Análise Forense em Redes de Computadores Marcus Fábio Fontenelle, M.Sc. Network+ Security+ ISFS ITILF ITSM20F LPIC-1 MCSE Maio de 2016
Sumário Apresentação Introdução à Análise Computacional Forense Metodologia OSCAR Leitura Recomendada 2
Apresentação Bacharel em Informática (2000) Especialista em Sistemas de Telecomunicações (2003) Mestre em Informática Aplicada (2009) Vice-presidente da APECOF (Associação de Peritos em Computação Forense do Estado do Ceará) Coordenador do Curso de Pós-graduação em Segurança da Informação da Univ ersidade de Fortaleza (UNIFOR) Responsável pelo escritório de projetos de TI da CSP (Companhia Siderúrgica d o Pecém) 3
APECOF www.apecof.org.br 4
Conceitos Relacionados à Computação Forense A ciência forense pode ser definida como: A aplicação de princípios das ciências físic as ao Direito na busca da verdade em questões cíveis, criminais e de comportamento s ocial ara que não se cometam injustiças contra qualquer membro da sociedade. A ciência forense busca desvendar seis elementos: Quem?, O Que?, Quando?, Com o?, Onde? e Por quê?. A perícia forense é o suporte técnico ao judiciário para respostas a quesitos para os q uais o judiciário não dispõe de embasamento suficiente para julgar com precisão. A perícia forense em computação ou computação forense é a área da computação responsável por dar respostas em questões envolvendo sistemas computacionais, seja m objetos da investigação equipamentos, mídias, estruturas computacionais ou que ten ham sido utilizados como meio em atividades sob investigação. A computação forense consiste basicamente no uso de métodos científicos para prese rvar, coletar, validar, identificar, analisar, interpretar, documentar e apresentar as evidências digitais com validade probatória em juízo. 5
Evidência Segundo o dicionário: Informações ou sinais que indicam se uma crença ou proposição é verdadeira ou falsa; Informações utilizadas para estabelecer os fatos em uma investigação legal e ad missível como depoimento em um tribunal. Evidência digital é qualquer evento observável e gravável, ou artefato de um evento, q ue pode ser usado para estabelecer uma verdadeira compreensão da causa e da natur eza de uma ocorrência observada. Evidência digital baseada em rede é a evidência digital que foi produzida como result ado de uma comunicação através de uma rede de computadores. As 5 regras para a evidência digital são: admissibilidade, autenticidade, completude, confiabilidade e credibilidade. 6
Conceitos Relacionados à Computação Forense Segundo o dicionário, perito é um especialista em determinado assunto. O perito digital ou perito em computação forense é o especialista em computação q ue aplica seus conhecimentos em informática aliados a técnicas de investigação e met odologia científica com a finalidade de obtenção de evidências que auxiliem na formula ção de conclusões a cerca de um fato. Há vários tipos de peritos digitais: Perito Criminal (Perito Oficial) Perito Ad Hoc Assistente Técnico Perito Particular As perícias podem ser: Públicas: Ligadas à investigações em processos judiciais; Privadas ou Corporativas: Ligadas à investigação em processos de interesse p articular de pessoas ou empresas, não necessariamente envolvendo o judiciário. 7
Escopo da Investigação e Perícia Investigação extrajudicial Extrajudicial Judicial Equipe interna Profissional externo Empresa externa Ação Judicial Perito Oficial Assistente Técnico Promotor Sindicância Comissão de sindicância Corregedoria Inquérito Policial Investigador Perito Criminal Médico legista 8
Classificação dos Crimes Cibernéticos Condutas Indevidas Praticadas por Computador Crimes Cibernéticos Ações Prejudiciais Atípicas Abertos Exclusivamente Cibernéticos 9
Análise Forense Computacional (Tradicional x Rede) A análise forense computacional tradicional corresponde a atividades periciais em co mputadores tendo por objetivo a análise de mídias de armazenamento em processos de rec uperação e extração de arquivos, classificação e busca de evidências após a coleta e identif icação realizados de forma adequada. A análise forense em redes de computadores (network forensics) consiste na captura, no armazenamento, na manipulação e na análise de dados que trafegam (ou trafegaram) e m redes de computadores, como parte de um processo investigativo. Não é um produto; Não substitui soluções de segurança nem processos; Não envolve somente a captura de tráfego. 10
Objetos de Análise nas Perícias em Redes de Computadores Conteúdo total dos dados Cabeçalho + área de dados (todas as camadas da pilha TCP/IP) Conteúdo parcial dos dados BPF Berkeley Packet Filter Registros em logs Firewalls IDS/IPS Servidores de aplicação (HTTP, FTP, SMTP etc) Sistemas operacionais Tabelas ARP 11
Desafios da Análise nas Perícias em Redes de Computadores Aquisição (origem dos dados) Granularidade dos dados (conteúdo) Armazenamento Integridade Privacidade Admissibilidade Processo de Análise dos Dados 12
Metodologia OSCAR Obter informação (Obtain Information) EStratégia (Strategize) Coletar evidências (Collect evidences) Analisar (Analyze) Relatar (Report) 13
Metodologia OSCAR Obter Informações Descrição do que aconteceu; Data, hora e método de descoberta do incidente; Pessoas envolvidas; Sistemas e dados envolvidos; Ações tomadas desde a descoberta do incidente; Questões legais; Topologia da rede; Modelo de negócio; Fontes disponíveis de evidência; Recursos disponíveis para auxílio na investigação; Prazo para a investigação; Objetivos da investigação. 14
Metodologia OSCAR Estratégia Entender os objetivos e prazos da investigação; Identificar as fontes de evidência e seus respectivos responsáveis; Estimar o valor, o custo e o esforço de coleta para cada fonte de evidência; Fonte da Evidência Valor Esforço Volatilidade Prioridade Logs de Firewall Alto Médio Baixa 2 Cache do Proxy Web Alto Baixo Médio 1 Tabelas ARP Baixo Baixo Alto 3 Priorizar a aquisição de evidências; Decidir qual método de coleta será utilizado; Planejamento inicial de coleta e análise. 15
Metodologia OSCAR Coleta de Evidência Documentação das etapas realizadas; Captura das evidências; Armazenamento e transporte das evidências. Melhores práticas: Colete assim que possível; Faça cópias criptografadas; Analise sempre as cópias; Utilize ferramentas confiáveis e que tenha reputação; Documente tudo o que fizer. 16
Metodologia OSCAR Análise Correlação; Timeline; Eventos de interesse; Corroboração; Recuperação de evidências adicionais; Interpretação. 17
Metodologia OSCAR Relatar O relatório produzido deverá ser: Compreensível por pessoas não técnicas, tais como: Equipe jurídica; Gerentes; Pessoal da área de RH; Juízes; Promotores; Jurados. Defensável em detalhes; Factual. 18
Leitura Recomendada Interligação de Redes com TCP/IP Vol. 1, Douglas Comer, 6ª Ed. TCP/IP Illustrated Vol. 1, Kevin Fall e Richard Stevens, 2ª Ed. Introdução à Análise Forense em Redes de Computadores, Ricardo Kléber M. Galvão. Network Forensics, Sherri Davidoff e Jonathan Ham. Análise de Tráfego em Redes TCP/IP, João Eriberto Mota Filho Wireshark Network Analysis, Laura Chappell, 2ª Ed RFCs (Request for Comments) 19
Obrigado E-mail: marcus.fabio@gmail.com Site: www.marcusfabio.com.br Lista de Discussão: tinyurl.com/grupomf Twitter: twitter.com/marcusfabiof Linkedin: br.linkedin.com/in/marcusfabio 20