Palestra ministrada para os alunos da graduação e pós graduação do curso de segurança da Informação no evento IX Semana de Tecnologia na FATEC Ourinhos.
2. AGENDA
-Introdução
-Ciência Forense
-Forense Computacional
-Preparação
-Aquisição
-Análise
-Relatórios
-Certificações
-Smartphones
-Formas de aquisição de dispositivos móveis
-Coleta de evidências
-Análise com software Open Source
-Análise com software Pago
-Conclusão
-Open Source x Software Pago
4. -O que é a Ciência Forense?
-Uso de artifícios, dentre eles, a ciência forense, com o intuito de elucidar fatos acerca de um determinado ocorrido, de natureza criminal ou qualquer outra onde haja conflito de interesses.
6. Forense Computacional
O que pode ser análisado?
•Computadores
•Servidores
•SmartPhones
•Celulares, Pages, Tablets, etc..
•GPS
•Consoles de Video Games
•Playstation, Xbox, etc.
9. Preparação
O que é necessário para execução da atividade
•Pessoas;
•Processos;
•Infra.
•Pessoas;
•Processos;
•Infra.
10. Aquisição
Realizar uma cópia bit a bit da origem que será submetida à análise.
•Criação de imagem forense;
•1 source > 2 targets
•Bloqueador de escrita;
•Geração hash;
•Cadeia de custódia;
•Ata notarial.
14. Análise
Durante uma análise forense são analisados diversos artefatos que podem conter informações relevantes sobre comportamentos do(s) usuário(s) do computador ou sistema investigado.
Download – É possível determinar arquivos que o usuário tenha feito download.
Skype – É possível remontar conversas de Skype (chat), entre outras ferramentas de mensagens instantâneas.
Excluídos – É possível realizar recuperação de arquivos deletados no disco que esta em análise (Data Carving) e verificar e acessar os dados que estão marcados como excluídos na MFT (Master File Table).
Execução de programas – Pode-se determinar programas executados no
ambiente em análise.
Uso de dispositivos móveis – É possível determinar dispositivos móveis
conectados no computados analisado.
15. Análise
Exame dos Dados coletados
•Filtrar, avaliar e extrair informações relevantes;
•Interpretação dos dados coletados
•Identificação dos envolvidos;
•Estabelecimento de ordem cronológica (TimeLine);
•Levantamento de eventos e locais;
•Cruzamento de informações que levem a provas concretas ou evidências.
19. Análise
Ferramentas para análise dos dados coletados
Autopsy Forensic Browser www.sleuthkit.org/autopsy
20. Análise
Ferramentas para análise dos dados coletados
•Framework para Pentest
•Desenvolvido em ruby
•Constante atualização
•Ambiente de pesquisa para exploração de vulnerabilidades
•Forense
21. Relatórios
Tem a finalidade de relatar os resultados obtidos durante a análise, de forma imparcial.
•Resposta aos quesitos;
•Análise imparcial;
•Remontar os passos adotados durante a análise;
•Linguagem de adequada ao interlocutor;
•Relatório técnico
•Laudo pericial
•Conclusivo e sem opiniões.
25. Forense Smartphone
Formas de aquisição de dispositivos móveis
•Como manter a energia do mesmo?
•Como acomodar, transportar, identificar o dispositivo?
•Como devem ser examinadas as possíveis informações e dados relevantes presentes no dispositivo?
26. Forense Smartphone
Formas de aquisição de dispositivos móveis
Dois pontos chaves para responder estas perguntas:
•Conhecimento sobre o software e o hardware dos dispositivos envolvidos.
•Procedimentos bem definidos para realizar a investigação.
27. Forense Smartphone
Formas de aquisição de dispositivos móveis
•Ferramentas atuais permitem duas formas de aquisição diferentes
•Aquisição Física
•Cópia bit-a-bit de toda uma unidade de armazenamento (ex. memória do aparelho)
•Aquisição Lógica
•Cópia bit-a-bit de objetos de armazenamento (ex. arquivos, diretórios) contidos dentro de uma unidade lógica de armazenamento (ex. partição do sistema de arquivos)
28. Forense Smartphone
Coleta de evidências
•Dispositivo deve ser isolado de outros que permitam sincronização
•Se estiver conectado a um computador via cabo, remover o cabo do computador
•Evidências não digitais (ex. manuais, pacotes, etc) podem ser úteis
•Características do dispositivo
•Características da rede
•Códigos de liberação de PIN
•Informações de contas
29. Forense Smartphone
Coleta de evidências
•Dispositivo deve ser isolado também da rede de rádio
•Evita que novos tráfegos (ex. SMS, ligações) sobrescrevam informações atuais
•Evita uso de ferramentas de bloqueio remoto
•Desligar o dispositivo
•Guardá-lo em um recipiente isolante (ex. Faraday Bag)
30. Forense Smartphone
Coletas de evidências
Gaiola de Faraday é basicamente uma armação metálica fechada (ou de outro material condutor) que mantêm ondas eletromagnéticas em sua superfície criando um campo nulo em seu interior.
31. Forense Smartphone
Coleta de evidências
•Desligar o dispositivo pode requerer código de desbloqueio ao ligar
•Isolá-lo da rede de rádio aumenta o consumo de bateria
•Alguns telefones apagam os dados de rede após algum tempo sem sinal
•Recipientes isolantes podem permitir recebimento de sinal
32. •Framework para análise forense de dispositivos móveis
•Análise de malware em dispositivos móveis
•Pode ser utilizado para testes de segurança em dispositvos móveis.
Forense Smartphone
Análise Forense de Smartphone utilizando Software Livre
https://santoku-linux.com
37. Forense Smartphone
Imagem forense do artefato
Análise do hash artefato que será coletado.
Criação da imagem forense e hash MD5 do dispositivo móvel.
Transferência da imagem forense do dispositivo móvel para estação de análise forense.
40. Forense Smartphone
Reconhecendo a evidencia
Tela com dados de inclusão de novo host.
Tela com dados de confirmação de criação de caso e inclusão de um host para o caso.
41. Forense Smartphone
Reconhecendo a evidencia
Tela com dados de inclusão da imagem forense.
Tela com dados de confirmação de inclusão de novo host.
42. Forense Smartphone
Reconhecendo a evidencia
Tela com dados de confirmação da integridade.
Tela com dados de inclusão do hash MD5 para análise de integridade.
43. Forense Smartphone
Reconhecendo a evidencia
Tela com dados do diretório /data/com.android.providers.telephony/databases/.
Tela com dados do caso e imagem forense adicionados no Sleuthkit Autopsy.
44. Forense Smartphone
Reconhecendo a evidencia
Tela com dados do diretório /data/com.android.providers.telephony/databases/ e a opção Export.
Tela com resultado da geração de hash MD5 dos arquivos.
46. Forense Smartphone
Reconhecendo a evidencia
Opção de exportação de dados através do Sqliteman.
Construtor de consulta customizada através do Sqliteman.
47. Forense Smartphone
Reconhecendo a evidencia
Quantidade de registros retornados pelo Oxigen Forensic SQLite Viewer.
Exemplos de consultas customizadas através do Sqliteman.