Palestra que ministrei em 2010 para o FLISOL DF explicando como são os passos da perícia forense computacional utilizando ferramentas livres com o gnu/linux FDTK.
2. 24/04/2010
Prof. Alcyon Junior - alcyon.junior@gmail.com
http://wwwportaltic.com/ 2
Quem é Alcyon Junior?
Alcyon Junior é Administrador de Redes do Estado-Maior do
Exército e Professor de Tecnologia na Faculdade UNISABER.
Apaixonado pro tecnologia e software livre. Graduado em 3
diferentes cursos de Tecnologia de Informação, com ênfase em
redes de computador.
Possui também certificação internacional CNAP e o título de
Especialista em Redes de Computador pela CISCO e MBA em
Governança de TI.
4. 24/04/2010
Prof. Alcyon Junior - alcyon.junior@gmail.com
http://wwwportaltic.com/ 4
Tudo que for considerado de útil para a
investigação deve ser isolado e preservado
para que tenha aceitação como verídico para
um caso.
Veremos mais adiante o que torna uma
investigação tão difícil de ser realizada.
O QUE É FORENSE COMPUTACIONAL?
6. 24/04/2010
Prof. Alcyon Junior - alcyon.junior@gmail.com
http://wwwportaltic.com/ 6
Técnicas de Forense Computacional
Podemos citar alguns dos passos para uma análise perícial:
Coleta de informações (Information Gathering);
Reconhecimento das evidências;
Coleta, restauração, documentação e preservação
das evidência encontradas;
Correlação das evidências;
Reconstrução dos eventos.
7. 24/04/2010
Prof. Alcyon Junior - alcyon.junior@gmail.com
http://wwwportaltic.com/ 7
Níveis de Modus Operandi
O nível em que o invasor consegue executar o
modus operandi é essencial para a perícia
forense:
Clueless
Script kiddie
Guru
Wizard
8. Prof. Alcyon Junior - alcyon.junior@gmail.com
http://wwwportaltic.com/
COMO É O TRABALHO DO PERITO DIGITAL?
O que ele faz?
Onde ele trabalha?
Grupos de Peritos:
Criminais
Judicial
9. Prof. Alcyon Junior - alcyon.junior@gmail.com
http://wwwportaltic.com/
●Problemas existentes.
●Laudo Pericial.
“Uma prova mal feita é um processo perdido”
“Não existe crime perfeito”
COMO É O TRABALHO DO PERITO DIGITAL?
10. Prof. Alcyon Junior - alcyon.junior@gmail.com
http://wwwportaltic.com/
●ANTI-FORENSE
O que é Anti-Forense?
12. Prof. Alcyon Junior - alcyon.junior@gmail.com
http://wwwportaltic.com/
VOCÊ MONITORA OS SEUS EMPREGADOS?
● É certo fazer o monitoramento?
● De onde vem a ameaça?
● Dados encontrados na empresa;
● Mais porque tudo isso?
13. Prof. Alcyon Junior - alcyon.junior@gmail.com
http://wwwportaltic.com/
FDTK (Forense Digital ToolKit)
14. Prof. Alcyon Junior - alcyon.junior@gmail.com
http://wwwportaltic.com/
FDTK (Forense Digital ToolKit)
Baseada no Ubuntu Linux;
Desenvolvida para Forense Computacional;
Idioma Português do Brasil (pt_BR);
Possui softwares utilizados em várias distribuições existentes;
Possui menus organizados;
Pode ter utilização profissional;
E muito útil no estudo da forense computacional;
15. Prof. Alcyon Junior - alcyon.junior@gmail.com
http://wwwportaltic.com/
Etapas e suas ferramentas
A metodologia da forense computacional é
dividida em fases, resumidas em:
1. Preparação/Chegada ao local;
2. Coleta de dados;
3. Exame dos dados;
4. Análise das Evidências.
5. Laudo.
16. Prof. Alcyon Junior - alcyon.junior@gmail.com
http://wwwportaltic.com/
Preparação
Planejar e definir politicas para lidar com o cenário do
crime;
Consiste em:
● Esterilizar mídias;
● Avaliar condições do cenário;
● Adotar coleção de ferramentas necessárias.
17. Prof. Alcyon Junior - alcyon.junior@gmail.com
http://wwwportaltic.com/
Preparação
ETAPAS
18. Prof. Alcyon Junior - alcyon.junior@gmail.com
http://wwwportaltic.com/
Coleta de dados
Etapa primordial é a copia
(Backup):
Lógica (pastas e arquivos);
Imagem (toda unidade).
Dados voláteis: pesquisa
dentro do sistema “vivo”;
Dados não-voláteis:
arquivos de fácil acesso, não
somem, mesmo com o
sistema “morto”.
Situações:
“Vivo” (ligado):
análise da memória ram;
Processos em execução
no momento.
“Morto” (desligado):
Investigar só a cópia;
Desligar diretamente da
energia; (efetuar cópia).
19. Prof. Alcyon Junior - alcyon.junior@gmail.com
http://wwwportaltic.com/
Análise de evidências
Diferentes perfis;
Grande variedade de
extensões e atualmente
diferentes estruturas
Windows 98/XP, Vista &
Linux;
Quantidade de arquivos
elevada;
Variedade de softwares;
Encontrar atividades
suspeitas
Ferramentas:
Cookie-cruncher (análise
de cookies)
Xtraceroute (verificar
localidade por ip)
Galetta (análise do
Outlook)
Pasco (histórico I.E.)
Rifiuti (verifica a lixeira)
Mork (histórico do firefox)
Autopsy (Toolkit)
20. 24/04/2010
Prof. Alcyon Junior - alcyon.junior@gmail.com
http://wwwportaltic.com/ 20
Preparação para a coleta dos dados
Limpar (wipe) e formatar a mídia para garantir
que as provas não sejam contaminadas por
antigos dados existentes na mesma.
Wipe – Utilitário que efetua uma sobrescrita no
disco inteiro ou na área de um arquivo com
números aleatórios ou zeros e uns
(extremamente demorado, mas confiável).
21. 24/04/2010
Prof. Alcyon Junior - alcyon.junior@gmail.com
http://wwwportaltic.com/ 21
Como proceder
# wipe -f -i -Q 3
# wipe -kq /dev/hda
# wipe -kq /dev/hda1
Também pode ser usado para arquivos para
removê-los sem a possibilidade de
recuperação.
# wipe -rfi >wipe.log /var/log/*
22. 24/04/2010
Prof. Alcyon Junior - alcyon.junior@gmail.com
http://wwwportaltic.com/ 22
dcfldd
Versão aprimorada pelo Departamento de
Defesa Amerino do DD.
É aconselhado pelos desenvolvedores que
esta tarefa seja efetuada pelo menos 3 vezes
sendo que existem estudos que apontam que
na verdade o número de interações deve ser
de pelo menos 7 vezes.
23. 24/04/2010
Prof. Alcyon Junior - alcyon.junior@gmail.com
http://wwwportaltic.com/ 23
foremost
É uma ferramenta open source de recuperação
de dados baseado nos headers, footers e
estrutura interna de dados.
Originalmente desenvolvida pelo United States
Air Force Office of Special Investigations and
The Center for Information Systems Security
Studies and Research, depois seu código foi
aberto para GNU.
24. 24/04/2010
Prof. Alcyon Junior - alcyon.junior@gmail.com
http://wwwportaltic.com/ 24
Foremost - Laboratório
#sudo foremost /dev/device
Ele vai criar uma pasta chamada output