Minicurso Forense

Forense Computacional: fundamentos, tecnologias e desafios atuais
Evandro Della Vecchia Pereira, Leonardo Lemes Fagundes, Paulo Neukamp, Glauco Ludwig, Marlom Konrath Universidade do Vale do Rio dos Sinos (UNISINOS) evandrodvp@unisinos.br
SBSeg 2007
Autores
Mestre em Cincia da Computao pela UFRGS, Bacharel em Cincia da Computao pela PUCRS. Atualmente perito criminal do Estado do Rio Grande do Sul (SSP/IGP Instituto Geral de Percias) e professor da Graduao Tecnolgica em Segurana da UNISINOS. Contato: evandrodvp@unisinos.br Mestre em Computao Aplicada e Bacharel em Informtica - Hab. Anlise de Sistemas pela Universidade do Vale do Rio dos Sinos UNISINOS. Atualmente coordenador executivo e professor da Graduao Tecnolgica em Segurana da UNISINOS. Contato: llemes@unisinos.br Tecnlogo em Segurana da informao Graduado na Universidade do Vale do Rio dos Sinos UNISINOS. Criador e mantenedor da distribuio FDTKUbuntuBr (Forense Digital ToolKit), Analista de suporte em uma multinacional qumica em Novo Hamburgo - RS. Contato: pneukamp@gmail.com Mestre em Computao Aplicada e Especialista em Redes de Computadores pela Universidade do Vale do Rio dos Sinos UNISINOS. Atualmente professor da Graduao Tecnolgica em Segurana, Desenvolvimento de Jogos e Engenharia da Computao desta instituio. Contato: glaucol@unisinos.br Mestre em Computao Aplicada e Bacharel em Informtica (Anlise de Sistemas) pela Universidade do Vale do Rio dos Sinos UNISINOS. Atualmente trabalha em uma empresa de desenvolvimento de software em So Paulo. Possui interesse nas reas: Peer-to-Peer, Redes e Segurana. Contato: marlomk@unisinos.br 2
Roteiro
Introduo Cdigos maliciosos (malware) Forense computacional Tcnicas forenses Exame dos dados Ferramentas forenses Estudos de caso Desafios atuais em forense computacional Consideraes finais
Introduo
Cyber crime: so utilizados dispositivos eletrnicos, computadores e Internet
Mais difcil de ser investigado devido possibilidade de anonimato As evidncias podem estar distribudas em diversos servidores
Segundo estatsticas, em 2006, aproximadamente U$200.000.000,00 foram perdidos em fraudes eletrnicas

Ex.: Nigerian Letter Fraud Cerca de 76% dos casos reportados tiveram o e-mail como meio de comunicao com a vtima
Introduo
Ocorrncias mais comuns:
Calnia, difamao e injria via e-mail Roubo de informaes confidenciais Remoo de arquivos
Outros crimes:
Pedofilia Fraudes Trfico de drogas via Internet
Introduo
Investigaes comeam a depender de conhecimento tcnico para desvendar crimes cibernticos forense computacional Forense Computacional pode ser definida como a inspeo cientfica e sistemtica em ambientes computacionais, com a finalidade de angariar evidncias derivadas de fontes digitais para que seja possvel promover a reconstituio dos eventos encontrados (podendo assim, determinar se o ambiente em anlise foi utilizado na realizao de atividades ilegais ou no autorizadas)
Cdigos maliciosos (Malware)

Conjunto de instrues executadas em um computador e que fazem o sistema realizar algo que um atacante deseja Cada malware classificado em uma ou mais categorias, de acordo com aes que este realiza Geralmente conhecidos como vrus ou trojans (cavalos de tria), mas existem outras categorias:
Backdoors Spywares Worms Keyloggers Rootkits Bots
7
Cdigos maliciosos - Vrus

Possuem a capacidade de se auto-replicarem Um vrus considerado uma funo computvel que infecta qualquer programa. Um programa infectado pode realizar trs aes, disparadas conforme as entradas:
Ser executado para propagar a infeco Danificar o sistema Se faz passar por algum programa
Uma das caractersticas de um vrus: necessidade de anexar-se a um arquivo hospedeiro

Arquivo executvel Setor de inicializao Documento que suporte macros
8

Propagao de vrus:
Mdias removveis E-mails Downloads Diretrios compartilhados
Os vrus possuem diferentes classificaes, de acordo com autores de publicaes Vrus acompanhantes: no infectam arquivos executveis, mas utilizam o mesmo nome, com extenso diferente (aquela que tem prioridade)
Ex.: Se o usurio clicar em Iniciar Executar, e digitar notepad, ser executado um arquivo com nome notepad e com qual extenso?
9
10

Nos vrus que infectam um arquivo executvel, modificando seu cdigo, a infeco pode ser feita:
No incio do arquivo. Ex.: Nimda No fim do arquivo (mais utilizado). Ex.: Natas
Alguns vrus podem se instalar nos primeiros setores lidos durante a inicializao de um S.O. (vrus de boot) Ex.: Michelangelo Vrus de macro so executados em softwares que tm a capacidade de interpretar cdigo presente dentro dos arquivos de dados
Microsoft Word, ex.: Melissa
11

Vrus simples: no fazem nada muito significativo alm de replicarse, podendo consumir toda memria. Ex.: Jerusalem. Vrus com auto-reconhecimento: detectam um sistema j infectado atravs de alguma assinatura, no gerando duplicidade de infeco. Ex.: Lehigh. Vrus invisveis: interceptam chamadas de sistemas para tentar esconder a sua presena. Ex.: Tequila, Frodo. Vrus com arsenal: empregam tcnicas para dificultar a anlise de seu cdigo e podem atacar antivrus presentes no sistema. Ex.: Whale, Samara.1536. Vrus polimrficos: infectam novos alvos com verses modificadas ou criptografadas de si mesmo. Ex.: V2P6, Nuah.
12
Cdigos maliciosos - Backdoor

Software que permite uma entrada pela porta dos fundos Habilita um atacante a furar os controles normais de segurana de um sistema, ganhando acesso ao mesmo atravs de um caminho alternativo Normalmente opera sobre Telnet, rlogin ou SSH Tipicamente fornece uma das seguintes funcionalidades ao atacante:
Aumento dos privilgios locais Acesso remoto e execuo de comandos Controle remoto da interface grfica
13

Netcat (canivete suio): pode ser utilizado como um backdoor
Pode executar praticamente qualquer comando em uma mquina e desvia a entrada/sada padro para uma conexo de rede Pode-se programar para escutar em uma porta UDP ou TCP (mquina alvo) Exemplo: -l = listening, -p = porta, -e = comando, -vv = modo detalhado de visualizao
14

Virtual Network Computing (VNC): utilizado comumente para administrao remota
15
Cdigos maliciosos Cavalo de Tria

Comumente chamado de trojan (trojan horse) um programa que se mascara ou aparenta possuir um propsito benigno, mas que arbitrariamente realiza aes maliciosas Normalmente no capaz de replicar-se automaticamente As aes de um cavalo de tria podem variar, mas geralmente instalam backdoors Para no ser descoberto, comum que cavalos de tria tentem disfarar-se de programas legtimos
16
17

Outra prtica comum um programa cavalo de tria ser combinado com um programa executvel normal em um nico executvel Programas que juntam dois ou mais executveis so chamados de wrappers, ex.: File Joiner
18
Cdigos maliciosos Spyware

Software que auxilia a coleta de informaes sobre uma pessoa ou organizao sem o seu conhecimento
Pode enviar informaes a algum sem o consentimento do proprietrio Pode tomar o controle do computador sem que o usurio saiba
Pesquisa conduzida pela Dell (set/2004)

Aproximadamente 90% dos PCs com Windows possuam no mnimo um spyware
Este tipo de software foi responsvel por metade das falhas em ambientes Windows reportados por usurios da Microsoft
19

Advertising displays: cdigos que mostram anncios de vrios tipos no PC do usurio; Automatic download software: instalam outros softwares sem o conhecimento e consentimento do usurio; Autonomous spyware: programas que so executados fora de um navegador Web, normalmente sendo executados na inicializao e permanecendo indetectveis pelo usurio; Tracking software: programas que monitoram os hbitos de um usurio ou os dados fornecidos por ele em pginas web e enviam estas informaes pela Internet para algum servidor remoto;
20
21

Anti-spywares mais conhecidos:
Spybot Search and Destroy Ad-Aware Pest Patrol Microsoft Windows Defender
Recentemente os softwares de antivrus comearam tambm a detectar e remover este tipo de cdigo malicioso
22
Cdigos maliciosos Worm

Caracterizados como programas que se auto-propagam por meio de uma rede de computadores explorando vulnerabilidades em servios usados em larga escala No necessita de interveno humana para se disseminar Considerados uma das maiores ameaas virtuais
No Brasil chega a atingir 65% dos incidentes de segurana (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil (CERT.br) - perodo de Janeiro a Maro de 2007)
Um worm pode ter as mais diversas finalidades:

espalhar-se consumindo largura de banda causar ataques de negao de servio apagar arquivos enviar arquivos por e-mail instalar outros malwares como keyloggers, rootkits e backdoors
23

Exemplo: Code red
1. O worm tenta conectar-se na porta TCP 80 de mquinas selecionadas aleatoriamente. No caso de obter conexo, o atacante envia uma requisio HTTP GET para o alvo. A presena da seguinte string em um log de um servidor web pode indicar o comprometimento do servidor por parte do Code Red: /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u 6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090 %u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00 =a
24

2. Uma vez executado, o worm faz uma busca pelo arquivo c:\notworm. Caso esse arquivo seja encontrado, a execuo do Code Red cancelada. Caso contrrio, o worm gera 100 threads; 3. Se a data do sistema invadido for anterior ao dia 20 do ms, 99 threads so usadas para a tentativa de invadir mais sistemas; 4. A centsima thread responsvel por modificar a pgina principal do servidor Web (caso a linguagem padro do sistema seja o ingls), a qual passar a exibir a mensagem: HELLO! Welcome to http://www.worm.com! Hacked by Chinese!. Essas alteraes so realizadas sem modificar o arquivo da pgina no disco fsico, mas sim, na memria; 5. Caso a data do sistema for entre os dias 20 e 28, o worm tenta ento disparar um ataque de negao de servio ao domnio www.whitehouse.com; 6. Caso a data seja superior ao dia 28, a execuo do worm cancelada.
25
Cdigos maliciosos Keyloggers

Tipo de spyware cuja finalidade capturar tudo o que for digitado em um determinado computador As intenes no uso de um keylogger podem ser as mais diversas:
monitorar as atividades dos funcionrios de uma determinada empresa capturar conversas em programas de mensagens instantneas capturar informaes e senhas bancrias
As informaes obtidas podem ento ser enviadas pela Internet para:

o gerente da empresa (com ou sem consentimento do funcionrio) um atacante (sem o consentimento do usurio)
26

Hardware keylogger: trata-se de um dispositivo fsico posicionado entre o teclado e o computador da vtima
27

Sofware keylogger usando um mecanismo de hooking: um hook trata-se de uma rotina que tem como objetivo ficar no meio do caminho do tratamento normal da execuo de informaes do S.O. Kernel keylogger: trabalha no nvel do kernel e usa suas prprias rotinas para receber os dados diretamente dos dispositivos de entrada (no caso, o teclado).
mtodo mais difcil de ser desenvolvido, por exigir um elevado conhecimento de programao Mais difcil de ser detectado (substitui as rotinas padro do S.O. e inicializado como parte do prprio sistema) No so capazes de capturar informaes que so trocadas diretamente no nvel de aplicaes (ex: operaes de copiar e colar e operaes de autocompletar) Exs.: THC vlogger, ttyrpld
28

Um dos mais conhecidos: BPK (Blazing Perfect Keylogger)
Baseado em hooking Processo de instalao simples Interface amigvel Preo acessvel: U$ 34,95 Verso de avaliao disponvel Pode ser executado em modo background e ficar invisvel ao gerenciador de tarefas do Windows!
Nos ltimos anos foi desenvolvido tambm o conceito de screenlogger

Obtm uma cpia (screenshot) da tela do computador da vtima assim que um clicar do mouse for efetuado. Alguns keyloggers possibilitam a captura de tela a cada perodo de tempo, formando um filme (videologger)
29
30
31
Cdigos maliciosos Rootkits

Conjunto de programas usado por um atacante para que o mesmo consiga ocultar sua presena em um determinado sistema e, ainda, para permitir acesso futuro a esse sistema Rootkits tradicionais: caracterizados por verses modificadas de comandos do sistema, como ls, ps, ifconfig e netstat.
Esses comandos passaram a ser programados para ocultarem do administrador do sistema os processos, os arquivos e as conexes utilizadas pelo atacante. Ex.: ifconfig substitudo por uma verso maliciosa que oculta o fato de uma determinada interface de rede estar sendo executada em modo promscuo
32
Cdigos maliciosos Rootkits

Rootkits baseados em LKM (Loadable Kernel Modules): funcionam alterando as chamadas do sistema.
Normalmente altera as chamadas do sistema que permitem listar os mdulos de kernel instalados. O processo de deteco desses malwares muito mais difcil, pois os comandos do sistema continuam inalterados e o prprio kernel responder s requisies.
33
Cdigos maliciosos Bots

H trs atributos que caracterizam um bot (nome derivado de Robot):
Existncia de um controle remoto Implementao de vrios comando Mecanismo de espalhamento, que permite ao bot espalhar-se ainda mais.
Tipicamente um bot conecta-se a uma rede IRC (Internet Relay Chat) e fica esperando por comandos em um canal especfico Ao identificar seu mestre, o bot ir realizar o que lhe for ordenado atravs de comandos.
Ataques de negao de servio Spam ...
34
Forense Computacional - Introduo

Objetivo: a partir de mtodos cientficos e sistemticos, reconstruir as aes executadas nos diversos ativos de tecnologia utilizados em cyber crimes. A forense aplicada tecnologia muito recente, porm a cincia forense como um todo existe h muito tempo.
Historiador romano Virtrvio relata que Arquimedes foi chamado pelo rei Hieron para atestar que a coroa encomendada junto a um arteso local no era composta pela quantidade de ouro combinada previamente entre as partes (teoria do peso especfico dos corpos). No sculo VII j eram utilizadas impresses digitais para determinar as identidades dos devedores. As impresses digitais dos cidados eram anexadas s contas que ficavam em poder dos credores.
35

Sculo XX: evoluo da cincia forense
Pesquisas que conduziram identificao do tipo sanguneo e a anlise e interpretao do DNA; Publicao dos principais estudos referentes aplicao de mtodos e tcnicas utilizadas na investigao de crimes; Criado o The Federal Bureau of Investigation (FBI) uma referncia no que tange investigao de crimes e a utilizao de tcnicas forenses em diversas reas.
36

Atualmente, existem peritos especializados em diversas reas:
Anlise de documentos (documentoscopia); Balstica; Criminalstica; Gentica; Odontologia; Qumica; Computao (Forense Computacional? Forense Digital?)
37
Forense Computacional Processo de investigao

Relembrando...a forense computacional empregada:
para fins legais (ex.: investigar casos de espionagem industrial); em aes disciplinares internas (ex.: uso indevido de recursos da instituio);
O intuito obter evidncias relacionadas realizao dos eventos. Evidncias: peas utilizadas por advogados nos tribunais e cortes do mundo inteiro. Para serem consideradas provas vlidas, muito importante que o perito realize o processo de investigao de maneira cuidadosa e sistemtica.
Preservao das evidncias Documentao detalhada
38
Forense Computacional Processo de investigao

Fases de um processo de investigao:
39
Forense Computacional Coleta dos dados

Identificao de possveis fontes de dados:
Computadores pessoais, laptops; Dispositivos de armazenamento em rede; CDs, DVDs; Portas de comunicao: USB, Firewire, Flash card e PCMCIA; Mquina fotogrfica, relgio com comunicao via USB, etc.
40

Os dados tambm podem estar armazenados em locais fora de domnios fsicos da cena investigada.
Provedores de Internet Servidores FTP (File Transfer Protocol) Servidores coorporativos
Nesses casos, a coleta dos dados somente ser possvel mediante ordem judicial.
41

Aps a identificao das possveis origens dos dados, o perito necessita adquiri-los. Para a aquisio dos dados, utilizado um processo composto por trs etapas:
identificao de prioridade; cpia dos dados; garantia e preservao de integridade.
42

Identificar a prioridade da coleta: o perito deve estabelecer a ordem (prioridade) na qual os dados devem ser coletados
Volatilidade: dados volteis devem ser imediatamente coletados pelo perito. Ex.: o estado das conexes de rede e o contedo da memria Esforo: envolve no somente o tempo gasto pelo perito, mas tambm o custo dos equipamentos e servios de terceiros, caso sejam necessrios. Ex.: dados de um roteador da rede local x dados de um provedor de Internet Valor estimado: o perito deve estimar um valor relativo para cada provvel fonte de dados, para definir a seqncia na qual as fontes de dados sero investigadas
43

Exemplo: investigao de invaso de rede, ordem da coleta de dados:
dados volteis: conexes da rede, estado das portas TCP e UDP e quais programas esto em execuo; dados no-volteis: a principal fonte de dados no-volteis o sistema de arquivos que armazena arquivos:
temporrios; de configurao; de swap; de dados; de hibernao; de log.
44

Copiar dados: envolve a utilizao de ferramentas adequadas para a duplicao dos dados
Ex.: utilitrio dd (Linux) - pode ser usado para coletar os dados volteis como os contidos na memria e para realizar a duplicao das fontes de dados no-volteis.
Garantir e preservar a integridade dos dados: aps a coleta dos dados, o perito deve garantir e preservar a integridade dos mesmos
Se no for garantida a integridade, as evidncias podero ser invalidadas como provas perante a justia A garantia da integridade das evidncias consiste na utilizao de ferramentas que aplicam algum tipo de algoritmo hash
Assim como os demais objetos apreendidos na cena do crime, os materiais de informtica apreendidos devero ser relacionados em um relatrio (cadeia de custdia)
45
46
Forense Computacional Exame dos dados

Finalidade: avaliar e extrair somente as informaes relevantes investigao tarefa trabalhosa!
Capacidade de armazenamento dos dispositivos atuais Quantidade de diferentes formatos de arquivos existentes (imagens, udio, arquivos criptografados e compactados)
Em meio aos dados recuperados podem estar informaes irrelevantes e que devem ser filtradas
Ex.: o arquivo de log do sistema de um servidor pode conter milhares de entradas, sendo que somente algumas delas podem interessar investigao Muitos formatos de arquivos possibilitam o uso de esteganografia para ocultar dados, o que exige que o perito esteja atento e apto a identificar e recuperar esses dados
47

A correta aplicao das diversas ferramentas e tcnicas disponveis pode reduzir muito a quantidade de dados que necessitam de um exame minucioso
Utilizao de filtros de palavras-chave (com ou sem expresses regulares) Utilizao de filtros de arquivos, por:
Tipo Extenso Nome Permisso de acesso Caminho Etc.
48
49
50
51

Outra prtica vantajosa utilizar ferramentas e fontes de dados que possam determinar padres para cada tipo de arquivo
teis para identificar e filtrar arquivos que tenham sido manipulados por ferramentas de esteganografia, arquivos de sistema, imagens de pedofilia, etc. Projeto National Software Reference Library (NSRL): contm uma coleo de assinaturas digitais referentes a milhares de arquivos
52
Forense Computacional Anlise das informaes

Aps a extrao dos dados considerados relevantes, o perito deve concentrar suas habilidades e conhecimentos na etapa de anlise e interpretao das informaes. Finalidade: identificar pessoas, locais e eventos; determinar como esses elementos esto inter-relacionados Normalmente necessrio correlacionar informaes de vrias fontes de dados
Ex. de correlao: um indivduo tenta realizar um acesso no autorizado a um determinado servidor
possvel identificar por meio da anlise dos eventos registrados nos arquivos de log o endereo IP de onde foi originada a requisio de acesso Registros gerados por firewalls, sistemas de deteco de intruso e demais mecanismos de proteo 53
Forense Computacional Anlise das informaes

Alm de consumir muito tempo, a anlise de informaes est muito suscetvel a equvocos, pois depende muito da experincia e do conhecimento dos peritos. Poucas ferramentas realizam anlise de informaes com preciso.
54
Forense Computacional Resultados

A interpretao dos resultados obtidos a etapa conclusiva da investigao. O perito elabora um laudo pericial que deve ser escrito de forma clara e concisa, elencando todas as evidncias localizadas e analisadas. O laudo pericial deve apresentar uma concluso imparcial e final a respeito da investigao.
55

Para que o laudo pericial torne-se um documento de fcil interpretao indicado que o mesmo seja organizado em sees:
Finalidade da investigao Autor do laudo Resumo do incidente Relao de evidncias analisadas e seus detalhes Concluso Anexos Glossrio (ou rodaps)
56

Tambm devem constar no laudo pericial:
Metodologia Tcnicas Softwares e equipamentos empregados
Com um laudo bem escrito torna-se mais fcil a reproduo das fases da investigao, caso necessrio.
57
Forense Computacional Live forensics

Qual o melhor procedimento, desligar os equipamentos ou mantlos operando a fim de executar os procedimentos de uma investigao?
Ex.: IDS gera alerta que o servidor Web da empresa est sendo atacado, o que fazer no servidor?
Deslig-lo (o que pode representar a perda de dinheiro para a instituio, mas garante o tempo e as condies necessrias para que os peritos realizem as suas atividades)? Mant-lo ligado (coletar dados volteis, correndo o risco de contaminao das evidncias)?
58

Pode ser considerada uma fotografia da cena do crime. Tem como objetivo obter o mximo de informaes relacionadas ao contexto:
estado das conexes contedo da memria dados referentes aos processos em execuo
Quando realizada de forma correta, complementa e contribui para que o resultado da investigao seja conclusivo e preciso.
59

Em cenrios em que os dispositivos no foram desligados importante que as ferramentas utilizadas para executar os procedimentos forenses no tenham sido comprometidas para evitar:
Gerao de dados falsos: caso um rootkit esteja instalado; Omisso de informaes, ex.: ocultar processos em execuo no sistema operacional ou no mostrar determinadas entradas do arquivo de log do servidor.
Rootkits podem:
Modificar as ferramentas (comandos) do sistema operacional e assim permanecerem com acesso ao host e no serem identificados; Inserir filtros em determinadas partes do S.O. que impedem a visualizao de algumas informaes;
60
61

A fim de evitar os riscos mencionados, sugere-se que o perito utilize um live CD com um conjunto de ferramentas apropriadas e que sejam confiveis, pois isso servir como contramedida para rootkits que atuam no nvel da aplicao e de bibliotecas Atualmente, existem algumas distribuies Linux voltadas a Forense Computacional
FDTK (Forense Digital ToolKit): baseado na anlise de 10 distribuies voltadas a Forense Computacional, conta com quase 100 ferramentas, organizadas de acordo com as fases de um processo de investigao.
http://fdtk-ubuntubr.110mb.com/
62

Contornar os problemas com rootkits que atuam no nvel do kernel mais complicado porque no h como acessar a memria ou o hardware sem passar pelo kernel
Principal recomendao utilizar os detectores de rootkits, mas esse tipo de ferramenta pode interferir no sistema de alguma forma
63

importante relembrar que o perito deve:
manter uma lista contendo hash de todas as evidncias coletadas, para garantir a integridade; ter em mente que alguns dados so mais efmeros do que outros e, portanto, a ordem de volatilidade deve ser considerada no momento da coleta dos dados.
Em suma, alm dos tipos de dados que podem ser coletados, a diferena mais significativa entre live e post-mortem analysis o grau de confiana existente nos resultados obtidos.
Ferramentas e comandos instalados no sistema investigado podem ter sido modificados para produzir dados falsos e tambm porque qualquer erro do perito pode contaminar ou alterar os dados existentes.
64
Tcnicas Forenses
Relembrando...Boas prticas que antecedem a coleta dos dados:
Esterilizar todas as mdias que sero utilizadas ou usar mdias novas a cada investigao Certificar-se de que todas as ferramentas (softwares) que sero utilizadas esto devidamente licenciadas e prontas para utilizao Verificar se todos os equipamentos e materiais necessrios (por exemplo, a estao forense, as mdias para coleta dos dados, etc.) esto a disposio Quando chegar ao local da investigao, o perito deve providenciar para que nada seja tocado sem o seu consentimento, com o objetivo de proteger e coletar todos os tipos de evidncias Os investigadores devem filmar ou fotografar o ambiente e registrar detalhes sobre os equipamentos como: marca, modelo, nmeros de srie, componentes internos, perifricos, etc. Manter a cadeia de custdia.
65
Tcnicas Forenses Coleta de dados volteis

A primeira ao a ser tomada manter o estado do equipamento (ligado dados volteis ou desligado dados no-volteis) Conexes de rede: os sistemas operacionais oferecem recursos que permitem visualizar informaes sobre as conexes de rede atuais. (endereos IP de origem e destino, estado das conexes e o programa associado a cada uma das portas, etc.)
66

Sesses de Login: dados como a lista dos usurios atualmente conectados, o horrio em que a conexo foi realizada e o endereo de rede de onde partiu essas conexes podem ajudar na identificao:
dos usurios; das aes realizadas; do horrio em que essas atividades foram executadas
auxiliam na correlao!
Contedo da memria: o espao de troca e a memria principal normalmente contm os dados acessados recentemente:
senhas e os ltimos comandos executados; resduos de dados nos espaos livres ou que no esto em utilizao.
67

Processos em execuo: lista o estado de cada um dos processos do sistema. Arquivos abertos: comandos como o lsof (Linux) geram uma lista contendo o nome de todos os arquivos que esto abertos no momento. Configurao de rede: incluem informaes como o nome da mquina, o endereo IP e o MAC Address de cada uma das interfaces de rede. Data e hora do sistema operacional: a data e hora atual do sistema e as configuraes de fuso horrio.
68
Tcnicas Forenses Coleta de dados no volteis

Cpia lgica (Backup): as cpias lgicas gravam o contedo dos diretrios e os arquivos de um volume lgico. No capturam outros dados:
arquivos excludos; fragmentos de dados armazenados nos espaos no utilizados, mas alocados por arquivos.
Imagem: imagem do disco ou imagem bit-a-bit inclui os espaos livres e os espaos no utilizados:
mais espao de armazenamento, consomem muito mais tempo; permitem a recuperao de arquivos excludos e dados no alocados pelo sistema de arquivos. Exemplo: setor de 4KB, arquivo com 9KB (3 setores ocupados) Parte utilizada pelo arquivo Parte no utilizada pelo arquivo
69
70

A principal fonte de dados no-volteis o sistema de arquivos que armazena diversos tipos de dados:
Arquivos temporrios: durante a instalao e execuo das aplicaes so gerados arquivos temporrios, que nem sempre so excludos ao desligar os equipamentos Arquivos de configurao: fornecem uma srie de informaes, como a lista dos servios que devem ser ativados durante o processo de inicializao, a localizao de arquivos de log, a relao de grupos e usurios do sistema, etc. Arquivos de swap: fornecem dados sobre aplicaes, nome e senha de usurios, entre outros tipos de dados
71

Arquivos de Dados: so aqueles arquivos gerados por softwares como editores de texto, planilhas, agendas, etc. Arquivos de Hibernao: arquivos de hibernao so criados para preservar o estado do sistema e contm dados sobre a memria do dispositivo e os arquivos em uso. Arquivos de Log: normalmente os sistemas operacionais registram diversos eventos relacionados ao sistema.
72

Durante a aquisio dos dados muito importante manter a integridade dos atributos de tempo mtime (modification time), atime (access time) e ctime (creation time) MAC Times.
Modificao: registro da data e hora em que ocorreu a ltima alterao no arquivo; Acesso: registro da data e hora em que ocorreu o ltimo acesso ao arquivo; Criao: registro da data e hora em que o arquivo foi criado.
73
74
Exame dos dados

Aps a restaurao da cpia dos dados, o perito inicia o exame dos dados coletados e faz uma avaliao dos dados encontrados:
arquivos que haviam sido removidos e foram recuperados; arquivos ocultos; fragmentos de arquivos encontrados nas reas no alocadas; fragmentos de arquivos encontrados em setores alocados, porm no utilizados pelo arquivo.
Finalidade: localizar, filtrar e extrair somente as informaes que possam de alguma maneira contribuir para a reconstruo dos eventos que deram origem investigao.
75
Exame dos dados Extrao dos dados

A extrao manual dos dados um processo difcil e demorado:
exige do perito conhecimento aprofundado, principalmente, sobre o sistema de arquivos; existem algumas ferramentas disponveis que podem automatizar o processo de extrao dos dados, bem como na recuperao dos arquivos excludos.
76
Exame dos dados Localizao de arquivos

O perito no deve se basear apenas na extenso de arquivos (Windows)
Arquivos podem armazenar outros dados (esteganografia em udio, vdeo e imagem) Usurios espertos podem modificar a extenso utilizar ferramentas de anlise de cabealhos (assinatura de arquivo), site: http://filext.com/ No funciona para Linux comando file
77
78

A criptografia est freqentemente presente entre os desafios enfrentados pelos peritos
Criptografia de arquivos, pastas, volumes ou parties Em alguns casos no possvel decriptografar esses arquivos, pois mesmo com a ajuda de ferramentas como John the Ripper, esta tarefa pode exigir um tempo excessivo para a descoberta da senha
Para identificar o uso de esteganografia, normalmente se utiliza histogramas, mas a presena de programas de esteganografia uma evidncia de que arquivos podem ter sido esteganografados.
Uma vez determinada a presena de arquivos que tenham sido submetidos esteganografia, importante empregar tcnicas de esteganoanlise.
79

Imagem original (1) Imagem a ser escondida (2)
Imagem (1) + (2)

Fonte: http://www.ene.unb.br/~juliana/cursos/pimagens/projetos/alunos/alaorandre
80
Exame dos dados Anlise dos dados

A escolha das ferramentas a serem utilizadas nesta fase depende de cada caso, exemplo: ataque ou tentativa de invaso
1. Ferramentas que auxiliem na identificao da origem do ataque (endereo IP) 2. Identificao do responsvel 3. No caso do responsvel pelo endereo do atacante ser um ISP (Internet Service Provider), ser necessria a solicitao de um mandado judicial, pedindo informaes a respeito do seu cliente que utilizava o endereo IP identificado, na data/hora do incidente
Todas as etapas e concluses sobre as anlises realizadas devem ser devidamente registradas e ao final anexadas ao laudo pericial.
81
Exame dos dados Interpretao dos dados

Alguns procedimentos que podem ser benficos organizao da documentao necessria para a confeco do laudo pericial:
Reunir todas as documentaes e anotaes geradas nas etapas de coleta, exame e anlise dos dados, incluindo as concluses prvias j alcanadas; Identificar os fatos que fornecero suporte s concluses descritas no laudo pericial; Criar uma lista de todas as evidncias analisadas, para que as mesmas sejam enumeradas no laudo pericial; Listar as concluses que devem ser relatadas no laudo pericial; Organizar e classificar as informaes recolhidas para garantir a redao de um laudo conciso.
82
Exame dos dados Redao do laudo

Algumas das sees e informaes que podem auxiliar na redao do laudo pericial:
Finalidade do relatrio: explicar claramente os objetivos do laudo; Autor do relatrio: listar todos os autores e co-autores do relatrio, incluindo suas especialidades, responsabilidades e informaes para contato; Resumo do incidente: sntese do incidente investigado e suas conseqncias; Evidncias: descrio sobre o estado das evidncias: como, quando e por quem elas foram adquiridas no decorrer das investigaes (cadeia de custdia).
83
Exame dos dados Redao do laudo

Detalhes: descrio detalhada de quais evidncias foram analisadas, quais os mtodos utilizados e quais as concluses alcanadas Concluses: os resultados da investigao devem ser somente descritos, citando as evidncias que comprovem as concluses. A concluso deve ser clara e no oferecer dupla interpretao Anexos: documentao referente investigao (diagramas da rede, formulrios descritivos dos procedimentos utilizados, formulrio de cadeia de custdia, informaes gerais sobre as tecnologias envolvidas na investigao, contedo dos dados encontrados
84
Ferramentas Forenses
Algumas ferramentas forenses sero mostradas nas etapas:
Coleta dos dados Exame dos dados Anlise dos dados
85
Ferramentas Forenses Coleta dos dados

dd (Disk Definition) dcfldd (Department of Defense Computer Forensics Lab Disk Definition): verso aprimorada do dd, com mais funcionalidades:
gerao do hash dos dados durante a cpia dos mesmos visualizao do processo de gerao da imagem diviso de uma imagem em partes
Automated Image & Restore (AIR): interface grfica para os comandos dd/dcfldd
gera e compara automaticamente hashes MD5 ou SHA produz um relatrio contendo todos os comandos utilizados durante a sua execuo elimina o risco da utilizao de parmetros errados por usurios menos capacitados
86
Ferramentas Forenses Coleta dos dados
87
Ferramentas Forenses Exame dos dados

Utilizando assinaturas de arquivos (ex.: projeto National Software Reference Library (NSRL)), a quantidade de arquivos a ser analisada pode ser reduzida significativamente
http://www.nsrl.nist.gov/Downloads.htm#isos Total de 43.103.492 arquivos, distribudos em 4 discos
88
Ferramentas Forenses Exame dos dados

Diversas ferramentas j permitem a utilizao dos bancos de dados citados, por exemplo:
Encase Autopsy pyFLAG
89
Ferramentas Forenses Anlise dos dados

Utilitrios para construo da linha de tempo dos eventos
Mactime: permite que a partir das informaes contidas nos metadados dos arquivos e diretrios, uma viso cronolgica dos acontecimentos seja mostrada
Muitos arquivos importantes que fazem parte dos sistemas operacionais da famlia Windows no possuem uma clara explicao de suas estruturas
Pasco: analisa os ndices dos arquivos do Internet Explorer (index.dat), exportando os resultados em um formato de texto padro, inteligvel por humanos e que utiliza como delimitador de campos o caractere | Galleta: analisa os cookies existentes em uma mquina e separa as informaes teis em campos para que possam ser manipuladas por outros programas
90
Ferramentas Forenses Anti-forense

Objetivo: destruir, ocultar ou modificar as evidncias existentes em um sistema a fim de dificultar o trabalho realizado pelos investigadores
Tambm podem ser utilizadas antes de venda ou doao de mdias a outras pessoas (evita recuperao de dados)
Destruio dos Dados: para impedir ou pelo menos dificultar a recuperao dos dados, so utilizadas ferramentas conhecidas como wiping tools para a remoo dos dados
Wipe secure-delete pgp wipe The Defiler's Toolkit.
91

Ferramentas de destruio de dados empregam uma variedade de tcnicas para sobrescrever o contedo dos arquivos
Sobrescrita de bits 1 Sobrescrita de bits 0 Sobrescrita de bits aleatrios Combinao das anteriores n vezes
Alm da destruio lgica, o atacante pode danificar fisicamente as mdias utilizadas
92

Ocultao dos Dados: os dados de um arquivo podem ser escondidos pelo menos de duas formas:
fragmentando um arquivo e armazenando esses fragmentos em espaos no alocados ou naqueles marcados como bad blocks utilizando recursos como Alternate Data Stream (ADS), existente em sistemas de arquivos NTFS, que possibilitam esconder arquivos que no sero visualizados por comandos de listagem de contedo
Criptografia e esteganografia podem ser aplicados em arquivos, tornando-se uma barreira difcil de ser superada
Utilizar ferramentas de esteganoanlise em uma mdia de 80GB requer muito tempo e na prtica nem sempre algo vivel de se realizar O mesmo ocorre quando se trata de arquivos criptografados
93

Os rootkits (conforme mostrado anteriormente) implementam mtodos eficientes para ocultar informaes como arquivos e dados Modificao dos Dados: os mtodos mais comuns para realizar a modificao dos dados so:
alterar a extenso dos arquivos alterar o contedo do cabealho dos arquivos
Outros mtodos de modificao incluem a alterao dos atributos de tempo, atravs de ferramentas como touch e timestamp, e ataques de coliso em hash do tipo MD5 Algumas ferramentas:
Metasploit Anti-Forensic Investigation Arsenal (MAFIA) Windows Memory Forensic Toolkit
94
Estudos de caso
Com base em investigaes reais, quatro estudos de caso sero apresentados Acesso remoto de uma empresa outra, considerado pela denunciante como indevido (sem permisso) Investigao de um possvel roubo de informaes, mais especificamente, de dados bancrios Investigaes para a descoberta da origem de e-mails
Mquina suspeita (origem do e-mail) Mquina da vtima
95
Estudo de caso 1 Acesso indevido

vtima invasora X
Uma empresa vtima acusa uma outra empresa (invasora) de ter acessado um sistema X atravs da rede da vtima O sistema X possui informaes fundamentais para determinado ramo empresarial
O acesso ao mesmo controlado e existe a cobrana de uma mensalidade Para evitar que mais de uma empresa utilize o sistema com o pagamento de apenas uma mensalidade, a autenticao baseada no endereo IP
96

Os responsveis pela auditoria do sistema X verificaram que havia mais de uma empresa acessando o sistema atravs da rede da vtima O acesso foi bloqueado, ocasionando grande prejuzo empresa vtima, visto que ela possua clientes que dependiam de informaes acessadas no sistema X A empresa vtima verificou em seus logs o acesso remoto da empresa invasora, os imprimiu e levou s autoridades para investigao As autoridades decidiram apreender os computadores da empresa invasora, o que pode ser considerado por muitos uma deciso arriscada:
A empresa dependia do uso dos mesmos para trabalhar Logs podem ser facilmente construdos ou manipulados (texto!)
97

Metodologia aplicada: post mortem forensic, visto que os computadores foram enviados aos peritos Todos computadores foram fotografados (internas e externas), identificados e seus componentes foram descritos Todas as mdias encontradas foram associadas ao computador em que se encontravam conectadas (CPU01, HD01-CPU01, HD02CPU01,...) Foi realizada a coleta do contedo de cada mdia. Para isto foi utilizado um disco de boot da ferramenta Encase (cpia bit-a-bit com gerao de hash)
98

Exame dos dados: como o objetivo da percia estava bem definido, identificar possveis acessos conforme os logs impressos, a seqncia dos procedimentos foi definida: Procurar em diretrios onde geralmente existem logs (Linux). No entanto, a maioria dos computadores possua sistema operacional Windows Os computadores com sistema Windows possuam diversos e-mails comerciais, documentos, entre outros Durante a anlise dos e-mails foi encontrado um contrato onde constava um acordo comercial de acesso ao sistema X pelas duas empresas, compartilhando o acesso Com a anlise mais aprofundada dos e-mails e documentos encontrados foi possvel elaborar uma lista de palavras-chave, contendo nomes de funcionrios, endereos de e-mail, nomes de empresas, entre outros Estas chaves foram colocadas no Encase e uma busca foi realizada Foram encontrados arquivos excludos, trechos de texto encontrados em parte do disco no alocada pelo sistema de arquivos e trechos de texto encontrados em setores alocados por outros arquivos
99

Alm das constataes j relacionadas, ainda foi possvel verificar em alguns casos evidncias de formatao de discos e redimensionamento de algumas parties Quanto mais se encontrava evidncias de comunicao entre as empresas, mais se encontrava palavras-chave. Assim, mais buscas eram realizadas Nenhum indcio de acesso entre as empresas havia sido encontrado at ento. Tudo indicava que as mquinas com sistema Windows eram apenas utilizadas por pessoas da rea administrativa/comercial Porm, estas informaes foram teis para mostrar que se houve acesso entre elas, tudo indicava que era um acesso lcito, pois havia inclusive um contrato entre elas Continuando as buscas, acabou sendo encontrado um desentendimento (e-mails e documentos de texto) e a parceria teria sido rompida
100

Na percia em mquinas com sistema Linux foi verificado que essas no possuam e-mails ou dados comerciais, indicando que se tratavam de servidores (servios tpicos de um provedor de acesso Internet) Foram realizadas buscas por comandos e endereos IP que poderiam gerar os logs apresentados em formato impresso Finalmente foi encontrado um comando de acesso ao endereo IP da empresa vtima! No entanto, em nenhum momento foi encontrado algum indcio de invaso propriamente dita, e sim, um acesso remoto com um usurio e senha legtimos
101

Aps reunidas as informaes e analisada a cronologia dos eventos, concluiu-se que:
havia um contrato de parceria entre as empresas envolvidas foi constatado certo desentendimento entre as empresas e a parceria teria sido interrompida foram verificadas seqncias de comandos compatveis com a gerao dos logs impressos pela empresa vtima, sendo as datas posteriores ao possvel desentendimento relatado no foi constatado nenhum tipo de ataque, foram constatados acessos legtimos utilizando credenciais autnticas e vlidas
102

Elaborao do laudo pericial:
Metodologia, como foi feita a coleta de dados Descrio do incidente, objetivo da percia Peritos designados (relator e revisor) Descrio do que foi encontrado de relevante Todos os arquivos e dados considerados relevantes para a elaborao do laudo foram gravados em CD (anexo) Garantia da integridade do CD: hash para cada arquivo, esses cdigos foram gravados em um novo arquivo. Um novo hash foi gerado no arquivo de hashes. Este ltimo foi adicionado ao laudo juntamente com a explicao de como comprovar a integridade dos arquivos. No CD foi gravado um software livre que gera cdigos hash utilizando o algoritmo MD5 e instrues de como utiliz-lo. Concluso do laudo (j descrita)
103

Importante: Se tivesse sido solicitada a presena do perito no local da apreenso, o ambiente poderia ser fotografado e detalhado
Ajudaria na identificao dos computadores de acordo com a localizao (recepo, contabilidade, servidor, etc.)
104
Estudo de caso 2 Malware

Um funcionrio de confiana possua os dados da conta bancria e senha da empresa onde trabalhava Aps a conferncia de um extrato bancrio, foi constatada a transferncia de uma grande quantia de dinheiro para outra conta Apenas este funcionrio e o dono da empresa sabiam a senha da conta bancria e ambos garantiam que a transferncia no tinha sido feita por eles Foi instaurado inqurito policial Investigaes concluram que dono da conta para a qual foi feita a transferncia era uma pessoa com poucos recursos, semianalfabeto, e que a conta havia sido aberta h poucos dias Este foi interrogado e falou que um desconhecido lhe ofereceu uma pequena quantia em dinheiro para que ele abrisse uma conta bancria e que entregasse o carto eletrnico ao tal desconhecido
105

Neste caso, a empresa vtima solicitou ao banco o ressarcimento do valor transferido, alegando que alguma fraude eletrnica deveria ter ocorrido O banco concordou, entretanto, a fraude deveria ser provada Por se tratar de suspeita de crime e no haver nenhum suspeito, a soluo adotada foi apreender (ou neste caso, solicitar) o computador utilizado pela vtima na empresa Coleta dos dados (cpia bit-a-bit e garantia de integridade) Objetivo bem definido: procurar evidncias de roubo de informaes Comeou-se a anlise das caixas de e-mail (meio mais utilizado para contato com vtimas) Foi encontrada uma mensagem de phishing scam solicitando ao usurio para clicar em um determinado link
106

Para verificar se o link ainda estava ativo, foi clicado no mesmo. O link j no estava mais ativo No entanto, era possvel verificar o nome do arquivo que seria baixado (exemplo: fotos.exe). Procurou-se ento pelo arquivo fotos.exe na imagem e o mesmo foi encontrado Alguns softwares antivrus foram executados e constatou-se que o arquivo continha o keylogger o BPK Uma pesquisa foi realizada e foi constatado que o BPK foi desenvolvido para monitorar, entre outros, filhos e esposo(a), segundo o site do fabricante
107

O keylogger este foi extrado da imagem para anlise. Nas configuraes foram encontrados:
armazenamento de logs (teclas digitadas) e telas (arquivos .gif com pedaos de tela capturada) a partir do acesso a seis sites de bancos pr-definidos envio dos arquivos gerados para um servidor FTP, com usurio e senha pr-definidos
Partiu-se para uma nova busca: evidncias de que os dados bancrios teriam sido enviados para o servidor FTP mencionado Foi realizada ento uma busca por palavras-chave sem a utilizao de expresses regulares, pois se procuravam palavras especficas, incluindo usurio e endereo IP do servidor
108

Foram encontrados indcios na memria virtual com conexes realizadas ao servidor FTP mencionado e com o usurio configurado Por se tratar de memria virtual, no foi possvel extrair grande quantidade de informao til, sem haver sujeira entre um comando e outro Contudo, os fragmentos encontrados puderam indicar a conexo com o servidor e algumas datas e horrios puderam ser coletadas em texto claro O servidor FTP encontrava-se em outro pas e possua a modalidade de contas gratuitas
Um teste foi realizado no site da empresa provedora do servio e uma conta foi criada sem informao de dados pessoais validados
109

Todas as informaes mostradas foram relatadas no laudo pericial, incluindo o endereo IP do servidor FTP, caso a investigao tivesse algum acesso a logs do servidor No foi possvel concluir que os dados da conta foram enviados a algum destinatrio, porque os arquivos de log gerados pelo BPK eram excludos de tempos em tempos Mesmo com uma busca por arquivos excludos, no foram encontrados dados relativos conta. Mas foi possvel relatar que:
que o computador estava infectado foi infectado logo aps o recebimento da mensagem com phishing scam H indcios de conexes com um servidor FTP previamente configurado no keylogger
110
Estudo de caso 3 Ameaa por e-mail (sem cabealho)

Um diretor de uma empresa recebeu uma ameaa por e-mail, com cpia a diversos membros da diretoria O diretor imprimiu o e-mail e o entregou polcia O cabealho do e-mail no foi impresso e o computador contendo o e-mail recebido no foi entregue para a percia O contedo do e-mail mencionava fatos ocorridos na empresa
Foi utilizado um Webmail Suspeitou-se que seria um dos funcionrios Os funcionrios tinham acesso a uma mquina com Internet no servio Cada funcionrio entrava com seu usurio no sistema Esta mquina foi apreendida e enviada percia
111

Objetivo da percia: verificar se aquele e-mail impresso foi originado na mquina enviada para percia Coleta dos dados: cpia bit-a-bit do disco rgido questionado No exame dos dados foram realizadas duas atividades em paralelo:
Seleo de palavras-chave com erros de grafia ou palavras muito especficas encontradas no e-mail Verificao de arquivos encontrados na pasta de arquivos temporrios da Internet
Diversos acessos a sites de Webmail foram encontrados, com um total de seis usurios diferentes Na pasta de arquivos temporrios no foi encontrado o e-mail com as ameaas nem mesmo os dados da conta de e-mail que foi utilizada
112

Antes de continuar a anlise manual, o processamento da busca foi concludo, mostrando algumas ocorrncias para as palavras-chave selecionadas Analisando as ocorrncias, foi encontrado a maior parte do e-mail dentro do arquivo de memria virtual (Windows) Antes do incio da mensagem havia o seguinte metadado: <?xml:namespace prefix = o ns = "urn:schemas-microsoftcom:office:office" Este metadado indica a utilizao de um dos aplicativos do Microsoft Office No houve uma concluso de que a mensagem foi originada na mquina analisada. Porm indcios foram encontrados, podendo ajudar na investigao
113
Estudo de caso 4 Injria por e-mail (com cabealho)

Uma mensagem de e-mail contendo injria (racismo) foi enviado para a amiga da vtima A amiga mostrou para a vtima e esta decidiu registrar ocorrncia, levando consigo o e-mail impresso O delegado decidiu ento solicitar o computador da amiga para enviar percia Neste caso, foi possvel analisar o cabealho do e-mail
114
115

Foi possvel consultar na base de dados de domnios brasileiros e os dados da empresa, como endereo, telefone do responsvel, entre outros, puderam ser coletados Estes dados foram colocados no laudo, indicando a origem do e-mail sendo a empresa descrita como detentora do domnio empresa.com.br
A empresa estava localizada na mesma cidade onde morava a vtima e o acusado Segundo informaes que a investigao passou para os peritos posteriormente, esta seria a empresa onde o acusado trabalhava
116
Desafios atuais em forense computacional Coleta dos dados

Para facilitar e agilizar a aquisio das evidncias em hosts que estejam conectados a rede, foram desenvolvidas ferramentas remotas que a partir de uma console central coletam simultaneamente dados de diversos hosts
Entretanto, este tipo de aplicao no capaz de realizar a cpia completa da memria ou inspecionar as reas de memria alocadas por um determinado processo Com este tipo de ferramenta no possvel adquirir evidncias localizadas em arquivos abertos ou referentes a processos em execuo
117
Desafios atuais em forense computacional Coleta dos dados

O desenvolvimento de padres abertos bem documentados, que contemplem acesso aos metadados, que garantam a integridade dos dados e cujas evidncias possam ser examinadas e analisadas por mltiplas ferramentas um desafio em aberto. Outras caractersticas desejveis so:
a definio da estrutura e implementao de trilhas de auditoria que gerem a cadeia de custdia a implementao das seguintes caractersticas de segurana:
mecanismos de autenticao verificao de integridade controle de acesso as evidncias no-repdio
118
Desafios atuais em forense computacional Exame dos dados

Atualmente no existem ferramentas para inspecionar e interpretar de maneira gil as estruturas de dados da memria virtual Desenvolvimento de mtodos que possibilitem identificar a presena de arquivos, cujos fragmentados foram gravados em espaos no alocados do disco tcnica utilizada por algumas ferramentas antiforense
119
Desafios atuais em forense computacional Anlise dos dados

Sistemas especialistas que possuam em suas bases de dados informaes sobre como agregar as diversas entradas dos arquivos de log distribudos pelos ativos da organizao em um nico evento e correlacionar eventos de forma automatizada, ex.: ferramenta proprietria Analysts Notebook
120
Desafios atuais em forense computacional Anlise dos dados
121
Consideraes finais
Forense computacional um tema bastante atual e que tem recebido significativa ateno tanto da comunidade cientfica quanto da indstria. Muitas fraudes eletrnicas se baseiam na ingenuidade de usurios e conseqentemente na execuo de malwares. Muitas vezes a investigao no pode prosseguir sem a verificao de computadores de suspeitos necessidade de pessoal qualificado! Sobre a anlise post mortem existe mais material disponvel para pesquisa, porm a demanda pela anlise live deve aumentar (casos de flagrante). extremamente importante seguir as boas prticas de forense para evitar o descarte de um laudo em um processo judicial.
122
Consideraes finais
H ainda muito a ser pesquisado, como mostrado em desafios atuais, muitas tarefas ainda dependem exclusivamente do perito. Novas ferramentas/bases de assinaturas de arquivos ajudariam os peritos no exame dos dados, especialmente na anlise live. O surgimento de legislao e padres a serem aplicados (Brasil) referentes forense computacional tornariam menor a chance de laudos serem inutilizados por falta de experincia dos peritos.
123
Dvidas?
Muito obrigado!
124

Minicurso Forense

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Minicurso Forense

Enviado por

Direitos autorais:

Formatos disponíveis

Forense Computacional: fundamentos, tecnologias e desafios atuais

Segundo estatsticas, em 2006, aproximadamente U$200.000.000,00 foram perdidos em fraudes eletrnicas

Cdigos maliciosos (Malware)

Cdigos maliciosos - Vrus

Uma das caractersticas de um vrus: necessidade de anexar-se a um arquivo hospedeiro

Cdigos maliciosos - Vrus

Cdigos maliciosos - Vrus

Cdigos maliciosos - Vrus

Cdigos maliciosos - Vrus

Cdigos maliciosos - Backdoor

Cdigos maliciosos - Backdoor

Cdigos maliciosos - Backdoor

Cdigos maliciosos Cavalo de Tria

Cdigos maliciosos Cavalo de Tria

Cdigos maliciosos Cavalo de Tria

Cdigos maliciosos Spyware

Pesquisa conduzida pela Dell (set/2004)

Cdigos maliciosos Spyware

Cdigos maliciosos Spyware

Cdigos maliciosos Spyware

Cdigos maliciosos Worm

Um worm pode ter as mais diversas finalidades:

Cdigos maliciosos Worm

Cdigos maliciosos Worm

Cdigos maliciosos Keyloggers

As informaes obtidas podem ento ser enviadas pela Internet para:

Cdigos maliciosos Keyloggers

Cdigos maliciosos Keyloggers

Cdigos maliciosos Keyloggers

Nos ltimos anos foi desenvolvido tambm o conceito de screenlogger

Cdigos maliciosos Keyloggers

Cdigos maliciosos Keyloggers

Cdigos maliciosos Rootkits

Cdigos maliciosos Rootkits

Cdigos maliciosos Bots

Forense Computacional - Introduo

Forense Computacional - Introduo

Forense Computacional - Introduo

Forense Computacional Processo de investigao

Forense Computacional Processo de investigao

Forense Computacional Coleta dos dados

Forense Computacional Coleta dos dados

Forense Computacional Coleta dos dados

Forense Computacional Coleta dos dados

Forense Computacional Coleta dos dados

Forense Computacional Coleta dos dados

Forense Computacional Coleta dos dados

Forense Computacional Exame dos dados

Forense Computacional Exame dos dados

Forense Computacional Exame dos dados

Forense Computacional Exame dos dados

Forense Computacional Exame dos dados

Forense Computacional Exame dos dados

Forense Computacional Anlise das informaes

Forense Computacional Anlise das informaes

Forense Computacional Resultados

Forense Computacional Resultados

Forense Computacional Resultados

Forense Computacional Live forensics

Forense Computacional Live forensics

Forense Computacional Live forensics

Forense Computacional Live forensics

Forense Computacional Live forensics