1
Distribuições em Software Livre para Forense Computacional gilberto@sudre.com.br http://gilberto.sudre.com.br
3
Agenda» Perícia Computacional Forense» Análise de vestígios» Etapas de uma perícia Digital» Ferramentas» Conclusão 4
Trabalho publicado» Pesquisador Prof. Gilberto Sudré» Orientandos Alexandre Mello de Carvalho Francine Perovano Batista Lorenna Rocha Rosa Ramiro Ceolin Lirio 5
Perícia Computacional Forense
Perícia Computacional Forense Perícia Forense aplicada a Tecnologia da Informação é a ciência que visa a proteção, investigação, recuperação, coleta, identificação e análise de evidências aplicadas dentro de um processo legal. Estes procedimentos visam, dentro do possível, determinar o curso das ações executadas pelo Agente, recriando assim, o cenário completo acerca dos fatos ocorridos no mundo digital. Gilberto Sudre 7
Perícia Computacional Forense» Em breve a maioria dos casos de justiça irão envolver meios digitais Demitir ou quebrar contrato Provar fatos Leis de Privacidade Ajudar na recuperação dos dados 8
Perícia Computacional Forense» Toda investigação de um crime virtual tem como base as evidências e informações coletadas» Só que estas evidências e informações estão em um disco rígido, em um celular, em um código malicioso, nos códigos fontes, etc» A computação forense é matéria do direito criminal e visa a verdade real a fim de que os infratores sejam punidos e a sociedade preservada 9
Perícia Computacional Forense» Incidente já ocorreu!» Busca descobrir Quem? O quê? Quando? Como? Onde? Por quê? Alcance? 10
Análise de vestígios» Arquivos de log» Espaços não utilizados no dispositivo de armazenagem» Arquivos temporários» Área de Swap» Setor de BOOT» Memória» Periféricos» Comportamento de processos 11
Expectativa de Vida das informações Informação Tempo Registradores, memória de periféricos, caches, etc. Nano segundos Memória Principal Nano segundos Conexões de Rede Milissegundos Processos Ativos Segundos Discos Rígidos Minutos a anos Disquetes, CD-ROMs, mídias de backup, etc. Anos Fonte: FARMER, 2005 12
Etapas de uma perícia Digital Fonte: Fases de um processo de investigação (NEUKAMP, 2012) 13
Ferramentas
Ferramentas» Proprietárias Auto custo Fomentam a utilização de ferramentas sem licenciamento Versões antigas Ex: Encase e a FTK (Forensic Toolkit)» Distribuições Linux Foco em Forense Computacional Aderentes a metodologia da investigação Adequadas para ensino e uso profissional 15
Ferramentas» Backtrack» CAINE - Computer Aided INvestigative Environment» DEFT Linux - Digital Evidence & Forensic Toolkit» FDTK Forensic Digital Toolkit» PeriBR 16
17
Backtrack» Origem: Suíça Whax e Auditor Security Collection» Site: http://www.backtrack-linux.org» Baseada no Slackware» Foco em testes de segurança e testes de penetração» Live CD/DVD ou instalação no computador 18
Backtrack» Contém mais de 300 ferramentas para análise e testes de vulnerabilidades» Modo Forense Inicia o computador sem um disco de swap» Modo invisível Não gera o tráfego de rede típico de um sistema que está sendo iniciado 19
20
21
Caine Computer Aided INvestigative Environment» Origem: Itália» Site: http://www.caine-live.net» Objetivo Criar um ambiente grafico amigável que auxilie o investigador digital durante as quatro fases da investigação digital» Gera uma compilação semi-automática do relatório final 22
Caine Computer Aided INvestigative Environment Fonte: Interface principal do CAINE (VIERA, 2011) 23
Caine Computer Aided INvestigative Environment» Versões Máquina virtual (VM) Live-CD Caine Portable NBCaine Caine-From-Deb» Mais de 80 ferramentas para voltadas WinTaylor Específica para forense de Windows 24
Caine Computer Aided INvestigative Environment 25
26
Deft Digital Evidence & Forensic Toolkit» Origem: Itália http://www.deftlinux.net» Live-CD» Baseada no Ubuntu» Não utiliza a partição swap no sistema submetido à análise 27
Deft Digital Evidence & Forensic Toolkit» Ferramentas exclusivas Dhash: Calculo do hash de um arquivo ou de um dispositivo de armazenamento (MD5, SHA-1 e SFV) XPlico: Decodificador de tráfego de internet Catfish: Buscador de arquivos» Ferramentas para forense em Windows» DART (Digital Advanced Response Toolkit) Reúne software voltados para a respostas à incidentes 28
Deft Digital Evidence & Forensic Toolkit Fonte: Tela DART (FRATEPIETRO et al, 2009) 29
30
FDTK Forense Digital ToolKit» Criada por Paulo Neukamp Trabalho de conclusão do curso de Segurança da Informação da Unisinos» Site: http://www.fdtk.com.br» Baseada no Ubuntu» Focada em Forense Computacional» Utilização profissional e formação de novos técnicos 31
FDTK Forense Digital ToolKit» Reúne as qualidades das seguintes distros DEFT, BackTrack, INSERT, FCCU, Helix, Operator, PHLAK, L.A.S. Linux, nubuntu e Knoppix-STD» Possui mais de 100 ferramentas Divididas em três etapas: coleta, exame e análise das evidências» Ophcrack Ferramenta capaz de revelar a senha de sistemas Windows 32
33
34
35
PeriBR» Desenvolvida como trabalho de pós-graduação em perícia digital da Universidade Católica de Brasília» Site: http://sourceforge.net/projects/peribr/files/» O menu formado por categorias Fases de uma investigação» Scripts foram criados para exibir informações sobre as ferramentas 36
PeriBR» FDTK foi usada como base para o desenvolvimento» Não realiza a montagem automática de dispositivos» Quando é feita a montagem do dispositivo ele fica em read-only por padrão» Ponto negativo Só existe a versão 1.0 37
Conclusão
Conclusão» A tecnologia e a Internet trouxeram melhorias enormes para os negócios e para as pessoas» Este ambiente digital criou um novo terreno para os criminosos» Novas técnicas de análise e investigação são necessárias para o levantamento de evidências 39
Conclusão» As técnicas de análise e ferramentas evoluem a cada dia!» E os crimes também!!!» Existem ferramentas livres eficientes que podem ser utilizadas de forma profissional para a execução de uma perícia 40
Agradecimentos» Revista Espírito Livre» Ifes» Alunos / Orientandos Alexandre Mello de Carvalho Ramiro Ceolin Lirio Francine Perovano Batista Lorenna Rocha Rosa 41
Mais Informações
http://labseg.ifes.edu.br 43
http://gilberto.sudre.com.br 44
http://direitoepericiadigital.com.br 45
47