Crimes Digitais e a

Computação Forense

$whoami

• Vaine Luiz Barreira• http://about.me/vlbarreira

• Consultor de TI• Perito em Computação Forense• Ethical Hacker• Professor Universitário• Palestrante

Certificações

• Perito em Análise Forense Computacional

• Ethical Hacker

• ISO 27002

• ITIL v3

• CobiT v4.1

• Microsoft Operations Framework (MOF) v4

• ISO 20000

• IT Management Principles

• Business Information Management (BiSL)

• Microsoft Technology Associate – Security

• Microsoft Technology Associate – Networking

• Cloud Computing

• Secure Cloud Services

• GreenIT

• CA Backup Technical Specialist

• Symantec STS

• SonicWALL CSA

• Novell CNA – NetWare e GroupWise

Membro da Sociedade Brasileira de Ciências Forenses (SBCF)Membro da High Technology Crime Investigation Association (HTCIA)

Representam as condutas criminosas cometidas com o uso das tecnologias deinformação e comunicação, e também os crimes nos quais o objeto da açãocriminosa é o próprio sistema informático.

• Defacements (modificação de páginas na Internet);• Roubo de dados e/ou negação de serviço;• E-mails falsos (phishing scam, difamação, ameaças);• Transações bancárias (internet banking);• Disseminação de código malicioso, pirataria e pedofilia;• Crimes comuns com evidências em mídias digitais;• Etc, etc, etc...

Crimes Digitais

Crimes Digitais

Os atacantes se movem rapidamente

Extorsão digital emascensão

Malwares estãointeligentesAmeaças de dia zero

5 de 6 grandes

empresasatacadas

317Mnovas

variantes de malware

1M de malware diários

60% dos ataquessão a pequenas/ médias empresas

113% aumento de ransoware

45X maisdispositivos

atacados

28% dos malwares são

VM-Aware

24 ameaças

críticas

Top 5 semcorreção por

295 dias

24

Source: Symantec Internet Security Threat Report 2015

Crimes Digitais

Source: Symantec Internet Security Threat Report 2015

Vários setores sofrendo ataques cibernéticos

Saúde+ 37%

Varejo+11%

Educação

+10%Governos

+8%Financeiro

+6%

Crimes Digitais

Crimes Digitais

Definições

• Cyber Guerramotivação política, visam enfraquecer nações

• Cyber Espionagembusca por propriedade intelectual visando o lucro

• Cyber Terrorismobusca causar pânico ou sensação de insegurança

• Hacktivismomotivação política, visam causas específicas

Formação

Slide masterPerito Criminal (Perito Oficial)

Perito ad hoc ou Perito Judicial

Assistente Técnico

Perito Particular

Perito Digital

Computação Forense

• Perícia Digital• Forense Digital• Perícia Cibernética• Perícia em Informática• Forense em Informática• Perícia Forense Computacional• Análise Forense Computacional• Perícia de Sistemas Computacionais

“Aplicação da ciência física aplicada à lei na busca pela verdade em assuntos civis, criminais e de comportamento social, com o fim de que nenhuma injustiça seja feita a nenhum membro da sociedade”.(Manual de Patologia Forense do Colégio de Patologistas Americanos)

“Coleta e análise de dados de maneira não tendenciosa e omais livre de distorção possível, para reconstruir dados ouo que aconteceu no passado em um sistema”(Dan Farmer e Wietse Venema – Computer Forensics Analysis ClassHandouts)

Computação Forense

Princípio de Locard (1877-1966):

“Todo contato deixa um rastro (vestígio)”

Computação Forense

Exemplos de evidências relacionadas a crimes digitais:

• mensagem de e-mail e bate-papo• arquivos de logs• arquivos temporários• registros de impressão• registros de conexão à internet• registros de conexão em sistemas• registros de instalação/desinstalação de programas • fragmentos de arquivos

Evidência Digital

• Minimizar perda de dados;• Evitar contaminação de dados;• Registrar e documentar todas as ações;• Analisar dados em cópias;• Reportar as informações coletadas;• Principalmente: manter-se imparcial.

“É um erro capital teorizar antes de obter todas as evidências.”Sherlock Holmes

Princípios de análise forense

• Razões para não investigar um incidente:CustoDemoraFalta de objetividadeDisponibilização de recursos importantes

• Processo que demanda tempo e recursos, nem sempre útil para a empresa;

• É mais fácil reinstalar um computador do que realizar uma investigação.

Motivações para investigação

Levantar evidências que contam a história do fato:

• O quê? (definição do próprio incidente)• Onde? (local do incidente e das evidências)• Quando? (data do incidente e suas partes)• Quem (quem fez a ação)• Por quê? (motivo ou causa do incidente)• Como? (como foi realizado e/ou planejado)• Quanto? (quantificação de danos)

Motivações para investigação

• Identificação do alvo;• Coleta de informações;• Identificação de vulnerabilidades;• Comprometimento do sistema;• Controle do sistema;• Instalação de ferramentas;• Remoção de rastros;• Manutenção do sistema comprometido.

Modo de ação dos atacantes

Equipamento desligado: (Post Mortem Forensics)• Sem atividade de disco rígido;• Evidências voláteis perdidas;• Sem atividade do invasor;• Sem necessidade de contenção do ataque;• Possivelmente algumas evidências foram

modificadas.

Tipos de sistemas comprometidos

Equipamento ligado: (Live Forensics)• Atividade no disco rígido;• Atividade de rede;• Evidências voláteis;• Possibilidade de atividade do invasor;• Necessidade de conter o ataque.

Tipos de sistemas comprometidos

Equipamento ligado: (Live Forensics)• Verificar se o sistema está comprometido;• Não comprometer as evidências;• Conter o ataque;• Coletar evidências;• Power-off ou shutdown?

Tipos de sistemas comprometidos

Etapas Perícia Digital

• Isolar área

• Fotografar o cenário

• Analisar o cenário

• Coletar evidências

• Garantir integridade

• Identificar equipamentos

• Embalar evidências

• Etiquetar evidências

• Cadeia de Custódia

Coleta

• Identificar as evidências

• Extrair

• Filtrar

• Documentar

Exame • Identificar (pessoas e locais)

• Correlacionar (pessoas e locais)

• Reconstruir a cena (incidente)

• Documentar

Análise

• Redigir laudo / parecer técnico

• Anexar evidências e demais documentos

• Gerar hash de tudo

Resultados

Equipamentos / Mídias

Dados Informações Laudo Pericial

1. Aquisição;2. Preservação;3. Identificação;4. Extração;5. Recuperação;6. Análise;7. Apresentação (laudo pericial).

Processo investigativo

Ordem de volatilidade – RFC 3227

• Memória RAM;• Arquivos de página ou de troca;• Processos em execução;• Conexões e estado da rede;• Arquivos temporários;• Arquivos de log de sistema ou aplicativos;• Disco rígido (HD);• Mídias removíveis (HDs externos, pendrives, cartões de

memória, CD-ROM, DVD-ROM, etc);• Dispositivos não convencionais (câmeras digitais, gps,

relógios, etc).

1. Aquisição

• Adquirir o máximo de informações do equipamento (marca, modelo, no. série, sistema operacional, nome, memória, discos, partições, endereço IP, etc);

• Aquisição remota pela rede não é recomendada;• Aquisição utilizando bloqueadores de escrita ou

garantir a montagem da partição em modo somente leitura (read only).

1. Aquisição

Mídias de armazenamento digital

• ISO 27037

• Imagem X Backup

• Cópia bit a bit / cópia física / duplicação forense

• Evitar a contaminação da evidência e consequente fragilidade probatória

1. Aquisição

• Live Forensics:Duplicação binária de memória RAM;Tráfego de rede (grampo digital);

• Post Mortem Forensics:Duplicação binária de mídia;

Demonstração 1

• Impedir alteração da mídia original antes e durante os procedimentos de aquisição;

• Criar mais de uma cópia do arquivo de imagem;• Trabalhar sempre na “cópia da cópia”;• Usar assinaturas HASH para garantir a

integridade dos dados.

2. Preservação

• Todo material coletado para análise deve ser detalhadamente relacionado em um documento chamado Cadeia de Custódia;

• Qualquer manuseio do material coletado precisa estar detalhadamente descrito na Cadeia de Custódia.

3. Identificação

• Registro detalhado do modo como as evidências foram tratadas, desde a coleta até os resultados finais;

• Deve conter informações sobre quem teve acesso às evidências ou às cópias utilizadas;

• Durante um processo judicial, vai garantir que as provas não foram comprometidas;

• Cada evidência coletada deve ter um registro de custódia associado a ela.

Cadeia de Custódia

• Extrair as informações disponíveis das mídias;

• Buscar dados removidos total ou parcialmente, propositadamente ou não;

• Técnica de “Carving”.

4. Extração e 5. Recuperação

Através da imagem gerada:

• Extração de um arquivo – Magic Number• Recuperação de um arquivo apagado;

Demonstração 2

• Correlacionar as evidências;• Criação da linha de tempo das atividades;• Documentação de todo o processo.

6. Análise

• Elaboração do Laudo Pericial;• Apresentar as conclusões em linguagem clara e

com dados técnicos comentados.

7. Apresentação

• Capacidade dos dispositivos;• Criptografia mais acessível;• Dispositivos Móveis:

• Tablets• Smartphones• Wearables (relógios, pulseiras, óculos, etc)

• Internet das Coisas (IoT);• Computação em Nuvem (Cloud Computing).

Novos Desafios

Segurança Cibernética

http://flip.it/GYGQY

/vaineluizbarreira

www.ciberforense.com.br

@vlbarreira br.linkedin.com/in/vlbarreira