O aumento do nmero de ataques a sistema de computadores vem crescendo diariamente.

Isso acontece por que os sistemas no so desenvolvidos de forma segura, ou seja os sistemas possuem falhas de segurana de fbrica A computao forense vem de encontro ao que diz respeito ao descobrir o que, onde e como foi feita tal invaso. Sinais de invases - Hackers Habilidosos. - Hackers Iniciantes. - Novos Usurios no Sistema. - Execuo de processos estranhos. - Utilizao Inexplicvel da CPU. - O Ambiente parece estranho. Como identificar os atacantes Existem dois perfis bsicos de atacantes, so eles: Internos: - Questes pessoais - Acesso a recursos privilegiados - Vantagens Financeiras Externos: - Vandalismo - Auto-Afirmao - Busca por reconhecimento Ameaas - Fcil acesso s ferramentas - Os Script Kiddies procuram por vulnerabilidade - No existe horrio definido para ser alvo de um ataque, ou mesmo de um scan Tcnicas para percia a) Auditoria de logs dos aplicativos dos sistemas. b) Anlise de arquivos e diretrios incluindo o nome de arquivos deletados. c) Visualizao do contedo de arquivos suspeitos. d) Datas de arquivos acessados, alterados e deletados. e) Seqncia de eventos. f) Efetuar anlise fsica e lgica em cima dos dados levantados nas etapas antecessoras sem alterar o contedo original. Anlise fsica a) So investigados os dados brutos da mdia de armazenamento. b) Anlise feita em cima da imagem pericial ou na cpia restaurada das provas. c) Dados comumente investigados: - Todas as urls encontradas na mdia. - Todos os endereos de e-mail encontrados na mdia. - Todas as ocorrncias de pesquisa de sequencia com palavras sensveis a caixa alta e baixa. Anlise lgica a) Erros comumente cometidos. b) Como efetuar a anlise lgica sem alterar os dados? Anlise de logs a) Extremamente importante que a cultura de auditoria de logs esteja disseminada entre os administradores da rede. b) Para rastrear os fatos importante que o profissional atue com um espio e no veja os dados como um usurio. c) Para isso, necessrio que ele reconstrua construa os histricos dos:

- Usurios - Processos - Situao da Rede - Acesso a Servios Anlise de trfego O processo de arquivamento do trfego de rede com auxlio de ferramentas de captura de pacotes gera a primeira camada de informao forense: isto , a carga de trfego com o passar do tempo. Obteno de evidncias a) Grande aumento no nmero de fraudes e crimes eletrnicos com o passar do tempo. b) Identificao c) Preservao d) Anlise e) Apresentao Exemplo prtico: Investigando um servidor Web a) Tipos de ataque: - Negao de servio - Site defacement - Roubo de produto ou informao b) Mtodos para investigao de um possvel ataque. Principais entidades - IOCE (International Organization on Computer Evidence); - HTCIA (High Technology Crime Investigation Association); - SWGDE (Scientific Working Group on Digital Evidence); - IACIS(International Associantion of Computer investigatibe specialists); - SACC (Seo de Apurao de Crimes por Computador); Principais entidades no Brasil - NBSO(Network Information Center(NIC) Brazilian Security Office); - CAIS(Centro de Atendimento a Incidentes de Segurana); - GT-S(Grupo de Trabalho em segurana do comit gestor da internet brasileira) Carreira - Perito Criminal - Consultor Independente - Funcionrio pblico A forense computacional foi criada com o objetivo de suprir as necessidades das instituies legais no que se refere manipulao das novas formas de evidncias eletrnicas. Ela a cincia que estuda a aquisio, preservao, recuperao e anlise de dados que esto em formato eletrnico e armazenados em algum tipo de mdia computacional. A forense computacional pode produzir informaes diretas, que por sua vez, podem ser decisivas em um dado caso. importante salientar que a veracidade dessas informaes tambm so passveis de validao como em qualquer outro tipo de anlise forense, pois dependendo das circunstncias, as informaes coletadas podem ter sido manipuladas de forma a induzir o perito a tirar concluses erradas sobre o caso. Para resolver um mistrio computacional nem sempre fcil; deve se analisar o sistema como um detetive que examina a cena de um crime, e no como um usurio comum. Muitas das habilidades necessrias para se procurar um erro em um cdigo fonte so tambm necessrias para uma anlise forense, tais como: raciocnio lgico, entendimento das relaes de causa e efeito em sistemas computacionais e talvez a mais importante, ter uma mente aberta. Percia em um computador suspeito envolve uma srie de conhecimentos tcnicos e a utilizao de ferramentas adequadas para a anlise, que justificado pela necessidade indiscutvel de no alterar o sistema que est sendo analisado. Tais alteraes, se efetuadas, podem ser traduzidas como mudanas nos tempos de

acesso aos arquivos, prejudicando assim uma das mais poderosas formas de se reconstituir o que aconteceu na mquina em um passado prximo. Geralmente as ferramentas convencionais no tm a preocupao de manter a integridade dos tempos de acesso. Alguns procedimentos devem ser seguidos pelo perito para garantir que a evidncia no seja comprometida, substituda ou perdida, pois, se estes no forem seguidos, num tribunal, os juzes podero considerar que essas evidncias so invlidas e os advogados de defesa podero contestar sua legitimidade, prejudicando assim o caso. Em muitos casos, as nicas evidncias disponveis so as existentes em formato digital. Isto poderia significar que a capacidade de punio a um invasor pode estar diretamente relacionada com a competncia do perito em identificar, preservar, analisar e apresentar as evidncias. Sendo assim, notria a importncia do perito e a responsabilidade a ele confiada. Tal postura, se seguida, produzir um trabalho revestido de incontestabilidade diante do tribunal. A percia forense possui quatro procedimentos bsicos: identificao, preservao, anlise e apresentao. As tarefas envolvidas em uma investigao se enquadram em um desses grupos, como podem ser realizadas atravs da maioria ou de todos eles. Identificando as evidncias Dentre as vrias tarefas envolvidas no caso, necessrio estabelecer quais so as informaes mais relevantes, como datas, horrios, nomes de pessoas, empresas, endereos eletrnicos, nome do responsvel ou proprietrio pelo computador e etc. Diferentes crimes resultam em diferentes tipos de evidncia, e, por este motivo, cada caso deve ser tratado de forma especfica. Por exemplo, em um caso de acesso no autorizado, o perito dever procurar por arquivos log, conexes e compartilhamentos suspeitos; j em casos de pornografia, buscar por imagens armazenadas no computador, histrico dos sites visitados recentemente, arquivos temporrios e etc. A velocidade do perito em identificar as evidncias vai depender do seu conhecimento sobre o tipo de crime que foi cometido e dos programas e Sistemas Operacionais envolvidos no caso. Para encontrar possveis evidncias deve se: - Procurar por dispositivos de armazenamentos (hardware): laptops, HDs, disquetes, CDs, DVDs, drives Zip/Jaz, memory keys, pendrives, cmeras digitais, MP3 player, fitas DAT, Pocket PC, celulares, dispositivos de backup ou qualquer equipamento que possa armazenar evidncias; - Procurar por informaes relacionadas ao caso como: anotaes, nomes de pessoas, datas, nomes de empresas e instituies, nmeros de telefones, documentos impressos etc.; - Distinguir entre evidncias relevantes e irrelevantes em uma anlise. Cadeia de custdia Segundo o princpio de Locard, atravs do contato entre dois itens, ir haver uma permuta. Este princpio aplicvel nas cenas do crime, no qual o interveniente da cena do crime entra em contato com a prpria cena onde o crime foi executado, trazendo algo para este. Cada contato deixa o seu rastro. Sendo assim, todo contato entre quaisquer pessoas ou objetos com a cena do crime pode produzir vestgios, que por mnimos que sejam, podero servir como base para elucidao dos fatos de um crime. A regra nmero um em uma investigao no destruir ou alterar as provas, ou seja, as evidncias precisam ser preservadas de tal forma que no haja qualquer dvida sobre a sua veracidade. A inobservncia de certos procedimentos no momento da coleta de dados e no transcorrer da anlise forense pode significar a diferena entre o sucesso e o fracasso de uma percia, pois, alm de comprometer a veracidade de uma prova, o que a colocaria em dvida perante o tribunal, poderia tambm comprometer a sua integridade. Devido ao uso do contraditrio, num tribunal, a defesa pode questionar a legitimidade dos resultados de uma investigao, alegando que as evidncias foram alteradas ou substitudas por outras. Devido a essa possibilidade, de total importncia que o perito faa uso da cadeia de custdia, que, utilizada para provar onde as evidncias estavam em um determinado momento e quem era o responsvel por elas durante o curso da percia. Tal documentao de suma importncia para garantir que as evidncias no foram comprometidas e para mapear individualmente os responsveis num dado momento.

Para que as evidncias no sejam comprometidas, substitudas ou perdidas durante o transporte ou manuseio no laboratrio, recomendvel que sejam seguidos os seguintes passos: - Criar imagens do sistema investigado, tambm conhecido como duplicao pericial, para que as evidncias digitais possam ser analisadas posteriormente; - Se o caso necessitar de uma anlise ao vivo, salvar as evidncias em um dispositivo externo e bloquelos contra regravao; - Todas as evidncias fsicas devero ser lacradas em sacos e etiquetadas; - A etiqueta dever conter um nmero para a identificao das evidncias, o nmero do caso, a data e o horrio em que a evidncia foi coletada, e o nome da pessoa que est manuseandoa; - Etiquetar todos os cabos e componentes do computador, para que depois possam ser montados corretamente quando chegar ao laboratrio; - Os HDs devero ser armazenados em sacos antiestticos, para evitar danos e corrompimento dos dados; - Durante o transporte das provas, tomar cuidado com lquidos, umidade, impacto, sujeira, calor excessivo, eletricidade e esttica; - Quando j tiverem sido transportadas, as evidncias devero ser armazenadas e trancadas para evitar a adulterao at o momento em que podero ser examinadas e analisadas; - Todas as mudanas feitas durante esta fase devero ser documentadas e justificadas no documento referente cadeia de custdia. Analisando as evidncias O propsito desta fase tentar identificar quem fez, quando fez, que dano causou e como foi realizado o crime. Mas, para isso, o perito dever saber o que procurar, onde procurar e como procurar. Aps analisar as evidncias o perito poder responder s seguintes questes: - Qual a verso do Sistema Operacional que estava sendo investigado? - Quem estava conectado ao sistema no momento do crime? - Quais arquivos foram usados pelo suspeito? - Quais portas estavam abertas no Sistema Operacional? - Quem logou ou tentou logar no computador recentemente? - Quem eram os usurios e a quais grupos pertenciam? - Quais arquivos foram excludos? Esta fase ser a pesquisa propriamente dita, em que praticamente todos os filtros de informao j foram executados. A partir deste ponto o perito poder focalizar se nos itens realmente relevantes ao caso em questo. nesta fase que os itens faro sentido e os dados e fatos passaro a ser confrontados. Apresentando a anlise O laudo pericial um relatrio tcnico sobre a investigao, no qual so apontados os fatos, procedimentos, anlises e o resultado. O perito faz o laudo, e, a partir das evidncias, a deciso da Justia. - O laudo deve ser claro, conciso, estruturado e sem ambigidade, de tal forma que no deixe dvida alguma sobre a sua veracidade; - Devero ser informados os mtodos empregados na percia, incluindo os procedimentos de identificao, preservao e anlise, e o software e hardware utilizados;

- O laudo pericial deve conter apenas afirmaes e concluses que possam ser provadas e demonstradas tcnica e cientificamente. Concluso A melhor soluo para evitar o acesso indevido a informao implementar sempre uma poltica clara e concisa de uso e de auditoria (Constante) do sistema. A anlise forense computacional vem a auxiliar na descoberta de falhas de segurana, a fim de que possam ser tomadas de falhas de segurana, a fim de que possam ser tomadas as providncias para sanar tais falhas e identificar os culpados.