Crescimento dos crimes digitais dificulta a reunião de provas com validade jurídica. A perícia em computação forense visa adquirir, preservar e analisar evidências digitais para investigações legais. Novos desafios incluem criptografia, dispositivos móveis e computação em nuvem.
2. $whoami
Vaine Luiz Barreira
• Consultor de TI
• Professor Universitário
• Pentester
• Perito em Computação Forense
Perito Judicial / Assistente Técnico
3. Certificações
• Accessdata Certified Examiner (ACE)
• Perito em Análise Forense Computacional
• Ethical Hacker
• ISO 27002
• ITIL v3
• CobiT v4.1
• Microsoft Operations Framework (MOF) v4
• ISO 20000
• IT Management Principles
• Business Information Management (BiSL)
• Microsoft Technology Associate – Security
• Microsoft Technology Associate – Networking
• Cloud Computing
• Secure Cloud Services
• GreenIT
• CA Backup Technical Specialist
• Symantec STS
• SonicWALL CSA
• Novell CNA – NetWare e GroupWise
4. Associações
• Membro da Sociedade Brasileira de Ciências Forenses (SBCF)
• Membro da High Technology Crime Investigation Association (HTCIA)
• Membro da Association of Certified Fraud Examiner (ACFE)
• Membro Consultor da Comissão de Direito Eletrônico e Crimes de Alta Tecnologia –
OAB Araraquara e OAB Ribeirão Preto
5. Agenda
• Crimes e Criminosos Digitais
• Perícia em Computação Forense
• Evidência Digital
• Processo Investigativo
• Estudo de Casos
• Elaboração de Quesitos
• Técnicas Antiforenses e Novos Desafios
6. Representam as condutas criminosas cometidas com o uso das
tecnologias de informação e comunicação, e também os crimes
nos quais o objeto da ação criminosa é o próprio sistema
informático.
Crimes Digitais Puros (computador/aplicação é o alvo)
Crimes Digitais Mistos (computador é o instrumento
indispensável)
Crimes Digitais Comuns (computador é o instrumento não
indispensável)
Crimes Digitais
7. • Defacements (modificação de páginas na Internet)
• E-mails falsos (phishing scam)
• Ataques a transações bancárias (Internet banking)
• Ataques de negação de serviço (DDoS)
• Roubo de dados
• Disseminação de código malicioso, pirataria e
pedofilia
• Calúnia, insulto, difamação, preconceito (e-mail e
redes sociais)
• Crimes comuns com evidências em mídias digitais
Exemplos de Crimes Digitais
11. Um só mundo - Legislação
Conduta Crime Legislação Pena
Mensagem que alguém
cometeu algum crime
(ex. ladrão, etc)
Calúnia Art. 138 CP
Detenção 6 meses a 2
anos, multa
Mensagem sobre carac-
terísticas negativas de
uma pessoa (ex. gorda,
feia, etc)
Injúria
Difamação
Art. 140 CP
Art. 139 CP
Detenção 1 a 6 meses
ou multa
Detenção 3 meses a 1
ano e multa
Mensagem que irá
matar a pessoa ou
causar algum mal
Ameaça Art. 147 CP
Detenção 1 a 6 meses
ou multa
Usar cópia de software
sem possuir licença
Crime contra a
propriedade
intelectual (pirataria)
Art. 12 Lei 9.609/98
Detenção 6 meses a 2
anos, ou multa
Acessar rede, disposi-
tivo de comunicação ou
sistema informatizado
sem autorização do
titular, quando exigida
Invasão de dispositivo
informático
Art. 154-A CP
(Lei 12.737/12)
Detenção 3 meses a 1
ano e multa
12. Pesquisa IBM de 2016
Últimos 12 meses...
2.100%
Roubo de dados
País mais vulnerável em Segurança da Informação?
13. Mais que a soma do que movimentam o tráfico de drogas e o tráfico de armas
2013
US$ 445 bi
2014
US$ 1 tri
Crimes Digitais – Mercado
14. • Idade normalmente baixa
• Conhecimento – Tecnologia >>> Ferramentas *
• Geral – varredura na Internet para identificar alvos *
• Crime Organizado – ataques direcionados
• Distância até a vítima (não precisa enfrentar)
• Sensação de anonimato (wifi públicos/“roubados”,
proxys abertos, vpns, etc)
Criminosos Digitais - Perfil
16. +500 Grupos ativos dedicados a fraudes
+220.000 participantes
+Grupos abertos públicos
Facebook representa cerca de 60% dos perfis (130.000)
Redes Sociais
20. • Crescimento Crimes Digitais
• Legislação
Resumo Crimes Digitais
Dificuldade é a reunião de
provas com validade jurídica
21. É a ciência que visa a aquisição,
preservação, identificação,
extração, recuperação e análise
de evidências aplicadas dentro
de um processo legal
Perícia em Computação Forense
23. • Suprir as necessidades das instituições legais para
manipulação de evidências eletrônicas
• Estudar a aquisição, preservação, identificação,
recuperação e análise de dados em formato
eletrônico
• Produzir informações diretas e não interpretativas
• Identificar, rastrear e comprovar a autoria de ações
criminosas
Função do Perito
24. Qualquer tipo de dado digital (armazenado ou
transmitido) que possa ajudar a demonstrar que um
crime foi cometido, e estabelecer as ligações com a
vítima e com o agente.
Princípio de Locard
Transparente para o usuário
Evidência Digital
25. • endereço IP
• dispositivo USB *
• mensagem de e-mail e instantâneas
• arquivos de logs e temporários
• arquivos (apagados ou fragmentos de arquivos)
• registros de impressão
• registros de uso do dispositivo (logon/logoff)
• sites acessados e buscas na Internet
• registros de acesso a aplicações
• registros de instalação/desinstalação de programas
• presença de código malicioso
Exemplos de Evidências
27. Evidência Digital
Exemplos de evidências relacionadas a dispositivos móveis:
• registros de ligações e contatos
• mensagens (e-mail e instantâneas)
• fotos
• aplicativos
• registros de conexão à Internet
• sites acessados e buscas na Internet
• registros de GPS
29. Ordem de volatilidade – RFC 3227
• Memória RAM
• Arquivos de página, de troca e temporários
• Processos em execução
• Conexões e estado da rede
• Arquivos de log de sistema ou aplicativos
• Disco rígido (HD)
• Mídias removíveis (HDs externos, pendrives, cartões de
memória, CD-ROM, DVD-ROM, etc)
• Dispositivos não convencionais (câmeras digitais, gps,
relógios, etc)
Quanto mais rápida a coleta, melhor a qualidade das evidências
1. Aquisição
30. • ISO 27037
• Mídias “esterilizadas”
• Duplicação forense (mídias e memória) – não é backup
• Avaliar bem um equipamento ligado
• Nunca “ligar” um equipamento desligado
• Hash (original e imagem)
• Formulário de Cadeia de Custódia
• Assistente Técnico deve sempre acompanhar o Perito Judicial
“Prova legal, obtida por derivação de um procedimento ilegal, a
torna ilegal”
Cuidados na Aquisição
31. • Impedir alteração da mídia original antes e durante os
procedimentos de aquisição – bloqueadores de escrita
• Criar mais de uma cópia do arquivo de imagem
• Trabalhar sempre na “cópia da cópia”
• Usar assinaturas HASH para garantir a integridade dos dados
• Assistente técnico pode pedir uma cópia do material
probatório para realizar suas análises
Cópias fiéis e elementos quase que “infinitos” para análise
2. Preservação
32. • Todo material coletado para análise deve ser
detalhadamente relacionado em um documento
chamado Cadeia de Custódia
• Qualquer manuseio do material coletado precisa
estar detalhadamente descrito na Cadeia de
Custódia
3. Identificação
33. • Extrair as informações disponíveis das mídias
• Buscar dados removidos total ou parcialmente,
propositadamente ou não
• Data carving | Magic numbers
4. Extração e 5. Recuperação
34. • Correlacionar as evidências
• Criação da linha de tempo das atividades
• Documentação de todo o processo
6. Análise
35. • Elaboração do Laudo Pericial / Parecer Técnico
• Apresentar as conclusões em linguagem clara e
com dados técnicos comentados
• Responder aos Quesitos do Juiz/Advogados
7. Apresentação
46. Queira o Sr. Perito...
Quesito: informar qual o conteúdo do disco rígido?
Quesito: imprimir o conteúdo do pendrive.
Quesito: informar quais os principais programas instalados no equipamento? Quais suas
principais funções?
Quesito: informar se os aplicativos estão funcionando corretamente.
Quesito: informar qual a finalidade de utilização do computador?
Quesito: esclarecer como os programas de titularidade das Autoras auxiliavam na cadeia
produtiva da empresa Ré, destacando quais as vantagens foram auferidas com a
utilização indevida dos programas de computador.
Quesito: informar se existe algum indício de crime no computador.
Quesitos genéricos - Evitar
47. • Há registros de acesso aos bancos AAA e BBB no período de 2014 e 2015?
• Há registros de uso da conta de e-mail fulano@domínio.com.br?
• É possível identificar as origens de envio de e-mails de fulano@domínio.com.br para
beltrano@domímio.com.br no período de março 2016 a maio de 2016?
• Há registros de acesso ao perfil denominado “Professor Tibúrcio” na rede social
Facebook?
• Existem imagens, vídeos, acessos a sites de Internet, diálogos e outros dados com
conteúdo racista?
• Os computadores possuem softwares do fabricante X instalados? Quantos não
possuem licença de uso?
• Existem arquivos de planilhas tipo Excel contendo valores financeiros?
• Existem arquivos contendo a expressão “Projeto X”?
• É possível identificar a existência de compartilhamento de conteúdo adulto com a
Internet?
• Há registros de acesso a sites de pirataria de software?
• Há registros que contenham informações relacionados ao jogo do bicho?
Quesitos objetivos
48. • Ocultação, ofuscação e criptografia
• Deleção ou destruição de dados
• Falsificação de dados
• Prevenção a análise
Técnicas Antiforenses
49. • Capacidade dos dispositivos
• Criptografia
• Dispositivos Móveis:
• Tablets
• Smartphones
• Wearables (relógios, pulseiras, óculos, etc)
• Ataques distribuídos internacionalmente
• Computação em Nuvem (Cloud Computing)
• Internet das Coisas (IoT)
Novos Desafios
50. • A tecnologia e a Internet trouxeram grandes benefícios para
as pessoas e as empresas
• Esse novo ambiente criou um novo mercado para os
criminosos
• É cada vez mais necessário o trabalho do Perito em
Computação Forense
• As técnicas de análise evoluem a cada dia... E os crimes
também!
Conclusão