Escolar Documentos
Profissional Documentos
Cultura Documentos
em Segurana da Informao
Introduo
A Cincia Forense Computacional abrange todas as questes
relacionadas aos crimes praticados na Internet ou fora dela, chamados
cibercrimes. Estudando como coletar evidncias de crimes e violaes,
analisar e documentar casos, esta cincia, relativamente nova, segue as
principais metodologias internacionais usadas e adotadas por todos os
pases do mundo na investigao de crimes e delitos comuns.
A Computao Forense consiste, basicamente, no uso de mtodos
cientficos para preservao, coleta, validao, identificao, anlise,
interpretao, documentao e apresentao de evidncia digital. A
aplicao desses mtodos nem sempre se d de maneira simples.
Evidncia digital entende-se pela informao armazenada ou transmitida
em formatos ou meios digitais. Sendo que essa evidncia, na maioria das
vezes, frgil e voltil, o que requer a ateno de um especialista certificado
ou bastante experiente a fim de garantir que os materiais de valor probatrio
possam ser efetivamente isolados e extrados correta e licitamente. Tais
materiais podem ser apresentados em um tribunal de justia como prova de
materialidade de um crime, por exemplo; ou mesmo como parte de um
laudo pericial.
Ataques a servidores;
e-mails falsos;
Difamao;
Ameaas;
tica
Constatar:
Ata Notarial
Ata Notarial uma forma pela qual o tabelio , mediante
solicitao das partes Interessadas, lavra um instrumento pblico
de narrativa daquilo que foi verificado em seus sentidos, sem
omisso de opinio, para, na concluso, t-la com a mesma
finalidade de provas pr-constitudas para serem avaliadas nas
esferas judicial, extrajudicial e administrativa a partir dos fatos nela
colhidos, observando-se um detalhe: o tabelio responsvel pela
veracidade do que vai Ata Notarial e, consequentemente, sua
validade perante os que a ela recorrerem ...
Claudemir Queiroz e Raffael Vargas (2010, p.25)
Exemplo:
10
Repeito privacidade !!
O perito no dever proceder anlise de dados ou invaso de
sistemas de um suspeito sem ordem judicial, sob risco de incorrer
em invaso de privacidade (crime)
11
Repeito privacidade !!
O que dispe a Constituio Federal
CAPTULO I
DOS DIREITOS E DEVERES INDIVIDUAIS E COLETIVOS
Art. 5 Todos so iguais perante a lei, sem distino de qualquer natureza,
garantindo-se aos brasileiros e aos estrangeiros residentes no Pas a
inviolabilidade do direito vida, liberdade, igualdade, segurana e
propriedade, nos termos seguintes:
...
...
XII - inviolvel o sigilo da correspondncia e das comunicaes
telegrficas, de dados e das comunicaes telefnicas, salvo, no ltimo
caso, por ordem judicial, nas hipteses e na forma que a lei estabelecer
para fins de investigao criminal ou instruo processual penal; (Vide
Lei n 9.296, de 1996)
...
12
Repeito privacidade !!
Interceptao de dados
LEI N 9.296, DE 24 DE JULHO DE 1996
Art. 1 A interceptao de comunicaes telefnicas, de qualquer natureza,
para prova em investigao criminal e em instruo processual penal,
observar o disposto nesta Lei e depender de ordem do juiz competente da
ao principal, sob segredo de justia.
Pargrafo nico. O disposto nesta Lei aplica-se interceptao do
fluxo de comunicaes em sistemas de informtica e telemtica.
Art. 2 No ser admitida a interceptao de comunicaes telefnicas
quando ocorrer qualquer das seguintes hipteses:
I - no houver indcios razoveis da autoria ou participao em infrao
penal;
II - a prova puder ser feita por outros meios disponveis;
III - o fato investigado constituir infrao penal punida, no mximo, com
pena de deteno.
13
Repeito privacidade !!
Interceptao de dados
14
15
Repeito privacidade !!
Interceptao de dados - Grampo na LAN
TAP
tap ou
hub
HUB
Console de
Monitoramento
rt
po g
m n
co rori
sw mir
17
18
Ordem de Volatilidade
Tipos de dados
Tempo de Vida
nanossegundos
Memria principal
10 nanossegundos
Estado da rede
Milissegundos
Processos em execuo
Segundos
Disco
Minutos
Anos
CD ROMs, impresses
Dezenas de anos
19
Ordem de Volatilidade
CUIDADO
20
Anlise criteriosa
21
22
23
MAC Times
MAC Times
Metadados de um arquivo
Nome do arquivo
METADADOS
Ver tambm http://onlamp.com/pub/a/bsd/2001/03/07/freebsd_basics.html
25
26
27
28
29
30
31
32
33
Timeline
Simplificadamente, a timeline uma
forma de demonstrar a cronologia dos
acontecimentos, com a finalidade de
facilitar o entendimento do ocorrido.
A criao da timeline d-se em duas fases:
I. Inicialmente, procede-se coleta de informaes a partir
de diferentes fontes, tais como, sistemas de arquivos e
logs, dentre outras; as quais so salvas em um arquivo
em formato body. Este arquivo criado por ferramentas
como o fls do TSK.
II.O segundo passo classificar e mesclar todos os dados
temporais em uma nica linha do tempo. Este passo
feito usando-se ferramentas como o mactime, um script
especializado do TSK.
34
Timeline
Exemplo 3: Timeline elaborada pelo Autopsy e TSK
35
Processo investigativo
Electronic Discovery Reference Model
36
Processo investigativo
Electronic Discovery Reference Model
37
Processo investigativo
Electronic Discovery Reference Model
38
39
Estgio 1
INFORMATIOM
MANAGEMENT
40
Estgio 2
IDENTIFICATION
Estgio 3
PRESERVATION
COLLECTION
Estgio 4
PROCESSING
REVIEW
ANALYSIS
Processa
os
dados
obtidos:
constri a cadeia de custdia,
procede
filtragem
e
de-duplicao, extrai metadados e
strings, ...
Organiza os documentos em
sub-conjuntos de acordo com sua
relevncia. quando a equipe
jurdica comea a traar sua
estratgia
Analisa o contedo, contexto,
palavras-chaves, e outros itens da
ESI
43
Estgio 5
PRODUCTION
44
Estgio 6
PRESENTATION
45
Processo de Investigao
Resumidamente:
Fases
46
Processo de Investigao
1. Coleta de dados
1.1 Premissas
47
Processo de Investigao
1. Coleta de dados
1.3 Dispositivos para coleta de dados Interfaces Externas
48
Processo de Investigao
1. Coleta de dados
1.3 Dispositivos para coleta de dados Bloqueadores de Escrita
SerialATA
DriveLock
DriveLock
PCI/IDE
DriveLock
Firewire/USB
49
Processo de Investigao
1. Coleta de dados
1.3.1 Dispositivos para coleta de dados Kits especializados
50
Processo de Investigao
1. Coleta de dados
1.3.2 Dispositivos para coleta de dados
51
Processo de Investigao
1.4 Consideraes sobre a coleta de dados remota
Servidores externos
Processo de Investigao
1.6 Consideraes sobre a preservao e identificao dos dados
- A alterao de dados pode ser comparada a alterao da cena de um
crime na vida real !!
Devero ser utilizados HASHs, tais como MD5, SHA1 ou SHA256, para
garantir a integridade dos dados
53
Processo de Investigao
Cadeia de Custdia
A Cadeia de Custdia um processo usado para manter e documentar a
histria cronolgica da evidncia, para garantir a idoneidade e o
rastreamento das evidncias utilizadas em processos judiciais.
Ref.: CADEIA DE CUSTDIA: UMA ABORDAGEM PRELIMINAR
LOPES, M.; GABRIEL, M. M.; BARETA, G. M. S.
54
Processo de Investigao
Cadeia de Custdia
Ref.: http://forensics.luizrabelo.com.br/2011/08/cadeia-de-custodia.html
55
Processo de Investigao
Cadeia de Custdia
Obtendo informaes do objeto questionado
HD Externo
HD externo, o
objeto questionado
56
Processo de Investigao
Cadeia de Custdia
Obtendo informaes do objeto questionado
Pen drive
Pen drive, o
objeto questionado
57
Processo de Investigao
2. Exame dos dados
Objetivos
- Filtrar, avaliar e extrair informaes relevantes
- Emprego de tcnicas e ferramentas especializadas para:
...
58
Processo de Investigao
3. Anlise das informaes
Objetivos
dos envolvidos
estabelecimento
levantamento
da cronologia
de eventos e locais
59
Processo de Investigao
4. Interpretao e apresentao dos Resultados
Objetivo:
Elaborao de laudo pericial
Concluso
Exposio
Deve
Fase
Processo de Investigao
Formato final do laudo pericial
O laudo pericial final deve conter:
Finalidade
da investigao
Identificao
Resumo
do caso/incidente
Relao
detalhes
Concluso,
anexos, glossrio
Metodologias,
61
Processo de Investigao
Magic Numbers Assinaturas dos arquivos
Exemplos
JPEG
FF D8 FF E0
PNG
89 50 4E 47
Adobe PDF 25 50 44 46
GIF
47 49 46 38
Ver tambm:
http://www.astro.keele.ac.uk/oldusers/rno/Computing/File_magic.html
http://www.garykessler.net/library/file_sigs.html
62
Processo de Investigao
Magic Numbers: Assinaturas dos arquivos
63
Processo de Investigao
Magic Numbers: Assinaturas dos arquivos
Utilizao do comando hexdump para verificar o magic number do arquivo:
magic number
em little endian
Processo de Investigao
Magic Numbers Assinaturas dos arquivos
Processo de Investigao
Magic Numbers
Assinatura do MBR
66
Processo de Investigao
Imagem para percia
67
Processo de Investigao
Imagem para percia
Tal imagem dever ser o produto de uma cpia bit a bit da mdia original,
e base para uma dead analysis
68
Processo de Investigao
Vantagens das imagens RAW
69
Processo de Investigao
Desvantagens das imagens RAW
70
Processo de Investigao
Outros tipos de imagens
Expert Witness (E01)
Formato proprietrio do EnCase
SGZIP
Formato utilizado pelo pyFlag, baseado no gzip, cdigo
aberto, somente Linux
AFF (Advanced Forensic Format)
Formato aberto e extensvel para armazenamento de
imagens de disco
71
72
73
74
75
76
77
Nota:
bmap uma ferramenta livre, cujo download pode ser efetuado em:
http://www.packetstormsecurity.org/linux/security/bmap-1.0.17.tar.gz
78
string a ocultar
no slack space
string oculta no
slack space
79
string oculta
removida
80
host 1
host 2
81
82
83
via rede
84
85
a serem utilizados neste momento apenas em caso de incerteza sobre tais informaes,
em caso contrrio, devero ser executados aps a realizao do dump da memria
Observaes:
A
partir da verso 2.6 do kernel Linux, a opo CONFIG_STRICT_DEVMEM vem habilitada por
default, impedindo que dispositivos no autorizados acessem o diretrio /dev/mem
Para possibilitar o acesso ao mesmo, deve-se utilizar o mdulo fmem, parte do projeto FORIANA
(http://hysteria.sk/~niekt0/foriana/)
Para poder ser utilizado de forma confivel, o referido mdulo deve ser compilado em outra
mquina, com a mesma distribuio e verso de kernel da mquina periciada
imprescindvel fornecer ao comando de dump a quantidade de memria a ser lida (count=x) a
fim de evitar um loop durante o processo de dump
86
88
Comandos complementares:
Inventrio dos dispositivos montados
#mount | tee /media/forense/mount
Verificao dos sistemas de arquivos
#df -hT | tee /media/forense/df
Verificao do esquema de particionamento do disco
#fdisk -l | tee /media/forense/fdisk
Inventrio dos pacotes instalados
#dpkg -l | tee /media/forense/dpkg
Observaes:
1.Considera-se nos exemplos, o ponto de montagem da mdia removvel como /media/forense
90
Comandos complementares:
Mdulos carregados pelo kernel
#lsmod | tee /media/forense/lsmod
Observaes:
1.Considera-se nos exemplos, o ponto de montagem da mdia removvel como /media/forense
91
Comandos complementares:
Busca e verificao de arquivos
Localizando arquivos de um usurio especifico
92
Comandos complementares:
Busca e verificao de arquivos
Localizando arquivos alterados nos ltimos 10 minutos
93
Comandos complementares:
Busca e verificao de arquivos
Localizando arquivos regulares acessados a menos de 1 dia
94
Comandos complementares:
Busca e verificao de arquivos
Localizando arquivos com tamanho zero
95
Comandos complementares:
Busca e verificao de arquivos
Localizando arquivos com permisses especificas
96
97
98
NETCAT
Utilitrio destinado a estabelecer conexes fim-a-fim, clear-text, entre
hosts de uma rede. Rpido, deve ser utilizado para fins forenses apenas
em ambientes altamente confiveis.
SSH
Utilitrio destinado a estabelecer conexes fim-a-fim criptografadas entre
hosts de uma rede. Mais seguro quando comparado ao Netcat, a opo
mais indicada para uso, especialmente, se em ambientes no confiveis.
100
Objeto questionado
Estao forense
TCP
IP 192.168.10.5 /24
IP 192.168.10.10 /24
listen 9000
102
103
Objeto questionado
Estao forense
TCP
IP 192.168.0.59 /24
IP 192.168.0.58 /24
ssh-server
- sem compresso
dcfldd if=/dev/sda | ssh <username>@192.168.0.58 dcfldd of=image.dd
- com compresso
dcfldd if=/dev/sda | gzip | ssh <username>@192.168.0.58 dcfldd of=image.dd
- Obs.: vrias opes do dcfldd omitidas
104
105
106
Tamanho do setor
Estrutura do disco
107
A primeira partio inicia-se no setor 2048, cada setor possui 512 bytes
108
clculo do offset
montagem da
partio
partio montada
109
tipo de
imagem
offset em
setores
nome da
imagem
111
inode
nome do arquivo
deletado *
arquivo regular
Ver http://wiki.sleuthkit.org/index.php?title=Fls
112
output em
mactimes
recurso
diretrios
113
114
115
116
117
118
http://localhost:9999/autopsy
1. Abra seu web browser, desabilite o uso de JavaScript, e para inicializar a interface
web do Autopsy digite: http://localhost:9999/autopsy
2. Clique no boto NEW CASE para inicar um novo caso
119
121
122
123
124
125
126
Aguarde o final do processo de verificao e importao da imagem, verifique as informaes retornadas pelo sistema,e, estando tudo certo, clique em OK
127
128
A criao da TimeLine exige a prvia criao do arquivo de dados, logo, clique na opo
Create Data File no menu na parte superior.
129
130
131
132
133
Timeline finalizada
134
Anexos
1. Pedofilia
2. Quesitao
3. Estrutura de diretrios Linux
4. Definies
5. Metadados e i-nodes
135
1. Pedofilia
Desvio sexual caracterizado pela atrao por crianas ou
adolescentes sexualmente imaturos, com os quais os portadores
do vazo ao erotismo pela prtica de obscenidades ou de atos
libidinosos
DeltonCroce(1995)
136
137
2. Quesitao
essencial que os quesitos estejam diretamente relacionados ao
fato investigado, que sejam claros e especficos:
1. Evitar que os quesitos referenciem todo o contedo da mdia questionada.
Ex.: Descreva os arquivos existentes no disco rgido
2. Evitar que os quesitos induzam verificao individual de todos os arquivos
presentes na mdia questionada. Ex.: H arquivos relacionados a <tal pessoa ou
empresa> na mdia questionada ?
3. Evitar quesitos que exijam conhecimento jurdico de um perito especialista em
informtica. Ex.: Existe algum indcio de crime na mdia questionada ?
4. Sempre que possvel, utilizar quesitos especficos, que permitam buscas com
base em palavras-chave.
Ex.:
Existem na mdia questionada, arquivos
relacionados empresa XPTO ?
5. Sempre que possvel, utilizar quesitos especficos e detalhados: Ex.: H, na
mdia questionada, mensagens de correio eletrnico enviadas pela conta
usuario@dominio.com.br, contendo anexos em formato .pdf ?
138
139
4. Definies
I. Vestgios
... so elementos materiais que podem conter informaes
relacionadas ao fato que buscamos apurar desde o incio de
uma investigao ou percia.
Claudemir Queiroz e Raffael Vargas (2010, p.25)
II. Indcios
... toda circunstncia conhecida e provada que, ao ter relao
com o fato, nos autorize, por induo, a concluir a existncia
de outra, ou de outras, circunstacia(s). (Art. 259 CPP)
III. Evidncia
... o vestgio verdadeiro existente mesmo antes do incio de
um fato ocorrido, como define a Criminalstica legal.
Claudemir Queiroz e Raffael Vargas (2010, p.25)
140
4. Definies
IV. Preservao
A regra nmero um em uma investigao no destruir ou
alterar provas.
Portanto, as evidncias precisam ser
preservadas.
E para que as evidncias no sejam
comprometidas, substitudas ou perdidas durante o transporte
ou manuseio no laboratrio, devemos preserv-las da melhor
maneira possvel.
Claudemir Queiroz e Raffael Vargas (2010, p.25) citando
Andrey R. Freitas
141
Estrutura de i-nodes em
sistemas de arquivos EXT-3
Referncias
1. http://pt.wikipedia.org/wiki/Forense_computacional ; acessado em 17/02/2012
2. Famer, Dan, Venema,Wietse. Percia Forense Computacional: Teoria e Prtica, 1 ed. So
Paulo: Pearson Prentice Hall, 2007
3. http://drdobbs.com/cpp/184404275 ; acessado em 17/02/2012
4. http://www.porcupine.org/forensics/forensic-discovery/chapter2.html ; acessado em 17/02/2012
5. http://computer-forensics.sans.org/blog/2010/11/02/digital-forensics-time-stamp- manipulation/ ;
acessado em 25/02/2012
6. https://sites.google.com/a/cristiantm.com.br/forense/forense-computacional/processo-deinvestigacao ; acessado em 25/02/2012
7. http://www.cefetrn.br/~rk/seginfo2009_2_rk.pdf ; acessado em 25/02/2012
8. http://eron-tads.blogspot.com/2011/03/pericia-forense-computacional-e.html ;
acessado em 01/03/2012
9. http://www.forensicswiki.org/wiki/EnCase ; acessado em 01/03/2012
10.http://en.wikipedia.org/wiki/Dd_(Unix) ; acessado em 01/03/2012
11.http://www.expertlaw.com/library/forensic_evidence/computer_forensics_101.html ; acessado em
01/03/2010
12.http://www.techrepublic.com/blog/security/computer-forensics-finding-hidden-data/232 ; acessado
em 01/03/2012
143
Referncias
13.http://eriberto.pro.br/blog/?p=279 ; acessado em 01/03/2012
14.http://www.infosegura.eti.br/Forense/duplicacao_hdd.php ; acessado em 09/04/2012
15.Eleutrio, P. M. S.; Machado, M. P. Desvendando a Computao Forense, 1 ed. So Paulo:
Novatec Editora, 2010
16.Queiroz, C.; Vargas, R. Investigao e Percia Forense Computacional: Certificaes, Leis e
Processuais Estudos de Caso, 1 ed. Rio de Janeiro: Brasport, 2010
17.Ng, Reynaldo Forense Computacional Corporativa: Motivadores, Planejamento e Custo,
Metodologia, 1 ed. Rio de Janeiro: Brasport, 2007
144