Este documento apresenta uma introdução à computação forense com ferramentas avançadas. Ele discute conceitos básicos de computação forense, o processo investigativo, e as etapas da perícia digital incluindo coleta de dados, análise de informações e geração de relatórios. Demonstrações práticas são fornecidas utilizando ferramentas forenses como FTK Imager e FTK 3.
2. Luiz Sales Rabelo
• Consultor TechBiz Forense Digital desde 2009
• Certificações internacionais EnCE e ACE
• Membro Comissão Crimes Alta Tecnologia OAB/SP
• NÃO SOU ADVOGADO!!
2
3. Agenda
• Conceitos Básicos
• Processo Investigativo
• Forense Digital
• Início do Caso
• Coleta de Dados
• Análise de Informações
• Relatório Final
3
5. Conceitos Básicos
Reconhecendo um incidente (ISO 17799:2005)
• Perda de serviço
• Mal funcionamento ou sobrecarga de sistema
• Falha humana
• Vulnerabilidades no controle do acesso físico
• Violação de Acesso
5
6. Ciência Forense
Metodologia científica aplicada, que atua em conjunto com o
Investigador e é utilizada para esclarecer questionamentos
jurídicos:
Toxicologia Forense, Genética e Biologia Forense,
Psiquiatria Forense, Antropologia Forense, Odontologia
Forense, Entomologia Forense, Balística Forense,
Tanatologia Forense...
6
8. Dispositivos Móveis
Na atualidade, os celulares são verdadeiros computadores, e em alguns casos guardam
muito mais sobre nossas vidas do que nossos computadores. Ex:
• E-mails
• Contatos / Agenda
• Fotos, imagens e vídeos
• Ring Tones e Jogos (copyright)
• Histórico, cookies, senhas de navegação (browser)
• Chamadas (discadas e recebidas) em determinada
data/hora
• Detalhes de mensagens SMS
(data, origem/destino, templates)
8
14. “Sanitização”
Visualização de mídia
no EnCase após wipe
14
15. “Efeito” CSI
• Adaptação livre do tema para televisão
• Relata fatos no formato de série de TV
• Diferença quanto a métodos, organização e tempos
15
23. Início do Caso
• Fotografar e/ou filmar o ambiente
• Realizar ata notarial ou documento que ateste o
acautelamento de informações
• Elaboração do documento de custódia
• Preservação das Evidências
• Duplicação (Coleta)
23
27. Coleta
• Não é recomendável realizar perícia
diretamente na prova.
• Devem ser realizadas cópias forenses
de forma a preservar a evidência.
• Organização!
• Cautela!
27
30. Integridade de Dados
• Algoritmos de Hash
• MD5
• SHA-1
• SHA-256
• Softwares para Pericia
• Bloqueadores de Escrita
• Técnicas para proteção contra gravação
30
31. Demo: Coleta de HD suspeito
Ferramenta utilizada: FTK Imager
31
33. Objetivo da Análise
Extrair de um universo de dados coletados, informações que
direta ou indiretamente associem um indivíduo a uma
determinada atividade.
33
34. File Systems
Arquivos localizados no computador periciado devem ser
avaliados minuciosamente. Alguns dos pontos a serem
analisados são:
• Assinatura de arquivos
• Imagens de dispositivos
• ADS (Alternate Data Streams)
34
37. Arquivos Apagados
O espaço em disco marcado como livre na
tabela de alocação de arquivos
geralmente contém informações
essenciais para a análise: são os
dados dos arquivos removidos
37
42. Geração de Relatório
Bookmarking
• Seleção de informações relevantes, realizada durante o
processo de análise
Geração de relatórios
• Correlação das hipóteses com as evidências
coletadas, agrupamento de todos os aspectos avaliados e
conclusão.
42