Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Forense Computacional

In progress... - Por EricK Simões e Nathalia Codeceria
by

EricK Simões

on 28 November 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Forense Computacional

Computação
Forense

Metodologia de Resposta
a Incidentes
Forense
Computacional

Continuação:

Medidas necessárias para evitar que a ocorrência do incidente seja repetida.

Ciência Forense
Criminalística
Antropologia Forense
Biologia
Forense
Medicina
Forense
Química
Forense
Desvendamento de crimes
Computação
Forense
Evidência digital
Conceito:
O uso de
métodos científicos
para investigar soluções para problemas relacionados à
preservação
,
coleta
,
restauração
,
identificação
,
documentação
e
apresentação
de
evidências digitais
.
"A aplicação de princípios das
ciências físicas
ao
direito
na
busca da verdade
em questões, criminais e de comportamento social para que
não se cometam injustiças
contra qualquer membro da sociedade."
A coleta de evidências é feita principalmente com base nos dados obtidos a partir dos
discos rígidos
e das demais mídias físicas.

Os mecanismos de rede podem fornecer informações valiosas para análise quando corretamento configurados.
Coleta
Coleta "Online"
As informações devem ser preferencialmente coletadas de acordo com seu tempo de vida.
Na preparação da coleta de perícia, é importante...
Preparação
Dispositivos de
Armazenamento
Volatilidade
Tempo de vida
Registradores e cache
Contém pouca informação aproveitável
Memória de periféricos
Podem possuir informações não disponíveis na memória principal como documentos enviados via fax, imagens exibidas no monitor, etc.
Memória RAM
Contém informações sobre o Sistema operacional e os processos em execução. Podem contem senhas e informações em texto plano que estão cifradas no disco
Discos Rígidos e Mídias Secundárias
Contém a maior parte das informações usadas para extração de evidencias.
Ferramentas
para Análise
Existem hoje, diversos sistemas operacionais baseados em Linux e Software Livre, desenvolvidos exclusivamente para profissionais e estudiosos de Segurança da Informação e Computação Forense.
São informações em formato digital capazes de determinar se um sistema computacional sofreu uma violação, ou que provêem uma ligação com a vítima ou com o atacante.
Principio da
Troca de Locard
:
Toda pessoa que comete um crime digital deixa rastros no sistema comprometido
FDTK
Distribuição Linux especializada em segurança da informação e computação forense, baseada em Ubuntu, tendo como vantagem principal ser toda em
português
. O projeto possui um kit com mais de 100 ferramentas utilizadas para realização de testes, coleta, análises em
forense computacional
. Possui uma interface gráfica amigável e está em constante desenvolvimento.
BACKTRACK
Distribuição Linux com um arsenal de ferramentas para testes que auxiliam os profissionais na realização de avaliações de segurança. Destinado a todos os públicos. Pode ser utilizado para análises diversas, avaliação de aplicação web e sistemas, aprender sobre segurança da informação, estudos de engenharia social, realizar testes de penetração, etc.
SANTOKU
Distribuição Japonesa Linux especializada em segurança da informação e computação forense com foco em
Segurança Mobile
, engenharia reversa e análises de malwares, vírus em dispositivos móveis, nas principais plataformas de smatphones e tablets.
Os recursos contidos nessa distribuição são muito úteis para realização de testes e experiências em segurança móbile.
TCTUtils

(www.porcupine.org/forensics/tct.html)

Utilitários que proveêm funcionalidades extras ao TCP.
Exemplos de utilitários:
bcat
:
Exibe o conteúdo de um bloco de dados presente no sistema de arquivos.
find_file
:
Tenta encontrar o nome de arquivo associado a um inode.
istat
:
Exibe informações sobre um determidado inode.
TASK - The @stake Sleuth Kit
(www.sleuthkit.org)

Engloba as funcionalidades do TCTUtils para análise do sistema de arquivos de diversos SOs(Linux, Windows, Solares...), além de recursos adicionais.
Multi-plataormas.
Exemplos utilitários:
dstat:

Exibe informações sobre um determinado bloco.
fsstat:

Informações detalhadas sobre o sistema de arquivos em uma determinada partição.
AFB - Autopsy Forensic Browser
(www.sleuthkit.org/autopsy)
Provê uma interface gráfica para o TASK.
Métodos e
procedimentos
Simplificam o processo de coleta, armazenamento e análise de evidências.
Contribuem para validar as evidências coletadas em um processo criminal.
Necessitam de uma fase de planejamento para sua correta aplicação.
6 passos (SANS Institute).
SysAdmin, Audit, Networking, and Security
Empresa privada dos EUA especializada em treinamento de segurança da internet.
Preparação:

Planejamento e definições de políticas para lidar com o incidente quando detectado.
Identificação:

Caracterização da ameaça e seus efeitos nos sistemas afetados.
Contenção:

Consiste em limitar o efeito do incidente de modo que atinja o menor numero de sistemas possíveis.
Erradiação:

Estagio no qual as consequencias causadas pelo incidente são eliminadas ou reduzudas.
Recuperação:

retomada das atividades em andamento antes do incidente ocorrer. Também restauração de dados caso necessário.
Dados do CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil )
A internet vem crescendo em todo o mundo, e junto segue crescendo os crimes cibernéticos
Firewalls/Sniffers/Detectores de Intrusão
Roteadores e gateways em geral
Servidores de DNS e Proxy
Servidores de backups
Coletores de fluxos
Registradores, cache;
Memória dos periféricos (ex. vídeo);
Memória RAM;
Tráfego de rede;
Estado do sistema operacional (processos, usuários logados, conexões estabelecidas, etc);
Disco Rígido;
Mídias secundárias (CD-ROMs, backups).
Os sistemas possuem ferramentas e aplicativos exclusivos para realização de testes, análises e atividades da área, tais como:
recuperação de arquivos apagados,
analisadores de logs do sistema e programas,
engenharia reversa,
testes de invasão,
vasculhador de tarefas executadas no sistema,
analisador de protocolos enviados e recebidos na rede,
programas de força bruta para quebrar senhas,
entre outras coisas.
Dúvidas?
Modo de Operação do Atacante
Entender o modo de operação é útil durante a busca por evidências:
Identificação do alvo
Busca por vulnerabilidades
Aumento de privilégio
Reconhecimento do sistema
Instalação de backdoors
Limpeza de rastros
Retorno por um backdoor; inventário e comprometimento de máquinas vizinhas.
"
Backdoor
(Porta dos Fundos) é uma falha de segurança que pode existir em um programa de computador ou sistema operacional, que pode permitir a invasão e consequente controle total da máquina (com total controle podem roubar informações)."
"Um programa de computador pode conter um
Backdoor
implementado. Este recurso é interessante quando um software deve realizar operações de atualização ou validação."
Caso o sistema ainda esteja em funcionamento, pode-se recuperar evidências adicionais.
Forense Digital ToolKit
Erick Simões
Nathalia Codeceira
Full transcript