computacao forense

eINTELLECTA

11 3257 3003

http://www.intellecta.com.br

Computação ForenseJúlio César Tobias Mendes

Conteúdo

eINTELLECTA

11 3257 3003

http://www.intellecta.com.br/cursos

● O que é Computação Forense● Conceitos Gerais● Identificação de Dispositivos Computacionais ● Apreensão de Equipamentos Computacionais

○ O que apreender?○ Como apreender?○ Descrição do Material Apreendido (Cadeia de Custódia)○ Como transportar o material apreendido

● Forense In Vivo ● Forense de Rede ● Forense Post Mortem● Análise de Malware● Investigação de E-mail● Recuperação de Dados● Laudo Pericial


O que é Computação Forense

eINTELLECTA

11 3257 3003


Computação Forense consiste, basicamente, no uso de métodos científicos para preservação, coleta, validação, identificação, análise, interpretação, documentação e apresentação de evidência digital com validade probatória em juízo.


Conceitos Gerais

eINTELLECTA

11 3257 3003


Perito x Assistente Técnico

Ambos exercem a mesma função, entretanto a única diferença entre eles é que o perito é a parte nomeada pelo juiz, e o assistente técnico é a parte contratada pelas partes envolvidas no processo.


Conceitos Gerais

eINTELLECTA

11 3257 3003


Computador utilizado como ferramenta de apoio aos crimes convencionais

Nesse tipo de crime o computador é apenas uma ferramenta de auxílio aos criminosos na prática de crimes conhecidos.


Conceitos Gerais

eINTELLECTA

11 3257 3003


Computador utilizado como meio para realização do crime

Nesse tipo de crime o computador é a peça central para a ocorrência do crime, ou seja, se o dispositivo não existisse, tal crime não seria praticado.


Identificação de Dispositivos Computacionais

eINTELLECTA

11 3257 3003


A seguir serão apresentados os equipamentos mais comuns encontrados nos locais de crime, conhecer esses equipamentos é fundamental para que o perito possa identificá-los para tomar as providências necessárias para preservação das provas.


Identificação de Dispositivos Computacionais

eINTELLECTA

11 3257 3003


● Computadores pessoais (PCs)● Notebooks● Servidores ● Discos Rígidos (HDs)● Dispositivos Armazenamentos Portátil (CD, DVD,

Pendrive, Cartões de Memória, Disco Externos, Etc)● Dispositivos de Rede (Roteadores, Hubs, Switchs e

Modems)● Impressoras, Multifuncionais e Scanners● Celulares, Smartphones, PDAs e Tablets● Estabilizadores, No-breaks e Filtros de Linha


Apreensão de Equipamentos Computacionais

eINTELLECTA

11 3257 3003


Os peritos são os responsáveis em orientar a equipe na apreensão dos equipamentos, nesse momento surgem quatro questões que serão esclarecidas com as respostas às seguintes perguntas:

● O que apreender?● Como apreender?● Como descrever o material apreendido?● Como transportar o material apreendido?



eINTELLECTA

11 3257 3003


O que apreender?

Os dispositivos computacionais só devem ser apreendidos, caso haja desconfiança que eles possam conter as evidências necessárias para a investigação, considerando as informações prévias da investigação e as colhidas no local.



eINTELLECTA

11 3257 3003


Como apreender?

Após decidir o que será apreendido, o proximo passo é como fazer essa apreensão, no caso de computadores pessoais não é necessários apreender o gabinete inteiro, basta apenas apreender o disco rígido, pois é nele que as informações ficam armazenadas. Portanto é importante que o perito esteja preparado para lhe dar com esse tipo de situação, sempre munido de chaves de fenda, phillips e outras ferramentas.



eINTELLECTA

11 3257 3003


Descrição do material apreendido?

Esse é o passo mais importante na apreensão dos equipamentos, pois nele o perito utiliza seus conhecimentos técnicos para descrever todas informações referentes ao equipamento apreendido, como: marca, modelo, número de série, tipo do dispositivo, tamanho e país de fabricação, juntamente com o hash do dispositivo apreendido, a fim de garantir a sua cadeia de custódia.



eINTELLECTA

11 3257 3003


Como transportar o material apreendido?

Apesar de serem frágeis e sensíveis ao tempo, os equipamentos computacionais geralmente não estragam com facilidade, entretanto alguns cuidados devem ser tomados durante o transporte para evitar a perda das evidências digitais, como: colocar as mídias óticas em suas capas para evitar atrito, evitar choques em discos rígidos e notebooks, mater pendrives, impressoras e outros longe do sol, chuva e lugares com muita poeira.


Forense In Vivo

eINTELLECTA

11 3257 3003


A Live forensic só poderá ser feita quando na hora da aquisição das evidências, nos depararmos com o computador ligado, quando isso acontece podemos analisar evidências que não são possíveis na analise post mortem, como: conexões ativas, sites abertos, programas sendo executados, horário do sistema e etc.


Forense de Rede

eINTELLECTA

11 3257 3003


Na Network Forensic também precisamos nos deparar com o computador ligado para fazer a análise e aquisição do trafego de rede para posterior análise, essa parte da investigação pode nos revelar muitas coisas, pois conseguimos ver tudo que passa pela placa de rede da máquina, isso é interessante pois podemos ver exatamente com quem o criminoso estava trocando informações.


Forense Post Mortem

eINTELLECTA

11 3257 3003


A forense Post Mortem é a fase mais demorada de uma perícia forense computacional, porque nela o perito faz o cruzamento de tudo que foi colhido na live forensic e na network forensic, analizando os demais dispositivos de armazenamento e recuperando dados, para ter o máximo de informação possível para a elaboração de um bom laudo pericial.


Análise de Malware

eINTELLECTA

11 3257 3003


A análise de malware é uma parte muito interessante da forense computacional, pois nela são utilizadas diversas técnicas, como a engenharia reversa, para descobrir exatamente como o programa funciona, quais arquivos modifica no sistema, quais conexões estabelece e quais danos causa ao sistema infectado.


Investigação de E-mail

eINTELLECTA

11 3257 3003


Na investigação de e-mail, é possível identificar exatamente o correto endereço eletrônico que enviou o e-mail, horário exato do envio, de qual país foi enviado, podendo identificar corretamente seu real remetente, além da correta preservação da mensagem para uso jurídico.


Recuperação de Dados

eINTELLECTA

11 3257 3003


A recuperação de dados é possível através de técnicas forense, porque quando excluímos um arquivo em um sistema ele não é excluido de imediato, o sistema apenas marca aquele ponto como livre mantendo a informação, e com as ferramentas e técnicas corretas podemos ler essa informações e recuperá-las.


Laudo Pericial

eINTELLECTA

11 3257 3003


O laudo pericial é onde o perito descreve tudo o que analisou, colocando nele tudo o que achou e não achou nas evidências coletadas, o laudo tem que ser escrito de uma forma que qualquer pessoa que o pegue para ler, possa compreende-lo perfeitamente.


eINTELLECTA

11 3257 3003

Curso Intellecta - Computação Forense



Curso Intellecta - Computação Forense

eINTELLECTA

11 3257 3003


O curso de computação forense, abordará todo o conteúdo apresenetado de uma forma bem mais profunda e com diversas aulas práticas, visando sempre soluções com ferramentas open source.


PERGUNTAS ?

eINTELLECTA

11 3257 3003



Referências

eINTELLECTA

11 3257 3003


Wikipédia. Computação Forense. Disponível em: <http://pt.wikipedia.org/wiki/Computa%C3%A7%C3%A3o_forense>. Acesso em: 26 Jan. 2012.

MELO, Sandro. Computação Forense com Software Livre. Rio de Janeiro:Alta Books, 2009.

ELEUTÉRIO, Pedro Monteiro da Silva; MACHADO, Marcio Pereira. Desvendando a Computação Forense. São Paulo: Novatec. 2011



Júlio César Tobias Mendes

www.sharksecurity.com.br

Dúvidas:[email protected]

Palestrante

eINTELLECTA

11 3257 3003




computacao forense

Documents