forense_v1

(1)

Perícia Forense

em Segurança da Informação

(2)

A Ciência Forense Computacional abrange todas as questões

relacionadas aos crimes praticados na Internet ou fora dela, chamados cibercrimes. Estudando como coletar evidências de crimes e violações, analisar e documentar casos, esta ciência, relativamente nova, segue as principais metodologias internacionais usadas e adotadas por todos os países do mundo na investigação de crimes e delitos comuns.

A Computação Forense consiste, basicamente, no uso de métodos científicos para preservação, coleta, validação, identificação, análise, interpretação, documentação e apresentação de evidência digital. A aplicação desses métodos nem sempre se dá de maneira simples.

Evidência digital entende-se pela informação armazenada ou transmitida em formatos ou meios digitais. Sendo que essa evidência, na maioria das vezes, é frágil e volátil, o que requer a atenção de um especialista certificado ou bastante experiente a fim de garantir que os materiais de valor probatório possam ser efetivamente isolados e extraídos correta e licitamente. Tais materiais podem ser apresentados em um tribunal de justiça como prova de materialidade de um crime, por exemplo; ou mesmo como parte de um

laudo pericial.

Introdução

(3)

Código de Processo Penal

CAPÍTULO II

DO EXAME DO CORPO DE DELITO, E DAS PERÍCIAS EM

GERAL

Artigo 170: "Nas perícias de laboratório, os peritos guardarão

material suficiente para a eventualidade de nova perícia. Sempre

que conveniente, os laudos serão ilustrados com provas

fotográficas, ou microfotográficas, desenhos ou esquemas“.

Artigo 171: "Nos crimes cometidos com destruição ou rompimento

de obstáculo a subtração da coisa, ou por meio de escalada, os

peritos, além de descrever os vestígios, indicarão com que

Aspectos legais fundamentais

(4)

● Defacements com violação de dados de sites; ● Defacements com difamação em sites;

● Ataques a servidores; ● e-mails falsos;

● Roubo de dados (ex.: usando phishing scam); ● Difamação;

● Ameaças;

● Retiradas e transferências de contas bancárias;

● Investigações sobre pedofilia (pornografia infanto-juvenil);

● Investigações sobre crimes comuns com indícios de provas em

computadores e/ou mídias;

Situações que justificariam a necessidade de perícia

(5)

●

Profundos conhecimentos técnicos;

●

Conhecimento de ferramentas específicas;

●

Ética

Características básicas do perito

- O perito não é um policial nem juiz...

- Não pode se envolver pessoalmente em prisões ou julgar

os praticantes dos delitos descobertos

(6)

 Identificar a origem de ataques

 Investigar e rastrear o uso de mensagens eletrônicas  Constatar:

✔ mau uso em equipamentos de informática ✔ uso de software não autorizado

✔ violação de direitos de autor de programas de computador ✔ destruição ou alteração indevida de dados

✔ furto eletrônico de informações

✔ duplicação indevida de dados e softwares

✔ acesso não autorizado a sistema de computador ou redes de

computadores

Atribuições do perito forense computacional

● Preservar dispositivos através cópia fiel e integral de mídias ● Preservar a integridade dos dados (hash)

● Preservação dos Logs

(7)

“ … Ata Notarial é uma forma pela qual o tabelião , mediante

solicitação das partes Interessadas, lavra um instrumento público

de narrativa daquilo que foi verificado em seus sentidos, sem

omissão de opinião, para, na conclusão, tê-la com a mesma

finalidade de provas pré-constituídas para serem avaliadas nas

esferas judicial, extrajudicial e administrativa a partir dos fatos nela

colhidos, observando-se um detalhe: o tabelião é responsável pela

veracidade do que vai à Ata Notarial e, consequentemente, sua

validade perante os que a ela recorrerem ...”

Claudemir Queiroz e Raffael Vargas (2010, p.25)

Ata Notarial

(8)

“Agora, algumas palavras sobre a procura das coisas. Quando

você procura algo específico, suas chances de encontrá-lo são bem

menores. Porque, entre todas as coisas do mundo, você está

procurando apenas uma. Ao procurar qualquer coisa, suas chances

de encontrá-la são bem maiores. Já que, entre todas as coisas do

mundo, você tem a certeza de encontrar algumas delas.”

Daryl Zero, The Zero Effect

O que devemos procurar ?!

(9)

O conhecimento básico das leis ajudará a identificar os

vestígios digitais que poderão conduzir às evidências

procuradas, e ainda, mostrar como proceder de maneira

legal para coleta dos mesmos.

Ver http://criminalisticaforense.wordpress.com/2011/12/11/vestigios-evidencias-e-indicios/

Como orientar nossa procura ?!

(10)

Exemplo: Estelionato por meio de phishing scam

Estelionato:

Art. 171 (CP) - Obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento

(11)



O perito não deverá proceder à análise de dados ou “invasão” de

sistemas de um suspeito sem ordem judicial, sob risco de incorrer

em invasão de privacidade (crime)



A análise de servidores de arquivos deverá ser precedida de clara

delimitação da área a ser analisada



A política de segurança da instituição deverá

ser respeitada, sempre que existir

Repeito à privacidade !!

(12)

Dos Direitos e Garantias Fundamentais

CAPÍTULO I

DOS DIREITOS E DEVERES INDIVIDUAIS E COLETIVOS

Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes:

... ...

XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal; (Vide Lei nº 9.296, de 1996)

Repeito à privacidade !!

(13)

LEI Nº 9.296, DE 24 DE JULHO DE 1996

Art. 1º A interceptação de comunicações telefônicas, de qualquer natureza, para prova em investigação criminal e em instrução processual penal, observará o disposto nesta Lei e dependerá de ordem do juiz competente da ação principal, sob segredo de justiça.

Parágrafo único. O disposto nesta Lei aplica-se à interceptação do

fluxo de comunicações em sistemas de informática e telemática.

Art. 2° Não será admitida a interceptação de comunicações telefônicas quando ocorrer qualquer das seguintes hipóteses:

I - não houver indícios razoáveis da autoria ou participação em infração penal;

Repeito à privacidade !!

(14)

LEI Nº 9.296, DE 24 DE JULHO DE 1996

Art. 7° Para os procedimentos de interceptação de que trata esta Lei, a autoridade policial poderá requisitar serviços e técnicos especializados às concessionárias de serviço público.

… …

Art. 10. Constitui crime realizar interceptação de comunicações telefônicas, de informática ou telemática, ou quebrar segredo da Justiça, sem autorização judicial ou com objetivos não autorizados em lei.

Pena: reclusão, de dois a quatro anos, e multa.

Repeito à privacidade !!

(15)

Lei nº 12.737, de 30 de Novembro de 2012

…..

Art. 1º Esta Lei dispõe sobre a tipificação criminal de delitos informáticos e dá outras providências.

…..

"Invasão de dispositivo informático

Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:

Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.

§ 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.

(16)

Lei nº 12.737, de 30 de Novembro de 2012

§ 3º Se da invasão resultar a obtenção de conteúdo de

comunicações eletrônicas privadas, segredos comerciais ou industriais,

informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:

Pena - reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave.

§ 4º Na hipótese do § 3º, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos.

§ 5º Aumenta-se a pena de um terço à metade se o crime for praticado

contra:

I - Presidente da República, governadores e prefeitos; II - Presidente do Supremo Tribunal Federal;

III - Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou

IV - dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal."

(17)

Repeito à privacidade !!

Interceptação de dados - Grampo na LAN

tap ou hub Console de Monitoramento sw co m p ort mirr orin g TAP HUB

(18)

(19)

Ordem de Volatilidade

Tipos de dados

Tempo de Vida

Registradores, memória periféricos, caches, etc. nanossegundos

Memória principal 10 nanossegundos

Estado da rede Milissegundos

Processos em execução Segundos

Disco Minutos

Disquetes, mídias de backup Anos

(20)

Ordem de Volatilidade

CUIDADO

Ao realizar-se qualquer operação em uma camada, as

informações em todas as camadas superiores a esta serão

destruídas !!

Por exemplo, a execução de um simples comando para

recuperar alguma informação poderá destruir, dentre outros,

o conteúdo dos registradores, de porções da memória física,

e registros de data/hora no sistema de arquivos!!

(21)

Confiabilidade das Informações



Análise das informações a partir de um sistema

computacional para tirar conclusões



Você está realmente vendo vestígios do ocorrido, ou o que

o invasor deseja que acredite ?



Análise criteriosa



Múltiplas fontes de informação independentes entre si



Verificação de inconsistências entre as informações destas

diversas fontes

(22)

Exemplo 1 – Verificar consistência dos registros de login

(23)

Exemplo 1 – Verificar consistência dos registros de login

(24)

MAC Times

 Algumas vezes, determinar-se quando um incidente ocorreu, pode ser

mais interessante do que determinar o que exatamente aconteceu

 Há duas formas de coletar-se dados referentes ao tempo:

- Observando-se diretamente as atividades

- Observando-se os efeitos secundários destas atividades sobre o ambiente

 MAC Time, é abreviação para:

- mtime (modification time)

atributo referente a última modificação do conteúdo de um arquivo - atime (access time)

atributo referente a última data/hora de acesso ao arquivo (leitura) - ctime (creation time, change time)

atributo referente a última alteração dos metadados de um arquivo (proprietário, grupo, permissões, …)

(25)

MAC Times

Metadados de um arquivo

Hard Links UID e GID Tamanho

Data de criação, ou última modificação do arquivo

(26)

Trabalhando com MAC Times

2.1:

2.1: Verificação dos MAC Times de arquivo comum

2.2:

(27)

Considerações sobre os MAC Times

CUIDADO

 O cáclulo do hash do arquivo poderá alterar o atime

Exemplo 2.3:

(28)

Considerações sobre os MAC Times

Exemplo 2.4:

Exemplo 2.4: Alteração do atime do arquivo pela interface gráfica

2.4.1. Criação de um arquivo de teste e verificação do MAC Time inicial

(29)

Considerações sobre os MAC Times

Exemplo 2.4:

(30)

Considerações sobre os MAC Times

Exemplo 2.4:

(31)

Considerações sobre os MAC Times

CUIDADO

 Ferramentas para gerenciamento de arquivos podem alterar o atime

Exemplo 2.5:

(32)

Considerações sobre os MAC Times

CUIDADO

 MAC Times podem ser facilmente forjados

Exemplo 2.6:

(33)

Considerações sobre os MAC Times



Conduza a investigação preferencialmente sobre uma cópia fiel

do objeto questionado, montada READ ONLY



Os MAC Times informam apenas a última vez em que um

arquivo foi modificado, não permitindo a elaboração de um

histórico



Os MAC Times não permitem a identificação do autor da ação



MAC Times podem ser de pouca utilidade em sistemas

(34)

Timeline

A criação da timeline dá-se em duas fases:

I. Inicialmente, procede-se à coleta de informações a partir

de diferentes fontes, tais como, sistemas de arquivos e

logs, dentre outras; as quais são salvas em um arquivo

em formato body. Este arquivo é criado por ferramentas

como o fls do TSK.

II.O segundo passo é classificar e mesclar todos os dados

temporais em uma única linha do tempo. Este passo é

feito usando-se ferramentas como o mactime, um script

Simplificadamente, a timeline é uma

forma de demonstrar a cronologia dos

acontecimentos, com a finalidade de

facilitar o entendimento do ocorrido.

(35)

Timeline

Exemplo

(36)

Processo investigativo

Electronic Discovery Reference Model

Electronic discovery, também conhecida como e-discovery,

refere-se a qualquer método de busca, pesquisa,

localização e obtenção de dados e informações eletrônicos

com a intenção de utilizá-los como evidências, em um

processo judicial.

Ref.: http://pt.wikipedia.org/wiki/Electronic_discovery

(37)

Processo investigativo

Electronic Discovery Reference Model

Electronically Stored Information (ESI), ou informação

armazenada eletronicamente, conforme definido pela

Federal Rules of Civil Procedure (FRCP) é toda

informação criada, manipulada, comunicada, armazenada

e melhor utilizada em formato digital, exigindo o uso de

hardware e software.

Ref.: http://pt.wikipedia.org/wiki/Electronic_discovery

(38)

Framework altamente detalhado, composto por 6

estágios, com 9 processos distintos, utilizado como

referência para descoberta e recuperação de dados

digitais, de forma eficiente e com boa relação

custo-benefício.

Processo investigativo

Electronic Discovery Reference Model

(39)

(40)

INFORMATIOM

MANAGEMENT

Estágio 1

Trata da melhoria do ambiente e do gerenciamento

da ESI, desde sua criação até seu descarte, a fim de

mitigar riscos e despesas.

(41)

IDENTIFICATION

Estágio 2

Identificação de fontes potenciais de ESI relevante,

determinando-se escopo e profundidade das mesmas,

já considerando ainda, a possibilidade de adoção de

(42)

PRESERVATION

Assegura que a ESI não venha

a ser indevidamente adulterada

(hashes, imagem forense) ou

perdida,

garantindo

sua

utilização na esfera jurídica

COLLECTION

Cria a massa de dados bruta a

ser processada, validada e

Estágio 3

(43)

PROCESSING

Processa

os

dados

obtidos:

constrói a cadeia de custódia,

procede

à

filtragem

e

de-duplicação, extrai metadados e

strings, ...

REVIEW

Organiza os documentos em

sub-conjuntos de acordo com sua

relevância. É quando a equipe

jurídica começa a traçar sua

estratégia

(44)

PRODUCTION

Estágio 5

Simplificadamente, corresponde a resposta à

quesitação formulada em formato, e com

mecanismos, adequados

(45)

PRESENTATION

Estágio 6

(46)

Processo de Investigação

Resumidamente: Fases

✔ Coleta dos dados; ✔ Exame dos dados;

✔ Análise das informações ✔ Interpretação dos resultados

(47)

Processo de Investigação

1. Coleta de dados

1. Coleta de dados 1.1 Premissas

✔ Deverão ser estabelecidas prioridades, considerando a volatilidade

e relevância dos dados, bem como, o esforço necessário à sua aquisição

✔ Preservar e comprovar a integridade dos dados (HASH) 1.2 Fontes de informação

✔ Mídias: HD's, CD's, DVD's, pendrives, memory cards, ….

✔ Memória: RAM, memória virtual, registradores, caches, buffers, …. ✔ Rede: captura do tráfego de rede (equipamentos ligados)

(48)

Processo de Investigação

1.3 Dispositivos para coleta de dados – Interfaces Externas

Interface externa SATA/USB

(49)

Processo de Investigação

1.3 Dispositivos para coleta de dados – Bloqueadores de Escrita

Serial ATA DriveLock

DriveLock PCI/IDE

(50)

Processo de Investigação

(51)

Processo de Investigação

1.3.2 Dispositivos para coleta de dados

(52)

Processo de Investigação

1.4 Considerações sobre a coleta de dados remota

✔ Atentar ao tamanho das mídias e às limitações dos equipamentos de

coleta

✔ Criptografar os dados antes de transmiti-los via rede ✔ Estação pericial remota deverá ser confiável e adequada ✔ Garantir a integridade dos dados

1.5 Considerações sobre a coleta de dados armazenados externamente

✔ Data centers de terceiros

✔ Backups em provedores de hospedagem ✔ Sistemas de arquivos remotos

(53)

Processo de Investigação

1.6 Considerações sobre a preservação e identificação dos dados

- A alteração de dados pode ser comparada a alteração da cena de um crime na vida real !!

✔ Garantir o bloqueio da mídia original (read-only) antes da cópia,

impedirá a alteração dos dados durante os procedimentos de coleta

✔ A fidelidade dos dados da cópia deverá ser atestada por peritos e

testemunhas, antes de a mídia original poder ser liberada

✔ Perito oficial tem fé pública

✔ Perito convidado necessita de testemunhas

✔ Todo material apreendido para análise, deverá ser cuidadosamente

relacionado em um documento denominado CADEIA DE CUSTÓDIA

(54)

Processo de Investigação

Cadeia de Custódia

“ A Cadeia de Custódia é um processo usado para manter e documentar a

história cronológica da evidência, para garantir a idoneidade e o rastreamento das evidências utilizadas em processos judiciais.”

Ref.: CADEIA DE CUSTÓDIA: UMA ABORDAGEM PRELIMINAR LOPES, M.; GABRIEL, M. M.; BARETA, G. M. S.

Conteúdo da Cadeia de Custódia

 Data e hora de coleta da evidência

 Identificação de quem a evidência foi apreendida  Nome da pessoa que coletou a evidência

 Descrição detalhada da evidência  Nome e assinatura dos envolvidos

 Identificação do caso e da evidência (tags)

(55)

Processo de Investigação

(56)

Processo de Investigação

Obtendo informações do objeto questionado

HD Externo

HD externo, o objeto questionado

Dados para preenchimento da cadeia de custódia

(57)

Processo de Investigação

Obtendo informações do objeto questionado

Pen drive

Pen drive, o objeto questionado

(58)

Processo de Investigação

2. Exame dos dados

Objetivos

- Filtrar, avaliar e extrair informações relevantes

- Emprego de técnicas e ferramentas especializadas para:

✔

dump da memória volátil

✔

recuperação e análise de dados persistentes, etc.

✔

National Software Reference Library: conjunto de

assinaturas de softwares e documentos

disponibilizado para filtragem de dados

(59)

Processo de Investigação

3. Análise das informações

Objetivos



Interpretação dos dados coletados

✔

identificação dos envolvidos

✔

estabelecimento da cronologia

✔

levantamento de eventos e locais

(60)

Processo de Investigação

4. Interpretação e apresentação dos Resultados

Objetivo:

Elaboração de laudo pericial

✔

Conclusão imparcial, clara e concisa

✔

Exposição dos métodos utilizados

✔

Deve apresentar as conclusões do perito de forma

simples e de fácil interpretação, para apresentação em

julgamentos (dados técnicos deverão ser comentados)

✔

Fase tecnicamente chamada de substanciação da

(61)

Processo de Investigação

Formato final do laudo pericial

O laudo pericial final deve conter:

✔

Finalidade da investigação

✔

Identificação do(s) autor(es) do laudo

✔

Resumo do caso/incidente

✔

Relação de evidências analisadas com os respectivos

detalhes

(62)

Processo de Investigação

Magic Numbers – Assinaturas dos arquivos

● Magic Number é um número hexadecimal,

normalmente com 4 bytes, inserido no início de um arquivo, a fim de determinar o tipo do mesmo

● É referenciado também como a “assinatura” do

arquivo

Exemplos

JPEG

FF D8 FF E0

PNG

89 50 4E 47

Adobe PDF 25 50 44 46

GIF

47 49 46 38

(63)

Processo de Investigação

Magic Numbers: Assinaturas dos arquivos

(64)

Processo de Investigação

Magic Numbers: Assinaturas dos arquivos

Utilização do comando hexdump para

verifi-car o magic number do arquivo:

magic number em little endian

(65)

Processo de Investigação

Magic Numbers – Assinaturas dos arquivos

●

Observa-se, portanto, tratar-se na verdade

de um arquivo do tipo jpeg, e não txt.

●

O comando file utiliza-se de três formas distintas para

determinar o tipo do arquivo analisado (ver página de

manual), e poderá ajudar a ratificar a informação fornecida

pelo hexdump.

(66)

Processo de Investigação

Magic Numbers

Assinatura do MBR

(67)

Processo de Investigação

Imagem para perícia



Em muitos casos, a criação de uma imagem fiel da mídia

(HD) constitui o ponto de partida de uma investigação



Tal imagem deverá ser o produto de uma cópia bit a bit da

mídia original, e base para uma “dead analysis”



O dd é uma das ferramentas de linha de comando mais

amplamente utilizadas para criação de imagens em

formato raw

(68)

Processo de Investigação

Imagem para perícia

 Em muitos casos, a criação de uma imagem fiel da mídia (HD) constitui o

ponto de partida de uma investigação

 Tal imagem deverá ser o produto de uma cópia bit a bit da mídia original,

e base para uma “dead analysis”

 O dd é uma das ferramentas de linha de comando mais amplamente

(69)

Processo de Investigação

Vantagens das imagens RAW



Independe de ferramentas específicas;



Formato facilmente “montável”



Variedade de ferramentas disponíveis, tanto para

interfaces de linha de comando (CLI), quanto para

interfaces gráficas (GUI)

(70)

Processo de Investigação

Desvantagens das imagens RAW



Não permitem a adição dos dados da investigação ao

arquivo raw



Difícil de montar em caso da segmentação da imagem (por

exemplo, uma imagem de 200GB, segmentada em 5

imagens de 40GB)



Pode tornar algumas operações mais lentas em função do

(71)

Processo de Investigação

Outros tipos de imagens

Expert Witness (E01)



Formato proprietário do EnCase

SGZIP



Formato utilizado pelo pyFlag, baseado no gzip, código

aberto, somente Linux

AFF (Advanced Forensic Format)



Formato aberto e extensível para armazenamento de

imagens de disco



O formato AFF original é constituído por um único arquivo

(72)

Trabalhando com imagens RAW – ferramenta dd

Exemplo 4.1:

(73)

Exemplo 4.2:

Exemplo 4.2: Clonando a partição /boot

Trabalhando com imagens RAW – ferramenta dd

(74)

Esterilização da mídia – disk wiping

Denomina-se disk wiping o processo de sobrescrever-se as

informações da mídia, bit a bit, a fim de garantir-se o

descarte seguro da mesma, sem possibilidade de

recuperação dos dados anteriormente gravados.

Portanto, a utilização de tal técnica sem respaldo nas

políticas de segurança da instituição, poderá caracterizar

comportamento suspeito.

Exemplo 4.3:

Exemplo 4.3: Utilização da ferramenta dd para disk wipe

Trabalhando com imagens RAW – ferramenta dd

(75)

I. SLACK SPACE



O espaço utilizável nos discos rígidos dos computadores é

dividido em setores de igual tamanho.



Quando um usuário precisa armazenar informações, o

sistema operacional aloca automaticamente os sectores a

serem utilizados.



Em muitos casos, a informação a ser armazenada não irá

utilizar todo o espaço disponível no(s) sector(es)

alocado(s).



Quando isso acontece, a informação anteriormente

armazenada no disco permanecerá na parte não utilizada

Obtendo informações escondidas

(76)

I. SLACK SPACE

Obtendo informações escondidas

(77)

I. SLACK SPACE



Isto significa que, mesmo que a maior parte do disco tenha

sido regravada com novos dados, é provável que algumas

evidências ainda permaneçam no slack space, podendo

assim, serem recuperadas através de técnicas forenses.

Obtendo informações escondidas

(78)

I.I Verificando o SLACK SPACE

Obtendo informações escondidas

(79)

I.II Manipulando o SLACK SPACE

Ocultando dados no slack space

Obtendo informações escondidas

string oculta no slack space

string a ocultar no slack space

(80)

I.II Manipulando o SLACK SPACE

Limpando o slack space

Obtendo informações escondidas

string oculta removida

(81)

-

Cenário

Análise de ataques via rede

host 1 host 2

(82)

- Considerações gerais

1.Tenha sempre em mente as características de cada fase

do processo de perícia (coleta, exame, análise e laudo)

2.Na fase de coleta, observe atentamente a ordem de

volatilidade dos dados, preserve o ambiente da melhor

maneira possível, gere o hash de cada arquivo produzido

pela saída dos comandos utilizados. Gere também o

hash de cada ferramenta (comando) utilizada para análise

do sistema

3.Na fase de exame, após a extração/filtragem dos dados

coletados, preserve os arquivos originais obtidos

durante a fase de coleta

Análise de ataques via rede

(83)

- Considerações gerais

4.Na fase de análise, cruze os dados filtrados na etapa

anterior, procurando por inconsistências

5.O laudo deverá ser acompanhado por todo material

coletado – arquivos com a saída dos comando, dump de

memória, imagens das midias, relatório fotográfico, ...

Análise de ataques via rede

(84)

➢

Medidas iniciais para coleta de dados após um ataque

via rede

1.Mantenha a máquina ligada e desconecte o cabo de rede

2.Não interaja desnecessariamente com a máquina

3.Inicie imediatamente a perícia, ou chame um perito

qualificado

4.Neste último caso, acompanhe atentamente o trabalho do

perit

o

Análise de ataques via rede

(85)

FASE I

COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO

Na máquina a ser periciada:

1.Logar como root

2.Montar um dispositivo de armazenamento externo (pen

drive,HD):

Atenção à capacidade de armazenamento do mesmo:

neste dispositivo serão armazenados o dump da RAM, os

arquivos com as saídas dos comandos utilizados durante

a investigação, hashes, ….

Análise de ataques via rede

(86)

- FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO - FASE I – COLETA DE INFORMAÇÕES NO OBJETO QUESTIONADO

Ordem de volatilidade: MEMÓRIA FÍSICA (RAM)

Comandos:

#dd if=/dev/fmem of=dump.ram bs=1M count=<qtde_memo> #dcfldd if=/dev/fmem of=dump.ram bs=1M count=<qtde_memo> [hash=alg1,alg2 hashlog=<nome_arq>]

Comandos relacionados:

 a serem utilizados neste momento apenas em caso de incerteza sobre tais informações,

em caso contrário, deverão ser executados após a realização do dump da memória

• uname -a: determinação da versão do kernel corrente

• cat /etc/lsb-release: determinação da versão da distribuição (UBUNTU) • free -m: determinação da memória física a ser lida pelo comando dd (dcfldd)

Observações:

➢A partir da versão 2.6 do kernel Linux, a opção CONFIG_STRICT_DEVMEM vem habilitada por default, impedindo que dispositivos não autorizados acessem o diretório /dev/mem

➢_{Para possibilitar o acesso ao mesmo, deve-se utilizar o módulo fmem, parte do projeto FORIANA}

Análise de ataques via rede

(87)

Ordem de volatilidade: Status da rede

Comandos:

Verificação das portas e conexões ativas

#netstat -tunap | tee /media/forense/netstat #lsof -i | tee /media/forense/lsof

Verificação de conexões ocultas

#unhide-tcp | tee /media/forense/unhide-tcp

Verificação da tabela de rotas

#route -n | tee /media/forense/route

Verificação das configurações de rede(1)

#ifconfig | tee /media/forense/ifconfig

Análise de ataques via rede

(88)

Ordem de volatilidade: Processos ativos

Comandos:

Verificação dos processos ativos

#ps aux | tee /media/forense/ps

Verificação de processos ocultos

#unhide proc | tee /media/forense/uhproc Comandos relacionados

#unhide sys | tee /media/forense/uhsys #unhide brute | tee /media/forense/uhbrute

Observações:

1. Considera-se nos exemplos, o ponto de montagem da mídia removível como /media/forense

Análise de ataques via rede

(89)

Ordem de volatilidade:

Comandos complementares:

Verificação dos usuários logados no sistema

#w | tee /media/forense/w

#last -F | tee /media/forense/last

Verificação da data/hora do sistema

#date | tee /media/forense/date(1)

Histórico dos comandos emitidos pelo invasor

#history | tee /media/forense/history(2)

Tempo de operação do sistema

#uptime | tee /media/forense/uptime

Análise de ataques via rede

(90)

Inventário dos dispositivos montados

#mount | tee /media/forense/mount

Verificação dos sistemas de arquivos

#df -hT | tee /media/forense/df

Verificação do esquema de particionamento do disco

#fdisk -l | tee /media/forense/fdisk

Inventário dos pacotes instalados

#dpkg -l | tee /media/forense/dpkg

Observações:

1.Considera-se nos exemplos, o ponto de montagem da mídia removível como /media/forense

Análise de ataques via rede

(91)

Módulos carregados pelo kernel

#lsmod | tee /media/forense/lsmod

Observações:

1.Considera-se nos exemplos, o ponto de montagem da mídia removível como /media/forense

Análise de ataques via rede

(92)

Busca e verificação de arquivos

Localizando arquivos de um usuário especifico

Análise de ataques via rede

(93)

Localizando arquivos alterados nos últimos 10 minutos

Análise de ataques via rede

(94)

Localizando arquivos regulares acessados a menos de 1 dia

Análise de ataques via rede

(95)

Localizando arquivos com tamanho zero

Análise de ataques via rede

(96)

Localizando arquivos com permissões especificas

Análise de ataques via rede

(97)

Atestando a integridade dos arquivos gerados

- Gerar dois hashes distintos para cada arquivo gerado:

#md5sum <nome_arq_calc> >> /media/forense/<nome_arq_gravar>

#sha256sum <nome_arq_calc> >> /media/forense/<nome_arq_gravar> Finalizados os procedimentos, desmontar e remover o dispositivo de armazenamento externo, conectando-o a outra máquina, confiável, a fim de verificar-se a correta gravação dos arquivos gerados.

Análise de ataques via rede

(98)

IMAGEM FORENSE (RAW)

- Réplica (cópia) exata, bit a bit, integra, do objeto questionado

TIPOS DE IMAGENS FORENSES (RAW)

- LÓGICA:

Imagem de uma única partição do dispositivo Ex.: /dev/sda1 ; /dev/sda2

- FÍSICA

Imagem contendo todas as partições do dispositivo, mais informações tabela de partições

Análise de ataques via rede

(99)

AQUISIÇÃO DA IMAGEM RAW (POST MORTEM)

• Caso a aquisição da imagem forense venha a ser executada em processo

post mortem, a máquina deverá então ser desligada sem permitir a

escrita de qualquer dado no disco. Para tal, puxe o cabo de alimentação da mesma, ao invés de desligá-la de forma convencional.

• A aquisição da imagem poderá ser feita por equipamentos especializados,

ou pela utilização de live cd forense, uma vez que os sistemas de arquivos deverão ser montados read-only.

• Havendo ou não necessidade de apreensão do objeto questionado, o(s)

formulário(s) da cadeia de custódia deverá(ão) ser corretamente preenchido(s) antes de os trabalhos in loco serem dados como encerrados.

Análise de ataques via rede

(100)

AQUISIÇÃO DA IMAGEM RAW (VIA REDE)

• Caso a aquisição da imagem forense venha a ser executada via rede,

deve-se atentar às condições do ambiente para que o mesmo não comprometa o trabalho de aquisição (redes com altas taxas de perda de pacotes, sniffers na rede, …)

FERRAMENTAS MAIS COMUMENTE UTILIZADAS

• NETCAT

• Utilitário destinado a estabelecer conexões fim-a-fim, clear-text, entre

hosts de uma rede. Rápido, deve ser utilizado para fins forenses apenas em ambientes altamente confiáveis.

•

• SSH

• Utilitário destinado a estabelecer conexões fim-a-fim criptografadas entre

hosts de uma rede. Mais seguro quando comparado ao Netcat, é a opção mais indicada para uso, especialmente, se em ambientes não confiáveis.

Análise de ataques via rede

(101)

- Adquirindo uma imagem RAW com NETCAT - Adquirindo uma imagem RAW com NETCAT

Análise de ataques via rede

TCP

Objeto questionado Estação forense

IP 192.168.10.5 /24 IP 192.168.10.10 /24

listen 9000 #dcfldd if=/dev/sda | nc 192.168.10.10 9000 -q5

(102)

ESTAÇÃO FORENSEESTAÇÃO FORENSE

Análise de ataques via rede

(103)

OBJETO QUESTIONADOOBJETO QUESTIONADO

Análise de ataques via rede

Fechar conexão 5s após término da leitura dos

(104)

- Adquirindo uma imagem RAW com SSH - Adquirindo uma imagem RAW com SSH

Análise de ataques via rede

TCP

Objeto questionado Estação forense

IP 192.168.0.59 /24 IP 192.168.0.58 /24

ssh-server - sem compressão

(105)

- Adquirindo uma imagem RAW com SSH (sem compressão) - Adquirindo uma imagem RAW com SSH (sem compressão)

Análise de ataques via rede

(106)

- Adquirindo uma imagem RAW com SSH (compressão com gzip) - Adquirindo uma imagem RAW com SSH (compressão com gzip)

Análise de ataques via rede

(107)

- Montando imagens RAW - Montando imagens RAW

Verificando as características da imagem_{Verificando as características da imagem}

Análise de ataques via rede

(108)

- Montando imagens RAW - Montando imagens RAW

Análise de ataques via rede

• A saída do fdisk mostra que a imagem RAW física do objeto questionado

tem quatro partições, com sistema de arquivos FAT32

• A primeira partição inicia-se no setor 2048, cada setor possui 512 bytes • O loopback não consegue interpretar a tabela de partições, portanto, para

montagem da imagem raw, é necessário calcular o offset (deslocamento) que indicará onde cada partição se inicia

• offset=<setor de início da partição> x <tamanho do setor>

offset da primeira partição = 2048 x 512 = 1048576

• Como esta imagem é um arquivo, o comando mount deverá utilizar o

dispositivo loop para montá-lo

(109)

- Montando imagens RAW – Montagem da primeira partição - Montando imagens RAW – Montagem da primeira partição

Análise de ataques via rede

Informações da primeira partição

(110)

- Explorando imagens RAW – COMANDO FLS (TSK) - Explorando imagens RAW – COMANDO FLS (TSK)

fls lista os arquivos e nomes de diretório em um sistema de arquivos. Ele processa o fls lista os arquivos e nomes de diretório em um sistema de arquivos. Ele processa o conteúdo de um determinado diretório e pode exibir informações sobre arquivos

conteúdo de um determinado diretório e pode exibir informações sobre arquivos

excluídos. Ver http://wiki.sleuthkit.org/index.php?title=Fls

Análise de ataques via rede

(111)

Análise de ataques via rede

nome da imagem tipo de

(112)

Análise de ataques via rede

arquivo regular deletado *

(113)

- Gerando arquivo body – COMANDO FLS (TSK) - Gerando arquivo body – COMANDO FLS (TSK)

Análise de ataques via rede

output em

(114)

- Criando uma TimeLine – COMANDO MACTIME (TSK) - Criando uma TimeLine – COMANDO MACTIME (TSK)

Análise de ataques via rede

mactime cria uma timeline ASCII com base na saída da ferramenta fls. Ele pode ser usado para detectar comportamentos anormais e reconstruir eventos. O comando fls deve usar a flag -m para gerar uma saída com timestamps.

(115)

Análise de ataques via rede

saída delimitada, gerando arquivo csv

(116)

Visualização do arquivo CSV com LibreOffice CALCVisualização do arquivo CSV com LibreOffice CALC

Análise de ataques via rede

(117)

- Tabela de atividades do comando MACTIME (TSK) - Tabela de atividades do comando MACTIME (TSK)

Análise de ataques via rede

(118)

- Gerando TimeLine com o AUTOPSY (TSK) - Gerando TimeLine com o AUTOPSY (TSK)

Análise de ataques via rede

(119)

Análise de ataques via rede

(120)

Análise de ataques via rede

(121)

Análise de ataques via rede

(122)

Análise de ataques via rede

Na página ao lado, preencha ao menos o campo Host Name, e clique no botão Add Host

(123)

Análise de ataques via rede

Adicionado o novo host, clique em Add Image para adicionar aimagem a analisar

(124)

Análise de ataques via rede

Forneça o caminho para a imagem, escolhendo o tipo e método de impor-tação mais adequados. Clique em NEXT para continuar

(125)

Análise de ataques via rede

(126)

Análise de ataques via rede

Verifique no quadro File System Details os detalhes sobre as partições do disco e clique em ADD

(127)

Análise de ataques via rede

Aguarde o final do processo de verificação e importação da imagem, verifique as infor-mações retornadas pelo sistema,e, estando tudo certo, clique em OK

(128)

Análise de ataques via rede

(129)

Análise de ataques via rede

A criação da TimeLine exige a prévia criação do arquivo de dados, logo, clique na opção Create Data File no menu na parte superior.

(130)

Análise de ataques via rede

(131)

Análise de ataques via rede

(132)

Análise de ataques via rede

Ajuste os parâmetros de saída conforme sua necessidade e clique em OK

(133)

Análise de ataques via rede

O Autopsy iniciará a criação da Timeline, gerando o hash da mesma, e salvando no diretório indicado.

(134)

Análise de ataques via rede

(135)

Anexos

1. Pedofilia

2. Quesitação

3. Estrutura de diretórios Linux

4. Definições

(136)

1. Pedofilia

“Desvio sexual caracterizado pela atração por crianças ou

adolescentes sexualmente imaturos, com os quais os portadores

dão vazão ao erotismo pela prática de obscenidades ou de atos

libidinosos”

Delton Croce (1995)

●

É uma doença e/ou um desvio

de comportamento

●

Não pode ser confundida com

(137)

PEDOFILIA - LEI Nº 11.829, DE25 DE NOVEMBRO DE 2008

Art. 240. Produzir, reproduzir, dirigir, fotografar, filmar ou registrar, por qualquer meio, cena de sexo explícito ou pornográfica, envolvendo criança ou adolescente:

Pena - reclusão, de 4 (quatro) a 8 (oito) anos, e multa.

§ 1o Incorre nas mesmas penas quem agencia, facilita, recruta, coage, ou de qualquer modo intermedeia a participação de criança ou adolescente nas cenas referidas no caput deste artigo, ou ainda quem com esses contracena.

§ 2o Aumenta-se a pena de 1/3 (um terço) se o agente comete o crime: I - no exercício de cargo ou função pública ou a pretexto de exercê-la;

II - prevalecendo-se de relações domésticas, de coabitação ou de hospitalidade; ou III - prevalecendo-se de relações de parentesco consangüíneo ou afim até o terceiro grau, ou por adoção, de tutor, curador, preceptor, empregador da vítima ou de quem, a qualquer outro título, tenha autoridade sobre ela, ou com seu consentimento.

(138)

2. Quesitação

É essencial que os quesitos estejam diretamente relacionados ao

fato investigado, que sejam claros e específicos:

1. Evitar que os quesitos referenciem todo o conteúdo da mídia questionada. Ex.: “Descreva os arquivos existentes no disco rígido”

2. Evitar que os quesitos induzam à verificação individual de todos os arquivos presentes na mídia questionada. Ex.: “Há arquivos relacionados a <tal pessoa ou empresa> na mídia questionada ?”

3. Evitar quesitos que exijam conhecimento jurídico de um perito especialista em informática. Ex.: “Existe algum indício de crime na mídia questionada ?”

4. Sempre que possível, utilizar quesitos específicos, que permitam buscas com base em palavras-chave. Ex.: “Existem na mídia questionada, arquivos relacionados à empresa XPTO ?”

5. Sempre que possível, utilizar quesitos específicos e detalhados: Ex.: “Há, na mídia questionada, mensagens de correio eletrônico enviadas pela conta usuario@dominio.com.br, contendo anexos em formato .pdf ?”

(139)