Palestra ministrada para os alunos da graduação e pós graduação do curso de segurança da Informação no evento IX Semana de Tecnologia na FATEC Ourinhos.

1. José Francci Neto
Júlio César R. Benatto

2. AGENDA
-Introdução
-Ciência Forense
-Forense Computacional
-Preparação
-Aquisição
-Análise
-Relatórios
-Certificações
-Smartphones
-Formas de aquisição de dispositivos móveis
-Coleta de evidências
-Análise com software Open Source
-Análise com software Pago
-Conclusão
-Open Source x Software Pago

3. -O que é a Ciência Forense?

4. -O que é a Ciência Forense?
-Uso de artifícios, dentre eles, a ciência forense, com o intuito de elucidar fatos acerca de um determinado ocorrido, de natureza criminal ou qualquer outra onde haja conflito de interesses.

5. -Computação Forense

6. Forense Computacional
O que pode ser análisado?
•Computadores
•Servidores
•SmartPhones
•Celulares, Pages, Tablets, etc..
•GPS
•Consoles de Video Games
•Playstation, Xbox, etc.

7. Forense Computacional
Processo de Investigação Forense Computacional

8. Forense Computacional
Processo Macro.
PREPARAÇÃO > AQUISIÇÃO > ANÁLISE > RELATÓRIO
Atividade
suspeita

9. Preparação
O que é necessário para execução da atividade
•Pessoas;
•Processos;
•Infra.
•Pessoas;
•Processos;
•Infra.

10. Aquisição
Realizar uma cópia bit a bit da origem que será submetida à análise.
•Criação de imagem forense;
•1 source > 2 targets
•Bloqueador de escrita;
•Geração hash;
•Cadeia de custódia;
•Ata notarial.

11. Aquisição
Ferramentas para aquisição e realização da imagem forense
Tableau TD3

12. Aquisição
Ferramentas para aquisição e realização da imagem forense
Falcon Duplicator
ACCESSDATA FTK Imager 3.1

13. Aquisição
Ferramentas para aquisição e realização da imagem forense
TABLEAU IMAGER
DCFLDD - LINUX

14. Análise
Durante uma análise forense são analisados diversos artefatos que podem conter informações relevantes sobre comportamentos do(s) usuário(s) do computador ou sistema investigado.
Download – É possível determinar arquivos que o usuário tenha feito download.
Skype – É possível remontar conversas de Skype (chat), entre outras ferramentas de mensagens instantâneas.
Excluídos – É possível realizar recuperação de arquivos deletados no disco que esta em análise (Data Carving) e verificar e acessar os dados que estão marcados como excluídos na MFT (Master File Table).
Execução de programas – Pode-se determinar programas executados no
ambiente em análise.
Uso de dispositivos móveis – É possível determinar dispositivos móveis
conectados no computados analisado.

15. Análise
Exame dos Dados coletados
•Filtrar, avaliar e extrair informações relevantes;
•Interpretação dos dados coletados
•Identificação dos envolvidos;
•Estabelecimento de ordem cronológica (TimeLine);
•Levantamento de eventos e locais;
•Cruzamento de informações que levem a provas concretas ou evidências.

16. Análise
Exame dos Dados coletados

17. Análise
Ferramentas para análise dos dados coletados

18. Análise
Ferramentas para análise dos dados coletados

19. Análise
Ferramentas para análise dos dados coletados
Autopsy Forensic Browser www.sleuthkit.org/autopsy

20. Análise
Ferramentas para análise dos dados coletados
•Framework para Pentest
•Desenvolvido em ruby
•Constante atualização
•Ambiente de pesquisa para exploração de vulnerabilidades
•Forense

21. Relatórios
Tem a finalidade de relatar os resultados obtidos durante a análise, de forma imparcial.
•Resposta aos quesitos;
•Análise imparcial;
•Remontar os passos adotados durante a análise;
•Linguagem de adequada ao interlocutor;
•Relatório técnico
•Laudo pericial
•Conclusivo e sem opiniões.

22. Certificações

23. Open Source x Software Pago
Aprendizado x Tempo x Facilidade de uso x Cenário

24. Forense Smartphone

25. Forense Smartphone
Formas de aquisição de dispositivos móveis
•Como manter a energia do mesmo?
•Como acomodar, transportar, identificar o dispositivo?
•Como devem ser examinadas as possíveis informações e dados relevantes presentes no dispositivo?

26. Forense Smartphone
Formas de aquisição de dispositivos móveis
Dois pontos chaves para responder estas perguntas:
•Conhecimento sobre o software e o hardware dos dispositivos envolvidos.
•Procedimentos bem definidos para realizar a investigação.

27. Forense Smartphone
Formas de aquisição de dispositivos móveis
•Ferramentas atuais permitem duas formas de aquisição diferentes
•Aquisição Física
•Cópia bit-a-bit de toda uma unidade de armazenamento (ex. memória do aparelho)
•Aquisição Lógica
•Cópia bit-a-bit de objetos de armazenamento (ex. arquivos, diretórios) contidos dentro de uma unidade lógica de armazenamento (ex. partição do sistema de arquivos)

28. Forense Smartphone
Coleta de evidências
•Dispositivo deve ser isolado de outros que permitam sincronização
•Se estiver conectado a um computador via cabo, remover o cabo do computador
•Evidências não digitais (ex. manuais, pacotes, etc) podem ser úteis
•Características do dispositivo
•Características da rede
•Códigos de liberação de PIN
•Informações de contas

29. Forense Smartphone
Coleta de evidências
•Dispositivo deve ser isolado também da rede de rádio
•Evita que novos tráfegos (ex. SMS, ligações) sobrescrevam informações atuais
•Evita uso de ferramentas de bloqueio remoto
•Desligar o dispositivo
•Guardá-lo em um recipiente isolante (ex. Faraday Bag)

30. Forense Smartphone
Coletas de evidências
Gaiola de Faraday é basicamente uma armação metálica fechada (ou de outro material condutor) que mantêm ondas eletromagnéticas em sua superfície criando um campo nulo em seu interior.

31. Forense Smartphone
Coleta de evidências
•Desligar o dispositivo pode requerer código de desbloqueio ao ligar
•Isolá-lo da rede de rádio aumenta o consumo de bateria
•Alguns telefones apagam os dados de rede após algum tempo sem sinal
•Recipientes isolantes podem permitir recebimento de sinal

32. •Framework para análise forense de dispositivos móveis
•Análise de malware em dispositivos móveis
•Pode ser utilizado para testes de segurança em dispositvos móveis.
Forense Smartphone
Análise Forense de Smartphone utilizando Software Livre
https://santoku-linux.com

33. •Motorola Milestone 3 (XT860)
•Android v.2.3.6
Forense Smartphone
Smartphone XT860 com Android

34. Forense Smartphone
Preparando o ambiente
Gconftool - Desabilitando o recurso automount do Linux

35. Forense Smartphone
Reconhecimento e acesso a evidência
Adb (android debug bridge) – Reconhecendo o smartphone.

36. Forense Smartphone
Reconhecimento e acesso a evidência
Resultado do comando adb shell mount.

37. Forense Smartphone
Imagem forense do artefato
Análise do hash artefato que será coletado.
Criação da imagem forense e hash MD5 do dispositivo móvel.
Transferência da imagem forense do dispositivo móvel para estação de análise forense.

38. Forense Smartphone
Reconhecendo a evidencia
Tela inicial da ferramenta Autopsy Forensic Browser.

39. Forense Smartphone
Reconhecendo a evidencia
Tela com dados referentes ao novo caso.

40. Forense Smartphone
Reconhecendo a evidencia
Tela com dados de inclusão de novo host.
Tela com dados de confirmação de criação de caso e inclusão de um host para o caso.

41. Forense Smartphone
Reconhecendo a evidencia
Tela com dados de inclusão da imagem forense.
Tela com dados de confirmação de inclusão de novo host.

42. Forense Smartphone
Reconhecendo a evidencia
Tela com dados de confirmação da integridade.
Tela com dados de inclusão do hash MD5 para análise de integridade.

43. Forense Smartphone
Reconhecendo a evidencia
Tela com dados do diretório /data/com.android.providers.telephony/databases/.
Tela com dados do caso e imagem forense adicionados no Sleuthkit Autopsy.

44. Forense Smartphone
Reconhecendo a evidencia
Tela com dados do diretório /data/com.android.providers.telephony/databases/ e a opção Export.
Tela com resultado da geração de hash MD5 dos arquivos.

45. Forense Smartphone
Reconhecendo a evidencia
Consulta customizada através do Sqliteman.

46. Forense Smartphone
Reconhecendo a evidencia
Opção de exportação de dados através do Sqliteman.
Construtor de consulta customizada através do Sqliteman.

47. Forense Smartphone
Reconhecendo a evidencia
Quantidade de registros retornados pelo Oxigen Forensic SQLite Viewer.
Exemplos de consultas customizadas através do Sqliteman.

48. Forense Smartphone
Reconhecendo a evidencia
Quantidade de registros retornados pelo Sqliteman.

49. Forense Smartphone
Reconhecendo a evidencia

50. Forense Smartphone
Reconhecendo a evidencia

51. Forense Smartphone
Análise Forense de Smartphone utilizando UFED

52. Forense Smartphone
Reconhecendo a evidencia

53. •iPhone 5s
•iOS v.8.0.2
Forense Smartphone
Smartphone XT860 com Android

54. Forense Smartphone
Reconhecendo a evidencia
Relatório
Formato da aquisição

55. Forense Smartphone
Reconhecendo a evidencia

56. Forense Smartphone
Reconhecendo a evidencia

57. Forense Smartphone
Reconhecendo a evidencia

58. Forense Smartphone
Reconhecendo a evidencia

59. Forense Smartphone
Reconhecendo a evidencia

60. Forense Smartphone
Reconhecendo a evidencia

61. Forense Smartphone
Reconhecendo a evidencia

62. Forense Smartphone
Reconhecendo a evidencia

63. Forense Smartphone
Reconhecendo a evidencia

64. Forense Smartphone
Reconhecendo a evidencia

65. Forense Smartphone
Reconhecendo a evidencia

66. Forense Smartphone
Reconhecendo a evidencia

67. Forense Smartphone
Reconhecendo a evidencia

68. Forense Smartphone
Reconhecendo a evidencia

69. Forense Smartphone
Reconhecendo a evidencia

70. Forense Smartphone
Reconhecendo a evidencia

71. Forense Smartphone
Reconhecendo a evidencia

72. Forense Smartphone
Correlação de dados

73. Forense Smartphone
Correlação de dados

74. Open Source x Software Pago
Aprendizado x Tempo x Facilidade de uso x Cenário

75. Muito Obrigado!
José Francci Neto neto@francci.net http://br.linkedin.com/pub/jos%C3%A9-francci-neto/10/899/187
Júlio César Roque Benatto jcbenatto@gmail.com http://br.linkedin.com/pub/julio-cesar-roque-benatto/13/b57/740