Estudo de caso

Carlos é Gerente Técnico de uma respeitada empresa de

software. Depois de encontrar pornografia baixada em sua rede
de servidores e um número de computadores pessoais do
O Processo de Investigação escritório, ele decidiu contratar um Investigador em Computação
Forense para preparar um caso de demissão de funcionário.
Computacional O investigador foi contratado para encontrar arquivos apagados
caso existam e verificar conteúdos fora da rede nos HD´s em
questão. O investigador esta apto a encontrar softwares spy,
pornografia, compartilhamento ilegal de arquivos no HD do
empregado suspeito, e demais provas periciais para montar o
processo de demissão do funcionário suspeito.

Objetivos do módulo Introdução

ÆIntrodução à Computação Forense ÆAtividades digitais têm se tornado parte

ÆHistória da Computação Forense importante do dia-a-dia da população em geral
ÆFalhas e Riscos da Computação Forense ÆImportância da Computação Forense
ÆCyber Crime ÆCerca de 85% das empresas e agências
governamentais possuem brechas de segurança
ÆAlgumas regras da Computação Forense detectadas
ÆRazões para ataques digitais ÆO FBI estima que os EUA perdem mais de 10
bilhões de dólares por ano com crimes digitais
ÆModos de ataque
ÆNo Brasil é incalculável o prejuízo causado por
ÆAnti Forense crimes digitais em empresas e residências

História da Forense Definição de Ciência Forense

ÆFrancis Galton(1822-1911)
ÆFez o primeiro estudo registrado de reconhecimento de digitais ÆDefinição mais usual
ÆLeone Lattes(1887-1954)
ÆDescobriu os grupos sanguíneos (A,AB..) Æ“Aplicação de ciências físicas à lei na
ÆCalvin Goddard(1891-1955)
ÆPermitiu a comparação de armas e balas para resolver muitos casos em
busca da verdade em matérias de
julgamento
ÆAlbert Osborn(1858-1946)
comportamento civil, criminal e social de
ÆDesenvolveu aspectos essenciais para o exame documental. “Father” modo que injustiças não ocorrerão a
ÆHans Gross(1847-1915)
ÆFez uso do estudo científico para encabeçar “investigações criminais” nenhum membro da sociedade”
ÆFBI(1932)
ÆUm laboratório foi montado para prover serviços forenses para todos os ÆObjetivo: determinar o valor da evidência
agentes e demais autoridades de todas as partes do País
na cena do crime e evidências relatadas

1
 Definição de Ciência da
Computação Forense
Æ“Uma série metódica de técnicas e
procedimentos para juntar evidências, de
equipamentos de computação e vários
dispositivos de armazenamento e mídias
digitais, que podem ser apresentadas em
juízo de uma forma coerente e com
formato significativo”[Dr. H.B. Wolf]
O que é Computação Forense?
ÆDe acordo com William Telles, da NID
Forensics
Æ“A ciência capaz de garantir perante aos
tribunais e autoridades competentes, a
legalidade cabal e incontestável das
evidências de um delito cometido em meio
digital, usando para isso ferramentas e
procedimentos seguros e cientificamente
comprovados”
Evolução da Computação Forense
Æ1984 – Surge o FBI CART(Computer Analysis
Response Team)
Æ1991 – Encontro de Direito Internacional para discutir
a Forense Computacional e necessidades de
padronização
Æ1997 – Scientific Working Group on Digital
Evidence(SWGDE) foi estabelecido para desenvolver
padrões. Law Enforcement
Æ2001 – Digital Forensic Research Workshop
(DFRWS) foi criado
O que é Computação Forense?
ÆDe acordo com Steve Hailey, do
Cybersecurity Institute
Æ“A preservação, identificação, extração,
interpretação, e documentação de evidências
digitais, para incluir as regras de evidência,
processos legais, integridade da evidência, relatório
objetivo com as informações encontradas, e
fornecendo a opinião de um perito em um
julgamento ou outro procedimento administrativo a
respeito do que foi encontrado”
Necessidade da Computação
Forense
ÆA Computação Forense equivale ao reconhecimento da cena do
crime ou realização de autópsia em uma vítima
ÆPresença atual de uma maior quantidade de documentos
eletrônicos
ÆBusca e identificação de dados em um computador
ÆEvidências digitais são “delicadas”
ÆPara recuperação de
ÆArquivos apagados
ÆArquivos encriptados, ou
ÆArquivos corrompidos pelo sistema
ÆInformações específicas em locais específicos
Falhas e riscos da Computação
Forense
ÆA Computação Forense ainda está em desenvolvimento -
Normatização
ÆDifere das outras ciências forenses em COMO a evidência
digital é examinada
ÆHá um pequeno conhecimento teórico baseado em testes
concluídos sob hipóteses empíricas
ÆDesignações não são inteiramente profissionais
ÆHá profunda carência de treinamento especializado
ÆNão há padronização de ferramentas
ÆHá pouca informação no meio LEGAL
ÆPara alguns, ainda é mais uma “arte” que uma “ciência”
2
 Estatísticas de espionagem
corporativa
ÆO orçamento de segurança computacional
corporativa aumentou em média 42% em 2002
Æ62% das empresas têm seus computadores
comprometidos com vírus
ÆEstatísticas do FBI revelam que mais de 100
países estão comprometidos com espionagem
corporativa de empresas norte-americanas
ÆInúmeros incidentes de espionagem
corporativa não relatados
Cyber crime (crimes digitais)
ÆCrime digital pode ser definido como
Æ“qualquer ato ilegal envolvendo computadores,
seus sistemas ou suas aplicações”
ÆO crime deve ser intencional e não acidental
ÆCrimes digitais podem ser agrupados nos 3
ítens
ÆFerramentas do crime
ÆAlvo do crime
ÆTangencial ao crime
Razões para ataques digitais
ÆMotivação para ataques digitais
ÆExperimentação e desejo de script kiddies em
aprender
ÆNecessidade psicológica - psicopata
ÆConfiança mal orientada em outros indivíduos
ÆVingança
ÆRazões maldosas, espirituais
ÆDesejo de desestruturar o alvo
ÆEspionagem – corporativa e governamental
Modos de ataque
ÆCrimes digitais se enquadram em 2
categorias do caminho do ataque em que
eles ocorrem
ÆOs 2 tipos de ataque são
ÆAtaques internos
ÆAtaques externos
Exemplos de crimes digitais
ÆUns poucos exemplos de crimes
digitais incluem
ÆRoubo de propriedade intelectual
ÆDanificação de serviços de rede em
empresas
ÆFraudes financeiras
ÆDisseminação de pragas e vírus
ÆInjúria, difamação e calúnia
Papel da Computação Forense no
rastreamento de crimes digitais
ÆIdentificação o crime
ÆColeta de evidências
ÆConstrução de uma cadeia de custódia
ÆDuplicação e análise das evidências
ÆApresentação das evidências
ÆTestemunho
ÆProcesso judicial
3
Algumas Regras da Computação Metodologias de Computação
Forense Forense
ÆMinimizar as opções de exame da ÆOs 3 A´s
evidência original ÆAquisição: coletar evidência sem modificação ou
corrompimento
ÆObedecer as regras de evidência
ÆAutenticação: certificar-se que a evidência
ÆNunca exceder a base de recuperada tem data idêntica a originalmente
conhecimento recuperada
ÆDocumentar cada mudança nas ÆAnálise: análise de dados sem nenhum tipo de
evidências alteração
ÆPrincípio da Incerteza - Heizenberg

Acesso aos recursos da Preparando para investigações

Computação Forense digitais
ÆRecursos podem ser referidos mediante cadastro em
vários grupos de discussão ÆInvestigações digitais estão em duas
ÆComputer Technology Investigators Northwest categorias distintas
ÆHigh Technology Crime Investigation Association
ÆUnindo-se a redes de experts em Computação ÆInvestigação pública
Forense ÆInvestigação privada
ÆServiços de newsletter dirigidos à Computação
Forense também podem ser fontes de recursos
ÆOutros recursos
ÆJornais sobre investigação forense
ÆEstudo de casos atuais

Mantendo uma conduta Entendendo o processo de

profissional investigação
ÆA conduta profissional determina a ÆO processo completo de investigação
credibilidade de um investigador forense
ÆInvestigadores devem mostrar o mais alto inclui
nível ético e de integridade moral ÆFerramentas usadas para cometer o
ÆConfidencialidade é uma característica crime
essencial que todo investigador forense deve
mostrar ÆRazões para o crime
ÆDiscuta o caso em mãos somente com a ÆTipo de crime
pessoa que tem direito de saber ÆViolação dos direitos de alguém

4
 Entendendo as investigações O processo de investigação
corporativas
ÆEnvolvem empresas privadas em violação das ÆIdentificação
ÆDetecção/identificação do crime/evento
políticas de segurança e disputas litigiosas ÆPreservação
ÆOs procedimentos da empresa podem continuar sem ÆCorrente de evidências, documentação
nenhuma interrupção durante a investigação ÆColeta
ÆColeta de evidências, dados recuperados
ÆDepois de uma investigação a empresa pode ÆExame
minimizar ou eliminar seus riscos de problemas ÆBusca, filtragem e extração de dados escondidos
ÆAnálise
similares ÆAnálise das evidências
ÆEspionagem industrial é o crime “líder” em ÆApresentação
investigações nas empresas privadas ÆRelatório investigativo
ÆDecisão
ÆSabotagem também tem crescido no Brasil ÆRelatório

Anti Forense Estudo de Caso 2

ÆRemoção ou ocultação de evidências Carlos trabalha como desenvolvedor de

com objetivo de limitar ou impedir por recursos técnicos em uma empresa renomada.
completo a análise forense Como ele não tem cumprido os prazos de
entrega começou a trabalhar até mais tarde.
ÆCriptografia O esforço extra de Carlos não tem produzido
ÆEsteganografia resultados e seu gerente de projetos começou
ÆWipe a suspeitar de suas atividades

Objetivos Investigando crime no

computador
ÆMetodologia de investigação ÆDeterminar se ali houve um incidente
ÆAvaliação de caso
ÆPlano de investigação
ÆEncontrar e interpretar os indícios
ÆImportância dos dados recuperados nas estações de escondidos
trabalho ÆDeterminar os custos preliminares para
ÆImplementando uma investigação a busca de evidências
ÆColetando evidências
ÆFechando o caso
ÆEncontrar e confiscar os equipamentos
ÆAvaliação do caso e computadores (quando for o caso)

5
Investigando a violação de política
de segurança da empresa
ÆTodos os funcionários devem ser informados da
política de segurança da empresa
ÆFuncionários usando recursos da empresa para uso
pessoal não só desperdiçam tempo da empresa mas
também violam políticas de segurança
ÆTal funcionário deveria ser rastreado e educado
sobre a política de segurança da empresa
ÆSe o problema persistir, ações punitivas devem ser
tomadas
Avaliando o caso
ÆO caso pode ser cobrado levando em conta
os seguintes pontos
ÆSituação do caso
ÆNatureza do caso
ÆEspecificidades sobre o caso
ÆTipo de evidências
ÆSistema operacional objeto de investigação
ÆFormato de mídia conhecido
ÆLocalização das evidências
ÆO motivo da suspeita
Documentando TUDO
ÆDocumente a configuração de hardware do
sistema
ÆDocumente a data e hora do sistema
ÆDocumente nomes de arquivos, datas e
horas
ÆDocumente tudo o que for encontrado
ÆDocumente de forma escrita e fotografada
ÆEm suma, documente !
Metodologia de investigação
ÆDeterminação e cobrança do valor pelo
trabalho
ÆPreparação de um roteiro detalhado
ÆDeterminação dos recursos necessários
ÆIdentificação dos riscos envolvidos
ÆInvestigação dos dados recuperados
ÆConclusão do relatório do caso
ÆCrítica e apreciação do caso
Antes da investigação
ÆOs seguintes pontos deveriam estar
em mente antes do inicio da investigação
ÆTer prática, ou peritos com prática
ÆEstação de trabalho e laboratório para
recuperação de dados
ÆParceria com advogados locais
ÆDefinição a metodologia de trabalho
Planejamento da investigação
ÆOs seguintes pontos devem ser
considerados durante o planejamento
ÆBom entendimento dos aspectos evidenciais,
legais e técnicos de computadores e redes
ÆMetodologia própria – ferramentas e
procedimentos
ÆPassos para coletar e preservar as evidências
ÆPassos para desempenhar a análise forense
6
 Obter autorização de busca
ÆExecução da investigação
ÆPara realizar uma busca em uma investigação, uma
autorização com valor judicial é exigida
ÆAutorizações podem ser expedidas para
ÆInteriores da empresa
ÆAndares e salas
ÆApenas um dispositivo
ÆCarro / casa
ÆQualquer ítem de propriedade da empresa
Bloqueando o computador
ÆDurante a cena do crime, um computador
poderia ser desligado e desplugado para a
coleta de evidências?
ÆDepende do caso
ÆNo caso de ataque DoS o micro pode ser
desligado e desplugado
ÆOs handles de processos de memória interna do
sistema operacional, arquivos abertos, portas
abertas, e conexões abertas são registradas antes
do desligamento normal do computador
Confisco de equipamentos
Æ“Esterilizar” toda mídia a ser usada no
processo de exame
ÆNa cena do crime, tire fotos e
cuidadosamente busque fontes de dados
ÆMantenha e documente o estado e
integridade dos itens na cena do crime
ÆTransporte a evidência seguramente para o
laboratório de análise
Banners de alerta
ÆIdentificação do ponto de acesso
ÆAlerta para usuários autorizados ou não
ÆFacilita o processo de investigação
ÆFuncionários trabalhando são alertados
sobre as conseqüências de violação da política
de segurança da investigação
Coletando a evidência
ÆOs passos a seguir devem ser
desempenhados para a coleta de evidências
ÆEncontrar a evidência
ÆDescobrimento de dados relevantes
ÆEliminar acessos externos para alterações
ÆColher a evidência
ÆRegistrar evidência em formulário próprio de
coleta de evidências
ÆArmazená-la no repositório de evidências(cadeia
de custódia)
Preservando evidências
ÆEvidência para um caso pode ser um
computador inteiro e mídias associadas
ÆArmazene as evidências em bolsas
anti-estáticas, almofadas anti-estáticas
com pulseiras para descargas elétricas
ÆArmazene as evidências em locais
com temperatura e umidade controladas
7
Importância de softwares e micros
para recuperação de dados
ÆLaboratório de recuperação de dados
ÆO lugar onde as investigações são
conduzidas e todos os equipamentos e
softwares são mantidos
ÆEstação forense
ÆUm micro preparado para permitir cópia
das evidências com a ajuda de vários
softwares
Entendendo cópias bit-stream
Examinando evidências digitais
ÆAnálises podem ser conduzidas
usando várias ferramentas de análise
forense como o Encase, AccessData, etc
Implementando uma investigação
ÆOs itens que podem ser necessários são
ÆFormulário de registro de evidências
ÆEvidência original
ÆBolsas para transporte de evidências
ÆFerramenta de cópia bit-stream
ÆEstação forense para copiar e analisar evidências
ÆRepositório de evidências seguro
Duplicando um disco de evidência
ÆCapture uma imagem precisa do
sistema sempre que possível
ÆA cópia forense pode ser criada
usando várias técnicas como
ÆUsando o MS-DOS para fazer uma cópia
bit-stream de um disco ou HD
ÆUsando um software de “imaging” para
fazer a mesma operação
Fechando o caso
ÆO investigador deve incluir porque terminou, e os resultados no
relatório final
ÆRelatórios básicos incluem: quem, porque, quando, aonde e
como
ÆEm uma boa investigação computacional, os passos podem ser
repetidos e o resultado obtido é sempre o mesmo
ÆO relatório deverá explanar os processos do computador e rede
ÆExplanações devem ser providas de vários processos e o
funcionamento interno do sistema e seus vários componentes
inter relacionados
8
 Avaliação do caso
ÆO investigador deverá auto avaliar o caso se
perguntando as seguintes questões
ÆComo ele pode aperfeiçoar sua participação no caso?
ÆEle usou novas técnicas durante o caso
ÆEle descobriu novos problemas? Se sim, quando, porque e
aonde estavam os problemas?
ÆQue tipo de feedback ele recebeu do solicitante da
investigação?
ÆHouve combinação entre suas expectativas sobre o caso e
o resultado final?
Conclusões
ÆCrie e adote uma sistemática de investigação
ÆAcrescente à conta do caso, instruções e
ferramentas enquanto planeja o caso
ÆAplique sempre técnicas padrão de solução de
problemas
ÆSempre mantenha um diário e tome nota de tudo
ÆCrie cópias bit-stream de arquivos usando softwares
confiáveis, do tipo Image Tools