Engenharia Informática

Criptografia e segurança de dados

IVº Ano ̶ Iº Semestre

 
Tema: Investigação Forense em Sistemas
 Apresentação

▰ Discentes: Docente:
▰ Junior, Delfim Luis Uqueio ▰ dr. (Msc) Sérgio Mavie
▰ Macamo, Monica Olga
▰ Machanguele, Jose Francisco

2
 Agenda da Apresentação

▰ 1. Introdução;
▰ 2. Revisão de Literatura;
▰ 3. Metodologias de investigacao;
▰ 4. Computação Forense (Uma abordagem geral);
▰ 5. Ferramentas Forense;
▰ 6. Técnicas de Computação Forense;
▰ 7. Técnicas anti forense;
▰ 8.Forense digital em Mozambique;
▰ 9. Conclusões e recomendações.
3
Introdução (Contextualização)

📖 🔨

4
 Introdução (Objectivos)
Geral
▰ Compreender a Investigação
Forense em Sistemas.
Específicos
▰ Definir a investigação forense;
▰ Identificar as ferramentas
forense;
▰ Explicar as técnicas da
computação forense e a
preservação das evidencias;
5
 Introdução (Objectivos)
Geral
▰ Compreender a Investigação
Forense em Sistemas.
Específicos
▰ Caracterizar as técnicas anti
forense.
▰ Analisar a investigação forense
no contexto moçambicano;
6
 Metodologias de Investigação (Classificações)
Quanto aos procedimentos
▰ Pesquisas bibliográficas;
Quanto à abordagem
▰ Qualitativa, pois o trabalho
centra –se no estudo e
compreensão dos aspectos
relacionados à investigação
forense, sem se preocupar com
representações numéricas ou
generalizações estatísticas.
7
 Metodologias de Investigação (Classificações)

Quanto ao objectivo
▰ Classificada como exploratória, descritiva e explicativa, uma vez
que necessitará de uma exploração de documentos que forneçam as
informações que permitam identificar, descrever os pontos de
estudo.

8
 Computação Forense (O termo forense e
evidencias da sua evolução)
Archimedes (287-212
a.C.)
• Usou a ciência forense para
determinar a quantidade real
de ouro da Coroa calculada
pela teoria do peso específico
dos corpos.
Medicina e Entomologia
• Referidas no livro “Collected
Cases of Injustice Rectified”, de
Xi Yuan Ji Lu, em 1247. O
investigador poderá resolver
crimes com base em vestígios
como: Foice e moscas,
afogamento (pulmão e de métodos e técnicas utilizadas
cartilagens do pescoço), entre
outros.
Século XX – A evolução
da Ciência Forense
• Pesquisas que conduziram à
identificação do tipo sanguíneo
e a análise e interpretação do
DNA;
• Publicação dos principais
estudos referentes à aplicação
na investigação de crimes;
• Criação do famoso “The
Federal Bureau ofof
Investigation (FBI)”, uma
referência no que tange à
investigação de crimes e a
utilização de técnicas forense
em diversas áreas.
9
 Computação Forense (A ciência forense na
actualidade)

Criminalística
Análise de (Balística, Antropologia Entomologia Computação Patologia,
documentos Impressões (identificação de
Arqueologia;
(insetos,
Odontologia;
(Forense Psicologia,
(documentosco digitais, restos mortais, verificação de Computacional ou Toxicologia e
substâncias esqueletos) data, hora e local); Forense Digital); outras.
pia); controladas);

10
 Computação Forense (Conceito)

Conceito
Define – se a forense computacional/digital, como sendo a preservação,
identificação, coleta, interpretação e documentação de evidências
computacionais, incluindo as regras de evidência, processo legal,
integridade da evidência, relatório factual da evidência e provisão de
opinião de especialista em uma contenda judicial.
Os profissionais nessa área são chamados Peritos Criminais.

11
 Computação Forense (Conceitos)

Enquanto ciência, a computação forense tem os seguintes objectivos:

Suprir as necessidades das instituições legais no que se refere à
manipulação das novas formas de evidências eletrônicas;

Ela é a ciência que estuda a aquisição, preservação, recuperação e

análise de dados que estão em formato eletrônico e armazenados em
algum tipo de mídia computacional;

Através da utilização de métodos científicos e sistemáticos, para que

essas informações passem a ser caracterizadas como evidências e,
posteriormente, como provas legais de factos. 12
 Computação Forense (Casos comumente bem
sucedidos da aplicação)

Calúnia, Fraudes
Roubo de
difamação e Pedofilia nas (académica, Tráfico de
informações
injúria via e-mail redes sociais; financeira, entre drogas.
confidenciais;
ou web; outras);

13
Computação Forense (Conceitos e Etapas da
pesquisa)

14
Computação Forense em Moçambique

Dominio de
estudo

15
 Computação Forense (Moçambique como
dominio)

Organizações
Em Moçambique, são organizações especializadas na informática forense as seguintes:

DRC, empresa especializada na recuperação de dados e serviços de segurança

cibernética;
SERNIC, serviço nacional de investigação criminal;
MoreNet, rede de dados que interliga instituições superiores e investigações sem fins
lucrativos.
Centro de estatística e informática do hospital central de Maputo, responsável por criar
bases de dados de patologias e óbitos e correlacionar as estatísticas;
Operadoras telefónicas (Tmcel, Vodacom e Movitel), com recurso ao histórico de
chamadas como mecanismo, correlacionando os dados de registo de cartão SIM com os 16
seus movimentos.
 Computação Forense (Moçambique como
dominio)

Problemática

O facto de existirem poucos recursos (humanos e matérias) não quer dizer que em
Moçambique não existam técnicas forense digital para auxilio ao direito, existem
sim. Porém com limitações, devido ao lento entendimento do órgão competente
sobre a potencialização desta área, o que faz com que os profissionais desta área
dependam maioritariamente de dados bancários e histórico de chamadas dos
indiciados fornecidos pelos bancos e operadoras de telefonia móvel.

17
 Computação Forense (Moçambique como
dominio)

Cenário promissor

A Lei n.º 24/2019 do boletim da república de Moçambique artigo 276 (Furtos e fluidos) revoga:

em 1. Quem, por qualquer meio, subtrair, para consumo pessoal ou de terceiro, sinal de telefone,

rádio, televisão, internet, dados de voz, imagem, vídeo ou outros bens imateriais com valor

económico, é punido com pena de prisão até 1 ano, se pena mais grave não couber. E em 2 que

a tentativa é punível.
18
Ferramentas Forense

Hardware Software

19
Ferramentas Forense - Hardware

▰ As ferramentas de hardware têm a sua utilidade quando se

pretende garantir que os dados não sejam alterados,
corrompidos ou até apagados de um dispositivo sob análise.
▰ Estas ferramentas, conhecidas também como bloqueadores de
escrita
▰ permitem ao perito a realização de cópia exacta dos dispositivos
em investigação através do, por exemplo, espelhamento de
discos rígidos para um outro
20
Ferramentas Forense – Hadware (exemplos)

▰ Logicube Forensic Quest

21
Ferramentas Forense – Hadware (exemplos)

▰ Solo 4

22
Ferramentas Forense - Software

▰ A escrita e gravação são processos possíveis de serem

realizados na ausência de bloqueadores de escrita através de
softwares que possibilitam a cópia de dispositivos de forma
segura, sem o risco de alterar o equipamento analisado, porém
necessitando maior atenção por parte dos peritos na
utilização dos softwares.

23
Ferramentas Forense – Software (exemplos)

Para Espelhamento
▰ 1. Symantec Norton Ghost
▰ É um software da empresa Symantec que faz cópias de discos
rígidos ou partições do disco rígido.

▰ 2. KNOPPIX
▰ Esta é outra solução para realizar a duplicação de discos rígidos
que se baseia em sistema operacional de forma read-only.
24
Ferramentas Forense – Software(Exemplos)

Pós Espelhamento
1. OSForensics
É um utilitário gratuito para análises forense e, por meio dele é
possível obter várias informações como senhas salvas e últimas
actividades realizadas no computador.

2. Back Track
3. Deft 25
Técnicas da computação forense

Preservação Extração Análise Formalização

26
Técnicas da computação forense

▰ 1. Preservação
▰ Esse procedimento consiste na realização do espelhamento do
dispositivo (cópia bit a bit).
▰ Parte de algumas considerações como:
▰ O dispositivo que irá receber a cópia do material deve ser de
armazenamento superior (recomendado) ou igual;
▰ Se o destinatário for maior torna-se necessário que os espaços
não preenchidos sejam “zerados” para garantir que nenhum bit
presente interfira no processo de análise (Wipe).
27
Técnicas da computação forense

▰ 2. Extração

▰ O material original é lacrado e guardado como evidência em

local específico.

▰ Esta fase tem como principal objectivo a recuperação de

arquivos (por meio de cabeçalhos) que possam ter sido
excluídos do disco e também a realização da indexação dos
dados (varredura todos os dados ou bits do dispositivo). 28
Técnicas da computação forense

▰ 3. Análise

▰ Segundo (ELEUTÉRIO, MACHADO, 2011), é onde são feitos

os exames nos arquivos recuperados do material questionado da
segunda fase (extração).

▰ Objectivo: identificar evidências digitais relacionadas com o

crime que está sob investigação
29
Técnicas da computação forense (Análise)

▰ 3. Análise
▰ Para (FREITAS, 2007), após analisar as evidências, o perito poderá responder às
seguintes questões:
▰ Qual é a versão do Sistema Operacional (SO) que estava sob investigação?
▰ Quem estava conectado ao sistema no momento do crime?
▰ Quais são os arquivos que foram usados pelo suspeito?
▰ Quais portas estavam abertas no SO?
▰ Quem fez o login ou tentou fazê-lo recentemente?
▰ Quem eram os utilizadores e a quais grupos pertenciam?
▰ Quais foram os arquivos excluídos?
30
Técnicas da computação forense (Analise)

▰ 4. Formalização

▰ “Em muitos casos, as únicas evidências disponíveis são as

existentes em formato digital. Isto poderia significar que a
capacidade de punição a um invasor pode estar directamente
relacionada a competência do perito em identifiacar, preservar,
analisar e apresentar evidências.” (FREITAS, 2007, p. 2).

31
Técnicas anti forense

Técnicas anti forense podem ser definidas como métodos aplicados sobre
computadores usados como meio para a prática de delitos, que visam eliminar
vestígios ou provas, aquando da realização de alguma investigação de um perito
Forense.

32
Técnicas anti forense

Sanitização de
Criptografia Rootkits Esteganografia
discos

33
Criptografia

▰ Criptografia de dados é uma técnica usada para transformar uma informação

plana (legível) em uma informação cifrada (codificada) e vice-versa.

▰ No contexto das técnicas anti forense, esta técnica usada para codificação dos
ficheiros e das mensagens para que estes não sejam detectados/lidos pelo
administrador do sistema ou perícia.

34
Rootkits

▰ É um conjunto de ferramentas instaladas na máquina invadida, essas

asseguram o acesso ilegítimo do invasor, escondendo assim os Logs da visita
na maquina, também conseguem fazer a conexão remota e assim administrar
quais dados serão capturados.

35
Esteganografia

▰ A esteganografia é o estudo de técnicas que possam ser utilizadas para esconder uma
mensagem ou o seu verdadeiro conteúdo.

▰ Esta difere da criptografia, pois, a criptografia torna ilegível o conteúdo da mensagem

enquanto a esteganografia esconde este verdadeiro conteúdo em meio a outro.

▰ A vantagem da esteganografia para a equipe de perícia perante a criptografia é que o

conteúdo real da mensagem pode estar dentro de outro tipo de ficheiro, no entanto o
perito que está analisando o artefacto pode não dedicar esforço e tempo na busca pela
real mensagem caso não perceba algo de diferente no ficheiro.

36
Esteganografia

Um ficheiro com uma mensagem esteganografada pode ser descoberto utilizando

diversas técnicas, dentre as quais:

▰ Busca por palavras chaves: caso a mensagem esteja gravada sequencialmente

dentro do ficheiro, poderá ser obtido resultado através dessa técnica;

▰ Tamanho de ficheiro: caso um ficheiro esteja muito maior do que comumente

seria

37
Sanitização de discos

▰ A sanitização de discos consiste em apagar toda e qualquer informação

armazenada em um disco.

▰ A informação apagada persiste no disco até que o Sistema Operacional a

sobrescreva. Contudo, quanto mais recente for a exclusão do ficheiro, maior é a
probabilidade de ser recuperado.

38
Conclusão e recomendações

39
Gratos pela atenção
dispensada

40