perícia forense computacional -...

22
 http://www.gsec.com.br/                Gustavo C. Pereira - 29/05/07 Perícia Forense Computacional

Upload: vannhu

Post on 16-Dec-2018

255 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido

   http://www.gsec.com.br/                    Gustavo C. Pereira ­ 29/05/07

Perícia Forense Computacional

Page 2: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido

   

Agenda

● O que é Análise Forense Computacional● O que é Anti­Forense● Perícia Forense● Técnicas Anti­Forense● Referências● Perguntas

Page 3: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido

   

O que é Análise Forense Computacional

“Inspeção  sistemática  de  um  sistema  computacional  em busca de evidências ou supostas evidências de um crime ou outra atividade que precise ser inspecionada.”

Wikipedia

Page 4: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido

   

● Quem?● O que?● Quando?● Como?

O que é Análise Forense Computacional

Page 5: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido

   

O que é Anti­Forense

São  métodos  de  remoção,  ocultação  e  subversão  de evidências  com  o  objetivo  de  mitigar  os  resultados  de  uma análise forense computacional.

Page 6: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido

   

Perícia Forense

● Identificação● Preservação● Análise● Apresentação das Evidências

Page 7: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido

   

Identificação

Levantamento  de  informações  relevantes  em relação  ao  ocorrido:  nomes,  datas,  empresas, enfim,  tudo  que  possa  ajudar  na  análise  das informações.

Page 8: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido

   

Preservação

Toda  informação  deve  ser  legítima  e confiávelmente  intocada.  Deve  se  garantir  que nada  foi  alterado  desde  a  identificação  ou apreenção da mídia a ser análisada.

Page 9: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido

   

Análise Física

Análise  de  mídias  danificadas  ou  de  conteúdo desconhecido, assim como arquivos apagados.

Page 10: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido

   

Análise Lógica

Análise  das  partições  num  sistema  que  seja capaz  de  entender  o  sistema  de  arquivos  em questão.  E  que  seja  montado  obrigatóriamente como somente leitura. 

Análise  da  memória  e  dos  processos  em execução com dumps previamente realizados.

Page 11: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido

   

Análise

É  neste  passo  que  as  informações  realmente interessantes  e  que  tem  relação  com  o  caso serão  levantadas.  Os  arquivos  de  prova  serão coletados  assim  como,  datas,  trilha,  segmento, entre outros.

Page 12: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido

   

Apresentação

É o passo em que se apresenta as evidências em um  formato  jurídico  ou  não,  visto  que  nem  toda perícia forense tem o objetivo criminal.

Page 13: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido

   

Técnicas Anti­Forense

● Criptografia● Esteganografia● Wipe● Data Hiding● Colisão de MD5

Page 14: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido

   

Criptografia

● Criptografia de Partições● Criptografia de Dispositivos USB● Criptografia de Arquivos 

Page 15: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido

   

Estegnografia

“Esteganografia  é  o  estudo  e  uso  das  técnicas para  ocultar  a  existência  de  uma  mensagem dentro de outra.” 

Wikipedia

Page 16: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido

   

Wipe

É conhecido como uma forma de deleção segura, não  apenas  o  marcando  como  “unlinked”,  mas sobreescrevendo várias vezes o mesmo bloco do disco com lixo.

Page 17: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido

   

struct ext3_inode {        __le16  i_mode;           /* File mode */        __le16  i_uid;               /* Low 16 bits of Owner Uid */        __le32  i_size;             /* Size in bytes */        __le32  i_atime;           /* Access time */        __le32  i_ctime;           /* Creation time */        __le32  i_mtime;          /* Modification time */        __le32  i_dtime;           /* Deletion Time */        __le16  i_gid;               /* Low 16 bits of Group Id */        __le16  i_links_count;  /* Links count */        __le32  i_blocks;          /* Blocks count */        __le32  i_flags;             /* File flags */

Wipe

Page 18: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido

   

Data Hiding

Talvez uns dos métodos mais utilizados hoje em dia.  Consiste  em  esconder  arquivos  em  lugares não convencionais do sistema.

Page 19: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido

   

● Swap● BadBlocks● Imagens / Audio● Espaços não alocados entre partições● Arquivos texto

Data Hiding

Page 20: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido

   

Colisão de MD5

MD5  é  utilizado  em  várias  partes  do  sistema, desde  checagem  de  integridade  de  pacotes,  até ferramentas  de  integridade  do  sistema.  Mas  é possível  ter  2  informações  diferentes  com  o mesmo MD5.

Page 21: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido

   

Referências

http://en.wikipedia.org/wiki/Digital_Forensic_Toolshttp://www.tucofs.com/tucofs/tucofs.asp?mode=mainmenuhttp://www.guiatecnico.com.br/evidenciadigital/

Page 22: Perícia Forense Computacional - grsecurity.com.brgrsecurity.com.br/apostilas/forense/pericia_forense.pdf · perícia forense tem o objetivo criminal. ... Wikipedia Wipe É conhecido

   

Perguntas?

Mais Informações:http://[email protected]