perícia forense computacional -...

   http://www.gsec.com.br/                    Gustavo C. Pereira ­ 29/05/07

Perícia Forense Computacional

Agenda

● O que é Análise Forense Computacional● O que é Anti­Forense● Perícia Forense● Técnicas Anti­Forense● Referências● Perguntas

O que é Análise Forense Computacional

“Inspeção  sistemática  de  um  sistema  computacional  em busca de evidências ou supostas evidências de um crime ou outra atividade que precise ser inspecionada.”

Wikipedia

● Quem?● O que?● Quando?● Como?

O que é Análise Forense Computacional

O que é Anti­Forense

São  métodos  de  remoção,  ocultação  e  subversão  de evidências  com  o  objetivo  de  mitigar  os  resultados  de  uma análise forense computacional.

Perícia Forense

● Identificação● Preservação● Análise● Apresentação das Evidências

Identificação

Levantamento  de  informações  relevantes  em relação  ao  ocorrido:  nomes,  datas,  empresas, enfim,  tudo  que  possa  ajudar  na  análise  das informações.

Preservação

Toda  informação  deve  ser  legítima  e confiávelmente  intocada.  Deve  se  garantir  que nada  foi  alterado  desde  a  identificação  ou apreenção da mídia a ser análisada.

Análise Física

Análise  de  mídias  danificadas  ou  de  conteúdo desconhecido, assim como arquivos apagados.

Análise Lógica

Análise  das  partições  num  sistema  que  seja capaz  de  entender  o  sistema  de  arquivos  em questão.  E  que  seja  montado  obrigatóriamente como somente leitura. 

Análise  da  memória  e  dos  processos  em execução com dumps previamente realizados.

Análise

É  neste  passo  que  as  informações  realmente interessantes  e  que  tem  relação  com  o  caso serão  levantadas.  Os  arquivos  de  prova  serão coletados  assim  como,  datas,  trilha,  segmento, entre outros.

Apresentação

É o passo em que se apresenta as evidências em um  formato  jurídico  ou  não,  visto  que  nem  toda perícia forense tem o objetivo criminal.

Técnicas Anti­Forense

● Criptografia● Esteganografia● Wipe● Data Hiding● Colisão de MD5

Criptografia

● Criptografia de Partições● Criptografia de Dispositivos USB● Criptografia de Arquivos 

Estegnografia

“Esteganografia  é  o  estudo  e  uso  das  técnicas para  ocultar  a  existência  de  uma  mensagem dentro de outra.” 

Wikipedia

Wipe

É conhecido como uma forma de deleção segura, não  apenas  o  marcando  como  “unlinked”,  mas sobreescrevendo várias vezes o mesmo bloco do disco com lixo.

struct ext3_inode {        __le16  i_mode;           /* File mode */        __le16  i_uid;               /* Low 16 bits of Owner Uid */        __le32  i_size;             /* Size in bytes */        __le32  i_atime;           /* Access time */        __le32  i_ctime;           /* Creation time */        __le32  i_mtime;          /* Modification time */        __le32  i_dtime;           /* Deletion Time */        __le16  i_gid;               /* Low 16 bits of Group Id */        __le16  i_links_count;  /* Links count */        __le32  i_blocks;          /* Blocks count */        __le32  i_flags;             /* File flags */

Wipe

Data Hiding

Talvez uns dos métodos mais utilizados hoje em dia.  Consiste  em  esconder  arquivos  em  lugares não convencionais do sistema.

● Swap● BadBlocks● Imagens / Audio● Espaços não alocados entre partições● Arquivos texto

Data Hiding

Colisão de MD5

MD5  é  utilizado  em  várias  partes  do  sistema, desde  checagem  de  integridade  de  pacotes,  até ferramentas  de  integridade  do  sistema.  Mas  é possível  ter  2  informações  diferentes  com  o mesmo MD5.

Referências

http://en.wikipedia.org/wiki/Digital_Forensic_Toolshttp://www.tucofs.com/tucofs/tucofs.asp?mode=mainmenuhttp://www.guiatecnico.com.br/evidenciadigital/

Perguntas?

Mais Informações:http://www.gsec.com.brgustavo@gsec.com.br