Crimes Digitais e a

Computao Forense
$whoami

Vaine Luiz Barreira

http://about.me/vlbarreira

Consultor de TI
Perito em Computao Forense
Ethical Hacker
Professor Universitrio
Palestrante
Certificaes

Perito em Anlise Forense Computacional Microsoft Technology Associate Security

Ethical Hacker Microsoft Technology Associate Networking
ISO 27002 Cloud Computing
ITIL v3 Secure Cloud Services
CobiT v4.1 GreenIT
Microsoft Operations Framework (MOF) v4 CA Backup Technical Specialist
ISO 20000 Symantec STS
IT Management Principles SonicWALL CSA
Business Information Management (BiSL) Novell CNA NetWare e GroupWise

Membro da Sociedade Brasileira de Cincias Forenses (SBCF)

Membro da High Technology Crime Investigation Association (HTCIA)
Crimes Digitais

Representam as condutas criminosas cometidas com o uso das tecnologias de

informao e comunicao, e tambm os crimes nos quais o objeto da ao
criminosa o prprio sistema informtico.

Defacements (modificao de pginas na Internet);

Roubo de dados e/ou negao de servio;
E-mails falsos (phishing scam, difamao, ameaas);
Transaes bancrias (internet banking);
Disseminao de cdigo malicioso, pirataria e pedofilia;
Crimes comuns com evidncias em mdias digitais;
Etc, etc, etc...
Crimes Digitais

Os atacantes se movem rapidamente

5 de 6 317M 1M de 60% dos ataques

grandes novas malware so a pequenas/
empresas variantes de dirios mdias empresas
atacadas malware

Malwares esto Extorso digital em

Ameaas de dia zero inteligentes ascenso

24
24 Top 5 sem 28% dos 113% 45X mais
ameaas correo por malwares so aumento de dispositivos
295 dias VM-Aware ransoware atacados
crticas
Source: Symantec Internet Security Threat Report 2015
Crimes Digitais

Vrios setores sofrendo ataques cibernticos

Sade Varejo Educao Governos Financeiro

+ 37% +11% +10% +8% +6%

Source: Symantec Internet Security Threat Report 2015

Crimes Digitais
Crimes Digitais
Definies

Cyber Guerra
motivao poltica, visam enfraquecer naes

Cyber Espionagem
busca por propriedade intelectual visando o lucro

Cyber Terrorismo
busca causar pnico ou sensao de insegurana

Hacktivismo
motivao poltica, visam causas especficas
Formao
Perito Digital

Slide master
Perito Criminal (Perito Oficial)

Perito ad hoc ou Perito Judicial

Assistente Tcnico

Perito Particular
Computao Forense

Percia Digital
Forense Digital
Percia Ciberntica
Percia em Informtica
Forense em Informtica
Percia Forense Computacional
Anlise Forense Computacional
Percia de Sistemas Computacionais
Computao Forense

Aplicao da cincia fsica aplicada lei na busca pela verdade em

assuntos civis, criminais e de comportamento social, com o fim de que
nenhuma injustia seja feita a nenhum membro da sociedade.
(Manual de Patologia Forense do Colgio de Patologistas Americanos)

Coleta e anlise de dados de maneira no tendenciosa e o

mais livre de distoro possvel, para reconstruir dados ou
o que aconteceu no passado em um sistema
(Dan Farmer e Wietse Venema Computer Forensics Analysis Class
Handouts)
Computao Forense

Princpio de Locard (1877-1966):

Todo contato deixa um rastro (vestgio)

Evidncia Digital

Exemplos de evidncias relacionadas a crimes digitais:

mensagem de e-mail e bate-papo

arquivos de logs
arquivos temporrios
registros de impresso
registros de conexo internet
registros de conexo em sistemas
registros de instalao/desinstalao de programas
fragmentos de arquivos
Princpios de anlise forense

Minimizar perda de dados;

Evitar contaminao de dados;
Registrar e documentar todas as aes;
Analisar dados em cpias;
Reportar as informaes coletadas;
Principalmente: manter-se imparcial.

um erro capital teorizar antes de obter todas as evidncias.

Sherlock Holmes
Motivaes para investigao

Razes para no investigar um incidente:

Custo
Demora
Falta de objetividade
Disponibilizao de recursos importantes
Processo que demanda tempo e recursos, nem
sempre til para a empresa;
mais fcil reinstalar um computador do que
realizar uma investigao.
Motivaes para investigao

Levantar evidncias que contam a histria do fato:

O qu? (definio do prprio incidente)

Onde? (local do incidente e das evidncias)
Quando? (data do incidente e suas partes)
Quem (quem fez a ao)
Por qu? (motivo ou causa do incidente)
Como? (como foi realizado e/ou planejado)
Quanto? (quantificao de danos)
Modo de ao dos atacantes

Identificao do alvo;
Coleta de informaes;
Identificao de vulnerabilidades;
Comprometimento do sistema;
Controle do sistema;
Instalao de ferramentas;
Remoo de rastros;
Manuteno do sistema comprometido.
Tipos de sistemas comprometidos

Equipamento desligado: (Post Mortem Forensics)

Sem atividade de disco rgido;
Evidncias volteis perdidas;
Sem atividade do invasor;
Sem necessidade de conteno do ataque;
Possivelmente algumas evidncias foram
modificadas.
Tipos de sistemas comprometidos

Equipamento ligado: (Live Forensics)

Atividade no disco rgido;
Atividade de rede;
Evidncias volteis;
Possibilidade de atividade do invasor;
Necessidade de conter o ataque.
Tipos de sistemas comprometidos

Equipamento ligado: (Live Forensics)

Verificar se o sistema est comprometido;
No comprometer as evidncias;
Conter o ataque;
Coletar evidncias;
Power-off ou shutdown?
Etapas Percia Digital

Equipamentos
Dados Informaes Laudo Pericial
/ Mdias

Isolar rea Exame Identificar (pessoas e locais) Resultados

Fotografar o cenrio Correlacionar (pessoas e locais)
Analisar o cenrio Reconstruir a cena (incidente)
Coletar evidncias Identificar as evidncias Documentar Redigir laudo / parecer tcnico
Garantir integridade Extrair Anexar evidncias e demais
Identificar equipamentos Filtrar documentos
Embalar evidncias Documentar Gerar hash de tudo
Etiquetar evidncias
Cadeia de Custdia

Coleta Anlise
Processo investigativo

1. Aquisio;
2. Preservao;
3. Identificao;
4. Extrao;
5. Recuperao;
6. Anlise;
7. Apresentao (laudo pericial).
1. Aquisio

Ordem de volatilidade RFC 3227

Memria RAM;
Arquivos de pgina ou de troca;
Processos em execuo;
Conexes e estado da rede;
Arquivos temporrios;
Arquivos de log de sistema ou aplicativos;
Disco rgido (HD);
Mdias removveis (HDs externos, pendrives, cartes de
memria, CD-ROM, DVD-ROM, etc);
Dispositivos no convencionais (cmeras digitais, gps,
relgios, etc).
1. Aquisio

Adquirir o mximo de informaes do

equipamento (marca, modelo, no. srie, sistema
operacional, nome, memria, discos, parties,
endereo IP, etc);
Aquisio remota pela rede no recomendada;
Aquisio utilizando bloqueadores de escrita ou
garantir a montagem da partio em modo
somente leitura (read only).
1. Aquisio

Mdias de armazenamento digital

ISO 27037

Imagem X Backup

Cpia bit a bit / cpia fsica / duplicao forense

Evitar a contaminao da evidncia e consequente

fragilidade probatria
Demonstrao 1

Live Forensics:
Duplicao binria de memria RAM;
Trfego de rede (grampo digital);

Post Mortem Forensics:

Duplicao binria de mdia;
2. Preservao

Impedir alterao da mdia original antes e

durante os procedimentos de aquisio;
Criar mais de uma cpia do arquivo de imagem;
Trabalhar sempre na cpia da cpia;
Usar assinaturas HASH para garantir a
integridade dos dados.
3. Identificao

Todo material coletado para anlise deve ser

detalhadamente relacionado em um documento
chamado Cadeia de Custdia;
Qualquer manuseio do material coletado precisa
estar detalhadamente descrito na Cadeia de
Custdia.
Cadeia de Custdia

Registro detalhado do modo como as evidncias

foram tratadas, desde a coleta at os resultados
finais;
Deve conter informaes sobre quem teve
acesso s evidncias ou s cpias utilizadas;
Durante um processo judicial, vai garantir que as
provas no foram comprometidas;
Cada evidncia coletada deve ter um registro de
custdia associado a ela.
4. Extrao e 5. Recuperao

Extrair as informaes disponveis das mdias;

Buscar dados removidos total ou parcialmente,

propositadamente ou no;

Tcnica de Carving.
Demonstrao 2

Atravs da imagem gerada:

Extrao de um arquivo Magic Number

Recuperao de um arquivo apagado;
6. Anlise

Correlacionar as evidncias;
Criao da linha de tempo das atividades;
Documentao de todo o processo.
7. Apresentao

Elaborao do Laudo Pericial;

Apresentar as concluses em linguagem clara e
com dados tcnicos comentados.
Novos Desafios

Capacidade dos dispositivos;

Criptografia mais acessvel;
Dispositivos Mveis:
Tablets
Smartphones
Wearables (relgios, pulseiras, culos, etc)
Internet das Coisas (IoT);
Computao em Nuvem (Cloud Computing).
 Segurana Ciberntica

http://flip.it/GYGQY

/vaineluizbarreira

www.ciberforense.com.br

@vlbarreira br.linkedin.com/in/vlbarreira