Upload
vaine-luiz-barreira
View
907
Download
1
Embed Size (px)
Citation preview
Crimes Digitais e a
Computação Forense
$whoami
• Vaine Luiz Barreira• http://about.me/vlbarreira
• Consultor de TI• Perito em Computação Forense• Ethical Hacker• Professor Universitário• Palestrante
Certificações
• Perito em Análise Forense Computacional
• Ethical Hacker
• ISO 27002
• ITIL v3
• CobiT v4.1
• Microsoft Operations Framework (MOF) v4
• ISO 20000
• IT Management Principles
• Business Information Management (BiSL)
• Microsoft Technology Associate – Security
• Microsoft Technology Associate – Networking
• Cloud Computing
• Secure Cloud Services
• GreenIT
• CA Backup Technical Specialist
• Symantec STS
• SonicWALL CSA
• Novell CNA – NetWare e GroupWise
Membro da Sociedade Brasileira de Ciências Forenses (SBCF)Membro da High Technology Crime Investigation Association (HTCIA)
Representam as condutas criminosas cometidas com o uso das tecnologias deinformação e comunicação, e também os crimes nos quais o objeto da açãocriminosa é o próprio sistema informático.
• Defacements (modificação de páginas na Internet);• Roubo de dados e/ou negação de serviço;• E-mails falsos (phishing scam, difamação, ameaças);• Transações bancárias (internet banking);• Disseminação de código malicioso, pirataria e pedofilia;• Crimes comuns com evidências em mídias digitais;• Etc, etc, etc...
Crimes Digitais
Crimes Digitais
Os atacantes se movem rapidamente
Extorsão digital emascensão
Malwares estãointeligentesAmeaças de dia zero
5 de 6 grandes
empresasatacadas
317Mnovas
variantes de malware
1M de malware diários
60% dos ataquessão a pequenas/ médias empresas
113% aumento de ransoware
45X maisdispositivos
atacados
28% dos malwares são
VM-Aware
24 ameaças
críticas
Top 5 semcorreção por
295 dias
24
Source: Symantec Internet Security Threat Report 2015
Crimes Digitais
Source: Symantec Internet Security Threat Report 2015
Vários setores sofrendo ataques cibernéticos
Saúde+ 37%
Varejo+11%
Educação
+10%Governos
+8%Financeiro
+6%
Crimes Digitais
Crimes Digitais
Definições
• Cyber Guerramotivação política, visam enfraquecer nações
• Cyber Espionagembusca por propriedade intelectual visando o lucro
• Cyber Terrorismobusca causar pânico ou sensação de insegurança
• Hacktivismomotivação política, visam causas específicas
Formação
Slide masterPerito Criminal (Perito Oficial)
Perito ad hoc ou Perito Judicial
Assistente Técnico
Perito Particular
Perito Digital
Computação Forense
• Perícia Digital• Forense Digital• Perícia Cibernética• Perícia em Informática• Forense em Informática• Perícia Forense Computacional• Análise Forense Computacional• Perícia de Sistemas Computacionais
“Aplicação da ciência física aplicada à lei na busca pela verdade em assuntos civis, criminais e de comportamento social, com o fim de que nenhuma injustiça seja feita a nenhum membro da sociedade”.(Manual de Patologia Forense do Colégio de Patologistas Americanos)
“Coleta e análise de dados de maneira não tendenciosa e omais livre de distorção possível, para reconstruir dados ouo que aconteceu no passado em um sistema”(Dan Farmer e Wietse Venema – Computer Forensics Analysis ClassHandouts)
Computação Forense
Princípio de Locard (1877-1966):
“Todo contato deixa um rastro (vestígio)”
Computação Forense
Exemplos de evidências relacionadas a crimes digitais:
• mensagem de e-mail e bate-papo• arquivos de logs• arquivos temporários• registros de impressão• registros de conexão à internet• registros de conexão em sistemas• registros de instalação/desinstalação de programas • fragmentos de arquivos
Evidência Digital
• Minimizar perda de dados;• Evitar contaminação de dados;• Registrar e documentar todas as ações;• Analisar dados em cópias;• Reportar as informações coletadas;• Principalmente: manter-se imparcial.
“É um erro capital teorizar antes de obter todas as evidências.”Sherlock Holmes
Princípios de análise forense
• Razões para não investigar um incidente:CustoDemoraFalta de objetividadeDisponibilização de recursos importantes
• Processo que demanda tempo e recursos, nem sempre útil para a empresa;
• É mais fácil reinstalar um computador do que realizar uma investigação.
Motivações para investigação
Levantar evidências que contam a história do fato:
• O quê? (definição do próprio incidente)• Onde? (local do incidente e das evidências)• Quando? (data do incidente e suas partes)• Quem (quem fez a ação)• Por quê? (motivo ou causa do incidente)• Como? (como foi realizado e/ou planejado)• Quanto? (quantificação de danos)
Motivações para investigação
• Identificação do alvo;• Coleta de informações;• Identificação de vulnerabilidades;• Comprometimento do sistema;• Controle do sistema;• Instalação de ferramentas;• Remoção de rastros;• Manutenção do sistema comprometido.
Modo de ação dos atacantes
Equipamento desligado: (Post Mortem Forensics)• Sem atividade de disco rígido;• Evidências voláteis perdidas;• Sem atividade do invasor;• Sem necessidade de contenção do ataque;• Possivelmente algumas evidências foram
modificadas.
Tipos de sistemas comprometidos
Equipamento ligado: (Live Forensics)• Atividade no disco rígido;• Atividade de rede;• Evidências voláteis;• Possibilidade de atividade do invasor;• Necessidade de conter o ataque.
Tipos de sistemas comprometidos
Equipamento ligado: (Live Forensics)• Verificar se o sistema está comprometido;• Não comprometer as evidências;• Conter o ataque;• Coletar evidências;• Power-off ou shutdown?
Tipos de sistemas comprometidos
Etapas Perícia Digital
• Isolar área
• Fotografar o cenário
• Analisar o cenário
• Coletar evidências
• Garantir integridade
• Identificar equipamentos
• Embalar evidências
• Etiquetar evidências
• Cadeia de Custódia
Coleta
• Identificar as evidências
• Extrair
• Filtrar
• Documentar
Exame • Identificar (pessoas e locais)
• Correlacionar (pessoas e locais)
• Reconstruir a cena (incidente)
• Documentar
Análise
• Redigir laudo / parecer técnico
• Anexar evidências e demais documentos
• Gerar hash de tudo
Resultados
Equipamentos / Mídias
Dados Informações Laudo Pericial
1. Aquisição;2. Preservação;3. Identificação;4. Extração;5. Recuperação;6. Análise;7. Apresentação (laudo pericial).
Processo investigativo
Ordem de volatilidade – RFC 3227
• Memória RAM;• Arquivos de página ou de troca;• Processos em execução;• Conexões e estado da rede;• Arquivos temporários;• Arquivos de log de sistema ou aplicativos;• Disco rígido (HD);• Mídias removíveis (HDs externos, pendrives, cartões de
memória, CD-ROM, DVD-ROM, etc);• Dispositivos não convencionais (câmeras digitais, gps,
relógios, etc).
1. Aquisição
• Adquirir o máximo de informações do equipamento (marca, modelo, no. série, sistema operacional, nome, memória, discos, partições, endereço IP, etc);
• Aquisição remota pela rede não é recomendada;• Aquisição utilizando bloqueadores de escrita ou
garantir a montagem da partição em modo somente leitura (read only).
1. Aquisição
Mídias de armazenamento digital
• ISO 27037
• Imagem X Backup
• Cópia bit a bit / cópia física / duplicação forense
• Evitar a contaminação da evidência e consequente fragilidade probatória
1. Aquisição
• Live Forensics:Duplicação binária de memória RAM;Tráfego de rede (grampo digital);
• Post Mortem Forensics:Duplicação binária de mídia;
Demonstração 1
• Impedir alteração da mídia original antes e durante os procedimentos de aquisição;
• Criar mais de uma cópia do arquivo de imagem;• Trabalhar sempre na “cópia da cópia”;• Usar assinaturas HASH para garantir a
integridade dos dados.
2. Preservação
• Todo material coletado para análise deve ser detalhadamente relacionado em um documento chamado Cadeia de Custódia;
• Qualquer manuseio do material coletado precisa estar detalhadamente descrito na Cadeia de Custódia.
3. Identificação
• Registro detalhado do modo como as evidências foram tratadas, desde a coleta até os resultados finais;
• Deve conter informações sobre quem teve acesso às evidências ou às cópias utilizadas;
• Durante um processo judicial, vai garantir que as provas não foram comprometidas;
• Cada evidência coletada deve ter um registro de custódia associado a ela.
Cadeia de Custódia
• Extrair as informações disponíveis das mídias;
• Buscar dados removidos total ou parcialmente, propositadamente ou não;
• Técnica de “Carving”.
4. Extração e 5. Recuperação
Através da imagem gerada:
• Extração de um arquivo – Magic Number• Recuperação de um arquivo apagado;
Demonstração 2
• Correlacionar as evidências;• Criação da linha de tempo das atividades;• Documentação de todo o processo.
6. Análise
• Elaboração do Laudo Pericial;• Apresentar as conclusões em linguagem clara e
com dados técnicos comentados.
7. Apresentação
• Capacidade dos dispositivos;• Criptografia mais acessível;• Dispositivos Móveis:
• Tablets• Smartphones• Wearables (relógios, pulseiras, óculos, etc)
• Internet das Coisas (IoT);• Computação em Nuvem (Cloud Computing).
Novos Desafios
Segurança Cibernética
http://flip.it/GYGQY
/vaineluizbarreira
www.ciberforense.com.br
@vlbarreira br.linkedin.com/in/vlbarreira