Introdução
• Competências da Perícia Forense Computacional
● Conceitos gerais sobre Forense Computacional
● Especialização em:
● Sistemas operacionais ● Sistemas de arquivos ● Redes e Protocolos
● Criptografia e criptoanálise ● Bom português e redação
● Algum embasamento jurídico, principalmente no modelo brasileiro de coleta e
apresentação das evidências
● Saber coletar evidências em situações diversas (dead acquisition/live acquisition, HD
externo, pen drive, via rede, PDAs, telefones celulares, dispositivos embarcados, etc).
● Conhecimento de técnicas anti-forenses (esteganografia, ocultação de dados, técnicas
de intrusão, etc)
● Lógica investigativa. ● Detalhismo
Introdução
Levantar evidências que contam a história do fato:
● Quando?
● Como?
● Porque?
● Onde?
Introdução
● Suprir as necessidades das instituições legais para manipulação de
evidências eletrônicas
● Estudar a aquisição, preservação, identificação, recuperação e
análise de dados em formato eletrônico
● Produzir informações diretas e não interpretativas
● Identificar, Rastrear e Comprovar a autoria de ações criminosas
Introdução
● Defacements (violação de dados e/ou difamação)
● Roubo de Dados e/ou Negação de Serviço
● E-mails falsos (Phishing Scam, Difamação, Ameaças) ● Transações bancárias (Internet Banking)
● Disseminação de Pragas Vituais, Pirataria e Pedofilia ● Crimes comuns com evidências em mídias digitais ● Etc etc etc...
Introdução
Segundo estimativas do Gartner Group:
● PHISHING SCAMS custaram 1,2 bilhão de dólares às administradoras
de cartão de crédito e bancos americanos em 2007
● Também em 2007, 57 milhões de americanos estiveram sujeitos a
este tipo de fraude online
Introdução
● CAVALO-DE-TRÓIA Novembro/2003
●Captura de senhas por trojan horses
● Pará, Maranhão, Teresina e Ceará. 27 prisões
● CAVALO-DE-TRÓIA II Outubro/2004
● Fraude em home-banking
●Pará, Maranhão, Tocantins e Ceará. 64 prisões
● ANJO DA GUARDA I Julho/2005
● pedofilia
● Buscas em 8 Estados Prisão em Volta Redonda-RJ
Introdução
>> Casos Conhecidos
● ANJO DA GUARDA II Agosto /2005
● pedofilia
● Cumprimento de prisões em PR, SP, MA
● PEGASUS - setembro/2005
● Fraude bancária
● 127 Prisões em Goiás, Tocantins, Pará, ES, SP e MG
● GALÁCTICOS – agosto/06
● Fraude bancária
Introdução
>> Casos Conhecidos
● CTRL ALT DEL – dezembro/06
● Fraude bancária
● Cerca 39 prisões no Pará
● CARROSSEL - dezembro/07
● pedofilia
● Cerca de 14 estados no BR e 78 países
● Mércia Nakashima/ Goleiro Bruno (2010)
Introdução
>> Casos Conhecidos
● Caso Abadia
● O traficante usava e-mails com técnicas de esteganografia para dar ordens a
comandados.
● A técnica usada consistia em alterar o bit menos significativo de cada pixel de uma imagem
colorida de forma que este bit corresponda a um bit da mensagem de texto. Desta forma, cada gatinha enviada podia ser transformada em um arquivo de texto com mensagens de Abadía.
● Caso Dantas
●HDs criptografados
● A policia federal tentou por 5 meses quebrar a criptografia dos arquivos sem sucesso,
apelando então para o FBI que durante 12 meses tentaram quebrar a criptografia e também não conseguiram. Em ambos os casos foi usado a técnica força bruta.
●Os arquivos do Daniel Dantas foram criptografados usando o software livre TrueCrypt, e ao
que parece o algoritmo utilizado para a criptografia foi o AES de 256 bits, o que explicaria a dificuldade em quebrara a criptografia.
Processo Investigativo
● Processo Litigioso: envolve sentença judicial ● Crimes
● Resarcimento de danos ● Culpabilidade (família)
● Processo não litigioso: não envolve sentença judicial ● Empresas (preservação da marca)
Processo Investigativo
● Profundos conhecimentos técnicos
● Conhecimento de ferramentas específicas
● Ética
● Inexistência de envolvimento pessoal ou julgamento dos praticantes
dos delitos
Processo Investigativo
● Cópia integral (e fiel) das mídias
● Verificação de Integridade através de Hashs
● Preservação dos Logs
● Ata Notarial (constatação escrita, atestada por testemunhas, da
ocorrência de um fato)
Processo Investigativo
• Análise de dados e sistemas apenas com autorização do responsável ou ordem judicial
• Restrição na área de busca para não violar a privacidade de inocentes
• Aderência com a Política de Segurança local
Processo Investigativo
•
Processo Investigativo
• Inexistência de Normas e Leis • Cooperação internacional
• Aumento do número de crimes cibernéticos • Aumento na capacidade de armazenamento • Novas técnicas (criptografia/anti-forense)
Processo Investigativo
• Quais procedimentos e/ou ferramentas podem ser utilizados legalmente?
• Obrigações dos provedores e usuários
• Logs de acesso e dados cadastrais (Cyber-cafés e Lan-Houses)
Processo Investigativo
• Na falta de regulamentação específica, é feito um paralelo com métodos tradicionais, a fim de se garantir o valor judicial de uma prova eletrônica
• É fundamental ao perito a compreensão do Código de Processo Penal - "Capítulo II - Do Exame do Corpo de Delito, e das Perícias em Geral”.
Processo Investigativo
• Artigo 170: "Nas perícias de laboratório, os peritos guardarão
material suficiente para a eventualidade de nova perícia. Sempre que conveniente, os laudos serão ilustrados com provas fotográficas, ou microfotográficas, desenhos ou esquemas“.
• Artigo 171: "Nos crimes cometidos com destruição ou rompimento de obstáculo a subtração da coisa, ou por meio de escalada, os
peritos, além de descrever os vestígios, indicarão com que
instrumentos, por que meios e em que época presumem ter sido o fato praticado".
Processo Investigativo
• Exemplo de adaptação das normas da perícia convencional (Código de Processo Penal):
– “...os peritos guardarão material suficiente para a eventualidade de nova perícia...” (do Código de Processo Penal - Artigo 170)
– Entende-se que deve-se fazer cópias com assinaturas digitais para análise futura.
Processo Investigativo
“Todo contato deixa
vestígio”
Edmond Locard
Processo Investigativo
Processo Investigativo
● Definição
Aquilo que determina ou estabelece a verdade de um fato ocorrido no ambiente digital
● Características
Dado + Contexto + Fator Tempo
Processo Investigativo
Aquisição - O que Coletar?
• Mídias: Hds, pendrives, cds, dvds... • Dados em memória: “Live Forensics” • Dados trafegando pela rede
• Dispositivos não convencionais:
Câmeras digitais, óculos/relógios/pulseiras
Processo Investigativo
Interfaces externas auxiliam no processo de aquisição:
Exemplo: IDE/SATA para USB
Processo Investigativo
É recomendado o uso de bloqueadores de escrita (“Write Blockers” ) para aquisição a partir das mídias originais.
Processo Investigativo
Estão disponíveis no mercado Maletas com kits otimizados para aquisição de dados de várias mídias.
Processo Investigativo
Aquisição Remota
• Mídias muito grandes e/ou equipamentos de coleta limitados (ou inexistentes)
• Uso da rede para envio de dados • Estação pericial remota
• Essencial o uso de Criptografia
• Principal Dificuldade: Atestar integridade dos dados
Processo Investigativo
Em alguns casos é necessário uma Ordem Judicial para se ter acesso aos dados:
● Sistemas de arquivos remotos
● Backups em provedores de conteúdo
● Servidores corporativos externos ● Datacenters internacionais
Processo Investigativo
Preservação
• A alteração de dados pode ser comparada a alteração da cena de um crime no mundo real.
• Impedir alteração da mídia original antes e durante os procedimentos de aquisição
• Assinaturas hash são utilizadas para garantir a integridade dos dados coletados
Processo Investigativo
Identificação – Cadeia de Custódia
• Todo o material coletado para análise deve ser detalhadamente relacionado em um documento (Cadeia de Custódia)
Processo Investigativo
>> Tratamento de Evidências
Identificação – Cadeia de Custódia
– Evidências são etiquetadas e lacradas
– A etiqueta deve conter o hash da mídia lacrada e informações sobre a aquisição
– A etiqueta também contém a data/hora e a identificação de quem realizou a aquisição
– A lista é mantida, recebendo uma anotação a cada acesso de alguém à evidência
– Esse registro deve conter a referência a pessoa, a data e a hora que levou e devolveu a evidência.
Processo Investigativo
Extração/Recuperação
• Extração é o processo de retirar as informações disponíveis das mídias
• Recuperação é o processo de buscar dados removidos total ou parcialmente, propositalmente ou não.
• Em alguns casos a manipulação dos dados poderá ser feita por um perito contratado por advogados que contestaram os laudos
Processo Investigativo
Análise
• Extração de Informações a partir dos dados coletados
• Geralmente iniciada pela criação da linha do tempo de atividades
Processo Investigativo
● "Substanciação da evidência"
● Enquadramento das evidências em formato propício para
apresentação em julgamentos
● Deve representar as conclusões do perito em linguagem clara (ou
com dados técnicos comentados)
Processo Investigativo
Os Laudos devem conter:
● Finalidade da Investigação ● Autor(es) do Laudo
● Resumo do incidente
● Relação de evidências analisadas e seus detalhes ● Conclusão
● Anexos ● Glossário
● Metodologia / técnicas / softwares utilizados