Você está na página 1de 9

Estudo de caso

Carlos é Gerente Técnico de uma respeitada empresa de


software. Depois de encontrar pornografia baixada em sua rede
de servidores e um número de computadores pessoais do
O Processo de Investigação escritório, ele decidiu contratar um Investigador em Computação
Forense para preparar um caso de demissão de funcionário.
Computacional O investigador foi contratado para encontrar arquivos apagados
caso existam e verificar conteúdos fora da rede nos HD´s em
questão. O investigador esta apto a encontrar softwares spy,
pornografia, compartilhamento ilegal de arquivos no HD do
empregado suspeito, e demais provas periciais para montar o
processo de demissão do funcionário suspeito.

Objetivos do módulo Introdução

ÆIntrodução à Computação Forense ÆAtividades digitais têm se tornado parte


ÆHistória da Computação Forense importante do dia-a-dia da população em geral
ÆFalhas e Riscos da Computação Forense ÆImportância da Computação Forense
ÆCyber Crime ÆCerca de 85% das empresas e agências
governamentais possuem brechas de segurança
ÆAlgumas regras da Computação Forense detectadas
ÆRazões para ataques digitais ÆO FBI estima que os EUA perdem mais de 10
bilhões de dólares por ano com crimes digitais
ÆModos de ataque
ÆNo Brasil é incalculável o prejuízo causado por
ÆAnti Forense crimes digitais em empresas e residências

História da Forense Definição de Ciência Forense

ÆFrancis Galton(1822-1911)
ÆFez o primeiro estudo registrado de reconhecimento de digitais ÆDefinição mais usual
ÆLeone Lattes(1887-1954)
ÆDescobriu os grupos sanguíneos (A,AB..) Æ“Aplicação de ciências físicas à lei na
ÆCalvin Goddard(1891-1955)
ÆPermitiu a comparação de armas e balas para resolver muitos casos em
busca da verdade em matérias de
julgamento
ÆAlbert Osborn(1858-1946)
comportamento civil, criminal e social de
ÆDesenvolveu aspectos essenciais para o exame documental. “Father” modo que injustiças não ocorrerão a
ÆHans Gross(1847-1915)
ÆFez uso do estudo científico para encabeçar “investigações criminais” nenhum membro da sociedade”
ÆFBI(1932)
ÆUm laboratório foi montado para prover serviços forenses para todos os ÆObjetivo: determinar o valor da evidência
agentes e demais autoridades de todas as partes do País
na cena do crime e evidências relatadas

1
Definição de Ciência da O que é Computação Forense?
Computação Forense
Æ“Uma série metódica de técnicas e ÆDe acordo com Steve Hailey, do
Cybersecurity Institute
procedimentos para juntar evidências, de
Æ“A preservação, identificação, extração,
equipamentos de computação e vários interpretação, e documentação de evidências
dispositivos de armazenamento e mídias digitais, para incluir as regras de evidência,
processos legais, integridade da evidência, relatório
digitais, que podem ser apresentadas em objetivo com as informações encontradas, e
juízo de uma forma coerente e com fornecendo a opinião de um perito em um
julgamento ou outro procedimento administrativo a
formato significativo”[Dr. H.B. Wolf] respeito do que foi encontrado”

O que é Computação Forense? Necessidade da Computação


Forense
ÆA Computação Forense equivale ao reconhecimento da cena do
ÆDe acordo com William Telles, da NID crime ou realização de autópsia em uma vítima
Forensics ÆPresença atual de uma maior quantidade de documentos
eletrônicos
Æ“A ciência capaz de garantir perante aos ÆBusca e identificação de dados em um computador
tribunais e autoridades competentes, a ÆEvidências digitais são “delicadas”
ÆPara recuperação de
legalidade cabal e incontestável das ÆArquivos apagados
evidências de um delito cometido em meio ÆArquivos encriptados, ou
digital, usando para isso ferramentas e ÆArquivos corrompidos pelo sistema
ÆInformações específicas em locais específicos
procedimentos seguros e cientificamente
comprovados”

Evolução da Computação Forense Falhas e riscos da Computação


Forense
Æ1984 – Surge o FBI CART(Computer Analysis ÆA Computação Forense ainda está em desenvolvimento -
Normatização
Response Team)
ÆDifere das outras ciências forenses em COMO a evidência
Æ1991 – Encontro de Direito Internacional para discutir digital é examinada
a Forense Computacional e necessidades de ÆHá um pequeno conhecimento teórico baseado em testes
padronização concluídos sob hipóteses empíricas
ÆDesignações não são inteiramente profissionais
Æ1997 – Scientific Working Group on Digital ÆHá profunda carência de treinamento especializado
Evidence(SWGDE) foi estabelecido para desenvolver ÆNão há padronização de ferramentas
padrões. Law Enforcement ÆHá pouca informação no meio LEGAL
Æ2001 – Digital Forensic Research Workshop ÆPara alguns, ainda é mais uma “arte” que uma “ciência”
(DFRWS) foi criado

2
Estatísticas de espionagem Modos de ataque
corporativa
ÆO orçamento de segurança computacional ÆCrimes digitais se enquadram em 2
corporativa aumentou em média 42% em 2002
Æ62% das empresas têm seus computadores categorias do caminho do ataque em que
comprometidos com vírus eles ocorrem
ÆEstatísticas do FBI revelam que mais de 100 ÆOs 2 tipos de ataque são
países estão comprometidos com espionagem
corporativa de empresas norte-americanas ÆAtaques internos
ÆInúmeros incidentes de espionagem ÆAtaques externos
corporativa não relatados

Cyber crime (crimes digitais) Exemplos de crimes digitais

ÆCrime digital pode ser definido como ÆUns poucos exemplos de crimes
Æ“qualquer ato ilegal envolvendo computadores, digitais incluem
seus sistemas ou suas aplicações”
ÆRoubo de propriedade intelectual
ÆO crime deve ser intencional e não acidental
ÆDanificação de serviços de rede em
ÆCrimes digitais podem ser agrupados nos 3 empresas
ítens
ÆFraudes financeiras
ÆFerramentas do crime
ÆAlvo do crime ÆDisseminação de pragas e vírus
ÆTangencial ao crime ÆInjúria, difamação e calúnia

Razões para ataques digitais Papel da Computação Forense no


rastreamento de crimes digitais
ÆMotivação para ataques digitais ÆIdentificação o crime
ÆExperimentação e desejo de script kiddies em
aprender
ÆColeta de evidências
ÆNecessidade psicológica - psicopata ÆConstrução de uma cadeia de custódia
ÆConfiança mal orientada em outros indivíduos ÆDuplicação e análise das evidências
ÆVingança
ÆRazões maldosas, espirituais
ÆApresentação das evidências
ÆDesejo de desestruturar o alvo ÆTestemunho
ÆEspionagem – corporativa e governamental ÆProcesso judicial

3
Algumas Regras da Computação Metodologias de Computação
Forense Forense
ÆMinimizar as opções de exame da ÆOs 3 A´s
evidência original ÆAquisição: coletar evidência sem modificação ou
corrompimento
ÆObedecer as regras de evidência
ÆAutenticação: certificar-se que a evidência
ÆNunca exceder a base de recuperada tem data idêntica a originalmente
conhecimento recuperada
ÆDocumentar cada mudança nas ÆAnálise: análise de dados sem nenhum tipo de
evidências alteração
ÆPrincípio da Incerteza - Heizenberg

Acesso aos recursos da Preparando para investigações


Computação Forense digitais
ÆRecursos podem ser referidos mediante cadastro em
vários grupos de discussão ÆInvestigações digitais estão em duas
ÆComputer Technology Investigators Northwest categorias distintas
ÆHigh Technology Crime Investigation Association
ÆUnindo-se a redes de experts em Computação ÆInvestigação pública
Forense ÆInvestigação privada
ÆServiços de newsletter dirigidos à Computação
Forense também podem ser fontes de recursos
ÆOutros recursos
ÆJornais sobre investigação forense
ÆEstudo de casos atuais

Mantendo uma conduta Entendendo o processo de


profissional investigação
ÆA conduta profissional determina a ÆO processo completo de investigação
credibilidade de um investigador forense
ÆInvestigadores devem mostrar o mais alto inclui
nível ético e de integridade moral ÆFerramentas usadas para cometer o
ÆConfidencialidade é uma característica crime
essencial que todo investigador forense deve
mostrar ÆRazões para o crime
ÆDiscuta o caso em mãos somente com a ÆTipo de crime
pessoa que tem direito de saber ÆViolação dos direitos de alguém

4
Entendendo as investigações O processo de investigação
corporativas
ÆEnvolvem empresas privadas em violação das ÆIdentificação
ÆDetecção/identificação do crime/evento
políticas de segurança e disputas litigiosas ÆPreservação
ÆOs procedimentos da empresa podem continuar sem ÆCorrente de evidências, documentação
nenhuma interrupção durante a investigação ÆColeta
ÆColeta de evidências, dados recuperados
ÆDepois de uma investigação a empresa pode ÆExame
minimizar ou eliminar seus riscos de problemas ÆBusca, filtragem e extração de dados escondidos
ÆAnálise
similares ÆAnálise das evidências
ÆEspionagem industrial é o crime “líder” em ÆApresentação
investigações nas empresas privadas ÆRelatório investigativo
ÆDecisão
ÆSabotagem também tem crescido no Brasil ÆRelatório

Anti Forense Estudo de Caso 2

ÆRemoção ou ocultação de evidências Carlos trabalha como desenvolvedor de


com objetivo de limitar ou impedir por recursos técnicos em uma empresa renomada.
completo a análise forense Como ele não tem cumprido os prazos de
entrega começou a trabalhar até mais tarde.
ÆCriptografia O esforço extra de Carlos não tem produzido
ÆEsteganografia resultados e seu gerente de projetos começou
ÆWipe a suspeitar de suas atividades

Objetivos Investigando crime no


computador
ÆMetodologia de investigação ÆDeterminar se ali houve um incidente
ÆAvaliação de caso
ÆPlano de investigação
ÆEncontrar e interpretar os indícios
ÆImportância dos dados recuperados nas estações de escondidos
trabalho ÆDeterminar os custos preliminares para
ÆImplementando uma investigação a busca de evidências
ÆColetando evidências
ÆFechando o caso
ÆEncontrar e confiscar os equipamentos
ÆAvaliação do caso e computadores (quando for o caso)

5
Investigando a violação de política Metodologia de investigação
de segurança da empresa
ÆTodos os funcionários devem ser informados da ÆDeterminação e cobrança do valor pelo
política de segurança da empresa trabalho
ÆFuncionários usando recursos da empresa para uso
pessoal não só desperdiçam tempo da empresa mas
ÆPreparação de um roteiro detalhado
também violam políticas de segurança ÆDeterminação dos recursos necessários
ÆTal funcionário deveria ser rastreado e educado ÆIdentificação dos riscos envolvidos
sobre a política de segurança da empresa
ÆInvestigação dos dados recuperados
ÆSe o problema persistir, ações punitivas devem ser
tomadas ÆConclusão do relatório do caso
ÆCrítica e apreciação do caso

Avaliando o caso Antes da investigação

ÆO caso pode ser cobrado levando em conta ÆOs seguintes pontos deveriam estar
os seguintes pontos
ÆSituação do caso em mente antes do inicio da investigação
ÆNatureza do caso ÆTer prática, ou peritos com prática
ÆEspecificidades sobre o caso
ÆTipo de evidências
ÆEstação de trabalho e laboratório para
ÆSistema operacional objeto de investigação recuperação de dados
ÆFormato de mídia conhecido ÆParceria com advogados locais
ÆLocalização das evidências
ÆO motivo da suspeita
ÆDefinição a metodologia de trabalho

Documentando TUDO Planejamento da investigação

ÆDocumente a configuração de hardware do ÆOs seguintes pontos devem ser


sistema considerados durante o planejamento
ÆDocumente a data e hora do sistema ÆBom entendimento dos aspectos evidenciais,
ÆDocumente nomes de arquivos, datas e legais e técnicos de computadores e redes
horas ÆMetodologia própria – ferramentas e
ÆDocumente tudo o que for encontrado procedimentos
ÆDocumente de forma escrita e fotografada ÆPassos para coletar e preservar as evidências
ÆPassos para desempenhar a análise forense
ÆEm suma, documente !

6
Obter autorização de busca Banners de alerta

ÆExecução da investigação ÆIdentificação do ponto de acesso


ÆPara realizar uma busca em uma investigação, uma
autorização com valor judicial é exigida ÆAlerta para usuários autorizados ou não
ÆAutorizações podem ser expedidas para ÆFacilita o processo de investigação
ÆInteriores da empresa
ÆFuncionários trabalhando são alertados
ÆAndares e salas
ÆApenas um dispositivo sobre as conseqüências de violação da política
ÆCarro / casa de segurança da investigação
ÆQualquer ítem de propriedade da empresa

Bloqueando o computador Coletando a evidência

ÆDurante a cena do crime, um computador ÆOs passos a seguir devem ser


poderia ser desligado e desplugado para a desempenhados para a coleta de evidências
coleta de evidências? ÆEncontrar a evidência
ÆDepende do caso ÆDescobrimento de dados relevantes
ÆNo caso de ataque DoS o micro pode ser ÆEliminar acessos externos para alterações
desligado e desplugado ÆColher a evidência
ÆOs handles de processos de memória interna do ÆRegistrar evidência em formulário próprio de
sistema operacional, arquivos abertos, portas coleta de evidências
abertas, e conexões abertas são registradas antes
do desligamento normal do computador ÆArmazená-la no repositório de evidências(cadeia
de custódia)

Confisco de equipamentos Preservando evidências

Æ“Esterilizar” toda mídia a ser usada no ÆEvidência para um caso pode ser um
processo de exame
computador inteiro e mídias associadas
ÆNa cena do crime, tire fotos e
cuidadosamente busque fontes de dados ÆArmazene as evidências em bolsas
ÆMantenha e documente o estado e anti-estáticas, almofadas anti-estáticas
integridade dos itens na cena do crime com pulseiras para descargas elétricas
ÆTransporte a evidência seguramente para o ÆArmazene as evidências em locais
laboratório de análise
com temperatura e umidade controladas

7
Importância de softwares e micros Implementando uma investigação
para recuperação de dados
ÆLaboratório de recuperação de dados ÆOs itens que podem ser necessários são
ÆO lugar onde as investigações são ÆFormulário de registro de evidências
conduzidas e todos os equipamentos e ÆEvidência original
softwares são mantidos ÆBolsas para transporte de evidências
ÆEstação forense ÆFerramenta de cópia bit-stream
ÆUm micro preparado para permitir cópia ÆEstação forense para copiar e analisar evidências
das evidências com a ajuda de vários ÆRepositório de evidências seguro
softwares

Entendendo cópias bit-stream Duplicando um disco de evidência

ÆCapture uma imagem precisa do


sistema sempre que possível
ÆA cópia forense pode ser criada
usando várias técnicas como
ÆUsando o MS-DOS para fazer uma cópia
bit-stream de um disco ou HD
ÆUsando um software de “imaging” para
fazer a mesma operação

Examinando evidências digitais Fechando o caso

ÆO investigador deve incluir porque terminou, e os resultados no


ÆAnálises podem ser conduzidas relatório final
ÆRelatórios básicos incluem: quem, porque, quando, aonde e
usando várias ferramentas de análise como
forense como o Encase, AccessData, etc ÆEm uma boa investigação computacional, os passos podem ser
repetidos e o resultado obtido é sempre o mesmo
ÆO relatório deverá explanar os processos do computador e rede
ÆExplanações devem ser providas de vários processos e o
funcionamento interno do sistema e seus vários componentes
inter relacionados

8
Avaliação do caso Conclusões

ÆO investigador deverá auto avaliar o caso se ÆCrie e adote uma sistemática de investigação
perguntando as seguintes questões ÆAcrescente à conta do caso, instruções e
ÆComo ele pode aperfeiçoar sua participação no caso? ferramentas enquanto planeja o caso
ÆEle usou novas técnicas durante o caso ÆAplique sempre técnicas padrão de solução de
ÆEle descobriu novos problemas? Se sim, quando, porque e problemas
aonde estavam os problemas?
ÆQue tipo de feedback ele recebeu do solicitante da ÆSempre mantenha um diário e tome nota de tudo
investigação? ÆCrie cópias bit-stream de arquivos usando softwares
ÆHouve combinação entre suas expectativas sobre o caso e confiáveis, do tipo Image Tools
o resultado final?