TÓPICOS ESPECIAIS II

Transcrição

1 TÓPICOS ESPECIAIS II SEG. DA INFORMAÇÃO COMPUTAÇÃO FORENSE RAFAEL HENRIQUES N. DINIZ

2 MOTIVAÇÃO Defacement

3 MOTIVAÇÃO Phishing

4 MOTIVAÇÃO Golpe do boleto

5 MOTIVAÇÃO Ameaças

6 MOTIVAÇÃO

7 MOTIVAÇÃO Risco

8 MOTIVAÇÃO Perfil de invasores Jovens Conhecimento em tecnologias e ferramentas Varrem a internet buscando alvos Crime organizado Certa distância da vítima não confrontamento Anonimato (utiliza redes públicas, roubadas, Proxys abertos, internet do vizinho).

9 MOTIVAÇÃO Facilidade

10 MOTIVAÇÃO

11 O QUE É? A Computação Forense consiste, basicamente, no uso de métodos científicos para: preservação Coleta Validação Identificação Análise Interpretação documentação e apresentação de evidência digital com validade probatória em juízo.

12 MOTIVAÇÃO BENOSSI, Cláudio

13 MOTIVAÇÃO O princípio de análise forense trabalha com a preocupação em: pré-incidente e pós-incidente. Minimizar perda dos dados Registro de ações Documentação de informações encontradas Imparcialidade***

14 MOTIVAÇÃO Esta nova sub-área permite atuar junto a metodologias como: Engenharia de Software Banco de Dados Redes de Computadores Sistemas Distribuídos Arquitetura e Organização de Computadores Programação Fonte: Wikipédia

15 PERITO DIGITAL (COMPUTACIONAL) Profissional que analisará fatos digitais Evidências Físicas e Lógicas. "O foco do analista forense é procurar recuperar as evidências de forma mais confiável o possível, evitando contaminar ou destruir evidências" Fonte: melloinformatica.blogspot.com

16 PERITO DIGITAL (COMPUTACIONAL) Incidentes de segurança podem acontecer seja um ataque lógico físico. Mais comuns são ataques lógicos como: invasões de servidores ataques de negação de serviço infecção por vírus

17 PERITO DIGITAL (COMPUTACIONAL) Suprir as necessidades das instituições legais para manipulação de evidências eletrônicas Estudar a aquisição, preservação, identificação, recuperação e análise de dados em formato eletrônico Produzir informações diretas e não interpretativas Identificar, rastrear e comprovar a autoria de ações criminosas

18 PERITO DIGITAL (COMPUTACIONAL) Analisa o cenário... Identifica atacante, como a invasão aconteceu, quem realizou determinada invasão. Apura fraudes relacionados à notas fiscais eletrônicas, caixas 2 digitalizados, quebra de arquivos criptografados, enfim, conteúdos que podem servir para um processo.

19 CLASSIFICAÇÃO DO PERITO Perito Criminal (Cível ou Federal): São funcionários públicos que trabalham na polícia, mas não são policiais. Perito Judicial: Nomeado pelo Juiz para cada processo, deve possuir formação e habilidades comprovadas. Não é funcionário público, na maioria das vezes profissional liberal. Assistente Técnico: Nomeado para acompanhar o trabalho do perito judicial. Responsáveis pela elaboração dos laudos críticos Perito Extrajudicial: Responsável pela elaboração de laudos técnicos. BENOSSI, Cláudio

20 COM O QUE O PERITO ATUA? Softwares piratas e arquivos protegidos por direitos autorais Vendas de informações, ex: contas bancárias Códigos maliciosos Identificação de atacantes, usuários anônimos de sites, blogs Recuperação científica de dados, arquivos pornográficos Apuração de irregularidades ou fraudes BENOSSI, Cláudio

21 MODALIDADES DA COMPUTAÇÃO FORENSE Forense Post-Mortem HD's CD'S Drivers Disquetes Telefones GPS Tablets Forense de Rede Redes Cabeadas Redes sem Fio Forense Remota Conexão Online Silenciosa Forense Colaborativa Múltiplos Investigadores Grupos de especialistas

22 COMPUTAÇÃO FORENSE

23 COMPUTAÇÃO FORENSE DINÂMICA DE INCIDENTES OU CRIMES DIGITAIS

24 PERITO DIGITAL (COMPUTACIONAL) Evidência Digital Qualquer tipo de dado digital (armazenado ou transmitido) que possa ajudar a demonstrar que um crime foi cometido, e estabelecer as ligações com a vítima e com o agente.

25 PERITO DIGITAL (COMPUTACIONAL) Evidência Digital Exemplo de Evidências Dispositivo USB Endereço de IP Mensagens de s e instantâneas logs temporários arquivos excluídos registros de impressão sites acessados registo de instalação/desinstalação

26 PERITO DIGITAL (COMPUTACIONAL) Evidência Digital Evidências relacionadas a dispositivos móveis Regitro de ligações mensagens fotos apps registro de conexão à internet sites acessados registros e posições GPS Cadeia de custódia é o conjunto de documentos que registra a posse e a transmissão de uma evidência, desde a sua apreensão até o final do processo na justiça. Nela é realizada uma descrição detalhada de forma a individualizá-la no contexto das evidências de um determinado processo. Além das informações sobre as característica da evidência, contém os instantes em que estas trocaram de mãos, quem deteve a posse, numeração de lacres e alguma outra observação ou registro julgado pertinente por quem a recebe ou entrega.

27 COMPUTAÇÃO FORENSE ELABORAÇÃO DE PROCESSOS DE SEGURANÇA Primeiro Passo: Prevenção de Incidentes Pode surgir de forma física ou Lógica

28 COMPUTAÇÃO FORENSE ELABORAÇÃO DE PROCESSOS DE SEGURANÇA Basicamente, possui quatro etapas: Coleta dos dados: Obter os dados mantendo sua integridade. Armazenar de forma segura os dados e os equipamentos coletados e identificá-los. Exame dos dados: Seleção e utilização das ferramentas e técnicas apropriadas para cada tipo de dado coletado. Análise das informações: Analisar os dados filtrados na etapa de Exame, com intuito de obter informações úteis e relevantes para o caso. Interpretação dos resultados: Criação de um relatório com a descrição dos procedimentos realizados e os resultados obtidos.

29 COMPUTAÇÃO FORENSE ELABORAÇÃO DE PROCESSOS DE SEGURANÇA

30 COMPUTAÇÃO FORENSE ELABORAÇÃO DE PROCESSOS DE SEGURANÇA CUIDADOS Duplicação forense mídias e memória Formulário de Custódia Testemunha sempre próxima

31 COMPUTAÇÃO FORENSE ELABORAÇÃO DE PROCESSOS DE SEGURANÇA Preservação da prova Nunca trabalhar sobre a mídia original Sempre trabalhar na cópia da cópia

32 COMPUTAÇÃO FORENSE ELABORAÇÃO DE PROCESSOS DE SEGURANÇA Cadeia de custódia Cadeia de custódia é o conjunto de documentos que registra a posse e a transmissão de uma evidência, desde a sua apreensão até o final do processo na justiça. Nela é realizada uma descrição detalhada de forma a individualizá-la no contexto das evidências de um determinado processo. Além das informações sobre as característica da evidência, contém os instantes em que estas trocaram de mãos, quem deteve a posse, numeração de lacres e alguma outra observação ou registro julgado pertinente por quem a recebe ou entrega.

33 COMPUTAÇÃO FORENSE ELABORAÇÃO DE PROCESSOS DE SEGURANÇA Lembre-se: Procedimento é tão importante quanto a ferramenta

34 INVESTIGAÇÃO DE CRIMES DE INFORMÁTICA

35 INVESTIGAÇÃO DE CRIMES DE INFORMÁTICA EQUIPAMENTOS LIGADOS (LIVE FORENSICS) Dispositivo Tecnológico: Ligado Atividades em discos e redes Evidências voláteis Possível identificar o invasor

36 INVESTIGAÇÃO DE CRIMES DE INFORMÁTICA EQUIPAMENTOS DESLIGADO: POST MORTEM FORENSICS Dispositivo Tecnológico: desligado Sem atividade de disco ou invasor Evidências voláteis perdidas

37 INVESTIGAÇÃO DE CRIMES DE INFORMÁTICA - DICAS O desligamento dos equipamentos não devem ser realizados pela interrupção de energia, caso ocorra, poderá inviabilizar sua inicialização futura. O desligamento ideal em um sistema operacional Windows, deve-se dar pelo seguinte procedimento: Iniciar > Desligar > Hibernar > Ok Assim, todo o conteúdo da memória será gravado no disco rígido, possibilitando a análise do perito e descobertas que podem ser essenciais à resolução do caso. BENOSSI, Cláudio

38 INÍCIO DA PERÍCIA O primeiro passo para o início da perícia é documentar toda a operação com o material apreendido. Informações como: responsável pela operação, data e hora de início e fim de cada operação BENOSSI, Cláudio

39 INÍCIO DA PERÍCIA Um passo importante é o da duplicação de mídia, assim preserva-se os dados fundamentais, não comprometendo a integridade dos dados. BENOSSI, Cláudio

40 FERRAMENTAS DA PERÍCIA Para o sucesso da investigação pericial, o uso de um kit de ferramentas especiais, com softwares confiáveis para investigação são extremamente necessárias. BENOSSI, Cláudio

41 FERRAMENTAS DA PERÍCIA Um dos softwares necessários ao kit por exemplo, é um prompt de comando confiável, no caso de ser um sistema operacional Windows a ser analisado. Imagine a surpresa ao digitar o comando "dir" e descobrir posteriormente que o invasor havia alterado o comando "dir" para "format", tornando assim a investigação um fracasso. BENOSSI, Cláudio

42 EQUIPAMENTOS DE LABORATÓRIO DE PERÍCIA

43 VÍDEO Marcelo Sampaio - Coordenação de Computação Forense do Instituto de Criminalística da Bahia/Brasil

44 COMPUTAÇÃO FORENSE Até antes de O cracker que fosse identificado durante ou após uma invasão à sistema informático, poderia apenas sofrer consequências civis, que proporcionaria um resultado ou condenação provavelmente na proporção do dano causado. Se não fosse identificado o uso indevido e consequências desse acesso, poderia o cracker sair ileso aos olhos da lei. SLEIMAN, Cristina

45 LEI /2012 LEI CAROLINA DIECKMAN A Lei /2012 também conhecida como Lei Carolina Dieckmann começa a vigorar a partir do dia 02/04/2013 e dispõe sobre a tipificação penal de delitos informáticos. SLEIMAN, Cristina

46 LEI /2012 LEI CAROLINA DIECKMAN Com a vigência da alteração apontada, temos um novo cenário, porquanto a lei inclui a tipificação conforme a seguir: Art. 154 A - Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa. 1o Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput. 2o Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico. 3o Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido: Pena - reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave. SLEIMAN, Cristina SLEIMAN, Cristina

47 LEI /2012 LEI CAROLINA DIECKMAN 4o Na hipótese do 3o, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos. 5o Aumenta-se a pena de um terço à metade se o crime for praticado contra: I - Presidente da República, governadores e prefeitos; II - Presidente do Supremo Tribunal Federal; III - Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou IV - dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal. SLEIMAN, Cristina

48 LEI /2012 LEI CAROLINA DIECKMAN O de engenharia social que engana os usuários para obter vantagem, entendido por muitos como estelionato passaria a ser tratado por este artigo? Ou seja, ao enganar o usuário e instalar um programa malicioso por intermédio de suas ações, ainda que induzido à erro e que permita a sua entrada no computador ou na rede? O artigo171 Código Penal é mais severo: Art Obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento: Pena - reclusão, de 1 (um) a 5 (cinco) anos, e multa. SLEIMAN, Cristina

49 REFERÊNCIAS Escola Superior de Redes Sandro Suffert