..:: ARMAS PARA COMBATE AOS CRIMES DIGITAIS ::.. Noções Práticas e Funcionalidades das Ferramentas Forenses
DESAFIOS E MOTIVADORES
Motivadores Fraudes Perpretadas por Empregados ou Terceiros Disputas Contratuais Abusos na Utilização de Email e Internet / Difamação Online; Disputas entre Empregados; Assédio Sexual; Armazenamento Indevido de Imagens Pornográficas e/ou Pedofilia; Roubo de Dados Confidenciais e Espionagem Industrial; Acesso Não Autorizado a Informações; Roubo de recursos computacionais corporativos para uso pessoal; Uso de meios digitais corporativos para planejamento e execução de crimes Falha de sistemas computacionais, causando dano a terceiros deixando margem à reclamações judiciais por quebra de contrato ou negligência; NOÇÕES BÁSICAS
O PROCESSO DA FORENSE COMPUTACIONAL
Principais Fases Preparação Preparação: Pessoas/Infra/ Processos Coleta e Preservação Coleta e Preservação Análise Relatório Análise Relatório: Laudo Técnico FORENSE COMPUTACIONAL Electronic Crime Scene Investigation Guide: A Guide for First Responders, National Institute of Justice, 2001. http://www.ncjrs.gov/pdffiles1/nij/ 187736.pdf
Preparação Processos bem definidos Treinamento de equipes de campo e laboratório Técnico Processual Equipamentos/Software adequados ao trabalho Especializado Adequado ao volume Confiável Padronizado FORENSE COMPUTACIONAL
Coleta e Preservação Existem várias formas de se efetuar a coleta das evidências. É preciso entender as limitações e vantagens de cada uma para escolher a mais adequada. Podemos coletar utilizando: Duplicador Forense SOLO 3 Bloqueadores para desktops (Ultrabay para o FRED + EnCase) Disco de boot (ImageMasster/Helix) Coleta via rede (EnCase FIM) Etc FORENSE COMPUTACIONAL Importante: Espaço de Armazenamento com acesso rápido
Análise Uma das etapas mais técnicas e variáveis Conhecimento sobre sistemas operacionais e seus aplicativos Requer software especializado EnCase, FTK, PRTK, LTU Finder, Gargoyle, StegoSuite, etc... Utilizados em conjunto Ferramentas não forenses podem ajudar (desde que manipuladas corretamente) Para minimizar esforços, podemos criar rotinas padrão de análise, desde que os pedidos de análise também sejam padronizados Procedimentos Padrão Automatização com EnScript FORENSE COMPUTACIONAL
Relatório Importante adaptar a linguagem do relatório ao público alvo Utilizar os recursos dos softwares de análise para gerar os relatórios Menor tempo de confecção Consistência Deve ser claro e sem "opiniões" É o produto final de uma análise forense FORENSE COMPUTACIONAL
Controle Todo o processo deve ser controlado Informação sobre o andamento de cada análise Definição de métricas Tempo gasto por etapa Etapas mais dispendiosas Tempo Recursos (pessoas e equipamentos) Tipos de análise executadas Com informações: Priorizar investimentos em Equipamentos, Treinamento e Pessoal FORENSE COMPUTACIONAL
FUNCIONALIDADES DAS FERRAMENTAS
EnCase Forensics Plataforma de Análise Forense Principal Objetivo: Análise de mídias de armazenamento (HD, pen drives, CD/DVD, cartões de memória, etc...); Flexível: Permite que outros softwares também analisem os dados sem comprometê los; Consistente: Uma única inteface com o usuário; Confiável: Amplamente confrontado em cortes internacionais e nacionais; Aumenta a produtividade: automação de terefas, compartilhamento de resultados e dados com outros intervinientes. FUNCIONALIDADES DAS FERRAMENTAS
EnCase Forensic/FIM Coleta Forense Via Bloqueador Via Cabo Cross Over Via Rede Abertura de outros formatos (DD, VMWare, etc) FUNCIONALIDADES DAS FERRAMENTAS
EnCase Forensic/FIM Formatos A cópia forense ou imagem forense pode ter vários formatos: Linux DD Muito usado Sem controles específicos para forense (integridade e confiabilidade) Sem compactação nativa EnCase Evidence File Utilizado pelo EnCase Funcionalidades para validação forense (Hash e CRC) Compactação nativa Verificação automática FUNCIONALIDADES DAS FERRAMENTAS Cab. CRC Dados CRC Dados CRC Dados CRC Dados CRC MD5
EnCase Forensics Visualização dos dados Uma forma mais eficiente de enxergar toda a estrutura de arquivos e seus conteúdos, independente do sistema de arquivos ou sistema operacional que estava na mídia suspeita e de em qual mídia estavam esses dados. FUNCIONALIDADES DAS FERRAMENTAS
EnCase Forensics Localização de Dados Busca de informações Palavras Chave Index Poucos Termos Buscas específicas Muitos Termos Buscas mais genéricas Mais veloz depois de gerado o index mas requer espaço de armazenamento do arquivo de indexação FUNCIONALIDADES DAS FERRAMENTAS
EnCase Forensics Assinatura de Arquivos Header x Extension Header Primeiros bytes do arquivo Padronizado pela ISO Mais confiável que extensão Extensão Indica o tipo de arquivo no Windows Facilmente alterável Pode "ocultar" informações Cabeçalhos JPEG: ÿøÿà [FF D8 FF E0 ] GIF: GIF87a / GIF89a ZIP: PK Executáveis: MZ Identificando trocas (Signature): Match * [Alias] Unknown!Bad Extension FUNCIONALIDADES DAS FERRAMENTAS
EnCase Forensics Hash Função Hash Função matemática Seu poder depende do algoritmo usado e do tamanho do resultado (bits) É uma função "sem volta" Usada para identificar conteúdos de forma única, "impressão digital" Blacklist Queremos encontrar Whitelist Podemos Ignorar f hash(arquivo) 9d0c0e2cede0ec5eee3b794fb5252811 12ea4945d1110ac1693dacacebe7b187 FUNCIONALIDADES DAS FERRAMENTAS 74bd3dda83bb2f447e5ce8c63d568235
EnCase Forensics Arquivos Compostos Arquivos com estrutura interna Arquivos compactados ZIP, RAR, CAB, JAR... Arquivos de Email Outlook, Notes, Thunderbird... Arquivos do Office Word, Excel, PowerPoint Registro do Windows FUNCIONALIDADES DAS FERRAMENTAS
EnCase Forensics Recuperação de Arquivos Arquivos Apagados Localizar arquivos em áreas livres através de buscas Executar procedimento do EnCase Recuperar dados da lixeira FUNCIONALIDADES DAS FERRAMENTAS
Coleta e Triagem pela Rede FUNCIONALIDADES DAS FERRAMENTAS
HARDWARES PARA FORENSE COMPUTACIONAL
Recomendações Mínimas de Hardware Sistema Médio Processador: 3.8 GHz Hyper Threading/Dual Core Memória: 2 GB Rede: Gigabit Network Card I/O Interfaces: FireWire (400 & 800), USB 2.0, Flash Media Readers: Multi Reader Optical Drive: Dual Layer DVD +/ RW Drive Disco do SO: SATA 10k RPM SCSI Card: Adaptec 29160 Disco para Armazenamento de Evidências: ATA RAID 7200/10k RPM Sistema Operacional: Windows XP Professional ou Windows 2003 Server Monitor: 19 CRT ou LCD duplo Bloqueador de Escrita::FastBloc2 LE and FastBloc SE Sistema Ideal Processador: Quad Xeon or Quad, Dual Core Opterons Memória: 4+ GB Rede: Gigabit Network Card I/O Interfaces: FireWire (400 & 800), USB 2.0, Parallel Flash Media Readers: Multi Reader Optical Drive: Dual Layer DVD +/ RW Disco do OS: U320 LVD SCSI 15k RPM Page file Drive: Sep. U320 LVD SCSI 15k RPM SCSI Card: Adaptec 39160 Disco de Evidências: SCSI RAID 5 Array comprised of 10k ou 15k RPM SCSI Drives SO: Windows 2003 Enterprise Edition Monitor: Triple 19 LCD or single 42 Plasma Bloqueadores de escrita: FastBloc2 LE, FastBloc2 FE & Adaptor Kit, FastBloc SE HARDWARE PARA FORENSE COMPUTACIONAL
8/5/09 Estações de Trabalho e Servidores para Forense Computacional Função Altíssimo poder de processamento Segurança no armazenamento de dados HARDWARE PARA FORENSE COMPUTACIONAL
8/5/09 Bloqueadores de Escrita Função Manutenção da cadeia de custódia Garantir idoneidade técnica Minimizar erros humanos HARDWARE PARA FORENSE COMPUTACIONAL
Duplicador Forense Função Coleta e Duplicação de Dados Conteúdo Aparelho de Coleta e Duplicação Cabos e Adaptadores Bolsa ou Maleta para Transporte Lanterna Manual DUPLICADOR DE DISCOS SOLO3
Coleta de Dados Tipos de Interface Discos Rígidos: IDE, SATA, SCSi Adaptadores Discos Rígidos: ZIF, SAS Outras Variações A facilidade de manipulação de interfaces e atualização de Firmware/Software tornam a ferramenta mais aplicável ao contexto do investigado. DUPLICADOR DE DISCOS SOLO3
Captura de Dados O Modelo Operacional apresenta várias funções de capturas de Dados como: 1. Single Capture 2. LinuxDD Capture 3. LinuxDD Restore 4. LinuxDD Hash 5. Hash Only DUPLICADOR DE DISCOS SOLO3
DUPLICADOR DE DISCOS SOLO3 Captura de Dados via NoteBook
Vantagens de Manuseio Equipamento Portátil e Leve Tela TouchScreen Bloqueador de Escrita Acoplado Flexibilidade de Funções Diversidade de Adaptadores e Cabos Aquisição acima de 3G/min Sanitização de Dados Atualizações on site de Firmeware DUPLICADOR DE DISCOS SOLO3 Utilização do Equipamento
CAPTURA DE DADOS EM CELULARES
Equipamento Função Captura de Dados em Celulares Conteúdo Aparelho de Captura Cabos SIM ID Cloner Maleta para Transporte CAPTURA DE DADOS EM CELULARES.XRY
Aparelhos Atendidos Modelos de Aparelhos Alcatel Apple BenQ Siemens Ericsson HP HTC LG Motorola NEC Nokia Panasonic Sagem Samsung Sanyo Sharp Siemens Sony Ericsson Capacidade de captura de dados dos maiores fabricantes de celulares do mundo, atendendo 669 modelos do mercado internacional, compatíveis com Sistema Operacional Symbian e Windows Mobile. CAPTURA DE DADOS EM CELULARES.XRY
Usabilidade e Aplicabilidade Interface Interface com Idioma em Português Captura Via Infra vermelho, Bluetooth e Cabos Cabos Adaptadores Todas as marcas apresentadas SIM ID Cloner Dispositivo de Clonagem para Investigação CAPTURA DE DADOS EM CELULARES.XRY
Usabilidade e Aplicabilidade Segurança Encriptação de Dados e Cadeia de Custódia Extração de Dados Agenda, Chamadas, Imagens, SMS, MMS, Vídeos, Calendário, Áudio Exportar Microsoft Word, Excel e OppenOffice Relatórios Facilita a Customização de Relatórios CAPTURA DE DADOS EM CELULARES.XRY Novas Technologias Adaptado e totalmente Integrado á Tecnologias Touchscreen
Usabilidade Utilização Ferramenta de fácil instalação, manuseio e com design novo para facilitar a captura, extração e apresentação uniforme de dados coletados. CAPTURA DE DADOS EM CELULARES.XRY
IDENTIFICAÇÃO E ANÁLISE DE IMAGENS
Técnicas para Identificação de Texto Palavras Chave: Busca avançada: GREP( antigo padrão usado desde o Unix que é extremamente poderoso na busca de padrões) Padrão de Busca: f(ulano)?(\.)?(da)?(\.)?(silva)?@empresa\.com O que seria encontrado: fsilva@empresa.com fdasilva@empresa.com fulanosilva@empresa.com fulano.silva@empresa.com fulanodasilva@empresa.com MÉTODOS TRADICIONAIS
Como podemos encontrar imagens hoje? Metadados (nome, tamanho, data de gravação, extensão, etc.) Nome, extensão Original: spider.jpg Data, Tamanho (kb) IMPRECISÃO NAS CONSULTAS Resultados imprecisos
Como podemos encontrar imagens hoje? Hash (identificador único: MD5, SHA1, etc) Hash: 4f0343032b31b43cbdcd855d6b782dc3 Qualquer alteração = 0 resultados IDENTIFICAÇÃO POR HASH Hash: 95f2cf0d3b6a9c7359d87f13ceac1e20
O que pode gerar uma imagem alterada? Thumbnails do Windows (tamanho diferente) Thumbnails de Webmails (Gmail, Hotmail, Yahoo) Temporários do IE/Firefox (nome diferente) Arquivo corrompido (erro de transferência, conteúdo parcial) Photoshop, Paint, etc. (conteúdo alterado) O DESAFIO Várias formas de se modificar o original
Reconhecimento Digital de Imagem A SOLUÇÃO LTU Finder for EnCase
Princípios de Funcionamento A SOLUÇÃO Algoritmo Finder DNA da Imagem cbc8b0f84bcb83e294ae51bf0555e92f
Identificação de Grandes Volumes de Imagens A SOLUÇÃO Evidência DNA referência cbc8b0f84bcb83e294ae51bf0555e92f Localizado cbc8b0f84bcb83e294ae51bf0555e92f(85)
Arquivo de Compartilhamento de Informações A SOLUÇÃO Imagens XML - <dna> <type>50</type> <segmentation_type>100</segmentation_type> <process_type>107</process_type> <resize>128</resize> <binary>rxmzqqqpmidvezqqqqqzh1z5mqqqq qmxvnh1azqalmvwqkm1wapzilzbnei63 +ohzkjyu0q//bfz ETl0R6yWIVIRGGVWh2UhUhE4VVVmZSFCIUc RQ2ZlITNDNhERVlQhMzRWIRERQyFVVWZjIS M1QWaG OKqRSSIhESMkVmE1EREaKUzE</ binary> </dna>
Onde poderia ser utilizado? Pedofilia Utilizando uma base de dados XML (gerada pelo Image Seeker Server) CENÁRIOS Banco de IMG Policial - <dna> <type>50</type> <segmentation_type>100</segmentation_type> <process_type>107</process_type> <resize>128</resize> <binary>rxmzqqqpmidvezqqqqqzh1z5mqqqqqm XVnh1aZqalmVWQkM1WapzIlZBNEI63 +ohzkjyu0q// BFzETl0R6yWIVIRGGVWh2UhUhE4VVVmZSFCIU crq2zlitndnhervlqhmzrwirerqyfvvwzjism1 QWaGOKqRSSIhESMkVmE1EREaKUzE</binary> </dna> Investigadores só carregam XML Nenhum risco de vazamento das imagens originais
Onde poderia ser utilizado? Vazamento de Informações; Desenhos industriais; Mapas; Print Screens de sistemas com informações confidenciais; Identificação de obras de arte roubadas. CENÁRIOS
Onde poderia ser utilizado? Difamação Fotomontagem CENÁRIOS Original encontrada no disco do suspeito Imagem distribuída por email (usada como referência)
Benefícios Análise de Imagens Comparação rápida de imagens coletadas com uma base de dados de referência ou com imagens de referência Acelera dramaticamente a análise de conteúdo gráfico Possibilita a utilização de grandes bases de dados com DNA de Imagem do LTU Finder Crie sua própria base de dados que pode ser armazenada e analisada localmente Aplicável a qualquer tipo de análise de imagens: fraude, vazamento de informação, contra inteligência, etc. Detecta e analisa imagens escondidas (arquivos com extensão trocada) Processa mais de 20 tipos de arquivos de imagem Pode ser encadeado com outros enscripts, permitindo a busca de imagens já apagadas ou em espaços não alocados do disco Compatível com EnCase versões 5 e 6 DNA DE IMAGENS
IDENTIFICAÇÃO E ANÁLISE DE TRÁFEGO DE REDES
Mapeamento Online de Tráfego Utilização Identificação de artefatos e comunicações de internet e redes em tempo real NETWITNESS INVESTIGATOR
Mapeamento Online de Tráfego Identificação automática de: Origem e destinos de conexão, tipos de serviços em uso, portas sendo utilizadas, usuários logados, etc; Coletas de log com garantia de cadeia de custódia. FÁCIL IDENTIFICAÇÃO DE SUSPEITAS
Integração com Google Earth GOOGLE EARTH
CONCLUSÕES
Conclusões Vantagens de uma estrutura planejada para análises forenses Velocidade de análise Profundidade de análise Simplificação de Emissão dos Relatórios Flexibilidade de funções Agilidade para triagem de muitos dados Triagem online in loco CONCLUSÕES Sempre lembrar Fundamental a definição dos processos Outras ferramentas complementares Forense apenas complementa o trabalho de inteligência em uma investigação
CONTATOS Obrigado! Rodrigo Antão rodrigoa@techbiz.com.br www.forensedigital.com.br