PET-Computao Diego Tavares

Forense Computacional
Diego Tavares
(PET-Computao)

diegot@dsc.ufcg.edu.br

PET-Computao Diego Tavares

Introduo A Forense Computacional pode ser definida como a cincia que estuda a aquisio, preservao, recuperao e anlise de dados que esto em formato eletrnico e armazenados em algum tipo de mdia computacional.

06/11/07

Forense Computacional

PET-Computao Diego Tavares

Introduo
Ocorrncias mais comuns:
Calnia, difamao e injria via e-mail Roubo de informaes confidenciais Remoo de arquivos

Outros crimes:
Pedofilia Fraudes Trfico de drogas via Internet

06/11/07

Forense Computacional

PET-Computao Diego Tavares

Introduo
Objetivo da Forense Computacional: aplicar mtodos cientficos e sistemticos, buscando extrair e analisar tipos de dados dos diferentes dispositivos, para que essas informaes passem a ser caracterizadas como evidncias e, posteriormente, como provas legais de fato. A forense aplicada tecnologia muito recente, porm a cincia forense como um todo existe h muito tempo.
No sculo VII j eram utilizadas impresses digitais para determinar as identidades dos devedores. As impresses digitais dos cidados eram anexadas s contas que ficavam em poder dos credores.

06/11/07

Forense Computacional

PET-Computao Diego Tavares

Introduo
A forense computacional empregada: para fins legais (ex.: investigar casos de espionagem industrial); em aes disciplinares internas (ex.: uso indevido de recursos da instituio); Para serem consideradas provas vlidas, muito importante que o perito realize o processo de investigao de maneira cuidadosa e sistemtica. Preservar a integridade das evidncias Gerar documentao detalhada

06/11/07

Forense Computacional

PET-Computao Diego Tavares

Etapas da investigao
Fases de um processo de investigao

06/11/07

Forense Computacional

PET-Computao Diego Tavares

Coleta dos dados

Possveis fontes de dados:
Computadores pessoais; Dispositivos de armazenamento em rede; CDs, DVDs; Mquina fotogrfica, relgio com comunicao via USB, etc.

06/11/07

Forense Computacional

PET-Computao Diego Tavares

Coleta dos dados

Os dados tambm podem estar armazenados em locais fora dos domnios fsicos da cena investigada
Provedores de Internet Servidores FTP (File Transfer Protocol) Servidores corporativos

Nesses casos, a coleta dos dados somente ser possvel mediante ordem judicial

06/11/07

Forense Computacional

PET-Computao Diego Tavares

Coleta dos dados

Cpia dos dados: envolve a utilizao de ferramentas adequadas para a duplicao dos dados Garantir e preservar a integridade
Se no for garantida a integridade, as evidncias podero ser invalidadas como provas perante a justia A garantia da integridade das evidncias consiste na utilizao de ferramentas que aplicam algum tipo de algoritmo hash

Assim como os demais objetos apreendidos na cena do crime, os materiais de informtica apreendidos devero ser relacionados em um documento (cadeia de custdia)

06/11/07

Forense Computacional

PET-Computao Diego Tavares

06/11/07

Forense Computacional

10

PET-Computao Diego Tavares

Coleta de dados
Cpia lgica (Backup): as cpias lgicas gravam o contedo dos diretrios e os arquivos de um volume lgico. No capturam outros dados:
arquivos excludos; fragmentos de dados armazenados nos espaos no utilizados, mas alocados por arquivos.

Imagem: imagem do disco ou cpia bit-a-bit inclui os espaos livres e os espaos no utilizados:
mais espao de armazenamento, consomem muito mais tempo; permitem a recuperao de arquivos excludos e dados no alocados pelo sistema de arquivos. Exemplo: setor de 4KB, arquivo com 9KB (3 setores ocupados)
Parte utilizada pelo arquivo Parte no utilizada pelo arquivo

06/11/07

Forense Computacional

11

PET-Computao Diego Tavares

Coleta de dados
Durante a aquisio dos dados muito importante manter a integridade dos atributos de tempo mtime (modification time), atime (access time) e ctime (creation time) MAC Times.
Modificao: registro da data e hora em que ocorreu a ltima alterao no arquivo; Acesso: registro da data e hora em que ocorreu o ltimo acesso ao arquivo; Criao: registro da data e hora em que o arquivo foi criado.

06/11/07

Forense Computacional

12

PET-Computao Diego Tavares

06/11/07

Forense Computacional

13

PET-Computao Diego Tavares

Exame dos dados

Finalidade: localizar, filtrar e extrair somente as informaes relevantes investigao tarefa trabalhosa!
Capacidade de armazenamento dos dispositivos atuais Quantidade de diferentes formatos de arquivos existentes (imagens, udio, arquivos criptografados e compactados) Muitos formatos de arquivos possibilitam o uso de esteganografia para ocultar dados, o que exige que o perito esteja atento e apto a identificar e recuperar esses dados

Em meio aos dados recuperados podem estar informaes irrelevantes e que devem ser filtradas.
Ex.: o arquivo de log do sistema de um servidor pode conter milhares de entradas, sendo que somente algumas delas podem interessar investigao

06/11/07

Forense Computacional

14

PET-Computao Diego Tavares

Exame dos dados

Aps a restaurao da cpia dos dados, o perito faz uma avaliao dos dados encontrados:
arquivos que haviam sido removidos e foram recuperados; arquivos ocultos; fragmentos de arquivos encontrados nas reas no alocadas; fragmentos de arquivos encontrados em setores alocados, porm no utilizados pelo arquivo.

06/11/07

Forense Computacional

15

PET-Computao Diego Tavares

Anlise das informaes

Aps a extrao dos dados considerados relevantes, o perito deve concentrar suas habilidades e conhecimentos na etapa de anlise e interpretao das informaes. Finalidade: identificar pessoas, locais e eventos; determinar como esses elementos esto inter-relacionados. Normalmente necessrio correlacionar informaes de vrias fontes de dados
Exemplo de correlao: um indivduo tenta realizar um acesso no autorizado a um determinado servidor possvel identificar por meio da anlise dos eventos registrados nos arquivos de log o endereo IP de onde foi originada a requisio de acesso Registros gerados por firewalls, sistemas de deteco de intruso e demais mecanismos de proteo

06/11/07

Forense Computacional

16

PET-Computao Diego Tavares

Resultados
A interpretao dos resultados obtidos a etapa conclusiva da investigao. O perito elabora um laudo pericial que deve ser escrito de forma clara e concisa, listando todas as evidncias localizadas e analisadas. O laudo pericial deve apresentar uma concluso imparcial e final a respeito da investigao.

06/11/07

Forense Computacional

17

PET-Computao Diego Tavares

Resultados
Para que o laudo pericial torne-se um documento de fcil interpretao, indicado que o mesmo seja organizado em sees:
Finalidade da investigao Autor do laudo Resumo do incidente Relao de evidncias analisadas e seus detalhes Concluso Anexos Glossrio (ou rodaps)

06/11/07

Forense Computacional

18

PET-Computao Diego Tavares

Resultados
Tambm devem constar no laudo pericial:
Metodologia Tcnicas Softwares e equipamentos empregados

Com um laudo bem escrito torna-se mais fcil a reproduo das fases da investigao, caso necessrio.

06/11/07

Forense Computacional

19

PET-Computao Diego Tavares

Tcnicas Forenses
Boas prticas que antecedem a coleta dos dados:
Limpar todas as mdias que sero utilizadas ou usar mdias novas a cada investigao Certificar-se de que todas as ferramentas (softwares) que sero utilizadas esto devidamente licenciadas e prontas para utilizao Verificar se todos os equipamentos e materiais necessrios (por exemplo, a estao forense, as mdias para coleta dos dados, etc.) esto disposio Quando chegar ao local da investigao, o perito deve providenciar para que nada seja tocado sem o seu consentimento, com o objetivo de proteger e coletar todos os tipos de evidncias Os investigadores devem filmar ou fotografar o ambiente e registrar detalhes sobre os equipamentos como: marca, modelo, nmeros de srie, componentes internos, perifricos, etc. Manter a cadeia de custdia.
06/11/07

Forense Computacional

20

PET-Computao Diego Tavares

Ferramentas Forenses
Algumas ferramentas forenses sero mostradas nas etapas:
Coleta dos dados Exame dos dados Anlise dos dados

06/11/07

Forense Computacional

21

PET-Computao Diego Tavares

Ferramentas Forenses Coleta dos dados

dd (Disk Definition) dcfldd (Department of Defense Computer Forensics Lab Disk Definition): verso aprimorada do dd, com mais funcionalidades:
gerao do hash dos dados durante a cpia dos mesmos visualizao do processo de gerao da imagem diviso de uma imagem em partes

Automated Image & Restore (AIR): interface grfica para os comandos dd/dcfldd
gera e compara automaticamente hashes MD5 ou SHA produz um relatrio contendo todos os comandos utilizados durante a sua execuo elimina o risco da utilizao de parmetros errados por usurios menos capacitados

06/11/07

Forense Computacional

22

PET-Computao Diego Tavares

06/11/07

Forense Computacional

23

PET-Computao Diego Tavares

Ferramentas Forenses Exame dos dados

Diversas ferramentas j permitem a utilizao dos bancos de dados citados, por exemplo:
Autopsy pyFlag EnCase: Padronizao de laudo; Recuperao de dados, banco de dados de evidncias; Anlise de hardwares e logs.

06/11/07

Forense Computacional

24

PET-Computao Diego Tavares

Como funciona o EnCase

06/11/07

PET-Computao Diego Tavares

Ferramentas Forenses Anlise dos dados

Utilitrios para construo da linha de tempo dos eventos
Mactime: permite que a partir das informaes contidas nos metadados dos arquivos e diretrios, uma viso cronolgica dos acontecimentos seja mostrada

Muitos arquivos importantes que fazem parte dos sistemas operacionais da famlia Windows no possuem uma clara explicao de suas estruturas
Pasco: analisa os ndices dos arquivos do Internet Explorer (index.dat), exportando os resultados em um formato de texto padro, inteligvel por humanos e que utiliza como delimitador de campos o caractere | Galleta: analisa os cookies existentes em uma mquina e separa as informaes teis em campos para que possam ser manipuladas por outros programas

06/11/07

Forense Computacional

26

PET-Computao Diego Tavares

Consideraes Finais
Forense computacional um tema bastante atual e que tem recebido ateno significativa tanto da comunidade cientfica quanto da indstria. Muitas vezes a investigao no pode prosseguir sem a verificao de computadores de suspeitos necessidade de pessoal qualificado. O surgimento de legislao e padres a serem aplicados (Brasil) referentes forense computacional tornariam menor a chance de laudos serem inutilizados por falta de experincia dos peritos.

06/11/07

Forense Computacional

27

PET-Computao Diego Tavares

Referncias Bibliogrficas
Neukamp, Paulo A. Forense Computacional: Fundamentos e Desafios Atuais. 11 Junho de 2007. Universidade do Vale do Rio dos Sinos (UNISINOS). 06 Nov. 2007. http://www.imasters.com.br/artigo/4175/forense/introducao_a_ computacao_forense/ http://www.guidancesoftware.com/pt/products/ee_index.asp

06/11/07

Forense Computacional

28

PET-Computao Diego Tavares

Dvidas?

06/11/07

PET-Computao Diego Tavares

Obrigado!

06/11/07