Perícia Forense Computacional

Transcrição

1 SegInfo2009::IVWorkshopdeSegurançadaInformação 21,23,24e25deJulhode2009 Unirio::RiodeJaneiro/RJ Perícia Forense Computacional RicardoKléberM.Galvão

2 Contextualização Áreabastanteabrangente(tempoinsuficiente); Apresentaçãodeprincipaisconceitosenvolvidos; Listasnãoexaustivasdetécnicaseferramentas; ScreenshotseLinks(materialcomplementar); Práticalimitadacomprincipaisferramentas; ObjetivoPrincipal:Apresentaroassuntoe estimularoestudonaárea. PeríciaForenseComputacional::RicardoKléber(

3 Definições AnáliseForense Aaplicaçãodeprincípiosdasciênciasfísicasaodireitonabusca daverdadeemquestõescíveis,criminaisedecomportamento socialparaquenãosecometaminjustiçascontraqualquer membrodasociedade (ManualdePatologiaForensedoColégiodePatologistasAmericanos,1990). Levantarevidênciasquecontamahistóriadofato: Quando? Como? Porque? Onde? NormaseProcedimentos PeríciaForenseComputacional::RicardoKléber(

4 Definições AnáliseForenseComputacional Supreasnecessidadesdasinstituiçõeslegais paramanipulaçãodeevidênciaseletrônicas; Estudaaaquisição,preservação,identificação, extração,recuperaçãoeanálisededadosem formatoeletrônico; Produzinformaçõesdiretasenãointerpretativas. PeríciaForenseComputacional::RicardoKléber(

5 Definições AnáliseForenseComputacional ComputaçãoForenseéaciênciaquetratado exame,análiseeinvestigaçãodeumincidente computacional,ouseja,queenvolvama computaçãocomomeio,sobaóticaforense, sendoelacíveloupenal. NacriminalísticaaComputaçãoForensetratao incidentecomputacionalnaesferapenal, determinandocausas,meios,autoriae conseqüências PeríciaForenseComputacional::RicardoKléber(

6 Definições AnáliseForenseComputacional Permiteorastreamento,identificaçãoe comprovaçãodaautoriadeaçõesnãoautorizadas Auxiliaeminvestigaçõesqueapuramdesde violaçõesdenormasinternasacrimes eletrônicos. PeríciaForenseComputacional::RicardoKléber(

7 Definições AnáliseForenseComputacional::AspectosLegais Enquanto não existe uma padronização das metolodologias de análise forense, é feito um paralelo com métodos tradicionais, a fim de se garantir o valor judicial de uma prova eletrônica; É fundamental ao perito a compreensão do Código de Processo Penal - "Capítulo II - Do Exame do Corpo de Delito, e das Perícias em Geral. PeríciaForenseComputacional::RicardoKléber(

8 Definições AnáliseForenseComputacional::AspectosLegais Artigo 170: "Nas perícias de laboratório, os peritos guardarão material suficiente para a eventualidade de nova perícia. Sempre que conveniente, os laudos serão ilustrados com provas fotográficas, ou microfotográficas, desenhos ou esquemas. Artigo 171: "Nos crimes cometidos com destruição ou rompimento de obstáculo a subtração da coisa, ou por meio de escalada, os peritos, além de descrever os vestígios, indicarão com que instrumentos, por que meios e em que época presumem ter sido o fato praticado". PeríciaForenseComputacional::RicardoKléber(

9 Definições AnáliseForenseComputacional::AspectosLegais Adaptação das normas da perícia convencional (Código de Processo Penal); Exemplo: Os peritos deverão guardar material suficiente para nova perícia. (do Código de Processo Penal - Artigo 170) Entende-se que deve-se fazer cópias com assinaturas digitais para análise futura. PeríciaForenseComputacional::RicardoKléber(

10 Primeiros Registros Fraudesnacontabilidadebancária,cometidaspor funcionáriosresponsáveispelaáreadeinformáticada instituição; Fraudescontraogoverno; Fraudescontraousuário. EmCrimebycomputer,oautorDonnB.Parkercitaoprimeiro casoquesetevenotícianoseua,maisprecisamentenoestado deminnesota,noticiadoatravésdominneapolistribunedodia18 deoutubrode1966,sobotítulo"peritoemcomputador ACUSADODEFALSIFICARSEUSALDOBANCÁRIO" PeríciaForenseComputacional::RicardoKléber(

11 Necessidade de Perícia OGartnerGroup,estimaqueosPHISHINGSCAMS, custaram1,2bilhãodedólaresàsadministradoras decartãodecréditoebancosamericanosem2007; Diztambémquecercade57milhõesdeamericanos estiveramsujeitosaestetipodefraudeonlineno mesmoano. PeríciaForenseComputacional::RicardoKléber(

12 Resultados (Operações PF) CAVALO DE TRÓIANovembro/2003 CAVALO DE TRÓIAIIOutubro/2004 CumprimentodeprisõesemPR,SP,MA PEGASUS setembro/2005 Buscasem8EstadosPrisãoemVoltaRedonda RJ ANJODAGUARDAIIAgosto/2005 RioGrandedoSul8Prisões ANJODAGUARDAIJulho/2005 Pará,Maranhão,TocantinseCeará.77prisões MATRIXMarço/2005 Pará,Maranhão,TeresinaeCeará.54prisões 127PrisõesemGoiás,Tocantins,Pará,ES,SPeMG PeríciaForenseComputacional::RicardoKléber(

13 Resultados (Operações PF) GALÁCTICOS agosto/06 Cercade65prisões/Imperatriz/MA REPLICANTE setembro/06 CTRLALTDEL dezembro/06 Cercade60prisões/Goiânia/GO Cerca39prisõesnoPará CARROSSEL dezembro07açãocontraapedofilia Cercade14estadosnoBRe78países PeríciaForenseComputacional::RicardoKléber(

14 Onde é Necessário? Defacementscomviolaçãodedadosdesites; Defacementscomdifamaçãoemsites; Ataquesaservidores; E mailsfalsos; Roubodedados(usandophishingscamp.ex.); Difamação; Ameaças; Retiradasetransferênciasdecontasbancárias; Investigaçõessobrepedofilia; Investigaçõessobrecrimescomunscomindíciosde provasemcomputadorese/oumídias. Etcetcetc... PeríciaForenseComputacional::RicardoKléber(

15 Características do Perito Necessidade de profundos conhecimentos técnicos; Conhecimento de ferramentas específicas; Ética. O perito não é um policial nem juiz... Não pode se envolver pessoalmente em prisões ou julgar os praticantes dos delitos descobertos Caso do aluno homossexual Caso da professora separada PeríciaForenseComputacional::RicardoKléber(

16 Tarefas do Perito Preservar os dispositivos Cópia integral (e fiel) das mídias Hash (resumo criptográfico) para garantir a integridade dos dados Preservação dos Logs Ata Notarial (constatação escrita, atestada por testemunhas, da ocorrência de um fato) PeríciaForenseComputacional::RicardoKléber(

17 Cuidados com a Lei (Privacidade) Invasão de privacidade também é crime o perito não deve invadir sistemas ou analisar dados de um suspeito sem ordem judicial; Quando se analisa servidores de arquivos, antes é feita uma restrição na área de busca para não violar a privacidade de inocentes; Seguir a política de segurança (se houver) da instituição (conhecida por todos os usuários). PeríciaForenseComputacional::RicardoKléber(

18 Reconhecimento da Atividade Legislação do Estado de São Paulo Decreto nº , de 11 de agosto de 2003 Artigo 12 - O Núcleo de Perícias de Informática tem por atribuição realizar perícias visando à elaboração de laudos periciais de locais e peças envolvendo aparelhos computadorizados, "software", "hardware" e periféricos, relacionados com a prática de infrações penais na área de informática. PeríciaForenseComputacional::RicardoKléber(

19 Falta de Padronização Ausência de normas possibilita uma margem de erro muito grande para evidências despercebidas; Procedimentos... Ferramentas... qual deve/pode ser utilizada legalmente? Peritos x Advogados!!! Ex.:BoazGuttman PeríciaForenseComputacional::RicardoKléber(

20 Tentativas de Padronização Proposed Standards for the Exchange of Digital Evidence Scientific Working Group on Digital Evidence (SWGDE) International Principles for Computer Evidence International Organization on Digital Evidence (IOCE) EstespadrõesforamapresentadosduranteaInternational Hi TechCrimeandForensicsConference(IHCFC), realizadaemlondres,de4a7deoutubrode1999. PeríciaForenseComputacional::RicardoKléber(

21 Dificuldades Atuais Omissões na legislação federal existente: Obrigações dos provedores e usuários Retenção de logs de acesso e dados cadastrais Regulamentação de funcionamento: Cyber-cafés Salas de bate-papo Cooperação internacional às vezes é lenta e ineficiente Aumento dos crimes cibernéticos x Número de Peritos Aumento na capacidade de armazenamento Novas técnicas (criptografia/anti-forense) PeríciaForenseComputacional::RicardoKléber(

22 Definições AnáliseForenseComputacional Aquisição Preservação Identificação Extração Recuperação Análise Apresentação(documentação) PeríciaForenseComputacional::RicardoKléber(

23 Aquisição de Dados OqueColetar? Mídias Hds,pendrives,cds,dvds... Dadosemmemória Emanálisescomequipamentosligados Dadostrafegandonarede Eminvestigaçõesdetráfegodeinformações Tambémcomequipamentosligados Dispositivosnãoconvencionais Câmerasdigitais,óculos/relógios/pulseiras...(com dispositivosdearmazenamento). PeríciaForenseComputacional::RicardoKléber(

24 Aquisição de Dados Interfacesexternas(baseadasemUSBe/ou firewire)sãoindicadasparaauxiliaresteprocesso. PeríciaForenseComputacional::RicardoKléber(

25 Aquisição de Dados SerialATA DriveLock WriteProtect CardReader DriveLock Firewire/USB DriveLock IDE SerialATA DriveLock DriveLock PCI/IDE Ousodebloqueadoresdeescritapara aquisiçãoapartirdasmídiasoriginais éfortementerecomendado PeríciaForenseComputacional::RicardoKléber(

26 Aquisição de Dados Maletascomkitsotimizadosparaaquisiçãode dadosdeváriasmídiasestãodisponíveis. PeríciaForenseComputacional::RicardoKléber(

27 Aquisição (Remota) de Dados Mídiasmuitograndese/ouequipamentosdecoleta limitados(ouinexistentes); Usodaredeparaenviodedados; Estaçãopericialremota; Criptografiaéfundamental; PrincipalDificuldade:Atestarintegridadedosdados PeríciaForenseComputacional::RicardoKléber(

28 Aquisição de Dados Dadosarmazenadosforadosequipamentos Sistemasdearquivosremotos; Backupsemprovedoresdeconteúdo; Servidorescorporativosexternos; Datacentersinternacionais. NecessáriaaIntervençãodoJuiz (OrdemJudicial) PeríciaForenseComputacional::RicardoKléber(

29 Preservação de Dados Comomanipulardadossemalteraroseu conteúdooriginal? PeríciaForenseComputacional::RicardoKléber(

30 Preservação de Dados Aalteraçãodedadospodesercomparadaa alteraçãodacenadeumcrimenomundoreal. PeríciaForenseComputacional::RicardoKléber(

31 Preservação de Dados Garantirbloqueiodedadosantesdacópia= Impediralteraçãodamídiaoriginalduranteos procedimentosdeaquisição; Somentedepoisdacópiafieldosdados(atestado porperitosetestemunhas)amídiaoriginalpode serdispensada. PeritoOficial(fépública); PeritoConvidado(necessidadedetestemunhas). PeríciaForenseComputacional::RicardoKléber(

32 Identificação de Dados Todoomaterialapreendidoparaanálisedeveser detalhadamenterelacionadoemumdocumento (CadeiadeCustódia); Ousodeassinaturashash(MD5/SHA1/SHA256)é fundamentalparagarantirqueosdadoscoletadose armazenadoscomoprovanãoserãomodificados futuramente. PeríciaForenseComputacional::RicardoKléber(

33 Extração/Recuperação de Dados Apósacoleta,amanipulaçãodosdadosdas mídiaspodeserfeitapelopróprioperitoou posteriormenteporoutro(inclusiveporumperito contratadoporadvogadosquecontestaramos laudos); Extraçãoéoprocessoderetirardasmídias periciadasasinformaçõesdisponíveis; Recuperaçãoéoprocessodebuscardados removidostotalouparcialmente,propositalmente ounão. PeríciaForenseComputacional::RicardoKléber(

34 Análise de Evidências Éumadasfasesmaisdemoradas,ondeoperito utilizaferramentasetécnicasparaextrair informaçõesdasmídiaspericiadas; Estafaseexigecuidadoespecialemproporção igualaovolumededadosanalisados,jáquenem sempreasevidênciassãoexplícitas(nomese formatosdearquivosp.ex.). PeríciaForenseComputacional::RicardoKléber(

35 Apresentação de Resultados (Laudos Periciais) Estafaseétecnicamentechamadade"substanciação daevidência",poisnelaconsisteoenquadramentodas evidênciasdentrodoformatojurídico,sendoinseridas, pelojuizoupelosadvogados,naesferaciviloucriminal oumesmoemambas; Deverepresentarasconclusõesdoperitoemlinguagem claraparaapresentaçãoemjulgamentos(oucomdados técnicoscomentados). PeríciaForenseComputacional::RicardoKléber(

36 Apresentação de Resultados (Laudos Periciais) OsLaudosdevemconter: FinalidadedaInvestigação; Autor(es)doLaudo(peritosenvolvidos); Resumodocaso/incidente; Relaçãodeevidênciasanalisadaseseusdetalhes; Conclusão; Anexos; Glossário. Metodologia/técnicas/softwaresutilizados. PeríciaForenseComputacional::RicardoKléber(

37 Resumindo... PeríciaForenseComputacional::RicardoKléber(

38 Imagens para Perícia AquisiçãodeumaimagemdeumHDé,emmuitoscasos, opontodepartidadeumainvestigação; Atécnicaconhecidacomo"deadanalysis"determina queohdaseranalisadodeveserclonadobitabite qualqueranálisedeveserfeitanessacópia,deformaa manterohdíntegro; AimagemdevecopiartodososdadosdoHD,incluindo aspartesnãoutilizadas. PeríciaForenseComputacional::RicardoKléber(

39 Imagens para Perícia Oqueutilizar? Existemváriasferramentasparaestatarefa; Amaioriaimplementaomesmoformato(raw); Esseé,literalmente,umacópiafieldoHD; Formatogeradopelaferramendadd(padrão); Entretantonãoéoúnicoformatodisponível. PeríciaForenseComputacional::RicardoKléber(

40 Imagens para Perícia ImagensRAW PontosPositivos: Formatofacilmente montável ; Independedeferramentasespecíficas; Muitasferramentasdisponíveis,tantoparalinhadecomando(CLI)quantopara interfacegráfica(gui); DisponívelemutilitáriostantoparaLinuxquantoparaWindows; ÉpossívelmontarimagensrawdeHDsnoWIndowsusandoprodutosfree, permitindoumasériedeanálisesespecíficasatravésdeutilitáriosquesóexistem emwindows; Muitoútilemanálisesdemalware. PeríciaForenseComputacional::RicardoKléber(

41 Imagens para Perícia ImagensRAW PontosNegativos: Nãopossuicompactação Osarquivosrawsãomuitograndes; Casosejamcompactadosporalgumutilitáriodecompactação(zip,gzip, tar,etc),elesnãopoderãosermontadosdessaforma,requerendoquesejam descompactadosantesdeseremmontadoseusados. Nãoépossíveladicionardadosdainvestigaçãoaoarquivoraw. Todasasinformaçõesrelativasaocasoouaoarquivodevemser armazenadasàparte,emoutrosarquivos/dispositivos; Nãomontafacilmenteseestiverdividido. Parasemontarumaimagemde80Gbdivididaem10pedaçosde8Gb,os pedaçosprecisamserconcatenadosantesesomenteapósissopodemser montados. Algumasoperaçõessãomaislentasdevidoaograndetamanho. PeríciaForenseComputacional::RicardoKléber(

42 Imagens para Perícia OutrosTiposdeImagens ExpertWitness(E01) PropietáriodoEncase Permitecompactação(semperda) SGZIP UtilizadopelopyFlag(baseadonogzip) Compactadomascompossibilidadedemontagemepesquisainterna Código fonteaberto NãomontaemWindows(énecessárioconverterpararawantesdisso) AdvancedForensicFormat(AFF) Tentativadepadronizaçãoesoluçãodeproblemasdosanteriores Usacompactação,tratamentodeerroseoferecebibliotecasparaadaptação Emfasedetestesmascomfortetendênciadeconsolidação. PeríciaForenseComputacional::RicardoKléber(

43 Ferramentas Freeware Shareware(limitações!!??) Comerciais($$$!!??) Pirataria(ética!!??fundamentobásico) PeríciaForenseComputacional::RicardoKléber(

44 Fr e WindowsSysinternals ew ar e Ferramentas Windows Criadoem1996porMarkRussinovichandBryceCogswell CompradapelaMicrosoftemJulho/2006 Ferramentasavançadasparamanipulaçãoecoletade informaçõesdesistemaswindows Forunspermanentesparatirardúvidasecompartilhar informaçõessobreasferramentas. us/sysinternals/default.aspx PeríciaForenseComputacional::RicardoKléber(

45 Ferramentas Windows PrincipaisFerramentas ProcessExplorer ProcessMonitor Autoruns RootkitRevealer TcpView BgInfo Strings PeríciaForenseComputacional::RicardoKléber(

46 Ferramentas Windows ProcessExplorer Listadetalhadadeprocessosemexecução(eDLLs) PeríciaForenseComputacional::RicardoKléber(

47 Ferramentas Windows ProcessExplorer PeríciaForenseComputacional::RicardoKléber(

48 Ferramentas Windows ProcessMonitor PeríciaForenseComputacional::RicardoKléber(

49 Ferramentas Windows Autoruns PeríciaForenseComputacional::RicardoKléber(

50 Ferramentas Windows RootkitRevealer PeríciaForenseComputacional::RicardoKléber(

51 Ferramentas Windows TcpView PeríciaForenseComputacional::RicardoKléber(

52 Ferramentas Windows BgInfo PeríciaForenseComputacional::RicardoKléber(

53 Ferramentas Windows BgInfo PeríciaForenseComputacional::RicardoKléber(

54 Ferramentas Windows DuplicaçãoPericial::Hiren's NortonGhost AcronisTrueImage DriveSnapShot GhostImageExplorer DriveImageExplorer PeríciaForenseComputacional::RicardoKléber(

55 Ferramentas Windows RecuperaçãodeArquivosApagados ActivePartitionRecovery ActiveUneraser OntrackEasyRecoveryPro WinternalsDiskCommander Lost&Found ProsoftMediaTools ActiveUndelete Restoration GetDataBackforFAT GetDataBackforNTFS Recuva PeríciaForenseComputacional::RicardoKléber(

56 Ferramentas Windows DuplicaçãoPericial NortonGhost?? Imagem.GHOe.GHS(formatospropietários) Imagem.VMDK(Vmware) ImageCenter(DriveImage)?? Imagem.PQI(formatopropietário) AcronisTrueImage?? Imagem.TIB(formatopropietário) DriveSnapshot?? Imagem.SNA(formatopropietário) dd(forwindows) Imagem.RAW(maisindicado!!!) PeríciaForenseComputacional::RicardoKléber(

57 Ferramentas Windows DuplicaçãoPericial::dd(forWindows) dd list Listaaspartições(origens) ddif=origemof=destino PeríciaForenseComputacional::RicardoKléber(

58 Ferramentas Windows EnCase DesenvolvidopelaGuidanceSoftware VersõesEnterpriseeForensicEdition +Versãodeusorestrito(PolicyEnforcement) FerramentaComercialMaisConhecidaeRecomendada paraanáliseforenseapartirdemáquinaswindows RelatóriosDetalhados,LinguagemdeScript(EnScript) EnCaseNeutrino(MobileDevices) PeríciaForenseComputacional::RicardoKléber(

59 Ferramentas Windows EnCaseForensicEdition Tela Principal (Identificação de Componentes) PeríciaForenseComputacional::RicardoKléber(

60 Ferramentas Windows EnCaseForensicEdition Criação de Filtros com a Linguagem de Programação EnScript PeríciaForenseComputacional::RicardoKléber(

61 Ferramentas Windows EnCaseForensicEdition [LinEn] Ferramenta de Aquisição de Dados para Linux PeríciaForenseComputacional::RicardoKléber(

62 Ferramentas Windows EnCaseForensicEdition Suporte a Unicode = Exibição de Dados em Várias Línguas PeríciaForenseComputacional::RicardoKléber(

63 Ferramentas Windows EnCaseForensicEdition Suporte a vários sistemas de arquivos como o JFS (IBM/AIX) PeríciaForenseComputacional::RicardoKléber(

64 Ferramentas Windows EnCaseForensicEdition Visualização de s (Mensagens e Anexos) PeríciaForenseComputacional::RicardoKléber(

65 Ferramentas Windows EnCaseForensicEdition Visualização de Cabeçalhos de s PeríciaForenseComputacional::RicardoKléber(

66 Ferramentas Windows EnCaseForensicEdition Visualização Detalhada de Anexos de s PeríciaForenseComputacional::RicardoKléber(

67 Ferramentas Windows EnCaseForensicEdition Histórico (Internet History) com suporte para Internet Explorer, Mozilla, Opera e Macintosh/Safari. PeríciaForenseComputacional::RicardoKléber(

68 Ferramentas Windows EnCaseForensicEdition Web Cache com suporte para Internet Explorer, Mozilla, Opera e Macintosh/Safari. PeríciaForenseComputacional::RicardoKléber(

69 Ferramentas Windows FTK::ForensicToolKit DesenvolvidopelaAccessData ConcorrentedoEnCase Maisfácildeoperar...MenosRecursos Comercial...Porém,maisbarato FTKMobilePhoneExaminer PeríciaForenseComputacional::RicardoKléber(

70 Ferramentas Windows FTK::ForensicToolKit PeríciaForenseComputacional::RicardoKléber(

71 Ferramentas Windows FTK::ForensicToolKit PeríciaForenseComputacional::RicardoKléber(

72 Ferramentas Windows FTK::ForensicToolKit PeríciaForenseComputacional::RicardoKléber(

73 Ferramentas Windows FTK::ForensicToolKit PeríciaForenseComputacional::RicardoKléber(

74 Ferramentas Windows FTK::ForensicToolKit PeríciaForenseComputacional::RicardoKléber(

75 Ferramentas Windows FTK::ForensicToolKit PeríciaForenseComputacional::RicardoKléber(

76 Ferramentas Windows FTK::ForensicToolKit PeríciaForenseComputacional::RicardoKléber(

77 Ferramentas Windows FTK::ForensicToolKit PeríciaForenseComputacional::RicardoKléber(

78 Ferramentas Windows FTK::ForensicToolKit PeríciaForenseComputacional::RicardoKléber(

79 Ferramentas Windows FTK::ForensicToolKit PeríciaForenseComputacional::RicardoKléber(

80 Ferramentas Windows FTK::ForensicToolKit PeríciaForenseComputacional::RicardoKléber(

81 Ferramentas Windows FTK::ForensicToolKit PeríciaForenseComputacional::RicardoKléber(

82 Ferramentas Windows FTK::ForensicToolKit PeríciaForenseComputacional::RicardoKléber(

83 Ferramentas Unix/Linux PeríciaForenseComputacional::RicardoKléber(

84 Ferramentas Unix/Linux Ferramentas Nativas strings Extraimensagensdetexto(strings)dearquivos; Podeserutilizadaemarquivoscomunsoudispositivos grep Procuraporpadrõesemarquivos; UtilizadocomofiltroporvárioscomandosnoLinux. file Identificaotipodearquivo(independentedeextensões) PeríciaForenseComputacional::RicardoKléber(

85 Ferramentas Unix/Linux Aquisição (Coleta de Evidências) Coleta de informações voláteis Conexões TCP # netstat natp tee conexoes.tcp Conexões UDP # netstat naup tee conexoes.udp Processos em Execução # ps aux tee processos PeríciaForenseComputacional::RicardoKléber(

86 Ferramentas Unix/Linux Aquisição (Coleta de Evidências) Coleta de informações voláteis Tráfego para determinado endereço: # tcpdump -n -vv -X -s 1518 host <endereço> -w trafego.dump Otráfegopodeserremontadoposteriormente utilizando seumanalisadordepacotescomoowireshark Arquivos Abertos e Relacionamentos com Processos # lsof tee arquivos PeríciaForenseComputacional::RicardoKléber(

87 Ferramentas Unix/Linux Aquisição (Coleta de Evidências) Coleta de informações voláteis Informações sobre porta específica (TCP) # fuser v <porta>/tcp > porta.tcp Informações sobre porta específica (UDP) # fuser v <porta>/udp > porta.udp Módulos Ativos # lsmod tee a modulos.info # cat /proc/modules tee a modulos.info PeríciaForenseComputacional::RicardoKléber(

88 Ferramentas Unix/Linux Aquisição (Coleta de Evidências) PeríciacomEstaçãoPericialRemota UsodoNetcat(nc) Enviodeinformaçõesparaamáquinaremota: #cat<arquivo> nc<máquinaremota><portaremota> Recebimentodedadosdamáquinapericiada: #nc l p<porta> tee<arquivo> PeríciaForenseComputacional::RicardoKléber(

89 Ferramentas Unix/Linux Aquisição (Coleta de Evidências) Imagemfísicaeimagemlógica Umdispositivodearmazenamentooumídia(HD,CD,pendrive...)possuiuma tabelainternaqueindicacomoodispositivoestádivididonaspartições; CDsependrives,namaioriadasvezes,possuemapenasumapartição; HDs,porém,comumentesãoparticionadosdeformaaorganizarmelhoro armazenamentodearquivos. Umaimagemlógicaéumaimagemforensedeumapartiçãoapenas.Uma imagemfísicacontémtodasaspartiçõesdodispositivomaisatabelade partições.porexemplo,setemosumhdcom3partiçõesemumamáquina comlinux,carregandoessehdcomoumdispositivo(device)hda,teríamos: Imagemfísica=>/dev/hda Imagemlógica=>/dev/hda1,/dev/hda2ou/dev/hda3 PeríciaForenseComputacional::RicardoKléber(

90 Ferramentas Unix/Linux Aquisição (Coleta de Evidências) GeraçãodeImagemPericial Usododd GeraçãodaImagem: # dd if=/dev/hda1 of=imagem.dd Montandoumaimagem: # mount <imagem> <destino> -o ro,loop PeríciaForenseComputacional::RicardoKléber(

91 Ferramentas Unix/Linux Aquisição (Coleta de Evidências) GeraçãodeImagemPericialRemotamente Usododd+ssh GerandoumaImagemdeformasegura(criptografia): # dd if=/dev/hdb2 ssh usuario@estacaopericial dd of=imagem.img PeríciaForenseComputacional::RicardoKléber(

92 Ferramentas Unix/Linux Identificação (Assinatura de Arquivos) IdentificaçãodaImagemPericial VerificandoImagem (integridade): # dd if=/dev/hda1 md5sum b deve ser igual a # dd if=imagem.dd md5sum b Apósageraçãodeumaimagempericialdeve sesempre aplicarohashmd5(ousha1)eanotara assinaturadigital. Issopodeserfeitocomoscomandosmd5sum/sha1sum PeríciaForenseComputacional::RicardoKléber(

93 Ferramentas Unix/Linux Aquisição (Coleta de Evidências) InformaçõesComplementares Apesardeseramaneiramaissimples,outilitárioddnãooferecealgumas funcionalidadesimportantes; Odd_rescueservepararealizaraquisiçõesdemídiascomproblemas(em algumassituaçõeoddéinterrompidoaoencontrarerrosnamídia); Osddrealizaaquisiçõesmaisrápidodoqueodd,quandootamanhode blocodosdevicesdeorigemedestinosãodiferentes; Odcflddpossuiumlogdetodaaoperação,fazdivisãodaimagem(split)e permiteverificardiretamenteaintegridadedaoperaçãoatravésdevários algoritmosdehash; OrddfoidesenvolvidopeloNetherlandsForensicInstitute(NFI)esua documentaçãoindicaqueeleébemmaisrobustoemrelaçãoatratamentode erros,divisãodearquivos(split)ehash. PeríciaForenseComputacional::RicardoKléber(

94 Ferramentas Unix/Linux Aquisição (Coleta de Evidências) InformaçõesComplementares Asinterfacesgráficassão,emsuamaioria,máscarasparaasferramentas emlinhadecomando.ousuárioindicaasopçõesdaaquisição,quesão passadasparaumdosutilitáriosemlinhadecomando. OAdepto,oferecelogsobretodaaoperaçãoeapossibilidadedeseescolher entreusarodcfldd(formatoraw)ouaindaoaff,paraoformatoadvanced ForensicFormat.Nainterfacetambémindicamosqualalgoritmodehashserá usadoparavalidaraoperaçãoesequeremosdividiroarquivodaimagemem porçõesmenores(split).elepermitetambémfazeraaquisiçãotendocomo destinoumdispositivomontado(local),umdispositivosmb(sambaoumesmo umcompartilhamentowindows)ouentãovianetcat. OAir,presentenoHelix,nãoétãocompletoquantooAdeptoemtermosde log,eoferececaptaraimagematravésdoddoudodcfldd.épossível determinaroalgoritmodehash(md5esha 1)eenviaraimagemcapturada atravésdaredecomnetcatoucryptcat(netcatencriptado). PeríciaForenseComputacional::RicardoKléber(

95 Ferramentas Unix/Linux Avaliação (Análise Post-Mortem ) Origem 6deagostode1999; DanFarmerandWietseVenema; IBMT.J.WatsonResearchCenter; Apresentaramapalestra: UNIXComputerForensicsAnalysis,promovidapelaIBM. Primeiraferramenta TheCoroner'sToolkit(TCT) PeríciaForenseComputacional::RicardoKléber(

96 Ferramentas Unix/Linux Avaliação (Análise Post-Mortem ) TCT::TheCoroner'sToolkit ColeçãodescriptsPerl Ferramentasmaisconhecidas: grave robber:capturadeinformações ils/mactime:informaçõessobreacessoaarquivos findkey:recuperaçãodechavescriptográficas unrm/lazarus:recuperaçãodearquivosapagados PeríciaForenseComputacional::RicardoKléber(

97 Ferramentas Unix/Linux Avaliação (Análise Post-Mortem ) TCT::TheCoroner'sToolkit UsodoTCTemrecuperaçãodedadosapagados: unrm+lazarus Visualizaçãoviabrowser Identificaçãodetipo(provável)dedadorecuperado baseadoemlegenda PeríciaForenseComputacional::RicardoKléber(

98 Ferramentas Unix/Linux Avaliação (Análise Post-Mortem ) TCT::TheCoroner'sToolkit Coletadedados(varreduradeáreas apagadas ) unrm /dev/hdb1 >> imagem.out GeraçãodecódigoHTMLparaanálise lazarus -h -D. H. -w. imagem.out -h cria um documento HTML (visualizado por qualquer browser); -D <dir> direciona a escrita dos blocos para um diretório específico; -H <dir> direciona os principais arquivos HTML para um diretório específico; -w <dir> direciona outras saídas HTML para um diretório específico. PeríciaForenseComputacional::RicardoKléber(

99 Ferramentas Unix/Linux Avaliação (Análise Post-Mortem ) TCT::TheCoroner'sToolkit PeríciaForenseComputacional::RicardoKléber(

100 Ferramentas Unix/Linux Avaliação (Análise Post-Mortem ) TCT::TheCoroner'sToolkit Limitações: TipodePartiçãoInvestigada NãoreconhecepartiçõesNTFS,FATeEXT3 InterfacePoucoAmigável Necessárioconhecimentodelegendas Ausênciademecanismodecatalogaçãodeperícias realizadas Framework??? PeríciaForenseComputacional::RicardoKléber(

101 Ferramentas Unix/Linux Avaliação (Análise Post-Mortem ) SleuthKit Coleçãodeferramentasparaanálisedesistemas CapazdeanalisarsistemasdearquivosNTFS,FAT,UFS, EXT2eEXT3 BrianCarrier 2002 InicialmentechamadoT@SK The@stakeSleuthKit BaseadonoTCT BrianCarrierdesenvolveu,antesdoT@SKumconjuntodeferramentas queutilizamfunçõeseestruturasdotctprovendofuncionalidades extras.aestasferramentasdeuonomedetctutils PeríciaForenseComputacional::RicardoKléber(

102 Ferramentas Unix/Linux Avaliação (Análise Post-Mortem ) TheAutopsyForensicBrowser Interfacegráfica(escritaemPerl)paraoSleuthKit BaseadaemHTML,semelhanteaumgerenciadordearquivos Permiteanalisararquivos,diretórios,blocosdedadose i nodes(alocadosouapagados)emumaimagemdesistema dearquivosouemumarquivogeradopelodls. Permiteabuscaporpalavras chaveouexpressõesregulares. PeríciaForenseComputacional::RicardoKléber(

103 Ferramentas Unix/Linux Avaliação (Análise Post-Mortem ) TheAutopsyForensicBrowser Podeserexecutadodiretamentenosistemacomprometido (idealemcasosondenãoépossívelextrairimagensdosistema dearquivos) Montaumframeworkcompossibilidadedearmazenamento decasos(cases)periciaisparaeventualanáliseposterior. Individualizaosinvestigadoresdeummesmocaso (usandoamesmaestaçãopericial) PeríciaForenseComputacional::RicardoKléber(

104 Ferramentas Unix/Linux Avaliação (Análise Post-Mortem ) TheAutopsyForensicBrowser root@estacaopericial:~# autopsy & [1] 1074 root@estacaopericial:~# ============================================================================ Autopsy Forensic Browser ver 1.75 ============================================================================ Evidence Locker: /var/lib/autopsy/ Start Time: Sat Sep 04 09:59: Remote Host: localhost Local Port: 9999 Open an HTML browser on the remote host and paste this URL in it: Keep this process running and use <ctrl-c> to exit PeríciaForenseComputacional::RicardoKléber(

105 Ferramentas Unix/Linux Avaliação (Análise Post-Mortem ) TheAutopsyForensicBrowser Tela Inicial PeríciaForenseComputacional::RicardoKléber(

106 Ferramentas Unix/Linux Avaliação (Análise Post-Mortem ) TheAutopsyForensicBrowser Galeria de Cases (Case Gallery) PeríciaForenseComputacional::RicardoKléber(

107 Ferramentas Unix/Linux Avaliação (Análise Post-Mortem ) TheAutopsyForensicBrowser Galeria de Hosts (Host Gallery) PeríciaForenseComputacional::RicardoKléber(

108 Ferramentas Unix/Linux Avaliação (Análise Post-Mortem ) TheAutopsyForensicBrowser Gerenciador de Hosts (Host Manager) PeríciaForenseComputacional::RicardoKléber(

109 Ferramentas Unix/Linux Avaliação (Análise Post-Mortem ) TheAutopsyForensicBrowser Criando um Novo 'Case' PeríciaForenseComputacional::RicardoKléber(

110 Ferramentas Unix/Linux Avaliação (Análise Post-Mortem ) TheAutopsyForensicBrowser Adicionando uma Nova Imagem PeríciaForenseComputacional::RicardoKléber(

111 Ferramentas Unix/Linux Avaliação (Análise Post-Mortem ) TheAutopsyForensicBrowser Estudo de Caso (Scan do Mês 24 :: 10/2002) Desafio: Analisaraimagemrecuperadadeumdisqueteeresponderasquestõespropostas. 1. Quem são os fornecedores de maconha de Joe Jacobs e qual o endereço informado pelo fornecedor? 2. Que dados cruciais estão disponíveis dentro do arquivo coverpage.jpg e porque estes dados são cruciais? 3. Quais (se existe alguma) outras escolas além da Smith Hill Joe Jacobs frequenta? 4. Para cada arquivo, que procedimentos foram feitos pelo suspeito para mascará-los dentro de outros? 5. Que procedimentos você (investigador) utilizou para examinar com sucesso o conteúdo de cada arquivo? PeríciaForenseComputacional::RicardoKléber(

112 Ferramentas Unix/Linux Avaliação (Análise Post-Mortem ) TheAutopsyForensicBrowser Exercício: Exame de Conteúdo (File Analysis) PeríciaForenseComputacional::RicardoKléber(

113 Ferramentas Unix/Linux Avaliação (Análise Post-Mortem ) TheAutopsyForensicBrowser Exercício: Exame de Conteúdo do Arquivo Apagado PeríciaForenseComputacional::RicardoKléber(

114 Ferramentas Unix/Linux Avaliação (Análise Post-Mortem ) TheAutopsyForensicBrowser Exercício: Exame de Conteúdo do Arquivo Scheduled Visits.exe PeríciaForenseComputacional::RicardoKléber(

115 Ferramentas Unix/Linux Avaliação (Análise Post-Mortem ) TheAutopsyForensicBrowser Exercício: Exame de Conteúdo do Arquivo Scheduled Visits.exe Arquivo.XLS exportado solicitou senha PeríciaForenseComputacional::RicardoKléber(

116 Ferramentas Unix/Linux Avaliação (Análise Post-Mortem ) TheAutopsyForensicBrowser Exercício: Exame de Conteúdo do Arquivo coverpage.jpgc PeríciaForenseComputacional::RicardoKléber(

117 Ferramentas Unix/Linux Avaliação (Análise Post-Mortem ) TheAutopsyForensicBrowser Exercício: Exame de Conteúdo do Arquivo coverpage.jpgc Senha da Planilha??? A planilha contém a lista solicitada pelo Desafio PeríciaForenseComputacional::RicardoKléber(

118 Ferramentas Unix/Linux fense.com/helix/ PeríciaForenseComputacional::RicardoKléber(

119 Ferramentas Unix/Linux OutrosConjuntosdeFerramentasemLive CD ProfessionalHackersLinuxAssaultKit(PHLAK) Knoppixsecuritytoolsdistribution(Knoppix std) PenguinSleuthKitBootableCD ForensicandIncidentResponseEnvironment(F.I.R.E) PeríciaForenseComputacional::RicardoKléber(

120 Ferramentas Unix/Linux OutrosConjuntosdeFerramentasemLive CD FdtkUbuntu BR ForenseDigitalToolkit Projetolivrequeobjetivaproduziremanterumadistribuição paracoletaeanálisededadosemperíciaforensecomputacional PeríciaForenseComputacional::RicardoKléber(

121 Fdtk Ubuntu-BR ColetadeDados Formulário >FormuláriodeCadeiadeCustódia air >Interfacegráficaparadd/dcfldd,paracriarfacilmenteimagensforense dcfldd >VersãoaprimoradapeloDOD(DepartamentofDefense)dodd dd >Ferramentaparageraçãodeimagemdosdados ddrescue >Recuperardadosdehdscomsetoresdefeituosos(badblocks) sdd >VersãodaferramentaddparaFitas(DAT,DLT...) memdump >DumpdememóriaparasistemasUNIX like md5sum >Gerarhashmd5 sha1sum >Gerahashsha(160bits) discover >InformaçõessobreHardware hardinfo >InformaçõeseTestesdoSistema lshw gráfico >ListaosdispositivosdehardwareemformatoHTML sysinfo >Mostrainformaçõesdocomputadoredosistema wipe >RemovertotalmenteosdadosdasMídias PeríciaForenseComputacional::RicardoKléber(

122 Fdtk Ubuntu-BR ExamedeDados(1/2) cabextract >Acessarconteúdodearquivos.cab orange >Ferramentaparamanipulararquivos.cab p7zip >Acessararquivoszip unshield >FerramentaparadescompactararquivosCABdaMS exif >LerinformaçõesEXIFdearquivosjpeg exifprobe >ExamedoconteúdoedaestruturadosarquivosdeJPEGeTIFF exiftags >Adquiririnformaçõessobreacâmeraeasimagensporela produzidas jhead >Visualizaremanipularosdadosdecabeçalhosdeimagensjpeg jpeginfo >Ferramentaparacoletarinformaçõessobreimagensjpeg antiword >FerramentaparalerarquivosdoMS Word dumpster >AcessarosarquivosdalixeiradoWindows readpst >FerramentaparalerarquivosdoMS Outlook reglookup >UtilitárioparaleituraeresgatededadosdoregistrodoWindows regp >Acessaroconteúdodearquivos.dat PeríciaForenseComputacional::RicardoKléber(

123 Fdtk Ubuntu-BR ExamedeDados(2/2) gnome search tool >Ferramentagráficadelocalizaçãodearquivos slocate >Localizaarquivoseindexaosdisco ntfscat >Concatenaarquivosevisualiza ossemmontarapartiçãontfs ntfsclone >ClonarumsistemadearquivosNTFSousomentepartedele ntfsinfo >ObterinformaçõessobrepartiçõesNTFS ntfsls >ListaoconteúdodediretóriosempartiçõesNTFSsemmontá los atback >FerramentapararecuperardadosdesistemasdearquivosFAT foremost >Ferramentapararecuperaçãodeimagensapartirdoscabeçalhos gzrecover >Ferramentaparaextrairdadosdearquivosgzipcorrompidos ntfsundelete >RecuperararquivosdeletadosempartiçõesNTFS recoverjpg >Ferramentapararecuperarimagensjpg scrounge ntfs >FerramentapararecuperardadosdepartiçõesNTFS chkrookit >Ferramentaparaidentificarapresençaderootkitsnosistema rkhunter >Ferramentaparaidentificarapresençaderootkitsnosistema imageindex >Geragaleriadeimagensemhtml PeríciaForenseComputacional::RicardoKléber(

124 Questionamentos PeríciaForenseComputacional::RicardoKléber(