Forense Digital / Computacional

CIn UFPE, 2007

Forense Computacional
Agenda
Introduo Cincia Forense
O que Cincia Forense, O que NO Cincia Forense

Forense Digital / Computacional Etapas de Investigao

Coleta, Exame, Analise e Resultados

Tcnicas Forenses
Ferramentas Forenses (etapas da investigao) Tcnicas Anti-Forense

Concluso

Introduo
A Forense Computacional pode ser definida como a cincia que estuda a aquisio, preservao, recuperao e anlise de dados que esto em formato eletrnico e armazenados em algum tipo de mdia computacional.

Cincia Forense
Diz-se da aplicao de campo cientfico especfico investigao de fatos relacionados a crimes e/ou contendas judiciais. Ou simplesmente: A aplicao da Cincia no Direito
The Forensic Science Society (http://www.forensic-science-society.org.uk)

Cincia Forense
Archimedes (287-212 a.C.)
Quantidade real de ouro da Coroa calculada pela teoria do peso especfico dos corpos.

Impresses digitais
Utilizadas no sculo VII como comprovao de dbito (a impresso digital do devedor era anexada conta).

Medicina e Entomologia
Referidas no livro Collected Cases of Injustice Rectified, de Xi Yuan Ji Lu, em 1247.
Foice e moscas, afogamento (pulmo e cartilagens do pescoo), entre outros.

Cincia Forense
Sculo XX A evoluo da Cincia Forense
Pesquisas que conduziram identificao do tipo sanguneo e a anlise e interpretao do DNA; Publicao dos principais estudos referentes aplicao de mtodos e tcnicas utilizadas na investigao de crimes; Criado o The Federal Bureau of Investigation (FBI), uma referncia no que tange investigao de crimes e a utilizao de tcnicas forenses em diversas reas.

Cincia Forense
Atualmente, existem peritos especializados em diversas reas cientficas, entre elas:
Anlise de documentos (documentoscopia); Criminalstica (Balstica, Impresses digitais, substncias controladas); Antropologia (identificao de restos mortais, esqueletos) Arqueologia; Entomologia (insetos, verificao de data, hora e local); Odontologia; Computao (Forense Computacional ou Forense Digital); E outras: Patologia, Psicologia, Toxicologia, Metrologia, ...

O que Cincia Forense No !

Forense Digital/Computacional
Objetivo:
Suprir as necessidades das instituies legais no que se refere manipulao das novas formas de evidncias eletrnicas. Ela a cincia que estuda a aquisio, preservao, recuperao e anlise de dados que esto em formato eletrnico e armazenados em algum tipo de mdia computacional. Atravs da utilizao de mtodos cientficos e sistemticos, para que essas informaes passem a ser caracterizadas como evidncias e, posteriormente, como provas legais de fato.
Forense Computacional: Aspectos Legais e Padronizao
(http://www.ppgia.pucpr.br/~maziero/pesquisa/ceseg/wseg01/14.pdf )

Forense Digital/Computacional
utilizada com fins:
Legais
ex.: investigao de casos de espionagem industrial, roubo de identidade, extorso ou ameaas.

Aes disciplinares internas

ex.: uso indevido de recursos da instituio, ou eventos onde no se deseja chamar a ateno externa

Forense Digital/Computacional
Ocorrncias mais comuns:
Calnia, difamao e injria via e-mail ou web Roubo de informaes confidenciais Remoo de arquivos

Outros crimes:
Pedofilia Fraudes Auxlio ao trfico de drogas e intorpecentes

Etapas da investigao
Fases de um processo de investigao
Coleta
Isolar a rea Coletar evidncias Garantir Integridade Identificar Equipamentos Embalar evidncias Etiquetar evidncias Cadeia de Custdia

Exame
Identificar Extrair Filtrar Documentar

Anlise
Identificar (pessoas, locais e eventos) Correlacionar (pessoas, locais e eventos) Reconstruir a cena Documentar

Resultados obtidos
Redigir laudo Anexar evidncias e demais documentos Comprovar integridade da cadeia de custdia (formulrios e registros)

Search and Seizure Manual - http://www.usdoj.gov/criminal/cybercrime/s&smanual2002.pdf

Coleta de Dados
Identificao de possveis fontes de dados:
Computadores pessoais, laptops; Dispositivos de armazenamento em rede; CDs, DVDs; Portas de comunicao: USB, Firewire, Flash card e PCMCIA; Mquina fotogrfica, relgio com comunicao via USB, etc.

http://www.krollontrack.com.br

Coleta de Dados
Cpia dos dados: envolve a utilizao de ferramentas adequadas para a duplicao dos dados Garantir e preservar a integridade
Se no for garantida a integridade, as evidncias podero ser invalidadas como provas perante a justia A garantia da integridade das evidncias consiste na utilizao de ferramentas que aplicam algum tipo de algoritmo hash

Assim como os demais objetos apreendidos na cena do crime, os materiais de informtica apreendidos devero ser relacionados em um documento (cadeia de custdia) ex. Formulrio de Cadeia de Custdia

Coleta de Dados
Aps a identificao das possveis origens dos dados, o perito necessita adquiri-los. Para a aquisio dos dados, utilizado um processo composto por trs etapas:
Identificao de prioridade; Cpia dos dados; Garantia e preservao de integridade.

Coleta de Dados: Identificao de Prioridade

Identificar a prioridade da coleta: o perito deve estabelecer a ordem (prioridade) na qual os dados devem ser coletados
Volatilidade: dados volteis devem ser imediatamente coletados pelo perito.
Ex.: o estado das conexes de rede e o contedo da memria

Esforo: envolve no somente o tempo gasto pelo perito, mas tambm o custo dos equipamentos e servios de terceiros, caso sejam necessrios.
Ex.: dados de um roteador da rede local x dados de um provedor de Internet

Valor estimado: o perito deve estimar um valor relativo para cada provvel fonte de dados, para definir a seqncia na qual as fontes de dados sero investigadas

Coleta de Dados: Cpia dos dados

Cpia lgica (Backup): as cpias lgicas gravam o contedo dos diretrios e os arquivos de um volume lgico. No capturam outros dados.
arquivos excludos; fragmentos de dados armazenados nos espaos no utilizados, mas alocados por arquivos.

Imagem: imagem do disco ou cpia bitbit-a-bit inclui os espaos livres e os espaos no utilizados:
mais espao de armazenamento, consomem muito mais tempo; permitem a recuperao de arquivos excludos e dados no alocados pelo sistema de arquivos.
Exemplo: setor de 4KB, arquivo com 9KB (3 setores ocupados)
Parte utilizada pelo arquivo Parte no utilizada

Coleta de Dados: Garantia e preservao de integridade

Durante a aquisio dos dados muito importante manter a integridade dos atributos de tempo mtime (modification time), atime (access time) e ctime (creation time) MAC Times.

Exame dos Dados

Finalidade: localizar, filtrar e extrair somente as informaes relevantes investigao.
Devemos considerar:
Capacidade de armazenamento dos dispositivos atuais Quantidade de diferentes formatos de arquivos existentes
Ex.: imagens, udio, arquivos criptografados e compactados

Muitos formatos de arquivos possibilitam o uso de esteganografia para ocultar dados, o que exige que o perito esteja atento e apto a identificar e recuperar esses dados

Em meio aos dados recuperados podem estar informaes irrelevantes e que devem ser filtradas.
Ex.: o arquivo de log do sistema de um servidor pode conter milhares de entradas, sendo que somente algumas delas podem interessar investigao

Exame dos Dados

Aps a restaurao da cpia dos dados, o perito faz uma avaliao dos dados encontrados:
arquivos que haviam sido removidos e foram recuperados; arquivos ocultos; fragmentos de arquivos encontrados nas reas no alocadas; fragmentos de arquivos encontrados em setores alocados, porm no utilizados pelo arquivo.

Anlise dos Dados

Aps a extrao dos dados considerados relevantes, o perito deve concentrar suas habilidades e conhecimentos na etapa de anlise e interpretao das informaes. Finalidade: identificar pessoas, locais e eventos; determinar como esses elementos esto interrelacionados. Normalmente necessrio correlacionar informaes de vrias fontes de dados
Exemplo de correlao: um indivduo tenta realizar um acesso no autorizado a um determinado servidor
possvel identificar por meio da anlise dos eventos registrados nos arquivos de log o endereo IP de onde foi originada a requisio de acesso Registros gerados por firewalls, sistemas de deteco de intruso e demais mecanismos de proteo

Resultados
A interpretao e apresentao dos resultados obtidos a etapa conclusiva da investigao. O perito elabora um laudo pericial que deve ser escrito de forma clara e concisa, listando todas as evidncias localizadas e analisadas. O laudo pericial deve apresentar uma concluso imparcial e final a respeito da investigao.

Resultados
Para que o laudo pericial torne-se um documento de fcil interpretao, indicado que o mesmo seja organizado em sees:
Finalidade da investigao Autor do laudo Resumo do incidente Relao de evidncias analisadas e seus detalhes Concluso Anexos Glossrio (ou rodaps)

Resultados
Tambm devem constar no laudo pericial:
Metodologia Tcnicas Softwares e equipamentos empregados

Com um laudo bem escrito torna-se mais fcil a reproduo das fases da investigao, caso necessrio.

Tcnicas Forenses
Boas prticas que antecedem a coleta dos dados:
Limpar todas as mdias que sero utilizadas ou usar mdias novas a cada investigao; Certificar-se de que todas as ferramentas (softwares) que sero utilizadas esto devidamente licenciadas e prontas para utilizao; Verificar se todos os equipamentos e materiais necessrios (por exemplo, a estao forense, as mdias para coleta dos dados, etc.) esto disposio Quando chegar ao local da investigao, o perito deve providenciar para que nada seja tocado sem o seu consentimento, com o objetivo de proteger e coletar todos os tipos de evidncias Os investigadores devem filmar ou fotografar o ambiente e registrar detalhes sobre os equipamentos como: marca, modelo, nmeros de srie, componentes internos, perifricos, etc.

Manter a cadeia de custdia !!!

Ferramentas Forenses
Algumas ferramentas forenses comumente utilizadas nas etapas:
Coleta dos dados
Avaliar: Live Forensics ou Post-Mortem

Exame dos dados Anlise dos dados

Tcnicas Forenses Coleta de dados volteis

Sempre que possvel e relevante a investigao:
Conexes de rede (netstat (netstat) )

Tcnicas Forenses Coleta de dados volteis

Sesses de Login (EventViewer / who u)
dos usurios; das aes realizadas;

Contedo da memria (WinHEX (WinHEX / dump dump) ) Processos em execuo (ProcessXP (ProcessXP / ps) ps) Arquivos abertos Configurao de rede Data e hora do sistema operacional

Ferramentas Forenses Coleta de dados no volteis

dd (Disk Definition) dcfldd (Department of Defense Computer Forensics Lab Disk Definition) - Verso aprimorada do dd, com mais funcionalidades:
gerao do hash dos dados durante a cpia dos mesmos visualizao do processo de gerao da imagem diviso de uma imagem em partes

Automated Image & Restore (AIR): interface grfica para os comandos dd/ dd/dcfldd
gera e compara automaticamente hashes MD5 ou SHA produz um relatrio contendo todos os comandos utilizados durante a sua execuo elimina o risco da utilizao de parmetros errados por usurios menos capacitados

Ferramentas Forenses Coleta de dados no volteis

Ferramentas Forenses Exame dos dados

Utilizando assinaturas de arquivos comuns, a quantidade de arquivos a ser analisada pode ser reduzida significativamente Ex.: projeto National Software Reference Library (NSRL)
http://www.nsrl.nist.gov/Downloads.htm#isos Total de 43.103.492 arquivos, distribudos em 4 discos

Ferramentas Forenses Exame dos dados

Diversas ferramentas j permitem a utilizao dos bancos de dados citados, por exemplo:
EnCase Autopsy & SleuthKit PyFLAG

Ferramentas Forenses Exame dos dados

EnCase
Padronizao de laudo; Recuperao de dados, banco de dados de evidncias; Anlise de hardwares e logs.

Ferramentas Forenses Anlise dos dados

Utilitrios para construo da linha de tempo dos eventos
Mactime (Componente do SleuthKit)

Utilitrios de navegao em arquivos da estrutura do Sistema Operacional Windows

Pasco - http://www.opensourceforensics.org
Analisa os ndices dos arquivos do Internet Explorer

Galleta (Cookie em espanhol) FoundStone.com

analisa os cookiesexistentes em uma mquina e separa as informaes teis

Ferramentas Anti-forense Destruir/Ocultar dados

Objetivo: destruir, ocultar ou modificar as evidncias existentes em um sistema a fim de dificultar o trabalho realizado pelos investigadores
Tambm podem ser utilizadas antes de venda ou doao de mdias a outras pessoas (evita recuperao de dados)

Destruio dos Dados: para impedir ou pelo menos dificultar a recuperao dos dados, so utilizadas ferramentas conhecidas como wiping tools para a remoo dos dados
Wipe Secure-delete PGP/GPG wipe The Defiler's Toolkit Darik's Boot and Nuke

Ferramentas Anti-forense Destruir/Ocultar dados

Ocultar Dados
Criptografia e esteganografia podem ser aplicados em arquivos, tornando-se uma barreira difcil de ser superada.
Utilizar ferramentas de esteganoanlise em uma mdia de 80GB requer muito tempo e na prtica nem sempre algo vivel de se realizar O mesmo ocorre quando se trata de arquivos criptografados

Ex.:
TrueCrypt, PGP/GPG, Steganos , Hide and Seek, ...

Ferramentas Anti-forense Destruir/Ocultar dados

Outras finalidades
Principalmente focado em dificultar ou impedir o trabalho do perito forense, algumas ferramentas tm como objetivo impedir uma das etapas da investigao:
Metasploit Anti-Forensic Investigation Arsenal (MAFIA) Windows Memory Forensic Toolkit

Concluses
Forense Digital/Computacional um dos aspectos de Segurana de Informaes que chama bastante ateno tanto de corporaes quanto da comunidade cientfica Apesar das diversas ferramentas disponveis que facilitam sobremaneira a ao do perito, a concluso final ainda paira sobre a experincia, competncia e integridade do profissional que conduziu a investigao

Algumas Referncias
Neukamp, Paulo A. Forense Computacional: Fundamentos e Desafios Atuais. 11 Junho de 2007. Universidade do Vale do Rio dos Sinos (UNISINOS). 06 Nov. 2007. http://www.imasters.com.br/artigo/4175/forense/introducao _a_computacao_forense http://www.guidancesoftware.com/pt/products/ee_index.asp