cnasi 2011
DESCRIPTION
Apresentação do 20o. CNASITRANSCRIPT
![Page 1: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/1.jpg)
1
Introdução a Computação Forense com Ferramentas Avançadas
Luiz Sales Rabelohttp://4n6.cc
© 2011 - TechBiz Education
![Page 2: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/2.jpg)
Luiz Sales Rabelo
2
•Consultor TechBiz Forense Digital desde 2009
•Certificações internacionais EnCE e ACE
•Membro Comissão Crimes Alta Tecnologia OAB/SP
•NÃO SOU ADVOGADO!!
![Page 3: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/3.jpg)
3
•Conceitos Básicos
•Processo Investigativo
•Forense Digital
• Início do Caso
• Coleta de Dados
• Análise de Informações
• Relatório Final
Agenda
![Page 4: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/4.jpg)
Conceitos Básicos
4
![Page 5: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/5.jpg)
Conceitos Básicos
5
Reconhecendo um incidente (ISO 17799:2005)
•Perda de serviço
•Mal funcionamento ou sobrecarga de sistema
•Falha humana
•Vulnerabilidades no controle do acesso físico
•Violação de Acesso
![Page 6: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/6.jpg)
Ciência Forense
Metodologia científica aplicada, que atua em conjunto
com o Investigador e é utilizada para esclarecer
questionamentos jurídicos:
Toxicologia Forense, Genética e Biologia Forense,
Psiquiatria Forense, Antropologia Forense, Odontologia
Forense, Entomologia Forense, Balística Forense,
Tanatologia Forense...
6
![Page 7: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/7.jpg)
Ciência Forense
Forense Computacional
X
Forense Digital
7
![Page 8: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/8.jpg)
Dispositivos Móveis
Na atualidade, os celulares são verdadeiros computadores, e em alguns casos
guardam muito mais sobre nossas vidas do que nossos computadores. Ex:
• E-mails
• Contatos / Agenda
• Fotos, imagens e vídeos
• Ring Tones e Jogos (copyright)
• Histórico, cookies, senhas de navegação (browser)
• Chamadas (discadas e recebidas) em determinada
data/hora
• Detalhes de mensagens SMS (data, origem/destino,
templates)
8
![Page 9: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/9.jpg)
Perícia em dispositivo Móveis
9
![Page 10: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/10.jpg)
Perícia em dispositivo GPS
10
![Page 11: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/11.jpg)
Processo Investigativo
11
![Page 12: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/12.jpg)
O que é Forense Digital?
12
ANÁLISE RELATÓRIOCOLETA
PRESERVAÇÃO
![Page 13: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/13.jpg)
“Sanitização”
•Evitar cross-contamination
•Demanda wipe completo das mídias reutilizáveis
13
![Page 14: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/14.jpg)
“Sanitização”
Visualização de
mídia no EnCase
após wipe
14
![Page 15: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/15.jpg)
“Efeito” CSI
•Adaptação livre do tema para televisão
•Relata fatos no formato de série de TV
•Diferença quanto a métodos, organização e tempos
15
![Page 16: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/16.jpg)
“Efeito” CSI
16
![Page 17: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/17.jpg)
“Efeito” CSI
17
![Page 18: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/18.jpg)
“Efeito” CSI
18
![Page 19: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/19.jpg)
“Efeito” CSI
19
![Page 20: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/20.jpg)
“Efeito” CSI
20
![Page 21: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/21.jpg)
“Efeito” CSI
21
![Page 22: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/22.jpg)
Forense Digital: Início do Caso
22
![Page 23: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/23.jpg)
Início do Caso
•Fotografar e/ou filmar o ambiente
•Realizar ata notarial ou documento que ateste o
acautelamento de informações
•Elaboração do documento de custódia
•Preservação das Evidências
•Duplicação (Coleta)
23
![Page 24: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/24.jpg)
Forense Digital: Coleta
24
![Page 25: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/25.jpg)
Cadeia de Custódia
•O que é a cadeia de custódia?
•Pra que serve?
•Ela (o processo) é utilizada realmente?
25
![Page 26: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/26.jpg)
Documento de Custódia
26 Refe
rênci
a :
htt
p:/
/sophosn
et.
word
pre
ss.c
om
/20
09
/03
/
![Page 27: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/27.jpg)
Coleta
•Não é recomendável realizar perícia
diretamente na prova.
•Devem ser realizadas cópias
forenses de forma a preservar a
evidência.
•Organização!
•Cautela!
27
![Page 28: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/28.jpg)
Coleta (Enterprise)
•Processos
•Arquivos relevantes
•Logs de aplicativos
•Arquivos temporários
•Swapfile
•Registry
•Conexões ativas
•...28
![Page 29: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/29.jpg)
Duplicação bit-a-bit
Cópia exata dos bits e de sua disposição
seqüencial dentro do disco rígido.
29
![Page 30: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/30.jpg)
Integridade de Dados
•Algoritmos de Hash
• MD5
• SHA-1
• SHA-256
•Softwares para Pericia
•Bloqueadores de Escrita
•Técnicas para proteção contra gravação
30
![Page 31: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/31.jpg)
Demo: Coleta de HD suspeito Ferramenta utilizada: FTK Imager
31
![Page 32: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/32.jpg)
Forense Digital: Análise
32
![Page 33: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/33.jpg)
Objetivo da Análise
Extrair de um universo de dados coletados,
informações que direta ou indiretamente associem um
indivíduo a uma determinada atividade.
33
![Page 34: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/34.jpg)
File Systems
Arquivos localizados no computador periciado devem
ser avaliados minuciosamente. Alguns dos pontos a
serem analisados são:
• Assinatura de arquivos
• Imagens de dispositivos
• ADS (Alternate Data Streams)
34
![Page 35: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/35.jpg)
Demo: Análise Preliminar dos dadosFerramenta utilizada: FTK Imager
35
![Page 36: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/36.jpg)
Demo: Manipulando ADS com o WindowsFerramenta utilizada: Prompt de
Comandos
36
![Page 37: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/37.jpg)
Arquivos Apagados
O espaço em disco marcado como livre na
tabela de alocação de arquivos
geralmente contém informações
essenciais para a análise: são os
dados dos arquivos removidos
37
![Page 38: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/38.jpg)
Data Carving
38
Esculpir informações a partir
dos dados disponíveis no
disco rígido suspeito
![Page 39: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/39.jpg)
39
Demo: Análise Avançada dos dadosFerramenta utilizada: FTK 3
![Page 40: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/40.jpg)
Forense Digital: Relatório
40
![Page 41: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/41.jpg)
Relatório
41
•Oficializar encerramento do caso
•Preenchimento dos documentos de
controle
![Page 42: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/42.jpg)
Geração de Relatório
Bookmarking
•Seleção de informações relevantes, realizada durante o
processo de análise
Geração de relatórios
•Correlação das hipóteses com as evidências coletadas,
agrupamento de todos os aspectos avaliados e
conclusão. 42
![Page 43: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/43.jpg)
Demo: Criação de BookmarksFerramenta utilizada: FTK 3
43
![Page 44: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/44.jpg)
Demo: Criação de RelatóriosFerramenta utilizada: FTK 3
44
![Page 45: CNASI 2011](https://reader038.vdocuments.net/reader038/viewer/2022103110/54b883ef4a7959c1078b458b/html5/thumbnails/45.jpg)
45
Obrigado!
Luiz Sales Rabelohttp://4n6.cc
© 2011 - TechBiz Education