TCC III - Apresentação
-
Upload
sidney-webba -
Category
Documents
-
view
350 -
download
2
Transcript of TCC III - Apresentação
PROCEDIMENTOS COMPUTACIONAIS NO AUXÍLIO À PERÍCIA FORENSE APLICADA
EM WEB BROWSERS
ACADÊMICO: SIDNEY ROBERTO DA SILVA WEBBA ORIENTADOR: PAULO JOÃO MARTINS
UNIVERSIDADE DO EXTREMO SUL CATARINENSE CIÊNCIA DA COMPUTAÇÃO
CRICIÚMA, NOVEMBRO DE 2010
Sumário 1. Introdução:
" Problema
" Objetivo Geral
" Objetivos Específicos
" Justificativa
2. Fundamentação Teórica:
" O Browser
" Mercado dos Web Browsers
" Funcionamento dos Browsers
" Perícia Forense Computacional
" Metodologia SOP
" Perícia Forense em Web Browser
" Ferramentas Forense
3. Trabalho Desenvolvido
4. Resultados Obtidos
5. Conclusão
6. Trabalhos Futuros
Problema
" Como proceder numa avaliação forense computacional, de modo a que se consiga encontrar evidências eletrônicas suficientemente boas para serem usadas em processos criminais?
Objetivo Geral
" Analisar e aplicar os procedimentos de perícia forense computacional na busca por evidências em web browsers.
Objetivos Específicos
" Abordar os aspectos de segurança em web browsers;
" Examinar e descrever quais informações um web browser armazena localmente durante uma seção de acesso a Internet;
" Compreender e aplicar os conceitos sobre perícia forense computacional;
Objetivos Específicos
" Analisar e delinear quais ferramentas open source e de software livre são usadas na busca e análise de evidências em web browsers;
" Observar os tipos de evidências obtidas em diferentes web browsers.
Justificativa
" Aumento da relevância da evidência digital em processos jurídicos ... ;
" Carência bibliográfica dedicada à perícia forense computacional no país … ;
" Urgente necessidade de se apresentar uma resposta adequada para os graves problemas existentes relacionados ao uso indevido da Internet … .
O Browser
" O browser é percebido pelos usuários finais como a interface para a Internet, constituindo a forma mais conhecida de um cliente para a mesma (KRISHNAMURTHY; REXFORD, 2001).
Mercado dos Browsers
51,20%
32%
5,20%
4,70% 1,20%
5,70% Web Market Share
Internet Explorer
Firefox
Safari
Chrome
Opera
Outros
" W3Counter (2009)
FUNCIONAMENTO DOS BROWSERS
Browser
Servidor DNS
Servidor de Origem
URL 1 Consulta DNS
2 Conexão TCP
3 Pedido HTTP
4 Resposta HTTP
5 Transações Paralelas Opcionais
Perícia Forense Computacional
" A perícia forense computacional é definida como a coleta, preservação, análise e apresentação de evidências digitais, utilizando-se de ferramentas e técnicas computacionais no ambiente investigado, e auxiliando os juízes nas tomadas de decisões num processo judicial (VACCA,2002).
Metodologia SOP
" Autorização e Preparação;
" Identificação;
" Coleta e Preservação;
" Exame e Análise;
" Documentação;
" Reconstrução da Cena do Crime.
Perícia Forense em Web Borwsers
" Lado do cliente e lado do servidor.
" O que procurar: " Pesquisas realizadas;
" Histórico de Navegação; " Downloads de arquivos;
" Informações fornecidas (Formulários/Senhas);
" E-mails;
" Cookies.
Ferramentas Forense
" Pasco;
" Galleta;
" Web Historian;
" Firefox 3 Extractor;
" Mozilla Cache View;
" PasswordFox.
Estudo de Caso
" Estudo de Caso fictício simulando a realização de uma perícia forense computacional com foco na busca e análise de evidências em web browsers, nos laboratórios da UNESC.
" Para a realização do estudo foram selecionados aleatoriamente os laboratórios 16 do Bloco XXI-A e 8 do Bloco XXI-B, e da mesma forma, delimitaram-se 10 computadores a serem analisados em cada sala.
Metodologia
" Práticas metodológicas (MARTINS; THEÓPHILO, 2009):
" Coleta das evidências; " Composição;
" Análise e validação dos resultados;
" Conclusões;
" Verificação de possíveis interferências;
" Relatório final.
" Metodologia SOP.
Autorização e Preparação
" Buscou-se autorização para a realização da perícia.
" Definiu-se o que se pretendia descobrir ao final da mesma.
Identificação
" Todos os computadores apresentaram as seguintes configurações de hardware:
" Memória RAM: 2 GB;
" Disco Rígido: 150 GB;
" Processador: Intel Core 2 Duo;
" Velocidade do Processador: 2,26 GHz;
" Número de Processadores: 1;
" Número de Núcleos: 2;
" Fabricante: HP.
" Bem como, as seguintes especificações de software:
" SO: Windows XP, Service Pack 3;
" Browsers: IE versão 8.0.6, Firefox versão 3.6.12.
Coleta e Preservação
Cache do IE Histórico de Navegação do IE
Cookies do IE Arquivos Sqlite do Firefox
Lab 8 10 63 1908 105
Lab 16 10 44 757 114
Total 20 107 2665 219
Arquivos Coletados
Arquivos Analisados Cache do IE Histórico de
Navegação do IE
Cookies do IE Arquivos Sqlite do Firefox
Lab 8 10 63 30 55
Lab 16 10 44 30 55
Total 20 107 60 110
Exame e Análise
" Conversão das evidências para formatos legíveis, nomeadamente: xls, csv e html.
" Análise das evidências para obtenção de informações relevantes ao crime.
Análise dos Arquivos de Cache do IE
" Obtém-se 7 campos para investigação (Type, URL, Modified Time, Access Time, Filename, Directory, HTTP Headers).
" Identificou-se acesso no dia 11/11/10 às 20:25:17
Análise dos Arquivos de Cache do IE
" Análise dos cabeçalhos HTTP recebidos.
" Usuário lab8b identificado.
Análise dos Arquivos de Cookie do IE
" Foram obtidos 6 campos para análise (Site, Variable, Value, Creation Time, Expire Time, Flags).
" Foi identificado acesso no dia 11/11/10 às 20:49:08
Análise do Histórico de Navegação do IE
" O arquivo contém 7 campos para análise (URL Adress, Modified Time, Accessed Time, Type, Deleted, Cached Files, HTTP Headers).
" Acesso identificado no dia 11/11/10 às 20:46:12.
Análise dos Arquivos Sqlite do Firefox
" Places.sqlite;
" CACHE_MAP;
" Downloads.sqlite;
" Formhistory.sqlite;
" Cookies.sqlite;
" Signons.sqlite.
Análise do Histórico de Navegação do Firefox
Tabela Moz_Places
" Identificaram-se buscas realizadas no site em questão no dia 11/11/10 às 21:33:10.
Análise dos Arquivos de Cache do Firefox
" Obtiveram-se 8 campos para análise (URL, Content Type, File Size, Last Modified, Last Fetched Time, Expiration Time, Fetch Count, Server Name).
Análise do Histórico de Downloads do Firefox
" Tabela Moz_Downloads;
" Não foram identificados downloads.
Análise do Histórico de Formulários Preenchidos do Firefox
" Analisou-se a tabela moz_formhistory, com 6 campos para análise (Id, Fieldname, Value, TimesUsed, FirstUsed, LastUsed).
" Foram identificadas buscas realizadas objetivando obter conhecimento sobre como invadir um servidor web.
Análise do Histórico de Formulários Preenchidos do Firefox
" Foi identificado um email enviado;
" Foi identificado o nome do usuário usado para logar no servidor comprometido;
" Foi identificado o nome do acadêmico que criou uma conta no site afetado.
Decodificação do PRTime " Formato de data e hora usado pelo Firefox;
" Inteiro de 64 bits, representando o número de microssegundos desde a meia-noite de 1 de Janeiro de 1970;
" Busca realizada no dia 11/11/10 às 21:31:40 e o email foi enviado no mesmo dia às 21:35:10;
" Estreitou-se a investigação.
Análise das Senhas e Nomes de Usuário
" Identificou-se um email e uma senha usados para logar no servidor em questão;
" O programa não disponibiliza informações como: data em que as informações foram salvas, ou data de último acesso ao servidor.
Reconstrução da Cena do Crime
" Crimes foram cometidos no dia 11/11/10 às 20:46:12 e às 21:33:10;
" Analisando-se as evidências do IE, descobriu-se que: " Computador 5, lab8 do Bloco XII-B;
" Acessos no dia 11/11/10 das 20:46:12 às 21:22:45;
" Usuário logado no SO identificado como lab8b.
Reconstrução da Cena do Crime
" Analisando-se as evidências do Firefox, descobriu-se que:
" Computador 5, lab8 do Bloco XII-B; " Acessos no dia 11/11/10 das 21:31:15 às
21:36:46;
" Identificou-se uma busca sobre “como invadir um servidor web” às 21:31:40;
" Identificou-se que o email [email protected] foi usado para logar no servidor afetado.
Reconstrução da Cena do Crime
" Confirmou-se junto a instituição que o dono do email usado para logar no servidor é um acadêmico da mesma;
" Descobriu-se que o mesmo usou o computador 5, do lab 8 do Bloco XXI-B, enquanto atendia a uma aula do seu curso, nas datas e horários em que o crime foi identificado;
Resultados Obtidos
Ferramentas Converteu com Sucesso
Converteu com Falhas
Não Converteu
Pasco 100%
Galleta 100%
Web Historian 60% 40%
F3E 70% 20% 10%
Mozilla CacheView
100%
PasswordFox 100%
Comparação do desempenho das ferramentas
Resultados Obtidos
Laboratórios Com Evidências Sem Evidências
Lab 8 6 computadores 4 computadores
Lab 16 3 computadores 7 computadores
Número de computadores com evidências do IE
Laboratórios Com Evidências Sem Evidências
Lab 8 10 computadores 0 computadores
Lab 16 10 computadores 0 computadores
Número de computadores com evidências do Firefox
Apenas 1 computador apresentou evidências que se transformaram em provas periciais.
Conclusão
" Sucesso ao aplicar os conceitos de perícia forense na coleta e análise de evidências oriundas de web browsers;
" Falha ocasional ao usar algumas ferramentas;
" O uso de diversas ferramentas é recomendado;
" Dependendo do ambiente e aparatos tecnológicos envolvidos outras ferramentas e técnicas podem ser utilizadas;
Trabalhos Futuros
" Análise de ferramentas que permitam realizar uma perícia em várias máquinas conectadas em rede;
" Analisar ferramentas que permitam recuperar informações (histórico de navegação, cache, entre outras) deletadas;
" Que técnicas e ferramentas usar quando o usuário usa a navegação privativa;
" Como realizar uma perícia quando são usadas técnicas anti-forense.
" Obrigado !