ANÁLISE FORENSE
ANÁLISE FORENSE
Redes
Computadores
Celulares
DNA
Criminal
Smartphones
ANÁLISE FORENSE DIGITAL
“uso de métodos cientificamente desenvolvidos e
provados visando a preservação, coleta, validação,
identificação, análise, interpretação, documentação e
apresentação de evidência digital oriundas de fontes digitais
com o propósito de facilitar ou expandir a reconstrução de
eventos de origem criminosa, ou ajudar a antecipar ações
não autorizadas que prejudiquem operações planejadas”
?
SEGURANÇA DA INFORMAÇÃO
PropriedadesEstados
SEGURANÇA DA INFORMAÇÃO
Disponibilidade IntegridadeConfidencialidade
SEGURANÇA DA INFORMAÇÃO
Disponibilidade Integridade Confidencialidade Identificação Autenticação Accountability Não repúdio Autorização PrivacidadeSEGURANÇA DA INFORMAÇÃO
Disponibilidade Integridade Confidencialidade Identificação Autenticação Accountability Não repúdio Autorização Privacidade quarta-feira, 19 de junho de 13INCIDENTES DE SEGURANÇA
Qualquer
evento adverso, confirmado ou sob suspeita,
relacionado à segurança dos sistemas de computação ou das
redes de computadores
*Definição do CERT CC
INCIDENTES DE SEGURANÇA
BONUS - ANTI-FORENSE
• Compreende diversas técnicas que visam
TERMINOLOGIA
• Indício
• circunstância conhecida e provada que tenha relação
com o fato e que, por indução, conclui a existência de outra circunstância.
TERMINOLOGIA
• Vestígio
TERMINOLOGIA
• Evidência
• vestígio que mostou vinculação direta com o evento que está sendo investigado
CIÊNCIA FORENSE CLÁSSICA
• Transferência • Identificação • Classificação • Individualização • Associação • ReconstruçãoCIÊNCIA FORENSE CLÁSSICA
• Ao trazer esses conceitos para a ciência forense digital,
encontramos problemas!
• Ao trazer esses conceitos para a ciência forense digital,
encontramos problemas!
• Mas, vamos conhecer eles antes...
CIÊNCIA FORENSE CLÁSSICA
TRANSFERÊNCIA
• Baseada no “Princípio de Locard” -> todo contato deixa vestígio
TRANSFERÊNCIA
• Baseada no “Princípio de Locard” -> todo contato deixa vestígio • Ao aplicar força suficiente sobre um objeto, a matéria é dividida
TRANSFERÊNCIA
• Baseada no “Princípio de Locard” -> todo contato deixa vestígio • Ao aplicar força suficiente sobre um objeto, a matéria é dividida
• Compartilham as características (podem ser classificados juntos)
TRANSFERÊNCIA
• Baseada no “Princípio de Locard” -> todo contato deixa vestígio • Ao aplicar força suficiente sobre um objeto, a matéria é dividida
• Compartilham as características (podem ser classificados juntos)
• Possuem características únicas, de acordo com o processo de divisão (facilmente individualizados)
TRANSFERÊNCIA
• Valores definidos pelos eventos são consequência da lógica
do evento.
• funcao(valor1) = saida1 • funcao(valor2) = saida2
Digital
TRANSFERÊNCIA
TRANSFERÊNCIA
Digital
TRANSFERÊNCIA
• A informação necessita de um contexto referencial para
ser formada, junto com seus metadados.
TRANSFERÊNCIA
• A informação necessita de um contexto referencial para
ser formada, junto com seus metadados.
• Dependendo do contexto referencial podemos ter:
Digital
TRANSFERÊNCIA
• A informação necessita de um contexto referencial para
ser formada, junto com seus metadados.
• Dependendo do contexto referencial podemos ter: • funcao(valor1) = saida1
TRANSFERÊNCIA
• A informação necessita de um contexto referencial para
ser formada, junto com seus metadados.
• Dependendo do contexto referencial podemos ter: • funcao(valor1) = saida1
• funcao2(valor2) = saida1
Digital
TRANSFERÊNCIA
• A informação necessita de um contexto referencial para
ser formada, junto com seus metadados.
• Dependendo do contexto referencial podemos ter: • funcao(valor1) = saida1
• funcao2(valor2) = saida1
• No meio digital existe a necessidade de outras evidências
para sustentar a linha de investigação.
DEGRADAÇÃO E
VOLATILIDADE
IDENTIFICAÇÃO
• Determinar atributos da matéria
IDENTIFICAÇÃO
• Determinar atributos da matéria • análise do DNA
IDENTIFICAÇÃO
• Determinar atributos da matéria • análise do DNA
• análise de composição
IDENTIFICAÇÃO
• Determinar atributos da matéria • análise do DNA
• análise de composição • análise das estruturas
IDENTIFICAÇÃO
Digital
IDENTIFICAÇÃO
• Determinar “o que é” um conjunto de bits.
IDENTIFICAÇÃO
• Determinar “o que é” um conjunto de bits. • Geralmente usa assinaturas...
Digital
IDENTIFICAÇÃO
• Determinar “o que é” um conjunto de bits. • Geralmente usa assinaturas...
IDENTIFICAÇÃO
• Determinar “o que é” um conjunto de bits. • Geralmente usa assinaturas...
• Existem dois problemas:
Digital
IDENTIFICAÇÃO
• Determinar “o que é” um conjunto de bits. • Geralmente usa assinaturas...
• Existem dois problemas:
• quantidade -> muitos dados
IDENTIFICAÇÃO
• Determinar “o que é” um conjunto de bits. • Geralmente usa assinaturas...
• Existem dois problemas:
• quantidade -> muitos dados
• complexidade -> muitas camadas de abstração
Digital
CLASSIFICAÇÃO
• Determinar a origem dos objetos de investigação
CLASSIFICAÇÃO
• Determinar a origem dos objetos de investigação • Análises técnicas
CLASSIFICAÇÃO
• Determinar a origem dos objetos de investigação • Análises técnicas
• Categorização
CLASSIFICAÇÃO
• Associar os dados ao seu uso • sistema
• hardware • programas • pessoais
INDIVIDUALIZAÇÃO
INDIVIDUALIZAÇÃO
INDIVIDUALIZAÇÃO
• Rastrear objetos a sua fonte
• Determinar características de uso
INDIVIDUALIZAÇÃO
• Rastrear objetos a sua fonte
• Determinar características de uso
INDIVIDUALIZAÇÃO
Digital
INDIVIDUALIZAÇÃO
• Problema: Eventos determinísticos (sem aleatoriedade)
INDIVIDUALIZAÇÃO
• Problema: Eventos determinísticos (sem aleatoriedade) • Problema: Identificadores podem ser forjados
Digital
INDIVIDUALIZAÇÃO
• Problema: Eventos determinísticos (sem aleatoriedade) • Problema: Identificadores podem ser forjados
• Só pode ser feita através de sistemas confiáveis...
INDIVIDUALIZAÇÃO
• Problema: Eventos determinísticos (sem aleatoriedade) • Problema: Identificadores podem ser forjados
• Só pode ser feita através de sistemas confiáveis... • O que é confiável?
Digital
ASSOCIAÇÃO
• Deduções sobre elementos da investigação (projétil - arma) • Análise técnica em busca de relações
ASSOCIAÇÃO
• Não existe contato
• usuário interage através de camadas (teclado, tela, etc) • Problema: eventos podem ser remotos
• Dados necessitam ser correlacionados
Digital
RECONSTRUÇÃO
• Ordenação dos fatos
RECONSTRUÇÃO
• Limitação de eventos válidos no sistema
• Problema: depende do que estava registrado antes do
incidente
• Problema: podem existir muitos eventos e todos tem que
ser compreendidos
Digital
MODELOS
• NiJ - DoD
• Baseado em Hipóteses • Baseado em Camadas
MODELOS
NiJ-DoD
MODELOS
MODELOS
Baseado em Camadas
PERGUNTAS
PERGUNTAS
PERGUNTAS
• Por que devemos usar o nome ``Análise Forense Digital"?
• Em uma análise forense, entre a coleta dos dados do disco e a coleta
dos dados da memória, qual deve ser coletada primeiro? Explique.
PERGUNTAS
• Por que devemos usar o nome ``Análise Forense Digital"?
• Em uma análise forense, entre a coleta dos dados do disco e a coleta
dos dados da memória, qual deve ser coletada primeiro? Explique.
PERGUNTAS
• Por que devemos usar o nome ``Análise Forense Digital"?
• Em uma análise forense, entre a coleta dos dados do disco e a coleta
dos dados da memória, qual deve ser coletada primeiro? Explique.
• Qual a importância da análise forense em segurança da informação?
• Explique com suas palavras o que é anti-forense?
PERGUNTAS
• Por que devemos usar o nome ``Análise Forense Digital"?
• Em uma análise forense, entre a coleta dos dados do disco e a coleta
dos dados da memória, qual deve ser coletada primeiro? Explique.
• Qual a importância da análise forense em segurança da informação?
• Explique com suas palavras o que é anti-forense?
• Quais preocupações devem existir durante uma coleta de