Documente Academic
Documente Profesional
Documente Cultură
Forense Computacional
Agenda
Introduo Cincia Forense
O que Cincia Forense, O que NO Cincia Forense
Tcnicas Forenses
Ferramentas Forenses (etapas da investigao) Tcnicas Anti-Forense
Concluso
Introduo
A Forense Computacional pode ser definida como a cincia que estuda a aquisio, preservao, recuperao e anlise de dados que esto em formato eletrnico e armazenados em algum tipo de mdia computacional.
Cincia Forense
Diz-se da aplicao de campo cientfico especfico investigao de fatos relacionados a crimes e/ou contendas judiciais. Ou simplesmente: A aplicao da Cincia no Direito
The Forensic Science Society (http://www.forensic-science-society.org.uk)
Cincia Forense
Archimedes (287-212 a.C.)
Quantidade real de ouro da Coroa calculada pela teoria do peso especfico dos corpos.
Impresses digitais
Utilizadas no sculo VII como comprovao de dbito (a impresso digital do devedor era anexada conta).
Medicina e Entomologia
Referidas no livro Collected Cases of Injustice Rectified, de Xi Yuan Ji Lu, em 1247.
Foice e moscas, afogamento (pulmo e cartilagens do pescoo), entre outros.
Cincia Forense
Sculo XX A evoluo da Cincia Forense
Pesquisas que conduziram identificao do tipo sanguneo e a anlise e interpretao do DNA; Publicao dos principais estudos referentes aplicao de mtodos e tcnicas utilizadas na investigao de crimes; Criado o The Federal Bureau of Investigation (FBI), uma referncia no que tange investigao de crimes e a utilizao de tcnicas forenses em diversas reas.
Cincia Forense
Atualmente, existem peritos especializados em diversas reas cientficas, entre elas:
Anlise de documentos (documentoscopia); Criminalstica (Balstica, Impresses digitais, substncias controladas); Antropologia (identificao de restos mortais, esqueletos) Arqueologia; Entomologia (insetos, verificao de data, hora e local); Odontologia; Computao (Forense Computacional ou Forense Digital); E outras: Patologia, Psicologia, Toxicologia, Metrologia, ...
Forense Digital/Computacional
Objetivo:
Suprir as necessidades das instituies legais no que se refere manipulao das novas formas de evidncias eletrnicas. Ela a cincia que estuda a aquisio, preservao, recuperao e anlise de dados que esto em formato eletrnico e armazenados em algum tipo de mdia computacional. Atravs da utilizao de mtodos cientficos e sistemticos, para que essas informaes passem a ser caracterizadas como evidncias e, posteriormente, como provas legais de fato.
Forense Computacional: Aspectos Legais e Padronizao
(http://www.ppgia.pucpr.br/~maziero/pesquisa/ceseg/wseg01/14.pdf )
Forense Digital/Computacional
utilizada com fins:
Legais
ex.: investigao de casos de espionagem industrial, roubo de identidade, extorso ou ameaas.
Forense Digital/Computacional
Ocorrncias mais comuns:
Calnia, difamao e injria via e-mail ou web Roubo de informaes confidenciais Remoo de arquivos
Outros crimes:
Pedofilia Fraudes Auxlio ao trfico de drogas e intorpecentes
Etapas da investigao
Fases de um processo de investigao
Coleta
Isolar a rea Coletar evidncias Garantir Integridade Identificar Equipamentos Embalar evidncias Etiquetar evidncias Cadeia de Custdia
Exame
Identificar Extrair Filtrar Documentar
Anlise
Identificar (pessoas, locais e eventos) Correlacionar (pessoas, locais e eventos) Reconstruir a cena Documentar
Resultados obtidos
Redigir laudo Anexar evidncias e demais documentos Comprovar integridade da cadeia de custdia (formulrios e registros)
Coleta de Dados
Identificao de possveis fontes de dados:
Computadores pessoais, laptops; Dispositivos de armazenamento em rede; CDs, DVDs; Portas de comunicao: USB, Firewire, Flash card e PCMCIA; Mquina fotogrfica, relgio com comunicao via USB, etc.
http://www.krollontrack.com.br
Coleta de Dados
Cpia dos dados: envolve a utilizao de ferramentas adequadas para a duplicao dos dados Garantir e preservar a integridade
Se no for garantida a integridade, as evidncias podero ser invalidadas como provas perante a justia A garantia da integridade das evidncias consiste na utilizao de ferramentas que aplicam algum tipo de algoritmo hash
Assim como os demais objetos apreendidos na cena do crime, os materiais de informtica apreendidos devero ser relacionados em um documento (cadeia de custdia) ex. Formulrio de Cadeia de Custdia
Coleta de Dados
Aps a identificao das possveis origens dos dados, o perito necessita adquiri-los. Para a aquisio dos dados, utilizado um processo composto por trs etapas:
Identificao de prioridade; Cpia dos dados; Garantia e preservao de integridade.
Esforo: envolve no somente o tempo gasto pelo perito, mas tambm o custo dos equipamentos e servios de terceiros, caso sejam necessrios.
Ex.: dados de um roteador da rede local x dados de um provedor de Internet
Valor estimado: o perito deve estimar um valor relativo para cada provvel fonte de dados, para definir a seqncia na qual as fontes de dados sero investigadas
Imagem: imagem do disco ou cpia bitbit-a-bit inclui os espaos livres e os espaos no utilizados:
mais espao de armazenamento, consomem muito mais tempo; permitem a recuperao de arquivos excludos e dados no alocados pelo sistema de arquivos.
Exemplo: setor de 4KB, arquivo com 9KB (3 setores ocupados)
Parte utilizada pelo arquivo Parte no utilizada
Muitos formatos de arquivos possibilitam o uso de esteganografia para ocultar dados, o que exige que o perito esteja atento e apto a identificar e recuperar esses dados
Em meio aos dados recuperados podem estar informaes irrelevantes e que devem ser filtradas.
Ex.: o arquivo de log do sistema de um servidor pode conter milhares de entradas, sendo que somente algumas delas podem interessar investigao
Resultados
A interpretao e apresentao dos resultados obtidos a etapa conclusiva da investigao. O perito elabora um laudo pericial que deve ser escrito de forma clara e concisa, listando todas as evidncias localizadas e analisadas. O laudo pericial deve apresentar uma concluso imparcial e final a respeito da investigao.
Resultados
Para que o laudo pericial torne-se um documento de fcil interpretao, indicado que o mesmo seja organizado em sees:
Finalidade da investigao Autor do laudo Resumo do incidente Relao de evidncias analisadas e seus detalhes Concluso Anexos Glossrio (ou rodaps)
Resultados
Tambm devem constar no laudo pericial:
Metodologia Tcnicas Softwares e equipamentos empregados
Com um laudo bem escrito torna-se mais fcil a reproduo das fases da investigao, caso necessrio.
Tcnicas Forenses
Boas prticas que antecedem a coleta dos dados:
Limpar todas as mdias que sero utilizadas ou usar mdias novas a cada investigao; Certificar-se de que todas as ferramentas (softwares) que sero utilizadas esto devidamente licenciadas e prontas para utilizao; Verificar se todos os equipamentos e materiais necessrios (por exemplo, a estao forense, as mdias para coleta dos dados, etc.) esto disposio Quando chegar ao local da investigao, o perito deve providenciar para que nada seja tocado sem o seu consentimento, com o objetivo de proteger e coletar todos os tipos de evidncias Os investigadores devem filmar ou fotografar o ambiente e registrar detalhes sobre os equipamentos como: marca, modelo, nmeros de srie, componentes internos, perifricos, etc.
Ferramentas Forenses
Algumas ferramentas forenses comumente utilizadas nas etapas:
Coleta dos dados
Avaliar: Live Forensics ou Post-Mortem
Contedo da memria (WinHEX (WinHEX / dump dump) ) Processos em execuo (ProcessXP (ProcessXP / ps) ps) Arquivos abertos Configurao de rede Data e hora do sistema operacional
Automated Image & Restore (AIR): interface grfica para os comandos dd/ dd/dcfldd
gera e compara automaticamente hashes MD5 ou SHA produz um relatrio contendo todos os comandos utilizados durante a sua execuo elimina o risco da utilizao de parmetros errados por usurios menos capacitados
Destruio dos Dados: para impedir ou pelo menos dificultar a recuperao dos dados, so utilizadas ferramentas conhecidas como wiping tools para a remoo dos dados
Wipe Secure-delete PGP/GPG wipe The Defiler's Toolkit Darik's Boot and Nuke
Ex.:
TrueCrypt, PGP/GPG, Steganos , Hide and Seek, ...
Concluses
Forense Digital/Computacional um dos aspectos de Segurana de Informaes que chama bastante ateno tanto de corporaes quanto da comunidade cientfica Apesar das diversas ferramentas disponveis que facilitam sobremaneira a ao do perito, a concluso final ainda paira sobre a experincia, competncia e integridade do profissional que conduziu a investigao
Algumas Referncias
Neukamp, Paulo A. Forense Computacional: Fundamentos e Desafios Atuais. 11 Junho de 2007. Universidade do Vale do Rio dos Sinos (UNISINOS). 06 Nov. 2007. http://www.imasters.com.br/artigo/4175/forense/introducao _a_computacao_forense http://www.guidancesoftware.com/pt/products/ee_index.asp