V 3.

Análise Forense Computacional

 Administrador de Sistemas
GNU/Linux - #SysAdmin
__________________________________________________________________________

Analista e Desenvolvedor
de Sistemas
__________________________________________________________________________

Consultor de TI
_________________________________________________________

Docente no Curso Técnico

em Informática
Você conhece?
 Forense Computacional
“Forense computacional é a ciência voltada para a obtenção,
preservação e documentação de evidências, a partir de dispositivos
de armazenamento eletrônico digital, como computadores, pagers,
PDAs, câmeras digitais, telefones celulares e vários outros
dispositivos de armazenamento em memória.” (An introduction to
Computer Forensics, Information Security and Forensics Society)

“Coleta e análise de dados de maneira não tendenciosa e o mais

livre de distorção possível, para reconstruir dados ou o que
aconteceu no passado em um sistema” (Dan Farmer e Wietse
Venema – Computer Forensics Analysis Class Handouts)
O que você faz na internet?
Facilidades = Segurança?
 Objetivos da Forense?

Levantar evidências que

contem a história do fato:
→ O que aconteceu?
→ Onde aconteceu?
→ Quando aconteceu?
→ Como aconteceu?

→ Suprir as necessidades das instituições legais para

manipulação de evidências eletrônicas.

→ Produzir informações diretas e não interpretativas. Identificar,

Rastrear e Comprovar a autoria de ações criminosas.
 O que motiva a Forense?
→ Defacements (violação de dados/pichação)
→ Roubo de Dados e/ou Negação de Serviço
→ E-mails falsos (Phishing Scam, Difamação, Ameaças)
→ Transações bancárias (Internet Banking)
→ Disseminação de Pragas Virtuais, Pirataria e Pedofilia
→ Crimes comuns com evidências em mídias digitais
→ etc...
Fonte: http://www.iccyber.org/noticias/
Fonte: http://www.iccyber.org/noticias/
Fonte: http://www.iccyber.org/noticias/
Fonte: http://www.iccyber.org/noticias/
Fonte: http://www.iccyber.org/noticias/
Fonte: http://goo.gl/h6BrL
Forense em ação
Forense em ação
Esteganografia

Original

Esteganografada
Data Carving
Forense de Rede
Posso monitorar a rede?
 Quero ser perito, e agora?

+ O perito deve conhecer profundamente o SO investigado;

+ Desejável 3º Grau em TI; *
+ Desejável Conhecimentos de Legislação; *
+ Conhecimentos de Redes;

* Perito Policial (concursado) e

Perito Judicial.
E o Laboratório?
E o Laboratório?
 Distribuições
→ Deft Linux
→ FDTK - Forensic Digital Toolkit
→ Helix
→ CAINE - Computer Aided INvestigative Environment
→ BackTrack
 Forense de Rede
→ Tcpdump - http://www.tcpdump.org
→ Ngrep - http://ngrep.sourceforge.net/
→ Ntop - http://www.ntop.org
→ Tcpxtract - http://tcpxtract.sourceforge.net
→ Wireshark / tshark - http://www.wireshark.org
→ Xplico - http://www.xplico.org
 Data Carving
Autopsy - [http://www.sleuthkit.org/autopsy/]
Foremost - [http://foremost.sourceforge.net]
Scalpel - [http://www.digitalforensicssolutions.com/Scalpel/]
PhotoRec - [http://www.cgsecurity.org/wiki/PhotoRec]
Ftimes - [http://ftimes.sourceforge.net/FTimes/]
CarvFS - [http://ocfa.sourceforge.net/libcarvpath/]
DFRWS - [http://www.dfrws.org/2006/challenge/]
 Oportunidades
→ Atuação em equipes de resposta a incidentes;
→ Consultor de Segurança da Informação;
→ Investigador Digital;
→ Perito Forense Computacional;
→ Administrador de Redes (Segurança);
→ SysAdmin (Segurança).
 Twitter: @tfinardi
E-mail: tfinardi@gmail.com
Blog: www.botecodigital.info
Slides: www.slideshare.net/tfinardi

V 3.0
Muito Obrigado!
 Referências
→ Dan Farmer e Wietse Venema – Computer Forensics
Analysis Class Handouts
→ www.iccyber.org
→ www.seginfo.com.br
→ eriberto.pro.br/forense
→ old.honeynet.org
→ clavis.com.br
→ legaltech.com.br