SlideShare una empresa de Scribd logo

Anti forense

Gustavo Paulo
Gustavo Paulo

Indico isso para todos que estao aprendendo um pouco sobre forense isso pode auxiliar a aprender sobre as tecnicas anti forense que pra quem ta aprendendo forense tambem e muito importante.

Tecnología
1 de 18
Descargar para leer sin conexión
Classificações e técnicas de Tecnicas anti forense 1. Introdução 2. Classificações e técnicas de anti-forense 2.1. Ocultação de evidências 2.2. Encriptação 2.3. Esteganografia 3. Outras formas de ocultação de dados 3.1. Destruição de evidências 3.2. Utilitários de limpeza de disco 3.4. Utilitários de limpeza de arquivos 4. Técnicas de desmagnetização/destruição de disco 4.1. Falsificação de evidências 4.2. Eliminação das fontes de evidências 5. Ataques contra processos e ferramentas da forense computacional 6. Eficácia da anti-forense 7. Conclusão
Introduçao Segundo Rogers (2006), podemos definir o termo anti-forense como a tentativa de afetar negativamente a existência, quantidade e/ou qualidade de evidências de uma cena de crime, ou tornar a análise e o exame das evidências difícil ou impossível de se realizar. Recentemente, a utilização de técnicas de anti-forense computacional cada vez mais avançadas por criminosos têm desafiado diversas perícias e grande parte do problema se deve ao desconhecimento de tais técnicas. Portanto, o presente trabalho visa apresentar aos profissionais de forense computacional algumas das classificações e técnicas de anti-forense mais utilizadas, para que estes possam estar preparados para enfrentar este novo desafio durante suas perícias.
Classificações e técnicas de anti-forense Métodos anti-forense são categorizados para tornar a classificação das várias ferramentas e técnicas mais simples. Apesar das divergências entre as classificações adotadas por autores consagrados, como Harris (2006) e Rogers (2006), quatro destas são comuns a todos: Ocultação de evidências, Destruição de evidências, falsificação de evidências e a eliminação das fontes de evidências. Além destas, Rogers (2006) considera ainda os ataques contra os processos e ferramentas de forense computacional.
Ocultação de evidências Ocultação de evidências é o processo de tornar dados difíceis de serem encontrados e ao mesmo tempo mantê-los acessíveis para uso futuro. Algumas das formas mais comuns de ocultação de dados incluem criptografia e esteganografia. Cada um dos diferentes métodos de ocultação de dados dificulta exames forenses digitais e quando combinados eles podem tornar uma investigação forense quase impossível.
Encriptação Uma das técnicas mais utilizadas para desafiar a computação forense é a criptografia de dados. Isto porque através da utilização de algoritmos de criptografia modernos e devárias técnicas de criptografia, diversos programas disponíveis publicamente tornam os dados virtualmente impossíveis de serem lidos sem a chave designada, uma senha convencional escolhida a critério do usuário no momento do processo de encriptação.A maioria dos programas de criptografia tem a capacidade de executar uma série de funções adicionais que tornam esforços forenses digitais cada vez mais inúteis. Algumas dessas funções incluem a utilização de arquivos como chave criptográfica (keyfiles), a encriptação de volumes inteiros e a negação plausível. A ampla disponibilidade de softwares que contém estas funções colocou o campo da forense digital em uma grande desvantagem. Alguns exemplos de ferramentas de encriptação são o TrueCrypt e o BitLocker Drive Encryption.
Esteganografia Esteganografia é uma técnica onde a informação ou arquivos estão escondidos dentro de outro arquivo na tentativa de ocultar dados, deixando-os à vista de todos. A esteganografia produz dados obscuros, normalmente ocultados dentro de dados de visíveis (por exemplo, alguns caracteres de texto escondidos dentro de uma fotografia digital). Alguns especialistas argumentam que técnicas de esteganografia não são muito utilizadas e, portanto, não devem ser levadas muito a sério. Entretanto, a maioria dos especialistas concorda que a esteganografia tem a capacidade de interromper o processo forense quando usada corretamente.
Outras formas de ocultação de dados Outras formas de ocultação de dados envolve o uso de ferramentas e técnicas para ocultar dados em vários locais de um sistema computacional. Alguns desses lugares incluem a memória principal, diretórios ocultos, espaço de folga de arquivos (slack space), blocos de dados defeituosos, fluxos de dados alternativos, e partições ocultas. Uma das ferramentas mais conhecidas para esconder dados é chamada Slacker e faz parte da estrutura do Metasploit. O Slacker rompe um arquivo e coloca cada pedaço desse arquivo no espaço de folga de outros arquivos, escondendo-o, assim, dos softwares de análise forense. Outra técnica de ocultação de dados envolve o uso de setores defeituosos. Para realizar esta técnica, o usuário muda o estado de um setor específico de bom para defeituoso e, em seguida, copia os dados a serem ocultados para este setor. Assim, algumas ferramentas forenses enxergarão estes setores como defeituosos e prosseguirão o exame sem qualquer análise do seu conteúdo.
Destruição de evidências Os métodos usados na destruição de evidências são encarregados de eliminar permanentemente arquivos específicos ou sistemas de arquivos inteiros. Isto pode ser feito através da utilização de uma variedade de métodos que incluem o uso de utilitários de limpeza de disco, de arquivos e desmagnetização/destruição de discos.
Utilitários de limpeza de disco Utilitários de limpeza de disco usam uma variedade de métodos para substituir os dados existentes nos discos. A eficácia de ferramentas de limpeza de disco como técnica anti-forense é muitas vezes contestada, pois alguns acreditam que não são completamente eficazes. Utilitários de limpeza de disco também são criticados porque eles deixam sinais de que o sistema de arquivos foi apagado, o que em alguns casos é inaceitável. Como consequência, a política atualmente empregada pelo Departamento de Defesa dos Estados Unidos admite a desmagnetização como a única forma aceitável de sanitização. Alguns dos utilitários de limpeza de disco amplamente usados incluem o BCWipe Total Wipeout, o CyberScrubs cyberCide e o KillDisk.
Utilitários de limpeza de arquivos Utilitários de limpeza de arquivos são usados para excluir arquivos individuais a partir de um sistema operacional. A vantagem dos serviços de limpeza de arquivos é que eles podem realizar suas tarefas em um período relativamente curto de tempo, ao contrário de utilitários de limpeza de disco que levam muito mais tempo. Outra vantagem dos serviços de limpeza de arquivos é que eles geralmente deixam uma assinatura muito menor do que utilitários de limpeza de disco. Há duas desvantagens principais dos utilitários de limpeza de arquivo: primeiro, eles exigem o envolvimento do usuário no processo e, segundo, alguns especialistas acreditam que os programas de limpeza de arquivos nem sempre corretamente e completamente limpam informações do arquivo. Alguns dos utilitários de limpeza de arquivos mais utilizados incluem o AEVITA Wipe & Delete, o BCWipe e CyberScrubs PrivacySuite.
Técnicas de desmagnetização/destruição de disco Desmagnetização disco é um processo pelo qual um campo magnético é aplicado a um dispositivo de suporte digital. O resultado é um dispositivo completamente limpo de todos os dados armazenados anteriormente. A desmagnetização é raramente utilizada como um método de anti-forense, apesar de ser o meio mais eficaz para garantir que os dados tenham sido completamente apagados. Isto é atribuído ao custo elevado das máquinas de desmagnetização. Uma técnica mais utilizada para garantir a limpeza de dados é a destruição física do dispositivo. O NIST recomenda que "a destruição física pode ser realizada utilizando uma variedade de métodos, incluindo a desintegração, a incineração, pulverização, trituração e fusão".
Falsificação de evidências O objetivo da falsificação de evidências é confundir, desorientar e desviar o processo de análise forense. A falsificação pode comprometer desde apenas um bit até certa quantidade de bits contidos em um disco, com o intuito de parecer qualquer outra coisa, menos a evidência real (Harris, 2006). O ofuscamento de rastros abrange uma variedade de técnicas e ferramentas que incluem limpadores de logs, spoofing, desinformação, uso de contas zumbis e comandos de trojan.
Eliminação das fontes de evidências Segundo Harris (2006), trata-se do uso de métodos que impeçam que evidências sejam criadas. Fazendo uma alusão aos crimes da forense tradicional, é similar a utilizar luvas para não deixar impressões digitais ou embrulhar a arma numa sacola plástica para impedir que a pólvora do tiro se espalhe pela cena do crime. Assim, no mundo virtual podem ser utilizados programas e sistemas operacionais através de memórias portáties, como CDs e pen drives, fazendo com que sejam geradas poucas ou até nenhuma evidência no disco local.
Ataques contra processos e ferramentas da forense computacional A anti-forense recentemente mudou um pouco sua estratégia, de modo que as ferramentas e técnicas estão focadas em atacar não somente as evidências, mas també mas ferramentas e procedimentos forenses adotados na realização dos exames. Estes novos métodos anti-forenses têm beneficiado de uma série de fatores que inclue mprocedimentos bem documentados dos exames forenses, vulnerabilidades de ferramentas forenses amplamente conhecidas e a forte dependência de examinadores forenses digitais em suas ferramentas. Durante um típico exame forense, o examinador iria criar uma imagem de disco do computador. Isso impede que o computador original (evidência) seja contaminado por ferramentas forenses. Então, Hashes são criados pelo software de exame forense para verificar a integridade da imagem. Uma das últimas técnicas anti-ferramenta visa atacar a integridade dos hashes criados.
Ao afetar a integridade do hash, qualquer evidência coletada durante a investigação pode ser contestada posteriormente. O uso do recurso de detecção de intrusão de chassis, no caso de computador ou um sensor (como um fotodetector) cheio de explosivos para a autodestruição, também é outro exemplo de como a anti-forense pode se privilegiar do conhecimento dos procedimentos forenses para invalidar uma investigação.
Eficácia da anti-forense Métodos anti-forenses dependem de várias deficiências no processo forense, incluindo: o elemento humano, a dependência de ferramentas e as limitações físicas/lógicas de computadores. Ao reduzir a suscetibilidade do processo forense para estas fraquezas, o examinador pode reduzir a probabilidade de métodos anti-forenses impactarem numa investigação. Isto pode ser alcançado através de uma maior formação para os investigadores e com a comparação dos resultados obtidos de diversas ferramentas para uma mesma análise.
Conclusão Do mesmo modo que os criminosos se aproveitaram de um vasto conhecimento sobre os procedimentos e as ferramentas comumente empregados na forense computacional, é importante que se conheçam as ferramentas e os métodos utilizados pelos criminosos na tentativa de afetar a análise pericial para então combatê-los. Assim, o presente artigo atingiu o seu objetivo no sentido de alertar profissionais da forense computacional para mais esse desafio que certamente surgirá em suas perícias: a anti-forense computacional.
Referências Harris, Ryan. Arriving at an anti-forensics consensus: Examining how to define and control the anti-forense problem. Disponível em: <http://www.dfrws.org/2006/ proceedings/6-Harris.pdf>. Acesso em: 10 jun. 2013. Rogers, M. Panel session at CERIAS 2006 Information Security Symposium. Disponível em: <http://www.cerias.purdue.edu/symposium/2006/materials/pdfs/ antiforensics.pdf>. Acesso em: 10 jun. 2013. Autor: Henrique Alexandre Torres

Recomendados

Cibersegurança ou uma questão de sobrevivência?
Cibersegurança ou uma questão de sobrevivência?Cibersegurança ou uma questão de sobrevivência?
Cibersegurança ou uma questão de sobrevivência?
Filipe T. Moreira
 
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Felipe Gulert Rodrigues
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da Informação
Rodrigo Bueno Santa Maria, BS, MBA
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense Computacional
Jefferson Costa
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de Segurança
Gilberto Sudre
 
Segurança Cibernética
Segurança CibernéticaSegurança Cibernética
Segurança Cibernética
Bruno Miranda
 
Forense computacional(ufpe)[1]
Forense computacional(ufpe)[1]Forense computacional(ufpe)[1]
Forense computacional(ufpe)[1]
Jorge Willians, ITIL®, COBIT®, CompTIA Security, CEH
 
Crimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao ForenseCrimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao Forense
Vaine Luiz Barreira, MBA
 

Recomendados

Cibersegurança ou uma questão de sobrevivência?
Cibersegurança ou uma questão de sobrevivência?Cibersegurança ou uma questão de sobrevivência?
Cibersegurança ou uma questão de sobrevivência?
Filipe T. Moreira
 
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Felipe Gulert Rodrigues
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da Informação
Rodrigo Bueno Santa Maria, BS, MBA
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense Computacional
Jefferson Costa
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de Segurança
Gilberto Sudre
 
Segurança Cibernética
Segurança CibernéticaSegurança Cibernética
Segurança Cibernética
Bruno Miranda
 
Forense computacional(ufpe)[1]
Forense computacional(ufpe)[1]Forense computacional(ufpe)[1]
Forense computacional(ufpe)[1]
Jorge Willians, ITIL®, COBIT®, CompTIA Security, CEH
 
Crimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao ForenseCrimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao Forense
Vaine Luiz Barreira, MBA
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
João Carlos da Silva Junior
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemas
Capitu Tel
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
Cleber Fonseca
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurança
trindade7
 
Os Desafios da Preservação de Documentos Digitais
Os Desafios da Preservação de Documentos DigitaisOs Desafios da Preservação de Documentos Digitais
Os Desafios da Preservação de Documentos Digitais
Cariniana Rede
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
Carlos Henrique Martins da Silva
 
Computação Forense
Computação ForenseComputação Forense
Computação Forense
Claudio Benossi
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
Neemias Lopes
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da Informação
Jean Israel B. Feijó
 
Esteganografia
EsteganografiaEsteganografia
Esteganografia
Isaac Marinho
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
Mariana Gonçalves Spanghero
 
Segurança da Informação - Aula 5 - Criptografia
Segurança da Informação - Aula 5 - CriptografiaSegurança da Informação - Aula 5 - Criptografia
Segurança da Informação - Aula 5 - Criptografia
Cleber Fonseca
 
Checklist lgpd
Checklist lgpdChecklist lgpd
Checklist lgpd
anselmo333
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
Fábio Ferreira
 
Criptografia
CriptografiaCriptografia
Criptografia
Marílio Cerqueira
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
Marco Mendes
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Escola de Governança da Internet no Brasil
 
Novas perspectivas na investigação de cibercrimes no brasil e no mundo
Novas perspectivas na investigação de cibercrimes no brasil e no mundoNovas perspectivas na investigação de cibercrimes no brasil e no mundo
Novas perspectivas na investigação de cibercrimes no brasil e no mundo
José Mariano Araujo Filho
 
Política de segurança da informação Fícticia
Política de segurança da informação FícticiaPolítica de segurança da informação Fícticia
Política de segurança da informação Fícticia
Vitor Melo
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informação
Clausia Antoneli
 
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Thiago Finardi
 
Análise Forense Computacional
Análise Forense ComputacionalAnálise Forense Computacional
Análise Forense Computacional
Thiago Finardi
 

Más contenido relacionado

La actualidad más candente

Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemas
Capitu Tel
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da Informação
Jean Israel B. Feijó
 

La actualidad más candente (20)

Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemas
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurança
 
Os Desafios da Preservação de Documentos Digitais
Os Desafios da Preservação de Documentos DigitaisOs Desafios da Preservação de Documentos Digitais
Os Desafios da Preservação de Documentos Digitais
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Computação Forense
Computação ForenseComputação Forense
Computação Forense
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da Informação
 
Esteganografia
EsteganografiaEsteganografia
Esteganografia
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 
Segurança da Informação - Aula 5 - Criptografia
Segurança da Informação - Aula 5 - CriptografiaSegurança da Informação - Aula 5 - Criptografia
Segurança da Informação - Aula 5 - Criptografia
 
Checklist lgpd
Checklist lgpdChecklist lgpd
Checklist lgpd
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Criptografia
CriptografiaCriptografia
Criptografia
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
 
Novas perspectivas na investigação de cibercrimes no brasil e no mundo
Novas perspectivas na investigação de cibercrimes no brasil e no mundoNovas perspectivas na investigação de cibercrimes no brasil e no mundo
Novas perspectivas na investigação de cibercrimes no brasil e no mundo
 
Política de segurança da informação Fícticia
Política de segurança da informação FícticiaPolítica de segurança da informação Fícticia
Política de segurança da informação Fícticia
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informação
 

Destacado

Livro curso de_hacker_para_iniciantes_cap_1
Livro curso de_hacker_para_iniciantes_cap_1Livro curso de_hacker_para_iniciantes_cap_1
Livro curso de_hacker_para_iniciantes_cap_1
Alax Ricard
 
Técnicas hacker soluções para segurança 1
Técnicas hacker soluções para segurança 1Técnicas hacker soluções para segurança 1
Técnicas hacker soluções para segurança 1
ponto hacker
 
Sixième journal de l'Association Malezi de Hasseindjé Oichili
Sixième journal de l'Association Malezi de Hasseindjé OichiliSixième journal de l'Association Malezi de Hasseindjé Oichili
Sixième journal de l'Association Malezi de Hasseindjé Oichili
Moinamkomori Mgazidja
 
Fiche compex 3
Fiche compex 3Fiche compex 3
Fiche compex 3
casimir91
 

Destacado (20)

Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
 
Análise Forense Computacional
Análise Forense ComputacionalAnálise Forense Computacional
Análise Forense Computacional
 
HACKERSPACES - Ética Hacker e Educação [v2]
HACKERSPACES - Ética Hacker e Educação [v2]HACKERSPACES - Ética Hacker e Educação [v2]
HACKERSPACES - Ética Hacker e Educação [v2]
 
Hackerspaces e cultura hacker (PPT)
Hackerspaces e cultura hacker (PPT)Hackerspaces e cultura hacker (PPT)
Hackerspaces e cultura hacker (PPT)
 
Livro curso de_hacker_para_iniciantes_cap_1
Livro curso de_hacker_para_iniciantes_cap_1Livro curso de_hacker_para_iniciantes_cap_1
Livro curso de_hacker_para_iniciantes_cap_1
 
Aplicação de um modelo simplificado das metodologias do pentesting
Aplicação de um modelo simplificado das metodologias do pentestingAplicação de um modelo simplificado das metodologias do pentesting
Aplicação de um modelo simplificado das metodologias do pentesting
 
Hacker Profissional
Hacker ProfissionalHacker Profissional
Hacker Profissional
 
Técnicas hacker soluções para segurança 1
Técnicas hacker soluções para segurança 1Técnicas hacker soluções para segurança 1
Técnicas hacker soluções para segurança 1
 
ADENOMECTOMIA PROSTÁTICA LAPAROSCÓPICA
ADENOMECTOMIA PROSTÁTICA LAPAROSCÓPICAADENOMECTOMIA PROSTÁTICA LAPAROSCÓPICA
ADENOMECTOMIA PROSTÁTICA LAPAROSCÓPICA
 
Anti Semitismo Nazi
Anti Semitismo NaziAnti Semitismo Nazi
Anti Semitismo Nazi
 
Sixième journal de l'Association Malezi de Hasseindjé Oichili
Sixième journal de l'Association Malezi de Hasseindjé OichiliSixième journal de l'Association Malezi de Hasseindjé Oichili
Sixième journal de l'Association Malezi de Hasseindjé Oichili
 
Présentation GWT au JUG Montréal 14 avril 2011
Présentation GWT au JUG Montréal 14 avril 2011Présentation GWT au JUG Montréal 14 avril 2011
Présentation GWT au JUG Montréal 14 avril 2011
 
Manual Ventilador Bennet 560 manual clinico
Manual Ventilador Bennet 560 manual clinicoManual Ventilador Bennet 560 manual clinico
Manual Ventilador Bennet 560 manual clinico
 
Anti cellulite concept_behandlungen Bodywrapvienna, Wickel gegen Cellulite
Anti cellulite concept_behandlungen Bodywrapvienna, Wickel gegen CelluliteAnti cellulite concept_behandlungen Bodywrapvienna, Wickel gegen Cellulite
Anti cellulite concept_behandlungen Bodywrapvienna, Wickel gegen Cellulite
 
PDF-Format und PDF-Grundlagen
PDF-Format und PDF-GrundlagenPDF-Format und PDF-Grundlagen
PDF-Format und PDF-Grundlagen
 
FOAD et pratiques d'individualisation
FOAD et pratiques d'individualisation FOAD et pratiques d'individualisation
FOAD et pratiques d'individualisation
 
Urheberrechtsextremismus: Ausprägungen und Antworten
Urheberrechtsextremismus: Ausprägungen und AntwortenUrheberrechtsextremismus: Ausprägungen und Antworten
Urheberrechtsextremismus: Ausprägungen und Antworten
 
Fiche compex 3
Fiche compex 3Fiche compex 3
Fiche compex 3
 
Seminario 3
Seminario 3Seminario 3
Seminario 3
 
Tromboembolia pulmonar
Tromboembolia pulmonarTromboembolia pulmonar
Tromboembolia pulmonar
 

Similar a Anti forense

Backup 101: Planejamento e Ferramentas - Evidosol 2011
Backup 101: Planejamento e Ferramentas - Evidosol 2011Backup 101: Planejamento e Ferramentas - Evidosol 2011
Backup 101: Planejamento e Ferramentas - Evidosol 2011
Jerônimo Medina Madruga
 
Forense Computacional
Forense ComputacionalForense Computacional
Forense Computacional
Grupo Treinar
 
Análise Forense Computacional com Software Livre - Free Software Rio 2010
Análise Forense Computacional com Software Livre - Free Software Rio 2010Análise Forense Computacional com Software Livre - Free Software Rio 2010
Análise Forense Computacional com Software Livre - Free Software Rio 2010
Clavis Segurança da Informação
 

Similar a Anti forense (20)

345019962-Tecnicas-Antiforenses-Em-Desktops.pdf
345019962-Tecnicas-Antiforenses-Em-Desktops.pdf345019962-Tecnicas-Antiforenses-Em-Desktops.pdf
345019962-Tecnicas-Antiforenses-Em-Desktops.pdf
 
Apresentação tcc arquivologia
Apresentação tcc arquivologiaApresentação tcc arquivologia
Apresentação tcc arquivologia
 
Apresentação ab drc
Apresentação ab drcApresentação ab drc
Apresentação ab drc
 
1ª aula forense computacional
1ª aula forense computacional1ª aula forense computacional
1ª aula forense computacional
 
Palestra: Introdução ao Software Livre e Gerenciamento de Documentos com Alfr...
Palestra: Introdução ao Software Livre e Gerenciamento de Documentos com Alfr...Palestra: Introdução ao Software Livre e Gerenciamento de Documentos com Alfr...
Palestra: Introdução ao Software Livre e Gerenciamento de Documentos com Alfr...
 
Laudo Forense Digital (Cenário 4)
Laudo Forense Digital (Cenário 4)Laudo Forense Digital (Cenário 4)
Laudo Forense Digital (Cenário 4)
 
Apresentação sobre os serviços do RSI
Apresentação sobre os serviços do RSIApresentação sobre os serviços do RSI
Apresentação sobre os serviços do RSI
 
012 computacao forense
012 computacao forense012 computacao forense
012 computacao forense
 
Ferramentas para Resposta a Incidentes - ago12
Ferramentas para Resposta a Incidentes - ago12Ferramentas para Resposta a Incidentes - ago12
Ferramentas para Resposta a Incidentes - ago12
 
Sistematização de estratégia de defesa e ataque
Sistematização de estratégia de defesa e ataqueSistematização de estratégia de defesa e ataque
Sistematização de estratégia de defesa e ataque
 
Backup 101: Planejamento e Ferramentas - Evidosol 2011
Backup 101: Planejamento e Ferramentas - Evidosol 2011Backup 101: Planejamento e Ferramentas - Evidosol 2011
Backup 101: Planejamento e Ferramentas - Evidosol 2011
 
Apresentação Workshop - Análise de Vulnerabilidades
Apresentação Workshop - Análise de VulnerabilidadesApresentação Workshop - Análise de Vulnerabilidades
Apresentação Workshop - Análise de Vulnerabilidades
 
V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”
V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”
V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”
 
OFICINA HACKER - Técnicas de Esteganografia, Criptografia e Navegação Segura
OFICINA HACKER - Técnicas de Esteganografia, Criptografia e Navegação SeguraOFICINA HACKER - Técnicas de Esteganografia, Criptografia e Navegação Segura
OFICINA HACKER - Técnicas de Esteganografia, Criptografia e Navegação Segura
 
Forense Computacional
Forense ComputacionalForense Computacional
Forense Computacional
 
Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...
Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...
Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...
 
Fornetix lgpd-whitepaper-portuguese (3)
Fornetix lgpd-whitepaper-portuguese (3)Fornetix lgpd-whitepaper-portuguese (3)
Fornetix lgpd-whitepaper-portuguese (3)
 
Investigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseInvestigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação Forense
 
CNASI 2011
CNASI 2011CNASI 2011
CNASI 2011
 
Análise Forense Computacional com Software Livre - Free Software Rio 2010
Análise Forense Computacional com Software Livre - Free Software Rio 2010Análise Forense Computacional com Software Livre - Free Software Rio 2010
Análise Forense Computacional com Software Livre - Free Software Rio 2010
 

Anti forense

  • 1. Classificações e técnicas de Tecnicas anti forense 1. Introdução 2. Classificações e técnicas de anti-forense 2.1. Ocultação de evidências 2.2. Encriptação 2.3. Esteganografia 3. Outras formas de ocultação de dados 3.1. Destruição de evidências 3.2. Utilitários de limpeza de disco 3.4. Utilitários de limpeza de arquivos 4. Técnicas de desmagnetização/destruição de disco 4.1. Falsificação de evidências 4.2. Eliminação das fontes de evidências 5. Ataques contra processos e ferramentas da forense computacional 6. Eficácia da anti-forense 7. Conclusão
  • 2. Introduçao Segundo Rogers (2006), podemos definir o termo anti-forense como a tentativa de afetar negativamente a existência, quantidade e/ou qualidade de evidências de uma cena de crime, ou tornar a análise e o exame das evidências difícil ou impossível de se realizar. Recentemente, a utilização de técnicas de anti-forense computacional cada vez mais avançadas por criminosos têm desafiado diversas perícias e grande parte do problema se deve ao desconhecimento de tais técnicas. Portanto, o presente trabalho visa apresentar aos profissionais de forense computacional algumas das classificações e técnicas de anti-forense mais utilizadas, para que estes possam estar preparados para enfrentar este novo desafio durante suas perícias.
  • 3. Classificações e técnicas de anti-forense Métodos anti-forense são categorizados para tornar a classificação das várias ferramentas e técnicas mais simples. Apesar das divergências entre as classificações adotadas por autores consagrados, como Harris (2006) e Rogers (2006), quatro destas são comuns a todos: Ocultação de evidências, Destruição de evidências, falsificação de evidências e a eliminação das fontes de evidências. Além destas, Rogers (2006) considera ainda os ataques contra os processos e ferramentas de forense computacional.
  • 4. Ocultação de evidências Ocultação de evidências é o processo de tornar dados difíceis de serem encontrados e ao mesmo tempo mantê-los acessíveis para uso futuro. Algumas das formas mais comuns de ocultação de dados incluem criptografia e esteganografia. Cada um dos diferentes métodos de ocultação de dados dificulta exames forenses digitais e quando combinados eles podem tornar uma investigação forense quase impossível.
  • 5. Encriptação Uma das técnicas mais utilizadas para desafiar a computação forense é a criptografia de dados. Isto porque através da utilização de algoritmos de criptografia modernos e devárias técnicas de criptografia, diversos programas disponíveis publicamente tornam os dados virtualmente impossíveis de serem lidos sem a chave designada, uma senha convencional escolhida a critério do usuário no momento do processo de encriptação.A maioria dos programas de criptografia tem a capacidade de executar uma série de funções adicionais que tornam esforços forenses digitais cada vez mais inúteis. Algumas dessas funções incluem a utilização de arquivos como chave criptográfica (keyfiles), a encriptação de volumes inteiros e a negação plausível. A ampla disponibilidade de softwares que contém estas funções colocou o campo da forense digital em uma grande desvantagem. Alguns exemplos de ferramentas de encriptação são o TrueCrypt e o BitLocker Drive Encryption.
  • 6. Esteganografia Esteganografia é uma técnica onde a informação ou arquivos estão escondidos dentro de outro arquivo na tentativa de ocultar dados, deixando-os à vista de todos. A esteganografia produz dados obscuros, normalmente ocultados dentro de dados de visíveis (por exemplo, alguns caracteres de texto escondidos dentro de uma fotografia digital). Alguns especialistas argumentam que técnicas de esteganografia não são muito utilizadas e, portanto, não devem ser levadas muito a sério. Entretanto, a maioria dos especialistas concorda que a esteganografia tem a capacidade de interromper o processo forense quando usada corretamente.
  • 7. Outras formas de ocultação de dados Outras formas de ocultação de dados envolve o uso de ferramentas e técnicas para ocultar dados em vários locais de um sistema computacional. Alguns desses lugares incluem a memória principal, diretórios ocultos, espaço de folga de arquivos (slack space), blocos de dados defeituosos, fluxos de dados alternativos, e partições ocultas. Uma das ferramentas mais conhecidas para esconder dados é chamada Slacker e faz parte da estrutura do Metasploit. O Slacker rompe um arquivo e coloca cada pedaço desse arquivo no espaço de folga de outros arquivos, escondendo-o, assim, dos softwares de análise forense. Outra técnica de ocultação de dados envolve o uso de setores defeituosos. Para realizar esta técnica, o usuário muda o estado de um setor específico de bom para defeituoso e, em seguida, copia os dados a serem ocultados para este setor. Assim, algumas ferramentas forenses enxergarão estes setores como defeituosos e prosseguirão o exame sem qualquer análise do seu conteúdo.
  • 8. Destruição de evidências Os métodos usados na destruição de evidências são encarregados de eliminar permanentemente arquivos específicos ou sistemas de arquivos inteiros. Isto pode ser feito através da utilização de uma variedade de métodos que incluem o uso de utilitários de limpeza de disco, de arquivos e desmagnetização/destruição de discos.
  • 9. Utilitários de limpeza de disco Utilitários de limpeza de disco usam uma variedade de métodos para substituir os dados existentes nos discos. A eficácia de ferramentas de limpeza de disco como técnica anti-forense é muitas vezes contestada, pois alguns acreditam que não são completamente eficazes. Utilitários de limpeza de disco também são criticados porque eles deixam sinais de que o sistema de arquivos foi apagado, o que em alguns casos é inaceitável. Como consequência, a política atualmente empregada pelo Departamento de Defesa dos Estados Unidos admite a desmagnetização como a única forma aceitável de sanitização. Alguns dos utilitários de limpeza de disco amplamente usados incluem o BCWipe Total Wipeout, o CyberScrubs cyberCide e o KillDisk.
  • 10. Utilitários de limpeza de arquivos Utilitários de limpeza de arquivos são usados para excluir arquivos individuais a partir de um sistema operacional. A vantagem dos serviços de limpeza de arquivos é que eles podem realizar suas tarefas em um período relativamente curto de tempo, ao contrário de utilitários de limpeza de disco que levam muito mais tempo. Outra vantagem dos serviços de limpeza de arquivos é que eles geralmente deixam uma assinatura muito menor do que utilitários de limpeza de disco. Há duas desvantagens principais dos utilitários de limpeza de arquivo: primeiro, eles exigem o envolvimento do usuário no processo e, segundo, alguns especialistas acreditam que os programas de limpeza de arquivos nem sempre corretamente e completamente limpam informações do arquivo. Alguns dos utilitários de limpeza de arquivos mais utilizados incluem o AEVITA Wipe & Delete, o BCWipe e CyberScrubs PrivacySuite.
  • 11. Técnicas de desmagnetização/destruição de disco Desmagnetização disco é um processo pelo qual um campo magnético é aplicado a um dispositivo de suporte digital. O resultado é um dispositivo completamente limpo de todos os dados armazenados anteriormente. A desmagnetização é raramente utilizada como um método de anti-forense, apesar de ser o meio mais eficaz para garantir que os dados tenham sido completamente apagados. Isto é atribuído ao custo elevado das máquinas de desmagnetização. Uma técnica mais utilizada para garantir a limpeza de dados é a destruição física do dispositivo. O NIST recomenda que "a destruição física pode ser realizada utilizando uma variedade de métodos, incluindo a desintegração, a incineração, pulverização, trituração e fusão".
  • 12. Falsificação de evidências O objetivo da falsificação de evidências é confundir, desorientar e desviar o processo de análise forense. A falsificação pode comprometer desde apenas um bit até certa quantidade de bits contidos em um disco, com o intuito de parecer qualquer outra coisa, menos a evidência real (Harris, 2006). O ofuscamento de rastros abrange uma variedade de técnicas e ferramentas que incluem limpadores de logs, spoofing, desinformação, uso de contas zumbis e comandos de trojan.
  • 13. Eliminação das fontes de evidências Segundo Harris (2006), trata-se do uso de métodos que impeçam que evidências sejam criadas. Fazendo uma alusão aos crimes da forense tradicional, é similar a utilizar luvas para não deixar impressões digitais ou embrulhar a arma numa sacola plástica para impedir que a pólvora do tiro se espalhe pela cena do crime. Assim, no mundo virtual podem ser utilizados programas e sistemas operacionais através de memórias portáties, como CDs e pen drives, fazendo com que sejam geradas poucas ou até nenhuma evidência no disco local.
  • 14. Ataques contra processos e ferramentas da forense computacional A anti-forense recentemente mudou um pouco sua estratégia, de modo que as ferramentas e técnicas estão focadas em atacar não somente as evidências, mas també mas ferramentas e procedimentos forenses adotados na realização dos exames. Estes novos métodos anti-forenses têm beneficiado de uma série de fatores que inclue mprocedimentos bem documentados dos exames forenses, vulnerabilidades de ferramentas forenses amplamente conhecidas e a forte dependência de examinadores forenses digitais em suas ferramentas. Durante um típico exame forense, o examinador iria criar uma imagem de disco do computador. Isso impede que o computador original (evidência) seja contaminado por ferramentas forenses. Então, Hashes são criados pelo software de exame forense para verificar a integridade da imagem. Uma das últimas técnicas anti-ferramenta visa atacar a integridade dos hashes criados.
  • 15. Ao afetar a integridade do hash, qualquer evidência coletada durante a investigação pode ser contestada posteriormente. O uso do recurso de detecção de intrusão de chassis, no caso de computador ou um sensor (como um fotodetector) cheio de explosivos para a autodestruição, também é outro exemplo de como a anti-forense pode se privilegiar do conhecimento dos procedimentos forenses para invalidar uma investigação.
  • 16. Eficácia da anti-forense Métodos anti-forenses dependem de várias deficiências no processo forense, incluindo: o elemento humano, a dependência de ferramentas e as limitações físicas/lógicas de computadores. Ao reduzir a suscetibilidade do processo forense para estas fraquezas, o examinador pode reduzir a probabilidade de métodos anti-forenses impactarem numa investigação. Isto pode ser alcançado através de uma maior formação para os investigadores e com a comparação dos resultados obtidos de diversas ferramentas para uma mesma análise.
  • 17. Conclusão Do mesmo modo que os criminosos se aproveitaram de um vasto conhecimento sobre os procedimentos e as ferramentas comumente empregados na forense computacional, é importante que se conheçam as ferramentas e os métodos utilizados pelos criminosos na tentativa de afetar a análise pericial para então combatê-los. Assim, o presente artigo atingiu o seu objetivo no sentido de alertar profissionais da forense computacional para mais esse desafio que certamente surgirá em suas perícias: a anti-forense computacional.
  • 18. Referências Harris, Ryan. Arriving at an anti-forensics consensus: Examining how to define and control the anti-forense problem. Disponível em: <http://www.dfrws.org/2006/ proceedings/6-Harris.pdf>. Acesso em: 10 jun. 2013. Rogers, M. Panel session at CERIAS 2006 Information Security Symposium. Disponível em: <http://www.cerias.purdue.edu/symposium/2006/materials/pdfs/ antiforensics.pdf>. Acesso em: 10 jun. 2013. Autor: Henrique Alexandre Torres