

•Certificações internacionais EnCE e ACE

•Membro Comissão Crimes Alta Tecnologia OAB/SP

•Membro HTCIA - Chapter Brasilia

•NÃO SOU ADVOGADO!!

Conceitos Básicos

3

Reconhecendo um incidente (ISO 17799:2005)

•Perda de serviço

•Mal funcionamento ou sobrecarga de sistema

•Falha humana

•Vulnerabilidades no controle do acesso físico

•Violação de Acesso

Ciência Forense

Metodologia científica aplicada, que atua em conjunto

com o Investigador e é utilizada para esclarecer

questionamentos jurídicos:

Toxicologia Forense, Genética e Biologia Forense,

Psiquiatria Forense, Antropologia Forense, Odontologia

Forense, Entomologia Forense, Balística Forense,

Tanatologia Forense...

4

Ciência Forense

Forense Computacional

X

Forense Digital

5

Dispositivos Móveis

Na atualidade, os celulares são verdadeiros computadores, e em alguns casos

guardam muito mais sobre nossas vidas do que nossos computadores. Ex:

• E-mails

• Contatos / Agenda

• Fotos, imagens e vídeos

• Ring Tones e Jogos (copyright)

• Histórico, cookies, senhas de navegação (browser)

• Chamadas (discadas e recebidas) em determinada

data/hora

• Detalhes de mensagens SMS (data, origem/destino,

templates)

6

Perícia em dispositivo GPS

7

ABNT

Grupos de Trabalho Comitê ABNT - CB21/CE27

•ISO 27035 - Information Security Incident Management

•ISO 27037 - Evidence Acquisition Procedure for Digital Forensics

© 2011 - TechBiz Education

8

Delitos Cibernéticos

•Envio de informações confidenciais por e-mail;

•Ataque ou tentativa de ataque por funcionários ou

concorrentes;

•Fraude em sistemas financeiros (home banking);

•Instalação de cavalos-de-tróia em estações de trabalho;

•Remoção ou alteração indevida de informações;

•Ataques contra a disponibilidade de sistemas ;

•Envio de ameaças por e-mail.

© 2011 - TechBiz Education

9

Definições Legais Importantes

Art. 4º O art. 163 do Decreto-Lei nº 2.848, de 7 de dezembro de 1940

(Código Penal) passa a vigorar com a seguinte redação:

“Dano

Art. 163 - Destruir, inutilizar ou deteriorar coisa alheia ou dado eletrônico

alheio:

....................................................................”

§ 2º Equipara-se à coisa:

I – o dado, a informação ou a base de dados presente em meio eletrônico

ou sistema informatizado; II – a senha ou qualquer meio de identificação

que permita o acesso a meio eletrônico ou sistema informatizado

© 2011 - TechBiz Education

10

25/1/2011 - Comissão de Constituição e Justiça e de Cidadania (CCJC)

Legislação no Brasil

Lei 10.764 de 12.11.2003

• “Pedofilia” na internet

• Apresentar, produzir, vender, fornecer, divulgar ou publicar

pornografia infantil (reclusão de 2 a 6 anos e multa)

© 2011 - TechBiz Education

11

Legislação no Brasil

“Pedofilia” – Criminalização e Posse

•Lei Federal 11.829/2008, criada pela CPI da Pedofilia;

•Modificação no ECA;

© 2011 - TechBiz Education

12

Processo Investigativo

13

O que é Forense Digital?

14

ANÁLISE RELATÓRIOCOLETA

PRESERVAÇÃO

“Sanitização”

•Evitar cross-contamination

•Demanda wipe completo das mídias reutilizáveis

15

“Sanitização”

Visualização de

mídia no EnCase

após wipe

16

“Efeito” CSI

•Adaptação livre do tema para televisão

•Relata fatos no formato de série de TV

•Diferença quanto a métodos, organização e tempos

17

“Efeito” CSI

18

“Efeito” CSI

19

“Efeito” CSI

20

“Efeito” CSI

21

“Efeito” CSI

22

“Efeito” CSI

23

Forense Digital: Início do Caso

24

Início do Caso

•Fotografar e/ou filmar o ambiente

•Realizar ata notarial ou documento que ateste o

acautelamento de informações

•Elaboração do documento de custódia

•Preservação das Evidências

•Duplicação (Coleta)

25

Notificação a Agentes da Lei

Obrigatória quando envolver:

•Pornografia infantil

•Crimes contra vida (assassinato, estupro...)

•Crimes de ódio (racismo, homofobia...)

•Perigo a Segurança Nacional (terrorismo...)

26

Forense Digital: Coleta

27

Cadeia de Custódia

•O que é a cadeia de custódia?

•Pra que serve?

•Ela (o processo) é utilizada realmente?

28

Documento de Custódia

29 Refe

rênci

a :

htt

p:/

/sophosn

et.

word

pre

ss.c

om

/20

09

/03

/

Coleta

•Não é recomendável realizar perícia

diretamente na prova.

•Devem ser realizadas cópias

forenses de forma a preservar a

evidência.

•Organização!

•Cautela!

30

Duplicação bit-a-bit

Cópia exata dos bits e de sua disposição

seqüencial dentro do disco rígido.

31

Integridade de Dados

•Algoritmos de Hash

• MD5

• SHA-1

• SHA-256

•Softwares para Pericia

•Bloqueadores de Escrita

•Técnicas para proteção contra gravação

32

Forense Digital: Análise

33

Objetivo da Análise

Extrair de um universo de dados coletados,

informações que direta ou indiretamente associem um

indivíduo a uma determinada atividade.

34

File Systems

Arquivos localizados no computador periciado devem

ser avaliados minuciosamente. Alguns dos pontos a

serem analisados são:

• Assinatura de arquivos

• Imagens de dispositivos

• ADS (Alternate Data Streams)

35

Demo: Manipulando ADS com o WindowsFerramenta utilizada: Prompt de

Comandos

36

Arquivos Apagados

O espaço em disco marcado como livre na

tabela de alocação de arquivos

geralmente contém informações

essenciais para a análise: são os

dados dos arquivos removidos

37

Data Carving

38

Esculpir informações a partir

dos dados disponíveis no

disco rígido suspeito

Forense Digital: Relatório

39

Relatório

40

•Oficializar encerramento do caso

•Preenchimento dos documentos de

controle

Geração de Relatório

Bookmarking

•Seleção de informações relevantes, realizada durante o

processo de análise

Geração de relatórios

•Correlação das hipóteses com as evidências coletadas,

agrupamento de todos os aspectos avaliados e

conclusão. 41

Linguagem Utilizada

Dependendo do tipo de

investigação, a linguagem dos

relatórios pode, ou não, ser

técnica. O acerto de

expectativas e objetivos é

realizado no início do processo

de investigação.

42

43

Obrigado!

Luiz Sales Rabelo

http://4n6.cc -> VISITEM MEU BLOG!

© 2011 - TechBiz Education