crimes digitais e a computacao forense
TRANSCRIPT
![Page 1: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/1.jpg)
Crimes Digitais e a
Computação Forense
![Page 2: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/2.jpg)
$whoami
• Vaine Luiz Barreira• http://about.me/vlbarreira
• Consultor de TI• Perito em Computação Forense• Ethical Hacker• Professor Universitário• Palestrante
![Page 3: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/3.jpg)
Certificações
• Perito em Análise Forense Computacional
• Ethical Hacker
• ISO 27002
• ITIL v3
• CobiT v4.1
• Microsoft Operations Framework (MOF) v4
• ISO 20000
• IT Management Principles
• Business Information Management (BiSL)
• Microsoft Technology Associate – Security
• Microsoft Technology Associate – Networking
• Cloud Computing
• Secure Cloud Services
• GreenIT
• CA Backup Technical Specialist
• Symantec STS
• SonicWALL CSA
• Novell CNA – NetWare e GroupWise
Membro da Sociedade Brasileira de Ciências Forenses (SBCF)Membro da High Technology Crime Investigation Association (HTCIA)
![Page 4: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/4.jpg)
Representam as condutas criminosas cometidas com o uso das tecnologias deinformação e comunicação, e também os crimes nos quais o objeto da açãocriminosa é o próprio sistema informático.
• Defacements (modificação de páginas na Internet);• Roubo de dados e/ou negação de serviço;• E-mails falsos (phishing scam, difamação, ameaças);• Transações bancárias (internet banking);• Disseminação de código malicioso, pirataria e pedofilia;• Crimes comuns com evidências em mídias digitais;• Etc, etc, etc...
Crimes Digitais
![Page 5: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/5.jpg)
Crimes Digitais
Os atacantes se movem rapidamente
Extorsão digital emascensão
Malwares estãointeligentesAmeaças de dia zero
5 de 6 grandes
empresasatacadas
317Mnovas
variantes de malware
1M de malware diários
60% dos ataquessão a pequenas/ médias empresas
113% aumento de ransoware
45X maisdispositivos
atacados
28% dos malwares são
VM-Aware
24 ameaças
críticas
Top 5 semcorreção por
295 dias
24
Source: Symantec Internet Security Threat Report 2015
![Page 6: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/6.jpg)
Crimes Digitais
Source: Symantec Internet Security Threat Report 2015
Vários setores sofrendo ataques cibernéticos
Saúde+ 37%
Varejo+11%
Educação
+10%Governos
+8%Financeiro
+6%
![Page 7: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/7.jpg)
Crimes Digitais
![Page 8: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/8.jpg)
Crimes Digitais
![Page 9: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/9.jpg)
Definições
• Cyber Guerramotivação política, visam enfraquecer nações
• Cyber Espionagembusca por propriedade intelectual visando o lucro
• Cyber Terrorismobusca causar pânico ou sensação de insegurança
• Hacktivismomotivação política, visam causas específicas
![Page 10: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/10.jpg)
Formação
![Page 11: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/11.jpg)
Slide masterPerito Criminal (Perito Oficial)
Perito ad hoc ou Perito Judicial
Assistente Técnico
Perito Particular
Perito Digital
![Page 12: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/12.jpg)
Computação Forense
• Perícia Digital• Forense Digital• Perícia Cibernética• Perícia em Informática• Forense em Informática• Perícia Forense Computacional• Análise Forense Computacional• Perícia de Sistemas Computacionais
![Page 13: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/13.jpg)
“Aplicação da ciência física aplicada à lei na busca pela verdade em assuntos civis, criminais e de comportamento social, com o fim de que nenhuma injustiça seja feita a nenhum membro da sociedade”.(Manual de Patologia Forense do Colégio de Patologistas Americanos)
“Coleta e análise de dados de maneira não tendenciosa e omais livre de distorção possível, para reconstruir dados ouo que aconteceu no passado em um sistema”(Dan Farmer e Wietse Venema – Computer Forensics Analysis ClassHandouts)
Computação Forense
![Page 14: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/14.jpg)
Princípio de Locard (1877-1966):
“Todo contato deixa um rastro (vestígio)”
Computação Forense
![Page 15: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/15.jpg)
Exemplos de evidências relacionadas a crimes digitais:
• mensagem de e-mail e bate-papo• arquivos de logs• arquivos temporários• registros de impressão• registros de conexão à internet• registros de conexão em sistemas• registros de instalação/desinstalação de programas • fragmentos de arquivos
Evidência Digital
![Page 16: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/16.jpg)
• Minimizar perda de dados;• Evitar contaminação de dados;• Registrar e documentar todas as ações;• Analisar dados em cópias;• Reportar as informações coletadas;• Principalmente: manter-se imparcial.
“É um erro capital teorizar antes de obter todas as evidências.”Sherlock Holmes
Princípios de análise forense
![Page 17: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/17.jpg)
• Razões para não investigar um incidente:CustoDemoraFalta de objetividadeDisponibilização de recursos importantes
• Processo que demanda tempo e recursos, nem sempre útil para a empresa;
• É mais fácil reinstalar um computador do que realizar uma investigação.
Motivações para investigação
![Page 18: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/18.jpg)
Levantar evidências que contam a história do fato:
• O quê? (definição do próprio incidente)• Onde? (local do incidente e das evidências)• Quando? (data do incidente e suas partes)• Quem (quem fez a ação)• Por quê? (motivo ou causa do incidente)• Como? (como foi realizado e/ou planejado)• Quanto? (quantificação de danos)
Motivações para investigação
![Page 19: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/19.jpg)
• Identificação do alvo;• Coleta de informações;• Identificação de vulnerabilidades;• Comprometimento do sistema;• Controle do sistema;• Instalação de ferramentas;• Remoção de rastros;• Manutenção do sistema comprometido.
Modo de ação dos atacantes
![Page 20: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/20.jpg)
Equipamento desligado: (Post Mortem Forensics)• Sem atividade de disco rígido;• Evidências voláteis perdidas;• Sem atividade do invasor;• Sem necessidade de contenção do ataque;• Possivelmente algumas evidências foram
modificadas.
Tipos de sistemas comprometidos
![Page 21: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/21.jpg)
Equipamento ligado: (Live Forensics)• Atividade no disco rígido;• Atividade de rede;• Evidências voláteis;• Possibilidade de atividade do invasor;• Necessidade de conter o ataque.
Tipos de sistemas comprometidos
![Page 22: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/22.jpg)
Equipamento ligado: (Live Forensics)• Verificar se o sistema está comprometido;• Não comprometer as evidências;• Conter o ataque;• Coletar evidências;• Power-off ou shutdown?
Tipos de sistemas comprometidos
![Page 23: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/23.jpg)
Etapas Perícia Digital
• Isolar área
• Fotografar o cenário
• Analisar o cenário
• Coletar evidências
• Garantir integridade
• Identificar equipamentos
• Embalar evidências
• Etiquetar evidências
• Cadeia de Custódia
Coleta
• Identificar as evidências
• Extrair
• Filtrar
• Documentar
Exame • Identificar (pessoas e locais)
• Correlacionar (pessoas e locais)
• Reconstruir a cena (incidente)
• Documentar
Análise
• Redigir laudo / parecer técnico
• Anexar evidências e demais documentos
• Gerar hash de tudo
Resultados
Equipamentos / Mídias
Dados Informações Laudo Pericial
![Page 24: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/24.jpg)
1. Aquisição;2. Preservação;3. Identificação;4. Extração;5. Recuperação;6. Análise;7. Apresentação (laudo pericial).
Processo investigativo
![Page 25: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/25.jpg)
Ordem de volatilidade – RFC 3227
• Memória RAM;• Arquivos de página ou de troca;• Processos em execução;• Conexões e estado da rede;• Arquivos temporários;• Arquivos de log de sistema ou aplicativos;• Disco rígido (HD);• Mídias removíveis (HDs externos, pendrives, cartões de
memória, CD-ROM, DVD-ROM, etc);• Dispositivos não convencionais (câmeras digitais, gps,
relógios, etc).
1. Aquisição
![Page 26: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/26.jpg)
• Adquirir o máximo de informações do equipamento (marca, modelo, no. série, sistema operacional, nome, memória, discos, partições, endereço IP, etc);
• Aquisição remota pela rede não é recomendada;• Aquisição utilizando bloqueadores de escrita ou
garantir a montagem da partição em modo somente leitura (read only).
1. Aquisição
![Page 27: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/27.jpg)
Mídias de armazenamento digital
• ISO 27037
• Imagem X Backup
• Cópia bit a bit / cópia física / duplicação forense
• Evitar a contaminação da evidência e consequente fragilidade probatória
1. Aquisição
![Page 28: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/28.jpg)
• Live Forensics:Duplicação binária de memória RAM;Tráfego de rede (grampo digital);
• Post Mortem Forensics:Duplicação binária de mídia;
Demonstração 1
![Page 29: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/29.jpg)
• Impedir alteração da mídia original antes e durante os procedimentos de aquisição;
• Criar mais de uma cópia do arquivo de imagem;• Trabalhar sempre na “cópia da cópia”;• Usar assinaturas HASH para garantir a
integridade dos dados.
2. Preservação
![Page 30: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/30.jpg)
• Todo material coletado para análise deve ser detalhadamente relacionado em um documento chamado Cadeia de Custódia;
• Qualquer manuseio do material coletado precisa estar detalhadamente descrito na Cadeia de Custódia.
3. Identificação
![Page 31: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/31.jpg)
• Registro detalhado do modo como as evidências foram tratadas, desde a coleta até os resultados finais;
• Deve conter informações sobre quem teve acesso às evidências ou às cópias utilizadas;
• Durante um processo judicial, vai garantir que as provas não foram comprometidas;
• Cada evidência coletada deve ter um registro de custódia associado a ela.
Cadeia de Custódia
![Page 32: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/32.jpg)
• Extrair as informações disponíveis das mídias;
• Buscar dados removidos total ou parcialmente, propositadamente ou não;
• Técnica de “Carving”.
4. Extração e 5. Recuperação
![Page 33: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/33.jpg)
Através da imagem gerada:
• Extração de um arquivo – Magic Number• Recuperação de um arquivo apagado;
Demonstração 2
![Page 34: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/34.jpg)
• Correlacionar as evidências;• Criação da linha de tempo das atividades;• Documentação de todo o processo.
6. Análise
![Page 35: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/35.jpg)
• Elaboração do Laudo Pericial;• Apresentar as conclusões em linguagem clara e
com dados técnicos comentados.
7. Apresentação
![Page 36: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/36.jpg)
• Capacidade dos dispositivos;• Criptografia mais acessível;• Dispositivos Móveis:
• Tablets• Smartphones• Wearables (relógios, pulseiras, óculos, etc)
• Internet das Coisas (IoT);• Computação em Nuvem (Cloud Computing).
Novos Desafios
![Page 37: Crimes Digitais e a Computacao Forense](https://reader034.vdocuments.us/reader034/viewer/2022042723/587cc4781a28abfa018b4caf/html5/thumbnails/37.jpg)
Segurança Cibernética
http://flip.it/GYGQY
/vaineluizbarreira
www.ciberforense.com.br
@vlbarreira br.linkedin.com/in/vlbarreira