análise(forense(criminal(em(forense(computacional(((É(o(policial(ou(funcionário(público ......
TRANSCRIPT
Análise forense Ceru. – IESGF -‐ 2014
Definição “Forense Computacional"
É um conjunto metódico de técnicas e procedimentos para capturar evidências de equipamentos de computação ou vários equipamentos de armazenamento de dados e mídias digitais, de forma a serem apresentados em Juízo de forma coerente e significa@va. Dr H. B. Wolfe
Forense x Resposta a incidentes
Forense Computacional está ligada a invesJgações e preservação das Evidências
Resposta a Incidentes refere-‐se aos procedimentos paraconter, tratar e eliminar um incidente de Segurança de Informações
Perfil do profissional É o profissional com formação em 3o grau, com experiência comprovada no assunto, nomeado pelo Juiz para responder questões específicas sobre determinado caso.
– Funciona como um assessor técnico do Juiz – Indicado pelo Juiz – Honorários definidos pelo Juiz – Trabalha com prazos especificados
Assistente Técnico das Partes É o profissional com formação em 3o grau, com experiência comprovada no assunto, nomeado pelas Partes de um processo para pesquisar a verdade e apresentá-‐la sob a forma de Parecer Técnico.
– Funciona como um assessor técnico da Parte. – Indicado pela Parte, ou pelo advogado da mesma. – Honorários negociados diretamente com a Parte contratante – Trabalha com prazos repassados às Partes pelo Juiz
Perito Criminal em Forense Computacional
É o policial ou funcionário público habilitado na área de Forense Computacional.
– Somente por Concurso Público – É quem trata dos processos quando há crime – A maior parte está na Polícia Federal, atualmente
InvesJgador em Forense Computacional
É o profissional habilitado em Forense Computacional que trabalha no mercado privado
– Funcionário ou Consultor – Valores negociados diretamente com o contratante – Realiza invesJgações sem seguir a formalização – O resultado pode ou não ser usado em Juízo
Conhecimentos e Competências do Profissional de Forense Computacional
-‐ Conceitos gerais sobre Forense Computacional -‐ Detalhes técnicos de vários sistemas operacionais -‐ Detalhes técnicos de vários Sistemas de arquivos -‐ Detalhes técnicos de vários so_wares de vários SOs -‐ Escrever um bom relatório -‐ Algum embasamento jurídico, principalmente no modelo brasileiro de coleta e apresentação das evidências -‐ Coletar evidências em situações diversas (dead acquisiJon/live acquisiJon, usando HD externo, pen drive, via rede, de PDAs, telefones celulares, etc). Tem até Xbox passando por Forense ... -‐ Técnicas anJ-‐forenses -‐ Lógica invesJgaJva apurada. -‐ Saber lidar com prazos curtos
CerJficações
Fraude • Falsidade deliberadamente praJcada para obter ou garanJr um ganho ilícito • Infração ao código civil ("responsabilidade fraudulenta" ou "responsabilidade contratual") • Crime • Fraude assume muitas formas • "ganho ilegal" pode ser muito amplo, inespecífico, prevenção de fraudes • As medidas técnicas e organizacionais • As medidas de segurança • PolíJcas • Os acordos contratuais
Valor empresarial da segurança e do controle
As empresas enfrentam novas obrigações legais no que diz respeito à retenção de documentos e à gestão de registros eletrônicos, bem como à proteção da privacidade • HIPAA: regras e procedimentos quanto à privacidade e à segurança Médicas • Lei Gramm-‐Leach-‐Bliley: exige que as insJtuições financeiras assegurem a segurança e a confidencialidade dos dados do cliente • Lei Sarbanes-‐Oxley: cabe às empresas e a seus administradores salvaguardar a precisão e a integridade das informações financeiras uJlizadas internamente e publicadas externamente
Requisitos legais e regulatórios para a gestão de registros eletrônicos
Forense
• A palavra Forense vem do LaJm Forensis que significa ao público; ao fórum ou à discussão pública; argumentação retórica pertencente ao debate ou à discussão. A Ciência Forense tem a finalidade de colher evidência cienlfica de determinados fatos ou ocorrências para serem usados em uma corte ou sistema da jusJça. Logo, toda ciência uJlizada para as finalidades da lei é uma Ciência Forense.
• A Forense Digital pode ser definida como a inspeção cienlfica e sistemáJca em ambientes computacionais, com a finalidade de angariar evidências derivadas de fontes digitais para que seja possível promover a reconsJtuição dos eventos encontrados
• podendo-‐se assim, determinar se o ambiente em análise foi uJlizado na realização de aJvidades ilegais ou não autorizadas.
O processo de invesJgação pode ser dividido em 4 etapas, que são: Coleta dos Dados;
Exame dos Dados; Analise dos Dados; Laudo Pericial
Coleta dos Dados
• A etapa de Coleta dos Dados consiste na idenJficação de possíveis fontes de dados como computadores pessoais, notebooks, máquinas fotográficas, mídias de armazenamento, entre outros, além de locais fora de domínios osicos da cena invesJgada, como servidores FTP, por exemplo.
• Após a idenJficação, é necessária a aquisição dos dados, que ocorre em três etapas:
• Iden@ficação de prioridade: estabelecer a ordem que os dados serão coletados levando em consideração a volaJlidade, esforço e o valor esJmado.
• Cópia dos dados: duplicação dos dados através da uJlização de ferramentas adequadas.
• Garan@a e preservação de integridade: após a coleta, uJlizar alguma ferramenta que garanta a integridade dos dados, como aquelas que aplicam algum Jpo de algoritmo hash.
• Lista das ferramentas u@lizadas na etapa de Coleta dos Dados •
Formulário -‐-‐> Formulário de Cadeia de Custódia gnome-‐screenshot? -‐> Salvar imagens da àrea de trabalho ou de janelas individuais aimage? -‐-‐> Geração de imagem dos dados das mídias uJlizando o padrão aff air -‐-‐> Interface gráfica para dd/dcfldd, para criar facilmente imagens forense dc3ddgui? -‐-‐> Interface gráfica para O DC3DD, para criar imagens forense dcfldd -‐-‐> Versão aprimorada pelo DOD-‐Departament of Defense do dd dd -‐-‐> Ferramenta para geração de imagem dos dados ddrescue? -‐-‐> Recuperar dados de hds com setores defeituosos (bad blocks) mondoarquive? -‐-‐> Copiar dados de fitas, cd's, nsf ou hd's mondorestore -‐-‐> Restaurar dados de fitas, cd's, nsf ou hd's
• rdd -‐-‐> Versão mais robusta do dd rddi -‐-‐> Prompt interaJvo do rdd sdd -‐-‐> Versão da ferramenta dd para Fitas (DAT, DLT...) memdump -‐-‐> Dumper de memória para sistemas UNIX-‐like md5sum -‐-‐> Gerar hash md5 sha1sum -‐-‐> Gera hash sha 160bits discover? -‐-‐> Informações sobre Hardware hardinfo -‐-‐> Informações e Testes do Sistema lshw-‐gráfico -‐-‐> Lista os disposiJvos de hardware em formato HTML sysinfo -‐-‐> Mostra informações do computador e do sistema wipe -‐-‐> Remover totalmente os dados das Mídias
Exame dos Dados
• A etapa de Exame dos Dados consiste na avaliação e extração somente das informações relevantes à invesJgação através da correta aplicação das diversas ferramentas e técnicas disponíveis, filtrando e reduzindo a quanJdade de dados que necessitam de um exame minucioso.
Analise dos Dados
• A etapa de Analise dos Dados consiste em idenJficar pessoas, locais e eventos, determinando como esses elementos podem estar inter-‐relacionados. Geralmente é necessário correlacionar informações de várias fontes de dados.
Laudo Pericial
• A parJr da Interpretação dos resultados ob@dos o perito elabora um Laudo Pericial que deve ser escrito de forma clara e concisa, elencando todas as evidências localizadas e analisadas, apresentando uma conclusão imparcial e final sobre a invesJgação.
Prova eletrônica e perícia forense computacional
• As evidências para os crimes de colarinho branco costumam ser encontradas
• em formato digital. • • Dados armazenados em disposiJvos computacionais, e-‐mails, • mensagens instantâneas, transações de e-‐commerce . • • O controle apropriado dos dados pode economizar tempo e dinheiro no • atendimento às solicitações de produção de provas. • • Perícia forense computacional: • • Procedimento cienlfico de coleta, exame, autenJcação, preservação e • análise de dados manJdos em meios de armazenamento digital, de tal • maneira que as informações possam ser usadas como prova em juízo. • • Inclui a recuperação de dados ambientes ou ocultos.
Perfis de segurança para um sistema de pessoal
Estes dois exemplos representam dois perfis de segurança ou modelos de segurança de dados que podem ser encontrados em um sistema de pessoal. Dependendo do perfil de segurança, um usuário teria certas restrições de acesso a vários sistemas, localizações ou dados da organização.
Plano de recuperação de desastres e plano de conJnuidade dos negócios
Plano de recuperação de desastres: organiza planos para restauração de serviços que tenham sofrido interrupção • Plano de conJnuidade dos negócios: concentra-‐se na restauração das operações de negócios após um desastre
Ambos os planos devem:
• IdenJficar os sistemas mais importantes da empresa. • Realizar uma análise de impacto nos negócios, a fim de idenJficar o impacto de uma suspensão em seu funcionamento. • A administração precisa determinar quais sistemas serão restaurados primeiro.
O papel da auditoria
• Auditoria de sistemas • Avalia o sistema geral de segurança da empresa e idenJfica todos os controles que governam sistemas individuais de informação. • Revê tecnologias, procedimentos, documentação, treinamento e recursos humanos . • Pode até mesmo simular um ataque ou desastre para verificar como os recursos tecnológicos, a equipe de sistemas de informação e os funcionários da empresa reagem. • Lista e classifica todos os pontos fracos do controle e esJma a probabilidade de ocorrerem erros nesses pontos. • Avalia o impacto financeiro e organizacional de cada ameaça.
Exemplo de listagem feita por um auditor para deficiências de
controle
auditor • Este diagrama representa • uma página da lista de • deficiências de controle que • um auditor poderia encontrar • em um sistema de • emprésJmos de um banco • comercial. Além de ajudar o • auditor a registrar e avaliar as • deficiências de controle, o • formulário mostra os • resultados das discussões • dessas deficiências com a • administração, bem como • quaisquer medidas correJvas tomadas por ela.
Preservação – Cadeia de Custódia
– Evidências são eJquetadas e lacradas – A eJqueta deve conter o hash da mídia lacrada e informações sobre a aquisição – A eJqueta também contém a data/hora e a idenJficação de quem realizou a aquisição – A lista é manJda, recebendo uma anotação a cada acesso de alguém à evidência – Esse registro deve conter a referência a pessoa, a data e a hora que levou e devolveu a evidência. – Sempre lacrada ou no cofre de evidências
Análise
As evidências são analisadas para o levantamento de artefatos que possam corroborar ou negar as teses (suspeitas)
As técnicas variam conforme: • As suspeitas; • O disposiJvo sendo analisado • O sistema operacional • O sistema de arquivos
Documentação É a parte final do trabalho
Pode ser: – Um relatório invesJgaJvo; – Um Parecer Técnico; – Um Laudo Pericial
5 W 1 H – What, Who, Where, When, Why, How • NUNCA deve-‐se fazer juízo do caso.
O objeJvo é mostrar o que aconteceu!
Análise – Principais Técnicas • Filtragem de arquivos • Busca de informações escondidas
– Obfuscação – Arquivos apagados – Slack Space – File Carving
• Busca por palavras-‐chave • Esteganografia • Linha do tempo usando MAC Times • Email Traceback • Network Forensics
Mais ferramentas:
• Guidance EnCase; • AccessData FTK • ASR SMART • iLook InvesJgator (restrito) • KrollOnTrack Eletronic Data InvesJgator • Vários so_wares da Paraben e da X-‐Ways
Ferramentas avulsas (mais)
• Sleuth Kit • Autopsy • PyFLAG • PTK
h�p://forcomp.blogspot.com h�p://www.e-‐evidence.info