If you can't read please download the document
View
215
Download
0
Embed Size (px)
ForenseForensecomputacionalcomputacional
emLinuxforemLinuxfordummiesdummies
umarpidavisoumarpidavisointrodutriaintrodutria
JooEribertoMotaFilhoJooEribertoMotaFilhoFozdoIguau,PR,17out.2014FozdoIguau,PR,17out.2014
Eribertoout.14Eribertoout.14
SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?
Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?
MedidasiniciaisnasforensesMedidasiniciaisnasforenses
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada
UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada
OquebuscarnaanliseOquebuscarnaanlise
AlgunscomandoseferramentasAlgunscomandoseferramentas
LaudodaperciaLaudodapercia
ConclusoConcluso
Eribertoout.14Eribertoout.14
SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?
Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?
MedidasiniciaisnasforensesMedidasiniciaisnasforenses
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada
UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada
OquebuscarnaanliseOquebuscarnaanlise
AlgunscomandoseferramentasAlgunscomandoseferramentas
LaudodaperciaLaudodapercia
ConclusoConcluso
Eribertoout.14Eribertoout.14
Oqueforensecomputacional?Oqueforensecomputacional?ForensecomputacionalacinciavoltadaparaaForensecomputacionalacinciavoltadaparaaobteno,preservaoedocumentaodeevidnobteno,preservaoedocumentaodeevidncias,apartirdedispositivosdearmazenagemelecias,apartirdedispositivosdearmazenagemeletrnicadigital,comocomputadores,pagers,PDAs,trnicadigital,comocomputadores,pagers,PDAs,cmerasdigitais,telefonescelularesevriosoutroscmerasdigitais,telefonescelularesevriosoutrosdispositivosdearmazenamentoemmemria.Tudodispositivosdearmazenamentoemmemria.Tudodeverserfeitoparapreservarovalorcomprobadeverserfeitoparapreservarovalorcomprobatriodasevidnciaseparaassegurarqueistopossatriodasevidnciaseparaassegurarqueistopossaserutilizadoemprocedimentoslegais.serutilizadoemprocedimentoslegais.
(An introduction to Computer Forensics,(An introduction to Computer Forensics,Information Security and Forensics Society, abr. 04,Information Security and Forensics Society, abr. 04,
disponvel em http://www.isfs.org.hk/publications/public.htm)disponvel em http://www.isfs.org.hk/publications/public.htm)
Eribertoout.14Eribertoout.14
Oqueforensecomputacional?Oqueforensecomputacional?
Ento...Ento...
Aforensecomputacionalbusca,emdispositivosdeAforensecomputacionalbusca,emdispositivosdearmazenamento,evidnciasdeaesincompatveis,armazenamento,evidnciasdeaesincompatveis,danosasoucriminosas.danosasoucriminosas.
Taisaespodemserlocaisouremotas(viarede).Taisaespodemserlocaisouremotas(viarede).
Geralmente,ascitadasaesestorelacionadasaroubodeGeralmente,ascitadasaesestorelacionadasaroubodeinformaes,fraudes,pedofilia,defacements,intruseseinformaes,fraudes,pedofilia,defacements,intrusesecrimescibernticosemgeral.crimescibernticosemgeral.
Ovocbulo"forense"estligadoa"investigao".Ovocbulo"forense"estligadoa"investigao".
Eribertoout.14Eribertoout.14
SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?
Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?
MedidasiniciaisnasforensesMedidasiniciaisnasforenses
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada
UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada
OquebuscarnaanliseOquebuscarnaanlise
AlgunscomandoseferramentasAlgunscomandoseferramentas
LaudodaperciaLaudodapercia
ConclusoConcluso
Eribertoout.14Eribertoout.14
Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?Emumrazovelnmerodevezes,forensessoconduzidasEmumrazovelnmerodevezes,forensessoconduzidas
emvirtudedeataquesremotos(viarede).emvirtudedeataquesremotos(viarede).
Apsumataqueremoto:Apsumataqueremoto:
>Desconecte,imediatamente,ocaboderede(anoserque>Desconecte,imediatamente,ocaboderede(anoserquehajaalgummotivoparanofazerisso).hajaalgummotivoparanofazerisso).
>NUNCAdesligueamquina(considerandoqueoatacanteno>NUNCAdesligueamquina(considerandoqueoatacantenootenhafeitoremotamente).otenhafeitoremotamente).
>Notoquenamquina(nemmesmofaalogin).>Notoquenamquina(nemmesmofaalogin).
>Chame,imediatamente,umperitopararealizarapercia.>Chame,imediatamente,umperitopararealizarapercia.
>Acompanhe,sepossvel,todootrabalhodoperito.>Acompanhe,sepossvel,todootrabalhodoperito.
Eribertoout.14Eribertoout.14
SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?
Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?
MedidasiniciaisnasforensesMedidasiniciaisnasforenses
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada
UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada
OquebuscarnaanliseOquebuscarnaanlise
AlgunscomandoseferramentasAlgunscomandoseferramentas
LaudodaperciaLaudodapercia
ConclusoConcluso
Eribertoout.14Eribertoout.14
MedidasiniciaisnasforensesMedidasiniciaisnasforensesAotomaroprimeirocontatocomamquinaatacada,casoaAotomaroprimeirocontatocomamquinaatacada,casoamesmaaindaestejaligada,operitodever:mesmaaindaestejaligada,operitodever:
InserirumpendriveouHDexternomaiordoqueaInserirumpendriveouHDexternomaiordoqueaquantidadedeRAMdamquinaparacolherdados.quantidadedeRAMdamquinaparacolherdados.
LogarcomorootemontarodispositivoUSB(/mnt?).LogarcomorootemontarodispositivoUSB(/mnt?).
Gravarnodispositivoexternoosseguintesdados:Gravarnodispositivoexternoosseguintesdados:
>Umdumpdememria,comauxliodaferramentaLiME.>Umdumpdememria,comauxliodaferramentaLiME.
>Usurioslogados,com#w>/mnt/w.>Usurioslogados,com#w>/mnt/w.
>Ohistricodecomandos,com#history>/mnt/history.>Ohistricodecomandos,com#history>/mnt/history.
>Asituaodememria,com#freem>/mnt/free.>Asituaodememria,com#freem>/mnt/free.continua...continua...
Eribertoout.14Eribertoout.14
MedidasiniciaisnasforensesMedidasiniciaisnasforensescontinuando...continuando...
>Otempodevidadamquina,com#uptime>/mnt/uptime.>Otempodevidadamquina,com#uptime>/mnt/uptime.
>Osprocessosativos,com#psaux>/mnt/ps.>Osprocessosativos,com#psaux>/mnt/ps.
>Ospossveisprocessosocultos,com#unhide[proc/sys/brute]>Ospossveisprocessosocultos,com#unhide[proc/sys/brute]>/mnt/unhide.[proc/sys/brute].>/mnt/unhide.[proc/sys/brute].
>Asconexeseportasabertas,com#netstattunap>>Asconexeseportasabertas,com#netstattunap>/mnt/netstat./mnt/netstat.
>AspossveisportasTCP/UDPocultas,com#unhidetcp>>AspossveisportasTCP/UDPocultas,com#unhidetcp>/mnt/unhide.tcp./mnt/unhide.tcp.
>Arelaodepacotesinstalados.NoDebianederivados,pode>Arelaodepacotesinstalados.NoDebianederivados,podeseusar#COLUMNS=110dpkgl>/mnt/pacotes.NoRedHatseusar#COLUMNS=110dpkgl>/mnt/pacotes.NoRedHathocomando#rpmqa>/mnt/pacotes.hocomando#rpmqa>/mnt/pacotes.
continua...continua...
Eribertoout.14Eribertoout.14
MedidasiniciaisnasforensesMedidasiniciaisnasforensescontinuando...continuando...
>Dataehoradamquina,com#date>/mnt/date.Anotea>Dataehoradamquina,com#date>/mnt/date.Anoteahoradoseurelgionestemomento,paraumacomparaohoradoseurelgionestemomento,paraumacomparaofutura.Adefasagemencontradadeverconstarnolaudo.futura.Adefasagemencontradadeverconstarnolaudo.
>Utilizaodediscos,com#dfhT>/mnt/df>Utilizaodediscos,com#dfhT>/mnt/df
>Osdetalhessobredispositivosmontados,com#mount>>Osdetalhessobredispositivosmontados,com#mount>/mnt/mount./mnt/mount.
>Oesquemadeparticionamento,com#fdiskl>/mnt/fdisk>Oesquemadeparticionamento,com#fdiskl>/mnt/fdisk(ougdiskl[disco]>/mnt/gdisk).(ougdiskl[disco]>/mnt/gdisk).
>Aversodekernelutilizada,com#unamea>/mnt/uname.>Aversodekernelutilizada,com#unamea>/mnt/uname.
>Osdadosbsicosderede,com#ifconfig>/mnt/ifconfig.>Osdadosbsicosderede,com#ifconfig>/mnt/ifconfig.
>Asrotasderede,com#routen>/mnt/route.>Asrotasderede,com#routen>/mnt/route.
continua...continua...
Eribertoout.14Eribertoout.14
MedidasiniciaisnasforensesMedidasiniciaisnasforensescontinuando...continuando...
>Osmdulosdekernelcarregados,com#lsmod>>Osmdulosdekernelcarregados,com#lsmod>/mnt/lsmod./mnt/lsmod.
>Porfim,colherdoishashesdiferentes(umdelesSHA2)da>Porfim,colherdoishashesdiferentes(umdelesSHA2)damemriaedetodososarquivosgerados.memriaedetodososarquivosgerados.
Desmontareremoverodispositivoexterno(pendriveouDesmontareremoverodispositivoexterno(pendriveouHDexterno).HDexterno).
Verificar,emoutramquina,serealmentefoigravadotodoVerificar,emoutramquina,serealmentefoigravadotodoocontedonecessrionodispositivoexterno.ocontedonecessrionodispositivoexterno.
DesligaramquinasempermitirqueamesmagravedadosDesligaramquinasempermitirqueamesmagravedadosnodisco.Paraisso,puxeocabodeenergiadatomadasemnodisco.Paraisso,puxeocabodeenergiadatomadasemdesligaramquinadeformaconvencional.desligaramquinadeformaconvencional.
Eribertoout.14Eribertoout.14
SumrioSumrioOqueforensecomputacional?Oqueforensecomputacional?
Ataquesviarede:oquefazer?Ataquesviarede:oquefazer?
MedidasiniciaisnasforensesMedidasiniciaisnasforenses
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacada
UtilizaodaimagemdamdiaatacadaUtilizaodaimagemdamdiaatacada
OquebuscarnaanliseOquebuscarnaanlise
AlgunscomandoseferramentasAlgunscomandoseferramentas
LaudodaperciaLaudodapercia
ConclusoConcluso
Eribertoout.14Eribertoout.14
CriaodaimagemdamdiaatacadaCriaodaimagemdamdiaatacadaTodootrabalh
