Apresentação ab drc

1

10 de abril de 2023

LOCAL : Lisboa DATA : 29-10-2009

Informática Forense

2

29 de Outubro de 2009

Seminário Cibercrime & Informática Forense

www.drc.pt

O que é “Informática Forense”“Computer Forensics”

• Definição (Wikipédia): Informática Forense é um ramo da ciência forense relacionado com provas digitais descobertas em suportes de armazenamento digital.

• Objectivo: Analisar e relatar provas de alguma actividade efectuada em meios digitais.

3



www.drc.pt

Porquê?

• Crescimento exponencial de utilização de meios digitais como arquivo de informação.

• Aumento generalizado de incidentes relacionados com segurança informática e cibercrime.

• Cenários ou circunstâncias diferentes, exigem abordagens ou métodos diferentes.

4



www.drc.pt

Porquê?

• As provas descobertas através da Informática Forense podem ser determinantes para o desfecho de um caso.

• Única forma de utilizar provas digitais, sem comprometer a viabilidade e integridade das mesmas.

• Exemplo: Ligar um disco rígido em ambiente Windows.

5



www.drc.pt

Circunstâncias Comuns

- Intrusões na rede empresarial

- Malware (Identificação de elementos ocultos)

- Espionagem Industrial

- Actividades indevidas por parte de colaboradores (Recuperação e

identificação de informação eliminada; tráfego web)

- Roubo de informação (acesso a dados confidenciais; discos USB)

- Roubo de dados bancários

- Roubo de identidade

- Ameaças por meios digitais (e-mail; sms)

- Crimes informáticos (ex: pirataria)

- Terrorismo

- Pedofilia

6



Provas Digitais?

• Dados recuperados de um disco rígido de um computador.

• Qualquer tipo de dispositivo de armazenamento digital.

• Factor de apoio na fase de preparação processual e na fase de processo judicial.

7



Provas Digitais?

8



Manuseamento de Provas Digitais

• Comprovação da validade e da não manipulação da prova

digital.

• Preservação adequada das provas digitais, pois existirá a

tentativa de desacreditação.

• Manual de boas práticas (ACPO). Princípios base para

manuseamento de provas digitais.

• Procedimentos DRC: Fotografar; Etiquetar; Proteger Contra-

Escrita; Detalhar (Marca, Modelo, Nº Série); Validar equipamentos.

• Análise do equipamento, para verificar se é elegível para o efeito

de que é alvo.

9



www.drc.pt


• Acções a evitar?

– Não desligar computador sem recolher dados da memória

– Não desligar computador no caso de o suporte ser

encriptado

– Não executar aplicações que possam alterar datas dos

ficheiros ou escrever algum tipo de informação no suporte de

armazenamento digital.

– Não utilizar aplicações de imagem convencionais

– Cautela contra a violação da privacidade dos dados

10



www.drc.pt


• Fidedignidade das provas digitais

– Recolhidas com bloqueadores de escrita (hardware ou

software)

– Firmadas com Hash MD5 ou SHA-1. Impressões digitais a

nível binário.

– Hash: é a transformação de uma grande quantidade de

informação em uma pequena quantidade de informação”. É um

método para transformar dados de tal forma que o resultado

seja exclusivo.

11



www.drc.pt


• Exemplo:

Como comparação com as impressões digitais humanas, existem duas teorias sobre a possibilidade de existirem duas impressões digitais iguais.

Galton: 6.400.000.000

Osterburg: 100.000.000.000.000.000.000

MD5: 340.282.366.920.938.463.374.607.431.768.211.456

12



www.drc.pt


• Dificuldades ao lidar com provas digitais:

- Volatilidade das provas digitais

- Facilidade de manipulação e ocultação

- Evolução constante e rápida das tecnologias de informação

- Produção constante de novos cenários e circunstâncias (ex: Phishing)

13



www.drc.pt

Fases do Processo de Análise Forense

• Análise do Incidente (entendimento do cenário ou

circunstâncias)

• Recolha das evidências

• Identificação da origem das evidências digitais

• Preservação das evidências

• Análise das evidências

• Preparação de relatórios e conclusões

• Apresentação de relatórios ou resultados

• Armazenamento dos relatórios e evidências

14



www.drc.pt

Metodologias e Técnicas Forenses

• Definição de linha temporal

• Keywords

• Análise de assinaturas de ficheiros

• Criação de Hash values

• Análise de espaço não alocado ou espaço livre

• Análise comportamental do sistema (Sistema virtual)

• Análise de Malware

• Análise de processos, registo e logs

• Esteganografia (do grego: “escrita escondida”)

15



www.drc.pt

Análise de Tráfego e Auditorias Forenses

• Preparação de regulamento interno e boas práticas

• Solução preventiva e não reactiva

• Appliance de rede com análise de 21 protocolos (ex: http, ftp, voip,

im)

• Sistema de reconstrução de tráfego

• Auditorias regulares seleccionadas ou aleatórias

• Análise de pontos pré-definidos

• Verificação de cumprimento de normas internas

16

ABREU ADVOGADOS

LISBOAAv. Forças Armadas, 125, 12º

1600-079 Lisboa PortugalTel. +351 21 723 18 00Fax. +351 21 723 18 99

[email protected]

PORTORua S. João de Brito, 605 E, 4º, 4.1

4100-455 Porto PortugalTel. +351 22 605 64 00Fax. +351 22 600 18 16

[email protected]

MADEIRA Rua Dr. Brito Câmara, 20

9000-039 Funchal - MadeiraTel.: +351 291 209 900Fax: +351 291 209 920

[email protected]

ANGOLA (in Association)Tel: + 351 217 231 800Fax: +351 217 231 899

[email protected]

DATA RECOVER CENTER

LISBOARua Alexandre Herculano,Edifício Central Park, 1 – 7º

2795-242 Linda-a-Velha PortugalTel. +351 21 414 68 10Fax. +351 21 414 68 19

[email protected]

BELVERDEAv. do Mar, 22

2845-484 Amora PortugalTel. +351 21 414 68 10Fax. +351 21 414 68 19

[email protected]



www.drc.pt

17

www.abreuadvogados.com

www.drc.pt



Documents

Apresentação ab drc