Perícia Forense Computacional -...
Transcript of Perícia Forense Computacional -...
![Page 1: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido](https://reader030.fdocuments.net/reader030/viewer/2022012401/5c156f2009d3f2cd4b8d260d/html5/thumbnails/1.jpg)
http://www.gsec.com.br/ Gustavo C. Pereira 29/05/07
Perícia Forense Computacional
![Page 2: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido](https://reader030.fdocuments.net/reader030/viewer/2022012401/5c156f2009d3f2cd4b8d260d/html5/thumbnails/2.jpg)
Agenda
● O que é Análise Forense Computacional● O que é AntiForense● Perícia Forense● Técnicas AntiForense● Referências● Perguntas
![Page 3: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido](https://reader030.fdocuments.net/reader030/viewer/2022012401/5c156f2009d3f2cd4b8d260d/html5/thumbnails/3.jpg)
O que é Análise Forense Computacional
“Inspeção sistemática de um sistema computacional em busca de evidências ou supostas evidências de um crime ou outra atividade que precise ser inspecionada.”
Wikipedia
![Page 4: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido](https://reader030.fdocuments.net/reader030/viewer/2022012401/5c156f2009d3f2cd4b8d260d/html5/thumbnails/4.jpg)
● Quem?● O que?● Quando?● Como?
O que é Análise Forense Computacional
![Page 5: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido](https://reader030.fdocuments.net/reader030/viewer/2022012401/5c156f2009d3f2cd4b8d260d/html5/thumbnails/5.jpg)
O que é AntiForense
São métodos de remoção, ocultação e subversão de evidências com o objetivo de mitigar os resultados de uma análise forense computacional.
![Page 6: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido](https://reader030.fdocuments.net/reader030/viewer/2022012401/5c156f2009d3f2cd4b8d260d/html5/thumbnails/6.jpg)
Perícia Forense
● Identificação● Preservação● Análise● Apresentação das Evidências
![Page 7: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido](https://reader030.fdocuments.net/reader030/viewer/2022012401/5c156f2009d3f2cd4b8d260d/html5/thumbnails/7.jpg)
Identificação
Levantamento de informações relevantes em relação ao ocorrido: nomes, datas, empresas, enfim, tudo que possa ajudar na análise das informações.
![Page 8: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido](https://reader030.fdocuments.net/reader030/viewer/2022012401/5c156f2009d3f2cd4b8d260d/html5/thumbnails/8.jpg)
Preservação
Toda informação deve ser legítima e confiávelmente intocada. Deve se garantir que nada foi alterado desde a identificação ou apreenção da mídia a ser análisada.
![Page 9: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido](https://reader030.fdocuments.net/reader030/viewer/2022012401/5c156f2009d3f2cd4b8d260d/html5/thumbnails/9.jpg)
Análise Física
Análise de mídias danificadas ou de conteúdo desconhecido, assim como arquivos apagados.
![Page 10: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido](https://reader030.fdocuments.net/reader030/viewer/2022012401/5c156f2009d3f2cd4b8d260d/html5/thumbnails/10.jpg)
Análise Lógica
Análise das partições num sistema que seja capaz de entender o sistema de arquivos em questão. E que seja montado obrigatóriamente como somente leitura.
Análise da memória e dos processos em execução com dumps previamente realizados.
![Page 11: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido](https://reader030.fdocuments.net/reader030/viewer/2022012401/5c156f2009d3f2cd4b8d260d/html5/thumbnails/11.jpg)
Análise
É neste passo que as informações realmente interessantes e que tem relação com o caso serão levantadas. Os arquivos de prova serão coletados assim como, datas, trilha, segmento, entre outros.
![Page 12: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido](https://reader030.fdocuments.net/reader030/viewer/2022012401/5c156f2009d3f2cd4b8d260d/html5/thumbnails/12.jpg)
Apresentação
É o passo em que se apresenta as evidências em um formato jurídico ou não, visto que nem toda perícia forense tem o objetivo criminal.
![Page 13: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido](https://reader030.fdocuments.net/reader030/viewer/2022012401/5c156f2009d3f2cd4b8d260d/html5/thumbnails/13.jpg)
Técnicas AntiForense
● Criptografia● Esteganografia● Wipe● Data Hiding● Colisão de MD5
![Page 14: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido](https://reader030.fdocuments.net/reader030/viewer/2022012401/5c156f2009d3f2cd4b8d260d/html5/thumbnails/14.jpg)
Criptografia
● Criptografia de Partições● Criptografia de Dispositivos USB● Criptografia de Arquivos
![Page 15: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido](https://reader030.fdocuments.net/reader030/viewer/2022012401/5c156f2009d3f2cd4b8d260d/html5/thumbnails/15.jpg)
Estegnografia
“Esteganografia é o estudo e uso das técnicas para ocultar a existência de uma mensagem dentro de outra.”
Wikipedia
![Page 16: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido](https://reader030.fdocuments.net/reader030/viewer/2022012401/5c156f2009d3f2cd4b8d260d/html5/thumbnails/16.jpg)
Wipe
É conhecido como uma forma de deleção segura, não apenas o marcando como “unlinked”, mas sobreescrevendo várias vezes o mesmo bloco do disco com lixo.
![Page 17: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido](https://reader030.fdocuments.net/reader030/viewer/2022012401/5c156f2009d3f2cd4b8d260d/html5/thumbnails/17.jpg)
struct ext3_inode { __le16 i_mode; /* File mode */ __le16 i_uid; /* Low 16 bits of Owner Uid */ __le32 i_size; /* Size in bytes */ __le32 i_atime; /* Access time */ __le32 i_ctime; /* Creation time */ __le32 i_mtime; /* Modification time */ __le32 i_dtime; /* Deletion Time */ __le16 i_gid; /* Low 16 bits of Group Id */ __le16 i_links_count; /* Links count */ __le32 i_blocks; /* Blocks count */ __le32 i_flags; /* File flags */
Wipe
![Page 18: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido](https://reader030.fdocuments.net/reader030/viewer/2022012401/5c156f2009d3f2cd4b8d260d/html5/thumbnails/18.jpg)
Data Hiding
Talvez uns dos métodos mais utilizados hoje em dia. Consiste em esconder arquivos em lugares não convencionais do sistema.
![Page 19: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido](https://reader030.fdocuments.net/reader030/viewer/2022012401/5c156f2009d3f2cd4b8d260d/html5/thumbnails/19.jpg)
● Swap● BadBlocks● Imagens / Audio● Espaços não alocados entre partições● Arquivos texto
Data Hiding
![Page 20: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido](https://reader030.fdocuments.net/reader030/viewer/2022012401/5c156f2009d3f2cd4b8d260d/html5/thumbnails/20.jpg)
Colisão de MD5
MD5 é utilizado em várias partes do sistema, desde checagem de integridade de pacotes, até ferramentas de integridade do sistema. Mas é possível ter 2 informações diferentes com o mesmo MD5.
![Page 21: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido](https://reader030.fdocuments.net/reader030/viewer/2022012401/5c156f2009d3f2cd4b8d260d/html5/thumbnails/21.jpg)
Referências
http://en.wikipedia.org/wiki/Digital_Forensic_Toolshttp://www.tucofs.com/tucofs/tucofs.asp?mode=mainmenuhttp://www.guiatecnico.com.br/evidenciadigital/