O documento discute o que é informática forense, incluindo sua definição, objetivo e porquês. Também aborda circunstâncias comuns em que a informática forense é usada, tipos de provas digitais, etapas do processo de análise forense e técnicas forenses.
1. 1
26 de abril de 2013
LOCAL : Lisboa DATA : 29-10-2009
Informática Forense
2. 2
29 de Outubro de 2009
Seminário Cibercrime & Informática Forense
www.drc.pt
O que é “Informática Forense”
“Computer Forensics”
• Definição (Wikipédia): Informática Forense é um
ramo da ciência forense relacionado com provas
digitais descobertas em suportes de
armazenamento digital.
• Objectivo: Analisar e relatar provas de alguma
actividade efectuada em meios digitais.
3. 3
29 de Outubro de 2009
Seminário Cibercrime & Informática Forense
www.drc.pt
Porquê?
• Crescimento exponencial de utilização de meios
digitais como arquivo de informação.
• Aumento generalizado de incidentes relacionados
com segurança informática e cibercrime.
• Cenários ou circunstâncias diferentes, exigem
abordagens ou métodos diferentes.
4. 4
29 de Outubro de 2009
Seminário Cibercrime & Informática Forense
www.drc.pt
Porquê?
• As provas descobertas através da Informática
Forense podem ser determinantes para o desfecho
de um caso.
• Única forma de utilizar provas digitais, sem
comprometer a viabilidade e integridade das
mesmas.
• Exemplo: Ligar um disco rígido em ambiente
Windows.
5. 5
29 de Outubro de 2009
Seminário Cibercrime & Informática Forense
www.drc.pt
Circunstâncias Comuns
- Intrusões na rede empresarial
- Malware (Identificação de elementos ocultos)
- Espionagem Industrial
- Actividades indevidas por parte de colaboradores (Recuperação e
identificação de informação eliminada; tráfego web)
- Roubo de informação (acesso a dados confidenciais; discos USB)
- Roubo de dados bancários
- Roubo de identidade
- Ameaças por meios digitais (e-mail; sms)
- Crimes informáticos (ex: pirataria)
- Terrorismo
- Pedofilia
6. 6
29 de Outubro de 2009
Seminário Cibercrime & Informática Forense
Provas Digitais?
• Dados recuperados de um disco rígido de um
computador.
• Qualquer tipo de dispositivo de armazenamento
digital.
• Factor de apoio na fase de preparação processual
e na fase de processo judicial.
7. 7
29 de Outubro de 2009
Seminário Cibercrime & Informática Forense
Provas Digitais?
8. 8
29 de Outubro de 2009
Seminário Cibercrime & Informática Forense
Manuseamento de Provas Digitais
• Comprovação da validade e da não manipulação da prova
digital.
• Preservação adequada das provas digitais, pois existirá a
tentativa de desacreditação.
• Manual de boas práticas (ACPO). Princípios base para
manuseamento de provas digitais.
• Procedimentos DRC: Fotografar; Etiquetar; Proteger
Contra-Escrita; Detalhar (Marca, Modelo, Nº Série); Validar
equipamentos.
• Análise do equipamento, para verificar se é elegível para o
9. 9
29 de Outubro de 2009
Seminário Cibercrime & Informática Forense
www.drc.pt
Manuseamento de Provas Digitais
• Acções a evitar?
– Não desligar computador sem recolher dados da memória
– Não desligar computador no caso de o suporte ser
encriptado
– Não executar aplicações que possam alterar datas dos
ficheiros ou escrever algum tipo de informação no suporte de
armazenamento digital.
– Não utilizar aplicações de imagem convencionais
– Cautela contra a violação da privacidade dos dados
10. 10
29 de Outubro de 2009
Seminário Cibercrime & Informática Forense
www.drc.pt
Manuseamento de Provas Digitais
• Fidedignidade das provas digitais
– Recolhidas com bloqueadores de escrita (hardware ou
software)
– Firmadas com Hash MD5 ou SHA-1. Impressões digitais a
nível binário.
– Hash: é a transformação de uma grande quantidade de
informação em uma pequena quantidade de informação”. É um
método para transformar dados de tal forma que o resultado
seja exclusivo.
11. 11
29 de Outubro de 2009
Seminário Cibercrime & Informática Forense
www.drc.pt
Manuseamento de Provas Digitais
• Exemplo:
Como comparação com as impressões digitais humanas,
existem duas teorias sobre a possibilidade de existirem duas
impressões digitais iguais.
Galton: 6.400.000.000
Osterburg: 100.000.000.000.000.000.000
MD5: 340.282.366.920.938.463.374.607.431.768.211.456
12. 12
29 de Outubro de 2009
Seminário Cibercrime & Informática Forense
www.drc.pt
Manuseamento de Provas Digitais
• Dificuldades ao lidar com provas digitais:
- Volatilidade das provas digitais
- Facilidade de manipulação e ocultação
- Evolução constante e rápida das tecnologias de
informação
- Produção constante de novos cenários e
circunstâncias (ex: Phishing)
13. 13
29 de Outubro de 2009
Seminário Cibercrime & Informática Forense
www.drc.pt
Fases do Processo de Análise Forense
• Análise do Incidente (entendimento do cenário ou
circunstâncias)
• Recolha das evidências
• Identificação da origem das evidências digitais
• Preservação das evidências
• Análise das evidências
• Preparação de relatórios e conclusões
• Apresentação de relatórios ou resultados
• Armazenamento dos relatórios e evidências
14. 14
29 de Outubro de 2009
Seminário Cibercrime & Informática Forense
www.drc.pt
Metodologias e Técnicas Forenses
• Definição de linha temporal
• Keywords
• Análise de assinaturas de ficheiros
• Criação de Hash values
• Análise de espaço não alocado ou espaço livre
• Análise comportamental do sistema (Sistema virtual)
• Análise de Malware
• Análise de processos, registo e logs
• Esteganografia (do grego: “escrita escondida”)
15. 15
29 de Outubro de 2009
Seminário Cibercrime & Informática Forense
www.drc.pt
Análise de Tráfego e Auditorias Forenses
• Preparação de regulamento interno e boas práticas
• Solução preventiva e não reactiva
• Appliance de rede com análise de 21 protocolos (ex: http, ftp, voip,
im)
• Sistema de reconstrução de tráfego
• Auditorias regulares seleccionadas ou aleatórias
• Análise de pontos pré-definidos
• Verificação de cumprimento de normas internas
16. 16
ABREU ADVOGADOS
LISBOA
Av. Forças Armadas, 125, 12º
1600-079 Lisboa Portugal
Tel. +351 21 723 18 00
Fax. +351 21 723 18 99
lisboa@abreuadvogados.com
PORTO
Rua S. João de Brito, 605 E, 4º, 4.1
4100-455 Porto Portugal
Tel. +351 22 605 64 00
Fax. +351 22 600 18 16
porto@abreuadvogados.com
MADEIRA
Rua Dr. Brito Câmara, 20
9000-039 Funchal - Madeira
Tel.: +351 291 209 900
Fax: +351 291 209 920
madeira@abreuadvogados.com
ANGOLA (in Association)
Tel: + 351 217 231 800
Fax: +351 217 231 899
angola@abreuadvogados.com
DATA RECOVER CENTER
LISBOA
Rua Alexandre Herculano,
Edifício Central Park, 1 – 7º
2795-242 Linda-a-Velha Portugal
Tel. +351 21 414 68 10
Fax. +351 21 414 68 19
geral@drc.pt
BELVERDE
Av. do Mar, 22
2845-484 Amora Portugal
Tel. +351 21 414 68 10
Fax. +351 21 414 68 19
geral@drc.pt
29 de Outubro de 2009
Seminário Cibercrime & Informática Forense
www.drc.pt