São características interessantes para um

FORENSE
COMPUTACIONAL
Palestrante: Carla Regina da Costa Santos
Não existe crime perfeito...
Locard´s Principle of Exchange (Princípio da troca de Locard):
Quando dois objetos entram em contato, sempre haverá
transferência de material de um objeto para o outro.
“Edmond Locard (1877-1966) e a metodologia da prova indicial: a
investigação criminal e os métodos científicos”
Em 1910, um oficial da polícia francesa, Edmond Locard,
estabeleceu o princípio de que todas as pessoas deixam marcas de
contato totalmente identificáveis. Seu relatório provou ser o pano de
fundo da ciência forense.
Usando o princípio de Locard, os criminalistas analisam as fibras da
cena do crime e são capazes de identificar os menores detalhes –
tipo de roupas, origem e até o fabricante. Através de uma simples
fibra, a análise pode afirmar a presença de um suspeito no local e
conseguir sua condenação.
Definições
• Criminalística (“forensics”) : “Ciência auxiliar do Direito Penal
que tem como objeto a descoberta de crimes e a identificação
de seus autores”
• Evidência/Prova Digital : qualquer informação de valor
probatório armazenada em meio digital.
• Análise Forense : “aplicação de princípios das ciências físicas
ao direito, na busca da verdade em questões cíveis, criminais
e de comportamento social para que não se cometam
injustiças...”
• Forense Computacional : conjunto de técnicas,
cientificamente comprovadas, utilizadas para coletar, reunir,
identificar, examinar, correlacionar, analisar e apresentar
evidências digitais processadas, armazenadas ou
transmitidas por computadores
Áreas da Forense
•
•
•
•
•
•
•
•
•
•
•
Criminalistica
Psiquiatria
Engenharia
Toxicologia
Jurisprudência
Endocrinologia
Odontologia
Computacional
Patologia
Biologia
Antropologia
Conhecimentos
•
•
•
•
•
•
•
•
•
•
Práticas de gerenciamento de segurança
Arquitetura e modelos de segurança
Metodologias e sistemas de controle de acesso
Segurança em desenvolvimento de aplicações
Segurança da operação
Segurança física
Criptografia
Segurança em redes, telecomunicações e Internet
Planejamento de continuidade dos negócios
Legislação, investigação e ética
* Fonte : ISC² (http://www.isc2.org)
Forense Digital
•
•
•
Aspectos gerais
– Leis
– Processos
– Motivação
– Componente humano
Aspectos Técnicos
– Estruturas de disco (CHS, RAID...)
– Sistemas de arquivos (FAT,NTFS,EXT2,EXT3...)
– Esquemas de codificação (ASCII,Unicode...)
– Formatos de arquivos (ZIP, Word, Excel...)
– Arquivos temporários
– Áreas “desperdiçadas” (file slack, RAM slack...)
– Informações em memória RAM
– Detalhes de fabricantes/modelos/interfaces de aparelhos móveis
Foco em tecnologia (hardware e software) aplicada aos aspectos
técnicos da Forense Digital (Resposta a Incidentes).
Aspectos Técnicos
• Fontes de provas/evidências :
– Computadores
• HD, disquetes, cartões de memória, dispositivos periféricos...
– Redes
• Roteadores, switches, logs
– Dispositivos móveis
• Palm, PocketPC, telefones móveis, pagers...
• Enorme volume de dados :
– Cenário típico : 6 suspeitos/usuários envolvidos.
• HDs de 60 GB + 20 CDs / suspeito + espaço em servidor
de arquivos
• = 500 GB para serem analisados
Aspectos Técnicos
•
Decisão “Vivo” x “Morto”
– Analisar sistema suspeito em funcionamento (“vivo”) ou desligá-lo
(“morto”).
– “Vivo”
• capacidade de obter informações voláteis em memória RAM
• Impossibilidade de evitar alterações
– “Morto”
• Como desligar ? Shutdown x Desligar da tomada
• Desligar(?) e realizar duplicação forense.
• Trabalhar na cópia !!!!
•
Etapas Macro :
– Duplicação Forense
– Análise e Investigação
– Apresentação de resultados
Etapas : Resposta a Incidentes
Etapas : Forense Computacional
Duplicação Forense
•
•
•
•
•
Fundamental bloqueio de escrita na mídia original.
Bloqueio de escrita com Windows
Calcular HASH (MD5, SHA-1) durante duplicação.
Alternativas :
– Software
• Linux DD
• EnCase
• SafeBack
• Ghost
– Hardware
• FastBlock, Solo 3, RoadMASSter II
Procedimento de duplicação é enorme “gargalo”
– Exemplo : 1 HD 60 GB :
• 10/12 horas por Software
• 20 minutos com Hardware (até 3.6 GB / minuto nos
equipamentos Solo 3 e RoadMASSter II)
Análise / Investigação
•
•
•
•
•
•
•
Alta complexidade
Enorme número de diferentes aplicações :
– Browsers : IE, Mozilla, Firefox, Opera...
– E-Mail : Outlook, Outlook Express, Lotus Notes, Eudora,
Thunderbird...
– P2P : Kazaa, e-Mule, Morpheus, BitTorrent...
Diversos fabricantes e modelos de telefones móveis (Nokia, Siemens,
Samsung, Sony...)
Infinidade de formatos de arquivos
Detalhes específicos de funcionamento de sistemas operacionais :
– Windows 9x, Windows NT, Windows 2000, Windows XP, Windows
2003, RedHat, Suse, SlackWare, Solaris...
Enorme número de arquivos (80.762 neste notebook)
Detalhes técnicos específicos e obscuros, ex: NTFS Streams
Análise / Investigação
• Software pode automatizar :
– Análise de HASH
– Análise de Assinatura (extensão x formato do arquivo)
– Reconstrução de arquivos estruturados (ZIP, Office, Registry...)
– Visualização no tempo de atributos
– Filtros por características de arquivos (tipo, tamanho, datas)
– Consulta por palavras chaves / expressões regulares
– Histórico de acesso Internet (para browsers comuns)
– Histórico de uso de WebMail (Hotmail, Yahoo...)
– Histórico de uso de programas P2P
– Logs de sistema (event viewer, syslog...)
– Documentos impressos (arquivos de spool temporários)
– Busca em áreas “desperdiçadas” (file slack, ram slack...)
Onde mora o perigo…
Onde estão as provas nos incidentes
de segurança?
• Nas mensagens de E-mail são emitidos ou recebidos, data e hora,
o IP do autor;
• Numa rede de computadores , nos arquivos de “logs”, nas
tabelas de alocação de arquivos ,nos arquivos e apagados
;
• No trafego da rede através de programas como o “sniffer” e outros,
podemos colher informações.
Perícia Forense Aplicada a Redes de
Computadores
• Define-se perícia forense aplicada a redes como o estudo do
tráfego de redes, para procurar a verdade em questões cíveis,
criminais e administrativas para proteger usuários e recursos de
exploração, invasão de privacidade e qualquer outro crime
promovido pela contínua expansão das conexões em rede.
Análise Pericial
• A análise pericial é o processo para descobrir
informações valiosas, a busca e extração de dados
relevantes para uma investigação e são divididas em
duas camadas : análise física e análise lógica.
• A análise física é a pesquisa de seqüências e a extração
de dados de toda a imagem pericial, dos arquivos
normais às partes inacessíveis da mídia.
• A análise lógica consiste em analisar os arquivos das
partições.
Passos para analise pericial
• Delimitação de fonte de análise
( o que se deseja investigar)
• Preservação da prova
(visualizar e pesquisar sem alterar)
• Análise
(filtrar informações desejadas)
• Apresentação de evidência
( aos orgãos e/ou pessoas responsáveis( juízes,
advogados)
Ferramentas
Capturando os Dados
•
FastBlock Lab Edition (LE)
•
FastBlock Field Edition (FE)
•
ImageMASSter Solo 3
•
RoadMASSter II
http://www.icsforensic.com
Equipamentos para duplicação
•ICS – Intelligent Computer Solutions
RoadMASSter II
•
•
•
•
Processador Pentium 4 3.2 Ghz
2 GB de memória RAM
Suporta HDs SCSI, ATA, SATA
Suporta dispositivos de memória em estado
sólido
• Transferências superiores a 3 GB / minuto
• Suporta Hash MD5, SHA-1, SHA-2 e
correção de erro CRC32
• WipeOut – zera HDs usado para armazenar
imagens suspeitas com velocidade de até 3
GB / minuto – seguindo padrão DoD.

Equipamentos para duplicação

Equipamentos para duplicação
•ICS – Intelligent Computer Solutions
ImageMASSter Solo III
•
•
•
•
•
•
•
•
•
•
•
Taxa de transferência até 3.3 GB / minuto
Interface Touch-Screen
Hash MD5 ou CRC32
Integração com dispositivo biométrico opcional
Interfaces FireWire e USB 2.0
Suporta HDs ATA, SATA e SCSI (usando interface
SCSI PCMCIA opcional)
Captura HD suspeito para 2 HDs simultaneamente.
Bloqueio de escrita
Compatibilidade com DD
“Sanitize” HD de provas (zera HD de acordo com
padrões do DoD para uso em outros processos de
investigação)
Pode capturar para DVD-RW através de kit opcional

Forense em Celulares
•Micro Systemation
• Unidade de comunicação que se conecta
ao micro do investigador via porta USB.
• Kit de cabos com conector específico
para cada aparelho em uma ponta, e
conector USB para a unidade de
comunicação em outra.
• Leitor de cartões SIM para aparelhos
GSM.
• Software .XRY
• Visualizador .XRY : Pode ser distribuído
gratuitamente.
• Documentação em formato PDF,
incluindo detalhada documentação sobre
aparelhos suportados.

O profissional forense
•São características interessantes para um investigador na aplicação de
técnicas de forense computacional:
- Conhecimento e entendimento profundo do funcionamento de sistemas de
arquivos, e padrões de comunicação em redes de computadores;
- Familiaridade com as ferramentas, técnicas, estratégias e metodologia de
ataques ;
-Faro investigativo;
-Conhecimento da legíslacão envolvida.
Maiores Informações
www.techbiz.com.br
www.guidancesoftware.net
www.helix.org
ENCASE COMPUTER FORENSICS
ENCASE CERTIFIED EXAMINER STUDY
GUIDE
Autor: BUNTING, STEVE
Autor: WEI, WILLIAM W. S.
Editora: JOHN WILEY CONSUMER
PERICIA FORENSE COMPUTACIONAL TEORIA E PRATICA
APLICADA
Autor: FARMER, DAN
Autor: VENEMA, WIETSE
Editora: PRENTICE HALL BRASIL
OBRIGADA PELA ATENÇÃO!
●
[email protected]