Forense

Digital / Computacional

CIn UFPE, 2007

 Forense Computacional
Agenda
Introduo
Cincia Forense
O que Cincia Forense, O que NO Cincia Forense
Forense Digital / Computacional
Etapas de Investigao
Coleta, Exame, Analise e Resultados
Tcnicas Forenses
Ferramentas Forenses (etapas da investigao)
Tcnicas Anti-Forense
Concluso
 Introduo
A Forense Computacional pode ser definida
como a cincia que estuda a aquisio,
preservao, recuperao e anlise de dados
que esto em formato eletrnico e
armazenados em algum tipo de mdia
computacional.
computacional
 Cincia Forense
Diz-se da aplicao de campo cientfico
especfico investigao de fatos relacionados
a crimes e/ou contendas judiciais.
Ou simplesmente: A aplicao da Cincia no
Direito
The Forensic Science Society
(http://www.forensic-science-society.org.uk)
 Cincia Forense
Archimedes (287-212 a.C.)
Quantidade real de ouro da Coroa calculada pela
teoria do peso especfico dos corpos.
Impresses digitais
Utilizadas no sculo VII como comprovao de dbito
(a impresso digital do devedor era anexada conta).
Medicina e Entomologia
Referidas no livro Collected Cases of Injustice
Rectified, de Xi Yuan Ji Lu, em 1247.
Foice e moscas, afogamento (pulmo e cartilagens do
pescoo), entre outros.
 Cincia Forense
Sculo XX A evoluo da Cincia Forense
Pesquisas que conduziram identificao do tipo
sanguneo e a anlise e interpretao do DNA;
Publicao dos principais estudos referentes
aplicao de mtodos e tcnicas utilizadas na
investigao de crimes;
The Federal Bureau of Investigation
Criado o The
(FBI), uma referncia no que tange investigao
de crimes e a utilizao de tcnicas forenses em
diversas reas.
 Cincia Forense
Atualmente, existem peritos especializados em
diversas reas cientficas, entre elas:
Anlise de documentos (documentoscopia);
Criminalstica (Balstica, Impresses digitais, substncias
controladas);
Antropologia (identificao de restos mortais, esqueletos)
Arqueologia;
Entomologia (insetos, verificao de data, hora e local);
Odontologia;
Computao (Forense Computacional ou Forense Digital);
E outras: Patologia, Psicologia, Toxicologia, Metrologia, ...
O que Cincia Forense
No !
 Forense Digital/Computacional
Objetivo:
Suprir as necessidades das instituies legais no que se
refere manipulao das novas formas de evidncias
eletrnicas.
Ela a cincia que estuda a aquisio, preservao,
recuperao e anlise de dados que esto em formato
eletrnico e armazenados em algum tipo de mdia
computacional.
Atravs da utilizao de mtodos cientficos e sistemticos,
para que essas informaes passem a ser caracterizadas
como evidncias e, posteriormente, como provas legais de
fato.
Forense Computacional: Aspectos Legais e Padronizao
(http://www.ppgia.pucpr.br/~maziero/pesquisa/ceseg/wseg01/14.pdf )
 Forense Digital/Computacional
utilizada com fins:
Legais
ex.: investigao de casos de espionagem industrial,
roubo de identidade, extorso ou ameaas.
Aes disciplinares internas
ex.: uso indevido de recursos da instituio, ou eventos
onde no se deseja chamar a ateno externa
 Forense Digital/Computacional
Ocorrncias mais comuns:
Calnia, difamao e injria via e-mail ou web
Roubo de informaes confidenciais
Remoo de arquivos
Outros crimes:
Pedofilia
Fraudes
Auxlio ao trfico de drogas e intorpecentes
 Etapas da investigao
Fases de um processo de
investigao

Resultados
Coleta Exame Anlise
obtidos

Isolar a rea Identificar Identificar (pessoas, Redigir laudo

Coletar evidncias Extrair locais e eventos) Anexar evidncias e
Garantir Integridade Filtrar Correlacionar demais documentos
Identificar Documentar (pessoas, locais e Comprovar
Equipamentos eventos) integridade da cadeia
Embalar evidncias Reconstruir a cena de custdia
Etiquetar evidncias Documentar (formulrios e
Cadeia de Custdia registros)

Search and Seizure Manual - http://www.usdoj.gov/criminal/cybercrime/s&smanual2002.pdf

 Coleta de Dados
Identificao de possveis fontes de
dados:
Computadores pessoais, laptops;
Dispositivos de armazenamento em rede;
CDs, DVDs; http://www.krollontrack.com.br
Portas de comunicao: USB, Firewire, Flash
card e PCMCIA;
Mquina fotogrfica, relgio com
comunicao via USB, etc.
 Coleta de Dados
Cpia dos dados:
dados: envolve a utilizao de ferramentas
adequadas para a duplicao dos dados
Garantir e preservar a integridade
Se no for garantida a integridade, as evidncias podero
ser invalidadas como provas perante a justia
A garantia da integridade das evidncias consiste na
utilizao de ferramentas que aplicam algum tipo de
algoritmo hash
Assim como os demais objetos apreendidos na cena do
crime, os materiais de informtica apreendidos
cadeia
devero ser relacionados em um documento (cadeia
custdia ex. Formulrio de Cadeia de Custdia
de custdia)
 Coleta de Dados
Aps a identificao das possveis origens dos
dados, o perito necessita adquiri-los.
Para a aquisio dos dados, utilizado um
processo composto por trs etapas:
Identificao de prioridade;
Cpia dos dados;
Garantia e preservao de integridade.
 Coleta de Dados:
Identificao de Prioridade
Identificar a prioridade da coleta: o perito deve
prioridade) na qual os dados
estabelecer a ordem (prioridade
devem ser coletados
Volatilidade: dados volteis devem ser imediatamente
coletados pelo perito.
Ex.: o estado das conexes de rede e o contedo da memria
Esforo: envolve no somente o tempo gasto pelo perito,
mas tambm o custo dos equipamentos e servios de
terceiros, caso sejam necessrios.
terceiros
Ex.: dados de um roteador da rede local x dados de um provedor
de Internet
Valor estimado: o perito deve estimar um valor relativo
para cada provvel fonte de dados, para definir a
seqncia na qual as fontes de dados sero investigadas
 Coleta de Dados:
Cpia dos dados
Cpia lgica (Backup): as cpias lgicas gravam o
contedo dos diretrios e os arquivos de um volume
lgico. No capturam outros dados.
arquivos excludos;
fragmentos de dados armazenados nos espaos no
utilizados, mas alocados por arquivos.
Imagem: imagem do disco ou cpia bit-bit-a-bit inclui os
espaos livres e os espaos no utilizados:
mais espao de armazenamento, consomem muito mais
tempo;
permitem a recuperao de arquivos excludos e dados
no alocados pelo sistema de arquivos.
Exemplo: setor de 4KB, arquivo com 9KB (3 setores ocupados)
Parte utilizada pelo arquivo
Parte no utilizada
 Coleta de Dados:
Garantia e preservao de integridade
Durante a aquisio dos
dados muito importante
manter a integridade dos
atributos de tempo mtime
(modification time), atime
(access time) e ctime
(creation time) MAC
Times.
Times
 Exame dos Dados
Finalidade:
Finalidade localizar, filtrar e extrair somente as
informaes relevantes investigao.
Devemos considerar:
Capacidade de armazenamento dos dispositivos atuais
Quantidade de diferentes formatos de arquivos existentes
Ex.: imagens, udio, arquivos criptografados e compactados
Muitos formatos de arquivos possibilitam o uso de
esteganografia para ocultar dados, o que exige que o perito
esteja atento e apto a identificar e recuperar esses dados
Em meio aos dados recuperados podem estar
informaes irrelevantes e que devem ser filtradas.
Ex.: o arquivo de log do sistema de um servidor pode conter
milhares de entradas, sendo que somente algumas delas
podem interessar investigao
 Exame dos Dados
Aps a restaurao da cpia dos dados, o perito
faz uma avaliao dos dados encontrados:
arquivos que haviam sido removidos e foram
recuperados;
arquivos ocultos;
fragmentos de arquivos encontrados nas reas no
alocadas;
fragmentos de arquivos encontrados em setores
alocados, porm no utilizados pelo arquivo.
 Anlise dos Dados
Aps a extrao dos dados considerados relevantes, o
perito deve concentrar suas habilidades e conhecimentos
na etapa de anlise e interpretao das informaes.
Finalidade: identificar pessoas, locais e eventos;
determinar como esses elementos esto inter-
relacionados.
Normalmente necessrio correlacionar informaes de
vrias fontes de dados
Exemplo de correlao: um indivduo tenta realizar um
acesso no autorizado a um determinado servidor
possvel identificar por meio da anlise dos eventos registrados nos
arquivos de log o endereo IP de onde foi originada a requisio de
acesso
Registros gerados por firewalls, sistemas de deteco de intruso e
demais mecanismos de proteo
 Resultados
A interpretao e apresentao dos resultados
obtidos a etapa conclusiva da investigao.
investigao
O perito elabora um laudo pericial que deve ser
escrito de forma clara e concisa,
concisa listando todas
as evidncias localizadas e analisadas.
O laudo pericial deve apresentar uma concluso
imparcial e final a respeito da investigao.
 Resultados
Para que o laudo pericial torne-se um
documento de fcil interpretao, indicado
que o mesmo seja organizado em sees:
Finalidade da investigao
Autor do laudo
Resumo do incidente
Relao de evidncias analisadas e seus detalhes
Concluso
Anexos
Glossrio (ou rodaps)
 Resultados
Tambm devem constar no laudo pericial:
Metodologia
Tcnicas
Softwares e equipamentos empregados
Com um laudo bem escrito torna-se mais fcil a
reproduo das fases da investigao, caso
necessrio.
 Tcnicas Forenses
Boas prticas que antecedem a coleta dos dados:
Limpar todas as mdias que sero utilizadas ou usar mdias novas a
cada investigao;
Certificar-se de que todas as ferramentas (softwares) que sero
utilizadas esto devidamente licenciadas e prontas para utilizao;
Verificar se todos os equipamentos e materiais necessrios (por
exemplo, a estao forense, as mdias para coleta dos dados, etc.)
esto disposio
Quando chegar ao local da investigao, o perito deve providenciar
para que nada seja tocado sem o seu consentimento, com o objetivo
de proteger e coletar todos os tipos de evidncias
Os investigadores devem filmar ou fotografar o ambiente e registrar
detalhes sobre os equipamentos como: marca, modelo, nmeros de
srie, componentes internos, perifricos, etc.
Manter a cadeia de custdia !!!
 Ferramentas Forenses
Algumas ferramentas forenses comumente
utilizadas nas etapas:
Coleta dos dados
Avaliar: Live Forensics ou Post-Mortem
Exame dos dados
Anlise dos dados
 Tcnicas Forenses
Coleta de dados volteis
Sempre que possvel e relevante a investigao:
Conexes de rede (netstat
(netstat))
 Tcnicas Forenses
Coleta de dados volteis
Sesses de Login (EventViewer / who u)
dos usurios;
das aes realizadas;
Contedo da memria (WinHEX
(WinHEX / dump
dump))
Processos em execuo (ProcessXP
(ProcessXP / ps)
ps)
Arquivos abertos
Configurao de rede
Data e hora do sistema operacional
 Ferramentas Forenses
Coleta de dados no volteis
dd (Disk Definition)
dcfldd (Department of Defense Computer Forensics Lab Disk
Definition) - Verso aprimorada do dd,
dd com mais
funcionalidades:
gerao do hash dos dados durante a cpia dos mesmos
visualizao do processo de gerao da imagem
diviso de uma imagem em partes
Automated Image & Restore (AIR): interface grfica para os
comandos dd/
dd/dcfldd
gera e compara automaticamente hashes MD5 ou SHA
produz um relatrio contendo todos os comandos utilizados
durante a sua execuo
elimina o risco da utilizao de parmetros errados por usurios
menos capacitados
 Ferramentas Forenses
Coleta de dados no volteis
 Ferramentas Forenses
Exame dos dados
Utilizando assinaturas de arquivos comuns, a
quantidade de arquivos a ser analisada pode ser
reduzida significativamente
Ex.: projeto National Software Reference Library
(NSRL)
http://www.nsrl.nist.gov/Downloads.htm#isos
Total de 43.103.492 arquivos, distribudos em 4 discos
 Ferramentas Forenses
Exame dos dados
Diversas ferramentas j permitem a utilizao dos
bancos de dados citados, por exemplo:
EnCase
Autopsy & SleuthKit
PyFLAG
 Ferramentas Forenses
Exame dos dados
EnCase
Padronizao de laudo;
Recuperao de dados, banco de dados de evidncias;
Anlise de hardwares e logs.
 Ferramentas Forenses
Anlise dos dados
Utilitrios para construo da linha de tempo
dos eventos
Mactime (Componente do SleuthKit)
Utilitrios de navegao em arquivos da
estrutura do Sistema Operacional Windows
Pasco - http://www.opensourceforensics.org
Analisa os ndices dos arquivos do Internet Explorer
Galleta (Cookie em espanhol) FoundStone.com
analisa os cookiesexistentes em uma mquina e separa
as informaes teis
 Ferramentas Anti-forense
Destruir/Ocultar dados
Objetivo: destruir, ocultar ou modificar as evidncias
existentes em um sistema a fim de dificultar o trabalho
realizado pelos investigadores
Tambm podem ser utilizadas antes de venda ou doao
de mdias a outras pessoas (evita recuperao de dados)
Destruio dos Dados:
Dados para impedir ou pelo menos
dificultar a recuperao dos dados, so utilizadas
ferramentas conhecidas como wiping tools para a
remoo dos dados
Wipe
Secure-delete
PGP/GPG wipe
The Defiler's Toolkit
Darik's Boot and Nuke
 Ferramentas Anti-forense
Destruir/Ocultar dados
Ocultar Dados
Criptografia e esteganografia podem ser aplicados
em arquivos, tornando-se uma barreira difcil de
ser superada.
Utilizar ferramentas de esteganoanlise em uma mdia
de 80GB requer muito tempo e na prtica nem sempre
algo vivel de se realizar
O mesmo ocorre quando se trata de arquivos
criptografados
Ex.:
TrueCrypt, PGP/GPG, Steganos , Hide and Seek, ...
 Ferramentas Anti-forense
Destruir/Ocultar dados
Outras finalidades
Principalmente focado em dificultar ou impedir o
trabalho do perito forense, algumas ferramentas
tm como objetivo impedir uma das etapas da
investigao:
Metasploit Anti-Forensic Investigation Arsenal (MAFIA)
Windows Memory Forensic Toolkit
 Concluses
Forense Digital/Computacional um dos
aspectos de Segurana de Informaes que
chama bastante ateno tanto de corporaes
quanto da comunidade cientfica
Apesar das diversas ferramentas disponveis
que facilitam sobremaneira a ao do perito, a
concluso final ainda paira sobre a
experincia, competncia e integridade do
profissional que conduziu a investigao
 Algumas Referncias
Neukamp, Paulo A. Forense Computacional: Fundamentos e
Desafios Atuais. 11 Junho de 2007. Universidade do Vale do
Rio dos Sinos (UNISINOS). 06 Nov. 2007.
http://www.imasters.com.br/artigo/4175/forense/introducao
_a_computacao_forense
http://www.guidancesoftware.com/pt/products/ee_index.asp