Curso preparatório oficial para os exames da

certificação Cybersecurity Analyst (CCSA)

[Overview]
Conteúdo
• Cybersecurity Foundation
• Normas
• Principais normas na área de
segurança da informação
• Principais termos e definições
relacionados com
segurança da informação
• Golpes na Internet
• Ataques na Internet
• Códigos maliciosos (Malware)
• Mecanismos de segurança
• Simulados
• Ethical Hacking Essentials e
PenTest Essentials
• Introdução a Ethical Hacking
• Penetration Testing
• Tipos de Penetration Testing
• Fases da realização de um
Penetration Testing
• Análise de vulnerabilidades
• Ataques
• Cross Site Scripting
• SQL Injection
• Session Hijacking
• Buffer Overflow
• Spoofing
• Métodos para descobrir senhas
• Ferramentas
• Simulados
• Computer Forensics Foundation
• Introdução a Computação Forense
• Normas
• Termos e definições
• Locais de crime envolvendo
equipamentos computacionais
• Fases do exame forense em
dispositivos de armazenamento
• Principais desafios
• Principais ferramentas
• Simulados
Cybersecurity Foundation (ISO/IEC 27032) v2
Normas

• Normas
• Normas são documentos estabelecidos por consenso e aprovado por um organismo
reconhecido, que fornece, para uso comum e repetitivo, regras, diretrizes ou características
para atividades ou seus resultados, visando a obtenção de um grau ótimo de ordenação em um
dado contexto.

• Normas da família ISO/IEC 27000

• As normas da família ISO/IEC 27000 são normas internacionais que apresentam os requisitos
necessários para a implementação de um Sistema de Gestão da Segurança da Informação
(SGSI) em qualquer organização por meio do estabelecimento de políticas de segurança,
controles e gerenciamento de risco.
Principais normas na área de segurança da informação
• ISO/IEC 27000
• Overview and vocabulary (Termos e definições aplicáveis a todas as normas da família 27000)
• Referência normativa indispensável para aplicação de todas as normas da família 27000)
• ISO/IEC 27001 
• Sistemas de gestão da segurança da informação — Requisitos
• ISO/IEC 27002 
• Código de prática para controles de segurança da informação
• ISO/IEC 27003
• Diretrizes para implantação de um sistema de gestão da segurança da informação
• ISO/IEC 27004
• Gestão da segurança da informação — Medição
• ISO/IEC 27005 
• Gestão de riscos de segurança da informação
• ISO/IEC 27007 
• Segurança da informação, segurança cibernética e proteção da privacidade - Diretrizes para auditoria de
sistemas de gestão da segurança da informação.
Principais normas na área de segurança da informação
• ISO/IEC 27014 
• Tecnologia da Informação - Técnicas de Segurança - Governança de segurança da informação
• ISO/IEC 27032 
• A norma ISO/IEC 27032 fornece diretrizes para tratamento de riscos relacionados à segurança
cibernética (cybersecurity), incluindo Malwares, Ataques de Engenharia Social, Hacking e Spywares.
• ISO/IEC 27037 
• Tecnologia da informação - Técnicas de segurança - Diretrizes para identificação, coleta, aquisição e
preservação de evidência digital (Computação Forense).
Principais termos e definições relacionados com
segurança da informação
• Ameaça
• Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou
organização.
• Ameaças podem ser de origem natural ou humana e podem ser acidentais ou intencionais.
• Convém que tanto as fontes de ameaças acidentais, quanto as intencionais, sejam devidamente
identificadas.
• Exemplos de ameaças
• Acesso não autorizado
• Espionagem industrial
• Ações de hackers
• Fraude
• Roubo de documentos confidenciais
• Enchente
• Incêndio, etc...
Principais termos e definições relacionados com
segurança da informação
• Ataque
• Qualquer tentativa, bem ou mal sucedida, de acesso ou uso não autorizado de um serviço,
computador ou rede.
• Ativo
• Algo que tenha valor para a organização e que, portanto, requer proteção.
• Ativos primários
• Processos e atividades de negócio
• Informação
• Ativos de suporte e infraestrutura
• Hardware e software
• Rede
• Recursos Humanos
• Instalações físicas
Principais termos e definições relacionados com
segurança da informação
• Conformidade
• Atendimento a um requisito.
• Controle
• Medida que está modificando o risco.
• DNS (Domain Name System)
• Sistema de nomes de domínios, responsável pela tradução, entre outros tipos, de nome de
máquinas/domínios para o endereço IP correspondente e vice-versa.
• Incidente de segurança da informação
• Qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas
de computação ou de redes de computadores.
• Política
• Intenções e direção de uma organização formalmente expressa pela sua alta direção.
• Risco
• Probabilidade de uma ameaça explorar uma vulnerabilidade de um ativo, causando danos ou
perdas à organização.
Principais termos e definições relacionados com
segurança da informação
• Risco Residual
• Risco remanescente após o tratamento do risco.
• Segurança Cibernética (Cybersecurity)
• Preservação da confidencialidade, integridade e disponibilidade das informações na Internet.
• Tratamento do Risco
• Processo de seleção e implementação de medidas para modificar um risco.
• Vetor de ataque
• Meio pelo qual um atacante pode obter acesso a um computador ou servidor de rede com um
objetivo mal-intencionado.
• Vulnerabilidade
• Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.
• Vulnerabilidade Dia Zero (zero-day vulnerability)
• Vulnerabilidades desconhecidas pelo fabricante.
Golpes na Internet

• Furto de identidade (Identity theft)

• O furto de identidade, ou identity theft, é o ato pelo qual uma pessoa tenta se passar por
outra, atribuindo-se uma falsa identidade, com o objetivo de obter vantagens indevidas.
Alguns casos de furto de identidade podem ser considerados como crime contra a fé pública,
tipificados como falsa identidade.

• Malvertising
• Tipo de golpe que consiste em criar anúncios maliciosos e, por meio de serviços de
publicidade, apresentá-los em diversas páginas Web.

11
Golpes na Internet
• Phishing
• Phishing é o tipo de fraude por meio da qual um golpista tenta obter dados pessoais e financeiros
de um usuário, pela utilização combinada de meios técnicos e engenharia social.
• O phishing ocorre por meio do envio de mensagens eletrônicas que:
• tentam se passar pela comunicação oficial de uma instituição conhecida, como um banco,
uma empresa ou um site popular;
• procuram atrair a atenção do usuário, seja por curiosidade, por caridade ou pela possibilidade
de obter alguma vantagem financeira;
• informam que a não execução dos procedimentos descritos pode acarretar sérias
consequências, como a inscrição em serviços de proteção de crédito e o cancelamento de um
cadastro, de uma conta bancária ou de um cartão de crédito;
• tentam induzir o usuário a fornecer dados pessoais e financeiros, por meio do acesso a
páginas falsas, que tentam se passar pela página oficial da instituição.

12
Golpes na Internet
• Pharming
• Pharming é um tipo específico de phishing que envolve a redireção da navegação do usuário
para sites falsos, por meio de alterações no serviço de DNS (Domain Name System).
• Neste caso, quando o usuário tenta acessar um site legítimo, o seu navegador Web é redirecionado, de
forma transparente, para uma página falsa.

• Boato (Hoax)
• Um boato, ou hoax, é uma mensagem que possui conteúdo alarmante ou falso e que, geralmente, tem
como remetente, ou aponta como autora, alguma instituição, empresa importante ou órgão
governamental.
• Por meio de uma leitura minuciosa de seu conteúdo, normalmente, é possível identificar informações sem
sentido e tentativas de golpes, como correntes e pirâmides.

• Fraude de antecipação de recursos (advance fee fraud)

• Fraude na qual um golpista procura induzir uma pessoa a fornecer informações confidenciais ou a realizar
um pagamento adiantado, com a promessa de futuramente receber algum tipo de benefício.
13
Golpes na Internet

• Scam
• Esquemas ou ações enganosas e/ou fraudulentas. Normalmente, têm como finalidade obter
vantagens financeiras.

• Engenharia Social
• Termo utilizado para descrever um método de ataque em que alguém faz uso da persuasão,
muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que
podem ser utilizadas para ter acesso não autorizado a computadores ou informações.
• É considerada uma prática de má-fé, usada por golpistas para tentar explorar a ganância, a
vaidade e a boa-fé ou abusar da ingenuidade e da confiança de outras pessoas, a fim de
aplicar golpes, ludibriar ou obter informações sigilosas e importantes.

14
Ataques na Internet

• Ataques costumam ocorrer na Internet com diversos objetivos, visando diferentes alvos e usando
variadas técnicas.
• Qualquer serviço, computador ou rede que seja acessível via Internet pode ser alvo de um
ataque, assim como qualquer computador com acesso à Internet pode participar de um ataque.
• Os motivos que levam os atacantes a desferir ataques na Internet são bastante diversos, variando
da simples diversão até a realização de ações criminosas. Alguns exemplos são:
• Demonstração de poder;
• Motivações financeiras;
• Prestígio;
• Motivações ideológicas;
• Motivações comerciais.

15
Ataques na Internet
• Exploração de vulnerabilidades
• Uma vulnerabilidade é definida como uma condição que, quando explorada por um atacante,
pode resultar em uma violação de segurança. Exemplos de vulnerabilidades são falhas no
projeto, na implementação ou na configuração de programas, serviços ou equipamentos de
rede.
• Um ataque de exploração de vulnerabilidades ocorre quando um atacante, utilizando-se de
uma vulnerabilidade, tenta executar ações maliciosas, como invadir um sistema, acessar
informações confidenciais, disparar ataques contra outros computadores ou tornar um
serviço inacessível.
• Exploit
• Programa ou parte de um programa malicioso projetado para explorar uma vulnerabilidade
existente em um programa de computador.

16
Ataques na Internet
• Varredura em redes (Scan)
• Varredura em redes, ou scan, é uma técnica que consiste em efetuar buscas minuciosas em redes, com
o objetivo de identificar computadores ativos e coletar informações sobre eles como, por exemplo,
serviços disponibilizados e programas instalados.
• Com base nas informações coletadas é possível associar possíveis vulnerabilidades aos serviços
disponibilizados e aos programas instalados nos computadores ativos detectados.

• Scanner
• Programa usado para efetuar varreduras em redes de computadores, com o intuito de identificar quais
computadores estão ativos e quais serviços estão sendo disponibilizados por eles. Amplamente usado
por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos
serviços habilitados em um computador.
• Nmap
• Ferramenta de código fonte aberto largamente utilizada para realização de varredura em
redes e coleta de informações sobre hosts e serviços ativos, estado das portas e sistemas
operacionais utilizados.
• Possui interface gráfica e por linha de comando.
• Multi plataforma(Linux, UNIX, Windows e Mac OS X). 17
Ataques na Internet

• Falsificação de e-mail (E-mail spoofing)

• Falsificação de e-mail, ou e-mail spoofing, é uma técnica que consiste em alterar campos do
cabeçalho de um e-mail, de forma a aparentar que ele foi enviado de uma determinada
origem quando, na verdade, foi enviado de outra.
• Ataques deste tipo são bastante usados para propagação de códigos maliciosos, envio
de spam e em golpes de phishing.
• Exemplos de e-mails com campos falsificados são aqueles recebidos como sendo:
• de alguém conhecido, solicitando que você clique em um link ou execute um arquivo
anexo;
• do seu banco, solicitando que você siga um link fornecido na própria mensagem e
informe dados da sua conta bancária;
• do administrador do serviço de e-mail que você utiliza, solicitando informações pessoais
e ameaçando bloquear a sua conta caso você não as envie.

18
Ataques na Internet

• Interceptação de tráfego (Sniffing)

• Interceptação de tráfego, ou sniffing, é uma técnica que consiste em inspecionar os dados trafegados em
redes de computadores, por meio do uso de programas específicos chamados de sniffers.

• Man-in-the-middle
• Tipo de ataque no qual o atacante se passa por uma entidade autorizada agindo como intermediário para
roubar informações de identidade.

• Força bruta (Brute force)

• Um ataque de força bruta, ou brute force, consiste em adivinhar, por tentativa e erro, um nome de usuário e
senha e, assim, executar processos e acessar sites, computadores e serviços em nome e com os mesmos
privilégios deste usuário.
• Apesar dos ataques de força bruta poderem ser realizados manualmente, na grande maioria dos casos, eles
são realizados com o uso de ferramentas automatizadas facilmente obtidas na Internet e que permitem
tornar o ataque bem mais efetivo.

19
Ataques na Internet

• Desfiguração de página (Defacement)

• Desfiguração de página, defacement ou pichação, é uma técnica que consiste em alterar o conteúdo da
página Web de um site.

• Negação de serviço (DoS e DDoS)

• Negação de serviço, ou DoS (Denial of Service), é uma técnica pela qual um atacante utiliza um
computador para tirar de operação um serviço, um computador ou uma rede conectada à Internet.
• Quando utilizada de forma coordenada e distribuída, ou seja, quando um conjunto de computadores é
utilizado no ataque, recebe o nome de negação de serviço distribuído, ou DDoS (Distributed Denial
of Service).
• O objetivo destes ataques não é invadir e nem coletar informações, mas sim exaurir recursos e causar
indisponibilidades ao alvo. Quando isto ocorre, todas as pessoas que dependem dos recursos afetados
são prejudicadas, pois ficam impossibilitadas de acessar ou realizar as operações desejadas.

20
Códigos maliciosos (Malware)

• Códigos maliciosos (malware)

• São programas especificamente desenvolvidos para executar ações danosas e atividades
maliciosas em um computador.
• Uma vez instalados, os códigos maliciosos passam a ter acesso aos dados armazenados no
computador e podem executar ações em nome dos usuários, de acordo com as permissões
de cada usuário.
• Os principais motivos que levam um atacante a desenvolver e a propagar códigos maliciosos
são a obtenção de vantagens financeiras, a coleta de informações confidenciais, o desejo de
autopromoção e o vandalismo.

21
Códigos maliciosos (Malware)

• Vírus
• Vírus é um programa ou parte de um programa de computador, normalmente malicioso, que
se propaga inserindo cópias de si mesmo e se tornando parte de outros programas e
arquivos.
• Para que possa se tornar ativo e dar continuidade ao processo de infecção, o vírus depende
da execução do programa ou arquivo hospedeiro, ou seja, para que o seu computador seja
infectado é preciso que um programa já infectado seja executado.
• Alguns dos tipos de vírus mais comuns são:
• Vírus propagado por e-mail;
• Vírus de script;
• Vírus de macro;
• Vírus de telefone celular.

22
Códigos maliciosos (Malware)

• Worm
• Worm é um programa capaz de se propagar automaticamente pelas redes, enviando cópias
de si mesmo de computador para computador.
• Diferente do vírus, o worm não se propaga por meio da inclusão de cópias de si mesmo em
outros programas ou arquivos, mas sim pela execução direta de suas cópias ou pela
exploração automática de vulnerabilidades existentes em programas instalados em
computadores.
• Worms são notadamente responsáveis por consumir muitos recursos, devido à grande
quantidade de cópias de si mesmo que costumam propagar e, como consequência, podem
afetar o desempenho de redes e a utilização de computadores.

23
Códigos maliciosos (Malware)
• Bot
• Bot é um programa que dispõe de mecanismos de comunicação com o invasor que permitem
que ele seja controlado remotamente.
• Possui processo de infecção e propagação similar ao do worm, ou seja, é capaz de se
propagar automaticamente, explorando vulnerabilidades existentes em programas instalados
em computadores.
• Computador zumbi (zombie computer)
• Computador infectado por um bot, que possibilita que o equipamento seja controlado
remotamente, sem o conhecimento do seu dono, normalmente para realizar um ataque
a outro computador.

• Botnet
• Botnet é uma rede formada por centenas ou milhares de computadores zumbis e que
permite potencializar as ações danosas executadas pelos bots.
• Quanto mais zumbis participarem da botnet mais potente ela será. O atacante que a
controlar, além de usá-la para seus próprios ataques, também pode alugá-la para outras
pessoas ou grupos que desejem que uma ação maliciosa específica seja executada.
24
Códigos maliciosos (Malware)
• Spyware
• Spyware é um programa projetado para monitorar as atividades de um sistema e enviar as informações coletadas para
terceiros.
• Pode ser usado tanto de forma legítima quanto maliciosa, dependendo de como é instalado, das ações realizadas, do tipo de
informação monitorada e do uso que é feito por quem recebe as informações coletadas.
• Alguns tipos específicos de programas spyware são:
• Keyloggers
• Tipo de programa especializado em capturar e armazenar informações digitadas no teclado.
• Tipos de Keyloggers
• Keyloggers locais
• São os tipos mais comuns de capturadores de teclas;
• Rodam localmente e armazenam as informações capturadas no disco;
• Programa ou dispositivo físico (USB ou PS/2).
• Keyloggers remotos
• Permite enviar as informações capturadas por e-mail.
• Screenloggers
• Similar ao keylogger, capaz de armazenar a posição do cursor e a tela apresentada no monitor, nos momentos em que
o mouse é clicado, ou a região que circunda a posição onde o mouse é clicado. São bastante utilizados por atacantes
para capturar as teclas digitadas pelos usuários em teclados virtuais, disponíveis principalmente em sites de Internet
Banking. 25
Códigos maliciosos (Malware)

• Backdoor
• Backdoor é um programa que permite o retorno de um invasor a um computador
comprometido, por meio da inclusão de serviços criados ou modificados para este fim.
• Pode ser incluído pela ação de outros códigos maliciosos, que tenham previamente infectado
o computador, ou por atacantes, que exploram vulnerabilidades existentes nos programas
instalados no computador para invadi-lo.
• Após incluído, o backdoor é usado para assegurar o acesso futuro ao computador
comprometido, permitindo que ele seja acessado remotamente, sem que haja necessidade
de recorrer novamente aos métodos utilizados na realização da invasão ou infecção e, na
maioria dos casos, sem que seja notado.

26
Códigos maliciosos (Malware)

• Cavalo de troia (Trojan)

• Cavalo de troia ou trojan, é um programa que, além de executar as funções para as quais foi
aparentemente projetado, também executa outras funções, normalmente maliciosas, e sem
o conhecimento do usuário.
• Exemplos de trojans são programas que você recebe ou obtém de sites na Internet e que
parecem ser apenas cartões virtuais animados, álbuns de fotos, jogos e protetores de tela,
entre outros. Estes programas, geralmente, consistem de um único arquivo e necessitam ser
explicitamente executados para que sejam instalados no computador.

• Rootkit
• Rootkit é um conjunto de programas e técnicas que permite esconder e assegurar a presença
de um invasor ou de outro código malicioso em um computador comprometido.

27
Códigos maliciosos (Malware)
• Ransomware
• Programa que torna inacessíveis os dados armazenados em um equipamento, geralmente usando criptografia, e que
exige pagamento de resgate (ransom) para restabelecer o acesso ao usuário.
• É um tipo de código malicioso
• assim como vírus, trojan, backdoor, worm, bot e spyware.
• Pode infectar:
• computadores (desktop, notebook, servidores, etc.);
• equipamentos de rede (modems, switches, roteadores, etc.);
• dispositivos móveis (tablets, celulares, smartphones, etc.).
• Ações mais comuns:
• impede o acesso ao equipamento (Locker ransomware);
• impede o acesso aos dados armazenados no equipamento, geralmente usando criptografia (Crypto ransomware).
• Extorsão é o principal objetivo dos atacantes:
• pagamento feito geralmente via bitcoins;
• não há garantias de que o acesso será restabelecido;
• mesmo que o resgate seja pago.
• normalmente usa criptografia forte;
• Costuma buscar outros dispositivos conectados, locais ou em rede, e criptografá-los também.
28
Códigos maliciosos (Malware)
• Ransomware
• Infecção pode ocorrer pela execução de arquivo infectado:
• recebido:
• via links em e-mails, redes sociais e mensagens instantâneas;
• anexado a e-mails.
• baixado de sites na Internet.
• acessado:
• via arquivos compartilhados;
• via páginas Web maliciosas, usando navegadores vulneráveis.
• Não se propaga sozinho.
• Nem sempre é possível reverter as ações danosas já feitas ou recuperar totalmente os dados.

29
Códigos maliciosos (Malware)
• Ransomware
Como se prevenir contra ataques do tipo Ransomware
• Fazer backup regularmente:
• Backup é a solução mais efetiva contra ransomware;
• Manter os backups atualizados e desconectados do sistema;
• Fazer cópias redundantes.
• Manter os programas instalados sempre atualizados:
• Remover programas não utilizados;
• Configurar a atualização automática dos programas;
• Utilizar apenas softwares originais.
• Manter um antivírus (antimalware) instalado e sempre atualizado:
• Configurar o antivirus para verificar automaticamente:
• toda e qualquer extensão de arquivo;
• arquivos anexados aos e-mails e obtidos pela Internet;
• discos rígidos e unidades removíveis.
30
 Códigos maliciosos (Malware)
• Ransomware
• Como se prevenir contra ataques do tipo Ransomware
• Assegurar-se de ter um firewall pessoal instalado e ativo.
• Utilizar antispam para filtrar as mensagens indesejadas.
• Desabilitar a auto-execução de mídias removíveis e arquivos anexados.
• Utilizar a conta de administrador do sistema apenas quando necessário.
• Ser cuidadoso ao clicar em links curtos.
• Ao instalar aplicativos de terceiros, selecionar aqueles bem avaliados e com grande
quantidade de usuários.

31
Outros riscos
• Spam
• Spam é o termo usado para se referir aos e-mails não solicitados, que geralmente são
enviados para um grande número de pessoas.
• Blacklist
• Lista de e-mails, domínios ou endereços IP, reconhecidamente fontes de spam.
• Cookies
• Cookies são pequenos arquivos que são gravados em seu computador quando você
acessa sites na Internet e que são reenviados a estes mesmos sites quando novamente
visitados. São usados para manter informações sobre você, como carrinho de compras, lista
de produtos e preferências de navegação.

32
Mecanismos de segurança
• Acordo de Não-Divulgação (Non-Disclosure Agreement)
• Documento que tem por objetivo garantir o tratamento adequado e proteção de informações sensíveis, pessoais e/ou
confidenciais.

• Política de Segurança da Informação

• Documento estruturado que estabelece um conjunto de regras, normas e procedimentos que define as obrigações e as
responsabilidades referentes à segurança da informação.

• Política de uso aceitável (PUA) ou Acceptable Use Policy (AUP)

• Também chamada de "Termo de Uso" ou "Termo de Serviço", define as regras de uso dos recursos computacionais, os
direitos e as responsabilidades de quem os utiliza e as situações que são consideradas abusivas.
• NTP (Network Time Protocol)
• Tipo de protocolo que permite a sincronização dos relógios dos dispositivos de uma rede, como servidores, estações de
trabalho, roteadores e outros equipamentos, à partir de referências de tempo confiáveis
• Firewall
• Dispositivo de segurança usado para dividir e controlar o acesso entre redes de computadores.
• Firewall pessoal
• Firewall pessoal é um tipo específico de firewall que é utilizado para proteger um computador contra acessos não
autorizados vindos da Internet.

33
Criptografia
• A criptografia, considerada como a ciência e a arte de escrever mensagens em forma cifrada ou em código.
• É um dos principais mecanismos de segurança que você pode usar para se proteger dos riscos associados ao
uso da Internet.
• Termos empregados em criptografia:

TERMO SIGNIFICADO
Texto claro Informação legível (original) que será protegida, ou seja, que será codificada
Texto codificado (cifrado) Texto ilegível, gerado pela codificação de um texto claro
Codificar (cifrar) Ato de transformar um texto claro em um texto codificado
Decodificar (decifrar) Ato de transformar um texto codificado em um texto claro
Método criptográfico Conjunto de programas responsável por codificar e decodificar informações
Chave Similar a uma senha, é utilizada como elemento secreto pelos métodos
criptográficos. Seu tamanho é geralmente medido em quantidade de bits
Canal de comunicação Meio utilizado para a troca de informações
Remetente Pessoa ou serviço que envia a informação
Destinatário 34
Pessoa ou serviço que recebe a informação
Criptografia

• De acordo com o tipo de chave usada, os métodos criptográficos podem ser subdivididos em duas
grandes categorias: criptografia de chave simétrica e criptografia de chaves assimétricas.
• Criptografia de chave simétrica: também chamada de criptografia de chave secreta ou única,
utiliza uma mesma chave tanto para codificar como para decodificar informações, sendo
usada principalmente para garantir a confidencialidade dos dados.
• Criptografia de chaves assimétricas: também conhecida como criptografia de chave pública,
utiliza duas chaves distintas: uma pública, que pode ser livremente divulgada, e uma privada,
que deve ser mantida em segredo por seu dono.

35
Criptografia

• Função de resumo (Hash)

• Uma função de resumo é um método criptográfico que, quando aplicado sobre uma
informação, independente do tamanho que ela tenha, gera um resultado único e de tamanho
fixo, chamado hash.
• A função de resumo (Hash) pode ser utilizada para:
• verificar a integridade de um arquivo armazenado em seu computador ou em
seus backups;
• verificar a integridade de um arquivo obtido da Internet (alguns sites, além do arquivo
em si, também disponibilizam o hash correspondente, para que você possa verificar se o
arquivo foi corretamente transmitido e gravado);
• gerar assinaturas digitais.

36
Criptografia

• Assinatura digital
• A assinatura digital permite comprovar a autenticidade e a integridade de uma informação, ou seja, que ela
foi realmente gerada por quem diz ter feito isto e que ela não foi alterada.

• Certificado digital
• O certificado digital é um registro eletrônico composto por um conjunto de dados que distingue uma entidade
e associa a ela uma chave pública. Ele pode ser emitido para pessoas, empresas, equipamentos ou serviços na
rede (por exemplo, um site Web) e pode ser homologado para diferentes usos, como confidencialidade e
assinatura digital.
• Um certificado digital pode ser comparado a um documento de identidade, por exemplo, o seu passaporte,
no qual constam os seus dados pessoais e a identificação de quem o emitiu. No caso do passaporte, a
entidade responsável pela emissão e pela veracidade dos dados é a Polícia Federal. No caso do certificado
digital esta entidade é uma Autoridade Certificadora (AC).

• Autoridade certificadora
• Entidade responsável por emitir e gerenciar certificados digitais.

37
Criptografia

• SSH
• Do inglês Secure Shell. Protocolo que utiliza criptografia para acesso a um computador
remoto, permitindo a execução de comandos, transferência de arquivos, entre outros.

38
Uso seguro da Internet

• Segurança em conexões Web

• Protocolo HTTP
• O protocolo HTTP, além de não oferecer criptografia, também não garante que os dados
não possam ser interceptados, coletados, modificados ou retransmitidos e nem que você
esteja se comunicando exatamente com o site desejado.
• Por estas características, ele não é indicado para transmissões que envolvem
informações sigilosas, como senhas, números de cartão de crédito e dados bancários, e
deve ser substituído pelo HTTPS, que oferece conexões seguras.

39
Uso seguro da Internet

• Segurança em conexões Web (cont.)

• Protocolo HTTPS
• O protocolo HTTPS utiliza certificados digitais para assegurar a identidade, tanto
do site de destino como a sua própria, caso você possua um.
• Também utiliza métodos criptográficos e outros protocolos, como o SSL
(Secure Sockets Layer) e o TLS (Transport Layer Security), para assegurar a
confidencialidade e a integridade das informações.
• Sempre que um acesso envolver a transmissão de informações sigilosas, é importante
certificar-se do uso de conexões seguras.

40
Uso seguro da Internet
• Tipos de conexão
• Conexão padrão: é a usada na maioria dos acessos realizados. Não provê requisitos de
segurança.
• Alguns indicadores deste tipo de conexão são:
• o endereço do site começa com "http://";
• em alguns navegadores, o tipo de protocolo usado (HTTP), por ser o padrão das
conexões, pode ser omitido na barra de endereços;
• um símbolo do site (logotipo) é apresentado próximo à barra de endereço e, ao passar
o mouse sobre ele, não é possível obter detalhes sobre a identidade do site.

41
Uso seguro da Internet
• Conexão segura: é a que deve ser utilizada quando dados sensíveis são transmitidos, geralmente usada
para acesso a sites de Internet Banking e de comércio eletrônico. Provê autenticação, integridade e
confidencialidade, como requisitos de segurança.
• Alguns indicadores deste tipo de conexão são:
• o endereço do site começa com "https://";
• o desenho de um "cadeado fechado" é mostrado na barra de endereço e, ao clicar sobre ele,
detalhes sobre a conexão e sobre o certificado digital em uso são exibidos;
• um recorte colorido (branco ou azul) com o nome do domínio do site é mostrado ao lado da
barra de endereço (à esquerda ou à direita) e, ao passar o mouse ou clicar sobre ele, são
exibidos detalhes sobre conexão e certificado digital em uso.

42
Uso seguro da Internet
• IDS (Intrusion Detection System)
• Programa, ou um conjunto de programas, cuja função é detectar atividades maliciosas ou anômalas.
• Log
• Termo técnico que se refere ao registro de atividades gerado por programas e serviços de um computador, por
exemplo, de conexão (informações sobre a conexão de um computador à Internet) e de acesso a aplicações
(informações de acesso de um computador a uma aplicação de Internet).
• Proxy
• Servidor que atua como intermediário entre um cliente e outro servidor. Normalmente é utilizado em empresas para
aumentar o desempenho de acesso a determinados serviços ou permitir que mais de uma máquina se conecte à
Internet.

• VPN
• Do inglês Virtual Private Network. Termo usado para se referir à construção de uma rede privada utilizando redes
públicas (por exemplo, a Internet) como infraestrutura.
• Esses sistemas utilizam criptografia e outros mecanismos de segurança para garantir que somente usuários
autorizados possam ter acesso à rede privada e que nenhum dado será interceptado enquanto estiver passando pela
rede pública.

43
Ethical Hacking Essentials e
PenTest Essentials
Introdução a Ethical Hacking

• Ethical Hacker (White Hat Hacker)

• Tipo de hacker que tem por objetivo realizar testes de intrusão a fim de ajudar as
organizações a identificar vulnerabilidades às quais seus ativos de informação estejam
expostos para que sejam tomadas as medidas apropriadas para lidar com os riscos
associados.
• Black Hat Hacker
• Tipo de hacker que utiliza seus conhecimentos para roubar senhas, documentos, causar
danos ou mesmo realizar espionagem industrial.
• Script kiddie
• Termo utilizado para identificar individuos que possuem poucos conhecimentos técnicos e
que geralmente não tem alvos definidos e utilizam exploits e scripts prontos ("receitas de
bolo") para invadir sistemas.

45
Introdução a Ethical Hacking

• Crackers
• São os responsáveis pela criação dos cracks, ferramentas que quebram a ativação de um
software comercial, permitindo que qualquer pessoa tenha uma versão pirata do software
em seu computador.
• São responsáveis pelo prejuízo das empresas de software, e também por desenvolver vírus e
outras pragas como spywares e trojans.

• Defacer
• Pessoa responsável pela desfiguração de uma página.

46
Penetration Testing
• Penetration Testing
• Teste realizado por um hacker ético, cujo objetivo é tentar invadir um sistema, rede ou ambiente no qual se deseja
detectar falhas a fim de gerar um relatório indicando os problemas encontrados e as recomendações para corrigi-los.
• Tipos de Penetration Testing
• Black box
• Tipo de Penetration Testing no qual o auditor não possui qualquer conhecimento prévio sobre a estrutura, rede
ou sistema alvo.
• Também conhecido como “zero knowledge”.
• Simula um ataque hacker real.
• Tipos de Penetration Testing
• Gray box
• Tipo de Penetration Testing no qual o auditor possui conhecimento parcial da estrutura e da rede da empresa.
• Tipos de Penetration Testing
• White box
• Tipo de Penetration Testing no qual o auditor possui todo conhecimento necessário sobre a estrutura, rede ou
sistema alvo. 47
Penetration Testing

• Fases da realização de um Penetration Testing

• Planejamento/Preparação
• Execução
• Pós-teste

48
Penetration Testing

• Planejamento/Preparação
• Coleta de informações necessárias para realização do Penetration Testing (Reconnaissance).
• Os funcionários e clientes da empresa serão notificados a respeito da realização do teste?
• Quais são os resultados esperados?
• O teste será realizado durante o expediente?
• Quais sistemas serão testados?
• Definição do escopo e do objetivo do teste.
• Levantamento de informações (dispositivos de hardware, topologia da rede, sistemas
operacionais, etc...).
• Obtenção de permissão para realização do teste.
• É assinado um non-disclosure agreement (NDA), também chamado de acordo de
confidencialidade.

49
Penetration Testing

• Execução
• Etapa de realização do Penetration Testing propriamente dito.
• Identificação de vulnerabilidades e falhas de segurança.
• Pós-teste
• Elaboração de relatório
• Vulnerabilidades e falhas de segurança encontradas
• Análise de risco
• Matriz GUT
• Recomendações

50
Penetration Testing
• Etapas técnicas
• (1) Footprinting
• Refere-se a busca detalhada de informações iniciais sobre um determinado alvo.
• É o primeiro passo para uma intrusão bem-sucedida.
• Inclui recursos de mapeamento de redes e consulta a banco de dados whois (consulta de
informações sobre domínios) e nslookup (consultas DNS).
• OSINT (Open Source Intelligence) - coleta e análise de informações provenientes de fontes
abertas/públicas.
• Tem por objetivo descobrir:
• Faixa de endereços IP;
• Informações relacionadas à rede;
• Nomes e informações sobre funcionários;
• Documentos com informações úteis.
• Pode ser realizada de forma manual, automatizada ou por meio de consulta a sites de busca (Google e
archive.org).
• O site archive.org mantém um projeto chamado WayBack Machine que mantém versões antigas de
mais de 478 bilhões de páginas. 51
Penetration Testing
• Etapas técnicas (cont.)
• (2) Varredura
• É etapa de um Penetration Testing que tem objetivo identificar hosts ativos e portas
abertas na rede alvo.
• Consiste em efetuar buscas minuciosas em redes, com o objetivo de identificar
computadores ativos e coletar informações sobre eles como, por exemplo, serviços
disponibilizados e programas instalados.
• Pode se realizada manualmente ou por meio de ferramentas específicas chamadas de
Scanners.

52
Penetration Testing

• Etapas técnicas (cont.)

• (3) Enumeração
• Etapa de um Penetration Testing que tem objetivo identificar os serviços que estão
rodando em determinadas portas.
• Identificação do sistema operacional do alvo (Fingerprinting).
• Compilação de dados sobre recursos disponíveis, compartilhamentos e usuários.

53
Penetration Testing
• Etapas técnicas (cont.)
• (4) Procura por falhas e problemas
• Identificação de vulnerabilidades e falhas de segurança.
• Utilização de scanners.

54
 Penetration Testing
• Etapas técnicas (cont.)
• (5) Utilização de métodos para burlar proteção
• Enganar o usuário
• Engenharia social
• Malwares
• Explorar falhas
• SQL Injection
• Cross Site Scripting
• Exploits
• Explorar má configuração
• Senhas fracas (Força Bruta)
• Sniffing
• Negação de serviço
• DoS e DDoS
55
Penetration Testing
Footprinting

Varredura

Enumeração

Procura por
Falhas e
Problemas

Métodos para
Burlar a
Proteção

Explorar má Negação de
Enganar usuário Explorar falhas
Configuração Serviço

SQL Injection Senhas fracas DoS e DDoS

Engenharia Social
(Força Bruta)

Malware CSS Sniffing

Exploits 56
Análise de Vulnerabilidades

• Análise de vulnerabilidades
• Análise de vulnerabilidades consiste na verificação da existência de falhas de segurança no
ambiente analisado.
• O objetivo da análise de vulnerabilidades é verificar se o ambiente atual fornece condições
de segurança compatíveis com a importância estratégica dos serviços que fornece ou
desempenha.

57
Ataques

• Cross Site Scripting (CSS ou XSS)

• Tipo de ataque que tem por objetivo roubar cookies do usuário geralmente utilizando um código em
JavaScript.
• SQL Injection
• Tipo de ataque que consiste na injeção de comandos SQL dentro de uma consulta (query) por meio da
manipulação das entradas de dados de uma aplicação.
• Session Hijacking
• É o sequestro de uma sessão. Ocorre quando um usuário malicioso intercepta cookies com dados do início da
sessão da vítima em algum serviço online. Assim, o cracker consegue acessar a página do serviço como se
fosse a vítima e realizar roubos de informações e modificações.
• Buffer Overflow
• Tipo de ataque que ocorre quando um programa recebe uma quantidade de dados superior à capacidade de
armazenamento do buffer ocasionando comportamentos inesperados, ou mesmo o travamento do programa.

58
Spoofing

• Spoofing
• É a arte de criar endereços falsos e utilizá-los para diversos propósitos.
• Tipo de ataque no qual uma entidade impostora se faz passar por uma entidade verdadeira.
• Existem diversos tipos de ataques tipo spoofing:
• MAC Spoofing: personificação de um endereço MAC ou envenenamento de tabela do
switch.
• ARP Spoofing: envenenamento da tabela ARP.
• IP Spoofing: personificação de um endereço IP.
• DNS Spoofing: falsificação de traduções DNS.

59
Spoofing
• MAC Spoofing
• Técnica de ataque baseando-se no envenenamento de tabela do switch, permitindo ao
atacante receber pacotes direcionados a outra máquina.
• Funcionamento:
• Enviar ao switch um pacote ethernet falso com o endereço MAC da máquina vítima.
• ARP Spoofing
• Técnica de ataque de envenenamento da tabela ARP de uma máquina, permitindo ao
atacante receber pacotes direcionados a outra máquina.
• IP Spoofing
• Técnica de invasão onde o atacante finge ser outra máquina falsificando o seu endereço IP.
• Ataque simples de ser realizado principalmente se o impostor estiver na mesma rede IP da
máquina verdadeira.
• Diversos tipos de ataques usam o IP Spoofing, que é potencialmente perigoso em sistemas
que baseiam sua segurança em endereços IP.

60
 Spoofing
• DNS Spoofing
• Tipo de ataque no qual uma entidade impostora se faz passar por uma entidade verdadeira,
enviando respostas falsas à requisições DNS legítimas.
• Programa para DNS Spoofing
• Necessita obter/concentrar os pacotes da rede, ou simplesmente realizar o “sniffing”.
• Quando observa uma requisição válida de DNS envia imediatamente uma resposta
contendo uma tradução falsa.
• (1) Cliente realiza requisição DNS;
• (2) Atacante envia uma resposta DNS falsa;
• (3) O servidor DNS envia a resposta. Porém ela será descartada pelo cliente;
• (4) O cliente contata o servidor falso.

61
Senhas
• Métodos para descobrir senhas
• Password guessing
• Tentativa de adivinhação de senhas.
• Engenharia social
• Uso da persuasão.
• Sniffers
• Dispositivo ou programa de computador utilizado para capturar e armazenar dados
trafegando em uma rede de computadores.
• Keyloggers
• Programas capazes de capturar e armazenar as teclas digitadas pelo usuário no teclado do
computador.
• Força Bruta
• Tipo de ataque que consiste em adivinhar, por tentativa e erro, um nome de usuário e
senha.

62
Senhas
• Métodos para descobrir senhas (cont.)
• Man-in-the-middle
• Interceptação de dados.
• Ataque de dicionários
• O ataque de dicionários consiste em criar uma lista de palavras (wordlist) ou senhas muito
utilizadas e valer-se dessas informações.
• Rainbow Tables
• Uma tabela de consulta que relaciona strings com seus respectivos hashes.

63
Senhas
• Senhas mais utilizadas em 2020

1. 123456 11. 1234567

2. 123456789 12. qwerty
3. picture1 13. abc123
4. password 14. Million2
5. 12345678 15. 000000
6. 111111 16. 1234
7. 123123 17. iloveyou
8. 12345 18. aaron431
9. 1234567890 19. password1
10. senha 20. qqww1122
Fonte: PCMagazine

64
Mecanismos de Segurança

• IDS
• Sistema que monitora e analisa eventos de uma rede a procura de indícios de
comportamento anômalo com o intuito de fornecer alertas em tempo real sobre acessos não
autorizados aos recurso da rede.
• Honeypots
• Sistema criado com objetivo de enganar um atacante e fazê-lo pensar que conseguiu invadir
o sistema, quando, na realidade, ele está em um ambiente simulado, tendo todos os seus
passos registrados.
• Ferramentas antimalware
• Ferramentas antimalware são aquelas que procuram detectar e, então, anular ou remover os
códigos maliciosos de um computador.
• Antivírus, antispyware, antirootkit e antitrojan são exemplos de ferramentas deste tipo.

65
Ferramentas
• Nmap (scanner de portas)
• https://nmap.org/
• Network protocol analyzer (analisador de protocolo utilizado para capturar tráfego de rede)
• Wireshark
• https://www.wireshark.org/
• Packet generator and analyzer
• hping
• http://www.hping.org/
• Kali Linux
• Distribuição Linux voltado para realização de Penetration Testing.
• Social Engineer Toolkit (SET)
• Ferramenta de código fonte aberto utilizada para realizar ataques de engenharia social durante os testes de invasão.
• https://www.social-engineer.org/framework/se-tools/computer-based/social-engineer-toolkit-set/
• Scanners
• GFI LanGuard
• http://www.gfi.com/products-and-solutions/network-security-solutions/gfi-languard
• Nessus (scanner de vulnerabilidades)
• http://www.tenable.com/products/nessus-vulnerability-scanner 66
Ferramentas

• Metasploit (Ferramenta de exploração de falhas)

• https://www.metasploit.com/
• theHarvester (Ferramenta utilizada para descobrir endereços de e-mail válidos)
• https://tools.kali.org/information-gathering/theharvester
• OpenVAS (Ferramenta de varreduras e gerenciamento de vulnerabilidades open-source)
• https://www.openvas.org/
• Keyloggers
• Ardamax Keylogger
• http://www.ardamax.com/keylogger/
• Perfect Keylogger
• http://www.blazingtools.com/bpk.html
• IDS
• Snort
• https://www.snort.org/
67
Computer Forensics Foundation (ISO/IEC 27037) v2
Introdução a Computação Forense

• Computação Forense é uma ciência que consiste em preservar, coletar e analisar evidências
digitais que possam fornecer informações sobre uso indevido ou abusivo de recursos
computacionais e que possuam valor probatório.

69
Introdução a Computação Forense

• Computação forense envolve os seguintes aspectos:

• Adquirir a evidência sem alterar ou danificar o original;
• Analisar os dados sem modificá-los;
• Verificação de uma quantidade grande de dados, às vezes, gigabytes de dados;
• Procura por palavras, frases ou termos específicos;
• Exame de arquivos de registros ou logs para identificar o tempo em que eventos ocorreram;
• Correlacionamento de eventos;
• Fornecer evidências de que um usuário realizou ou não um determinado ato ilícito.

70
Introdução a Computação Forense

• Principais motivações
• Incidentes de segurança;
• Fraudes financeiras;
• Espionagem;
• Uso indevido de recursos;
• Violação de direito de propriedade intelectual;
• Pornografia infantil;
• Ameaças.

71
Introdução a Computação Forense

• Âmbito da investigação
• Extrajudicial
• Interna à uma organização privada;
• Interna à uma organização pública (sindicância);
• Fiscalização (realizada por órgão de fiscalização);
• Policial.
• Judicial (instrução probatória)

72
Normas

• ABNT NBR ISO/IEC 27037:2013

• A norma estabelece diretrizes para identificação, coleta, aquisição e preservação de
evidência digital.
• Fornece diretrizes para atividades específicas no tratamento de potenciais evidências digitais;
• Fornece diretrizes para as pessoas responsáveis pela identificação, coleta, aquisição e
preservação da potencial evidência digital;
• Não ordena o uso o de ferramentas e métodos específicos.

73
Conceitos gerais
• Termos e definições
• Adulteração - ato de deliberadamente realizar ou permitir alterações na potencial evidência
digital.
• Aquisição - processo de criação de cópia de dados de uma potencial evidência digital (por
exemplo, disco rígido completo, partição, arquivos selecionados) e documentação de
métodos usados e atividades realizadas.
• Cadeia de custódia - é o processo de documentar a história cronológica da evidência,
visando garantir o seu rastreamento em processos judiciais, registrar quem teve acesso ou
realizou o manuseio desta evidência.
• Coleta - processo no qual dispositivos que podem conter potencial evidência são removidos
de sua localização original para um laboratório ou outro ambiente controlado para posterior
aquisição e análise (recolhimento de itens físicos que contem potencial evidência digital).
• Dados não voláteis - dados que não se perdem quando um equipamento (exemplo
computador) é desligado ou mediante interrupção de energia.
• Dados voláteis - dados que são propensos a alteração e que podem ser facilmente
modificados ou apagados.
74
Conceitos gerais
• Termos e definições
• Espoliação - diminuição do valor probatório da evidencia digital por conta de adulteração ou
manuseio inadequado.
• Evidência digital - informações ou dados, armazenados ou transmitidos em forma binária,
que podem ser utilizados como evidência de um crime.
• Função de verificação (função hash) - função que é usada para verificar se dois conjuntos de
dados são idênticos. Exemplo: MD5, SHA-1.
• Identificação - processo envolvendo a busca, reconhecimento e documentação da
potencial evidência digital.
• Instalações de preservação de evidências - ambiente seguro ou local onde as evidências
coletadas são armazenadas.
• Laudo pericial - é o relatório final da perícia, que deverá conter a exposição do objeto da
perícia, a análise técnica ou científica realizada pelo perito, a indicação do método utilizado e
a conclusão.

75
Conceitos gerais
• Termos e definições (cont.)
• Mídia de destino - mídia que receberá a cópia da mídia de provas, ou onde uma imagem
pericial é restaurada.
• Mídia de provas - mídia digital original, foco da perícia, onde se encontram evidências de um
crime.
• Preservação - processo para manter e proteger a integridade e/ou a condição original da
potencial evidência digital e do dispositivo que a contêm contra espoliação ou adulteração.
• Repetibilidade - propriedade de um processo conduzido para se obter os mesmos resultados
em um mesmo ambiente de teste (mesmo computador, disco rígido, etc...).
• Reprodutibilidade - propriedade de um processo para se obter os mesmos resultados em um
ambiente de teste diferente (diferente computador, disco rígido, etc...).

76
Conceitos gerais

• Crimes cometidos com uso de equipamentos computacionais

• Equipamento computacional utilizado como ferramenta de apoio aos crimes convencionais
• Nesta modalidade de crime, o computador é utilizado apenas como ferramenta na prática de
crimes convencionais, como sonegação fiscal, falsificação de documentos, entre outros.

• Equipamento computacional utilizado como meio para o cometimento do crime

• Nesta modalidade, o computador é utilizado como meio para o cometimento de crimes
informáticos, como propagação de códigos maliciosos, envio de spam, golpes e ataques na
Internet. (Phishing, Desfiguração de página, Furto de identidade, Falsificação de e-mail, entre
outros).

77
Conceitos gerais
• Origem das informações
• Computadores
• Conteúdos de disco rígidos;
• Mídias ópticas (CDs, DVDs e Blu-Rays);
• Fitas;
• Cartões de memória e pen-drives;
• Informações preservadas registry (Windows);
• Smartphones e PDAs;
• Câmeras.
• Logs
• Computadores;
• Roteadores;
• Firewalls;
• Servidores ;
• Provedores de Internet.
• Sniffers

78
Locais de crime envolvendo equipamentos computacionais

• Local de crime de informática

• É o local de crime convencional acrescido de equipamentos computacionais que podem ter
relação com o delito investigado.

• Atuação do perito em buscas e apreensões em informática

• Ao participar de equipe para o cumprimento de mandado de busca e apreensão, o perito é o
responsável em orientar a equipe quanto à seleção, preservação e coleta dos equipamentos
computacionais para posterior realização dos exames forenses.
• Devem ser tomados providências para preservação dos vestígios digitais.
• Em alguns casos, quando computadores estiverem ligados, pode ser necessário copiar os dados da
mémoria RAM antes de serem desligados utilizando ferramentas que façam dump dos dados
voláteis.
• Equipamentos computacionais que contenham as evidências desejadas devem ser acondicionados
e transportados de maneira adequada.

79
Locais de crime envolvendo equipamentos computacionais

• Atuação do perito em locais de crime de informática

• Assim como em buscas e apreensões, todos os procedimentos de identificação e preservação
de dados contidos nos equipamentos computacionais devem ser realizados.
• A principal diferença é que neste caso, os procedimentos forenses serão realizados no local
do crime de informática utilizando ferramentas e dispositivos que permitem acessar e
realizar cópias da mídia original sem alterar o conteúdo.
• Tal procedimento tem por objetivo preserver as evidências e evitar a inviabilidade da prova.

80
Locais de crime envolvendo equipamentos computacionais

• Apreensão de equipamentos computacionais

• Identificar os equipamentos computacionais existentes.
• Selecionar os equipamentos computacionais a serem apreendidos de acordo com o foco da
investigação.
• Descrever todo material apreendido corretamente para garantir a cadeia de custódia.
• Exemplo de descrição:
• Um pen drive da marca Kingston, modelo DataTraveler Elite, número de série
6431KG000075E234C1, com capacidade nominal de 4 GB, fabricado em Taiwan.
• Todo o material apreendido deve ser cuidadosamente acondicionado e transportado a fim de
evitar danificações que possam causar perdas de evidências. Utilização de capas plásticas
para acondicionar mídias ópticas, material antistático para envolver discos rígidos e plástico-
bolha para amenizar vibrações.

81
Fases do exame forense em dispositivos de armazenamento
Fase 1 - Preservação
• Consiste em garantir que as informações armazenadas nos equipamentos computacionais não sofram alterações.
Devido à fragilidade e sensibilidade das mídias de armazenamento computacional, os exames forenses devem,
sempre que possível, ser realizados em cópias obtidas à partir do material original.
• Espelhamento
• O espelhamento é uma técnica que consiste na cópia exata e fiel dos dados (bit a bit) contidos em um
dispositivo de armazenamento para outro. É necessário que exista um dispositivo a ser copiado (material
questionado) e um para receber a cópia (destino).
• Imagem
• Semelhante ao espelhamento, mas ao invés de copiar os dados bit a bit, os dados são copiados para
arquivos.
• Equipamentos forenses mais utilizados em duplicação de mídias
• Bloqueadores de escrita de disco rígido
• São dispositivos mais comuns e simples de serem utilizados. Garante que nenhum dado será escrito
no disco rígido questionado, de forma a disponibilizá-lo somente como leitura.
• Duplicadores forenses
• São equipamentos mais avançados e, além de realizarem bloqueio de escrita em disco rígidos,
também permitem a realização de cópias (espelhamento ou imagem) para outros discos rígidos.
82
Fases do exame forense em dispositivos de armazenamento

Fase 2 – Extração
• A fase de extração de dados consiste basicamente na recuperação de todas as informações
contidas na cópia de dados provenientes da fase de preservação. Vale lembrar que o material
original (questionado) foi copiado, lacrado e guardado em lugar adequado, e todos os
procedimentos serão realizados na cópia (espelho ou imagem).
• Os principais procedimentos utilizados na fase de extração são:
• Recuperação de arquivos apagados.
• Indexação de dados.

83
Fases do exame forense em dispositivos de armazenamento

Fase 3 – Análise
• A análise de dados é a fase que consiste no exame das informações extraídas na fase anterior, a
fim de identificar evidências digitais presentes no material examinado, que tenham relação direta
com o delito investigado.
• Em alguns casos, um disco rígido com capacidade de 200 GB, que é considerado pequeno para os
padrões atuais, pode conter mais de 1 milhão de arquivos.
• As principais técnicas utilizadas na fase de análise são:

• Utilização de Known File Filter (KFF)

• É uma lista com os resumos (hash) de arquivos conhecidos e pode se utilizado para filtrar o
conteúdo de um dispositivo a ser examinado. Dessa forma, é possível diminuir, o número de
arquivos a serem examinados em um disco rígido, descartando, por exemplo, arquivos de
sistemas operacionais e diversos programas instalados.

84
Fases do exame forense em dispositivos de armazenamento

Fase 3 – Análise (cont.)

• Pesquisas por palavra-chave

• É uma maneira eficiente de localizar arquivos, uma vez que os dados já foram indexados. Vale
ressaltar que se o conteúdo dos arquivos estiver criptografado, a busca não encontrará os
valores procurados.

• Navegação pelo Sistema de pastas e arquivos

• Percorrer os dados dos dispositivos de armazenamento por meio da estrutura de pastas e
arquivos, a fim de localizar arquivos nas pastas onde os usuários geralmente armazenam seus
arquivos (Meus Documentos, Desktop, no Windows, por exemplo).

• Visualização adequada de arquivos

• Depois de recuperar os arquivos encontrados no dispositivo examinado, é essencial que o
perito disponha de ferramentas capazes de identificar e exibir o conteúdo dos arquivos em seu
formato correto.
85
Fases do exame forense em dispositivos de armazenamento

Fase 4 – Formalização
• É a fase final dos exames forenses e consiste na elaboração do laudo pelo perito, apontando o
resultado e apresentando as evidências digitais encontradas nos materias examinados.

• Estrutura do laudo
• Preâmbulo: identificação do laudo.
• Material: descrição detalhada do material examinado no laudo. A descrição do material deve
ser minuciosa, incluindo tipo, marca, modelo, número de série, cor, estado de conservação,
capacidade, país de fabricação e outras características importantes.
• Objetivo: objetivo do laudo.
• Considerações técnicas (opcional): conceitos e informações importantes para o entendimento
do laudo.
• Exames: é a principal seção do laudo. Deve detalhar todos os procedimentos, técnicas e
métodos utilizados pelo perito para a localização das evidências. O perito pode escrever as
técnicas de preservação e de recuperação de dados utilizadas e detalhar as etapas realizadas
para obtenção das evidências encontradas.
• Respostas aos quesitos: resumo objetivo dos resultados obtidos. 86
Principais desafios
• Quantidade de arquivos
• O volume de dados dificulta o processamento. Um disco de 200 GB pode conter facilmente
mais de 1 milhão de arquivos.
• Existência de senhas
• Durante a realização de exames forenses é comum se deparar com arquivos e programas
protegidos por senha. Neste caso, é necessário que o perito conheça as principais técnicas
para quebrar senhas.
• Ataque de força bruta
• Consiste em tentar descobrir a senha de um arquivo por meio do processo de
tentativa e erro.
• Ataque de dicionário
• Uso de lista de palavras. Em muitos casos, é possível utilizar combinação de
palavras.
• RainBow Tables
• Uso de tabelas pré-compiladas de hashes.
87
Principais desafios
• Uso de criptografia
• Buscar por programas de criptografia que estejam instalados no próprio equipamente
analisado, de modo a tentar determinar o algoritimo utilizado ou, até mesmo, utilizar o
próprio software para decodificar o conteúdo do arquivo.
• Uso de esteganografia
• Técnica que consiste em ocultar uma mensagem dentro de outra. Caso o perito não descubra
a técnica utilizada para ocultar a mensagem, uma alternativa é verificar a existência de
softwares específicos instalados no dispositivo examinado.

88
Principais ferramentas

• Forensic Toolkit (FTK)

• Reúne as principais funcionalidades para realização de exames forenses em dispositivos de
armazenamento de dados.
• Oferece recursos de indexação de dados, recuperação de arquivos, visualização de
imagens, separação por tipos de arquivos, utilização de Known File Filter (KFF), pesquisas
por palavra-chave, entre outras.
• Dispõe de módulos para duplicação de dados e visualização de registros internos do Sistema
Operacional.
• Interface gráfica intuitiva
• http://accessdata.com/solutions/digital-forensics/forensic-toolkit-ftk
• EnCase® Forensic
• Oferece recursos de duplicação de discos, recuperação de arquivos apagados, pesquisa por
palavra-chave, visualização de arquivos em formatos adequados.
• https://www.guidancesoftware.com/encase-forensic
89
Principais ferramentas

• WinHex: Computer Forensics & Data Recovery Software, Hex Editor & Disk Editor
• https://www.x-ways.net/winhex/

• Ontrack EasyRecovery
• https://www.krollontrack.com/products/data-recovery-software/

• Password Recovery Toolkit (PRTK)

• http://accessdata.com/product-download/digital-forensics/password-recovery-toolkit-prtk-
version-7.6.0

90
Referências bibliográficas
• ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001.
• ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002.
• ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27032.
• ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27037.
• ASSUNÇÃO, Marcos F. A. Segredos do Hacker Ético. 5. ed. Florianópolis: Visual Books, 2014.
• CAMPOS, André. Sistema de segurança da informação: controlando os riscos. 2. ed. São Paulo: Visual Books,
2007.
• CARTILHA DE SEGURANÇA PARA INTERNET – Cert.br. Disponível em http://cartilha.cert.br/
• ELEUTÉRIO, Pedro M. S.; MACHADO, Marcio P. Desvendando a computação forense. 1. ed. São Paulo:
Novatec, 2011.
• FARMER, D; VENEMA, W. Perícia Forense Computacional. 1. ed. São Paulo: Pearson Brasil, 2006.
• MELO, Sandro. Exploração de Vulnerabilidades em Redes TCP/IP. 3. ed. Rio de Janeiro: Alta Books, 2017.
• SÊMOLA, Marcos. Gestão de Segurança da Informação - Uma visão executiva. 2. ed. Rio de Janeiro: Elsevier,
2013.

91