Segurança em Redes de Computadores e Administração de Sistemas Investigação Forense Computacional Forense Digital / Computacional Cássio D. B. Pinheiro cdbpinheiro@gmail.com Santarém 2014 Objetivos Contextualizar e apresentar os conceitos fundamentais sobre Investigação Forense Computacional, detalhando ainda os conceitos sobre Ciência Forense e sua ramificação Computacional. Ao final da aula o aluno deverá ser capaz de identificar os elementos fundamentais da Investigação Computacional, podendo assim melhor absorver conceitos mais aprofundados sobre o assunto. 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 2
Atividade Prática Enviar fake mail (http://www.anonymailer.net/) Destino: e-mail do colega a direita Origem: seu_nome@fakeiespes.fak.br Assunto: Prática 1.1 de IFC Conteúdo: Seu nome Enviar fake mail (http://deadfake.com/) Destino: cdbpinheiro@gmail.com Origem: seu_nome@fakeiespes.fak.br Assunto: Prática 1.2 de IFC Conteúdo: Seu e-mail real 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 3 Introdução Sumário Cybercrimes Conceitos Fundamentais Ciência Forense Forense Computacional Onde Mora o Perigo 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 4
Atualmente torna-se cada vez mais necessário para profissionais de TI e organizações o domínio de técnicas de análise forense computacional. Introdução Alguns fatores que justificam esta demanda são: Aumento de notícias sobre Crimes ou Delitos de Informática e Fraudes Informatizadas ; Apelo crescente por Segurança e por Legislação; Uma nova exigência legal: as Evidências Digitais; Uma nova demanda do mercado: o Perito Digital. 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 5 Existe Crime Perfeito? Introdução Em 1910 Edmond Locard, um oficial da polícia francesa, estabeleceu o seguinte princípio - Todas as pessoas deixam marcas de contato totalmente identificáveis. Seu relatório provou ser o pano de fundo para a atual ciência forense. Criminalistas analisam as fibras da cena do crime e são capazes de identificar os menores detalhes tipo de roupas, origem e até o fabricante. Através de uma simples fibra, a análise pode afirmar a presença de um suspeito no local e conseguir sua condenação. 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 6
Cybercrimes No conhecidos Cybercrimes são utilizados dispositivos eletrônicos, computadores e Internet para cometer crimes. Mais difícil de ser investigado devido à possibilidade de anonimato; As evidências podem estar distribuídas em diversos servidores; Possibilidade de clonagem ou desvio de origem do ataque. 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 7 Cybercrimes Segundo estatísticas, em 2006, aproximadamente duzentos milhões de dólares foram perdidos em fraudes eletrônicas. Cerca de 76% dos casos reportados tiveram o e-mail como meio de comunicação com a vítima. Investigações começam a depender de conhecimento técnico para desvendar crimes cibernéticos - forense computacional. 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 8
Ocorrências mais comuns: Cybercrimes Calúnia, difamação e injúria via e-mail; Roubo de informações confidenciais; Remoção de arquivos. Outros crimes: Pedofilia; Fraudes; Tráfico de drogas via Internet. 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 9 Criminalística / Forensics Conceitos Fundamentais Ciência auxiliar do Direito Penal que tem como objeto a descoberta de crimes e a identificação de seus autores. Evidência / Prova Digital Qualquer informação de valor probatório armazenada em meio digital. Análise Forense Aplicação de princípios das ciências físicas ao direito, na busca da verdade em questões cíveis, criminais e de comportamento social para que não se cometam injustiças... 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 10
Forense Computacional Conceitos Fundamentais Conjunto de técnicas para coletar, reunir, identificar, examinar, correlacionar, analisar e apresentar evidências digitais processadas por computadores. Perícia Forense em Redes de Computadores Estudo do tráfego de redes, para procurar a verdade em questões cíveis, criminais e administrativas; Usada para proteger usuários e recursos de exploração, invasão de privacidade e qualquer outro crime promovido pela expansão das redes. 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 11 Conceitos e Aplicações Ciência Forense Aplicação de campo científico específico à investigação de fatos relacionados a crimes e/ou contendas judiciais. A aplicação da Ciência no Direito. A análise forense computacional, ou digital, consiste em um conjunto de técnicas para coletar e examinar de evidências digitais, reconstruir dados e ataques, identificar e rastrear invasores. 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 12
Evolução Ciência Forense Archimedes (287-212 a.c.) Quantidade real de ouro da Coroa calculada pela teoria do peso específico dos corpos. Impressões digitais (século VII) Utilizadas como comprovação de débito - a impressão digital do devedor era anexada à conta. 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 13 Evolução - Século XX Ciência Forense Pesquisas que conduziram à identificação do tipo sanguíneo e a análise e interpretação do DNA; Publicação dos principais estudos referentes à aplicação de métodos e técnicas utilizadas na investigação de crimes; Criado o The Federal Bureau of Investigation (FBI), uma referência no que tange à investigação de crimes e a utilização de técnicas forenses em diversas áreas. 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 14
Ciência Forense Existem peritos especializados em diversas áreas científicas: Análise de documentos (documentoscopia); Antropologia (identificação de restos mortais, esqueletos); Criminalística (Balística, Impressões digitais); Entomologia (insetos, verificação de data, hora e local); Outras: Computação, Arqueologia, Odontologia, Patologia, Psicologia, Toxicologia, Metrologia,... 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 15 Pode ser definida como: Forense Computacional Inspeção científica e sistemática em ambientes computacionais, com a finalidade de angariar evidências derivadas de fontes digitais. Possibilita a promoção e reconstituição dos eventos encontrados; Pode determinar se o ambiente em análise foi utilizado na realização de atividades ilegais ou não autorizadas. Ciência que estuda a aquisição, preservação, recuperação e análise de dados que estão em formato eletrônico e armazenados em algum tipo de mídia computacional. 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 16
Objetivos Forense Computacional Suprir as necessidades das instituições legais no que se refere à manipulação das novas formas de evidências eletrônicas; Fazer com que, através da utilização de métodos científicos e sistemáticos, as informações passem a ser caracterizadas como evidências e, posteriormente, como provas legais de fato. 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 17 Aspectos Gerais Envolvidos Leis; Processos; Motivação; Componente humano. Focos Forense Computacional Tecnologia (hardware e software) aplicada aos aspectos técnicos da Forense Digital; Resposta a Incidentes. 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 18
Finalidades Forense Computacional Legais Investigação de casos de espionagem industrial, roubo de identidade, extorsão ou ameaças. Ações Disciplinares Internas Investigação sobre uso indevido de recursos da instituição, ou em eventos onde não se deseja chamar a atenção externa. 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 19 Abordagens Forense Computacional Principais Abordagens Busca de provas, a serem usadas em um processo criminal; Busca da causa de incidente de segurança para evitar reincidência. Independente da abordagem, utiliza Metodologias e protocolos que garantem a aceitação da prova em uma Corte de Justiça. 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 20
Conhecimentos Necessários Forense Computacional Arquitetura, modelos de segurança e criptografia; Legislação, investigação e ética; Metodologias e sistemas de controle de acesso; Planejamento de continuidade dos negócios; Práticas de gerenciamento de segurança; Segurança em desenvolvimento de aplicações; Segurança em redes, telecomunicações e Internet; Segurança física. 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 21 Aspectos Técnicos Envolvidos Forense Computacional Áreas desperdiçadas (file slack, RAM slack, ); Arquivos temporários; Esquemas de codificação (ASCII, Unicode, ); Estruturas de disco (CHS, RAID, ); Formatos de arquivos (ZIP, Word, Excel, ); Informações em memória RAM; Modelos e interfaces de dispositivos móveis; Sistemas de arquivos (FAT, NTFS, EXT3, ). 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 22
Onde Mora o Perigo 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 23 Onde Estão as Provas? Nos e-mails Data, hora, o IP do autor, anexos. Nos Sistemas de Arquivo Onde Mora o Perigo Arquivos de log, tabelas de alocação de arquivos e arquivos apagados. No Trafego da Rede Protocolos desconhecidos, pacotes inconsistentes ou inesperados, conteúdos de pacotes. 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 24
Malwares Conjunto de instruções executadas em um computador que fazem o sistema realizar algo que um atacante deseja. Geralmente conhecidos como vírus ou trojans (cavalos de Tróia), mas existem outras categorias: Backdoors, Spywares, Worms, Keyloggers, Rootkits, Bots. 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 25 Vírus É considerado um código executável que infecta programas. Um programa infectado pode realizar três ações: Ser executado para propagar a infecção; Danificar o sistema; Se faz passar por algum programa. Necessita de anexar-se a um arquivo hospedeiro. Arquivo executável; Setor de inicialização; Documento que suporte macros. Possuem a capacidade de se auto-replicarem. 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 26
Backdoor Habilita o atacante a contornar os controles normais de segurança de um sistema, ganhando acesso através de um caminho alternativo. Normalmente opera sobre Telnet, rlogin ou SSH. Tipicamente fornece uma das seguintes funcionalidades: Aumento dos privilégios locais; Acesso remoto e execução de comandos; Controle remoto da GUI. 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 27 Cavalo de Tróia Comumente chamado de Trojan. Programa que se mascara ou aparenta possuir um propósito benigno. Normalmente não é capaz de replicar-se automaticamente. Suas ações podem variar, mas geralmente instalam backdoors. Tentam disfarçar-se de programas legítimos. 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 28
Spyware De forma oculta, auxilia na coleta e envio de informações sobre uma pessoa ou organização. Pode tomar o controle do computador. Pesquisa conduzida pela Dell (set/2004). Aproximadamente 90% dos PCs com Windows possuíam no mínimo um Spyware; Foi responsável por metade das falhas em ambientes Windows. 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 29 Worm Programas que se auto-propagam por meio de uma rede de computadores explorando vulnerabilidades em serviços usados em larga escala. Considerados uma das maiores ameaças virtuais. Pode ter as mais diversas finalidades: Espalhar-se consumindo largura de banda Causar ataques de negação de serviço; Apagar arquivos; Enviar arquivos por e-mail; Instalar outros Malwares. 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 30
Keyloggers Spyware com finalidade de capturar tudo o que for digitado em um determinado computador. As intenções podem ser as mais diversas: Monitorar as atividades de funcionários; Capturar conversas em mensagens instantâneas; Capturar informações e senhas bancárias. As informações podem então ser enviadas para: O gerente da empresa (com ou sem consentimento do funcionário); Um atacante. 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 31 Rootkits Conjunto de programas usados para ocultar a presença de um atacante em um determinado sistema, permitindo acesso futuro a este. Normalmente caracterizados por versões modificadas de comandos do sistema, como ls, ps, ifconfig e netstat. Passaram a ser programados para ocultarem do administrador do sistema os processos, os arquivos e as conexões utilizadas pelo atacante. 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 32
Bots Nome derivado de Robot. Tipicamente conecta-se a uma rede IRC e fica esperando por comandos em um canal específico. Atributos: Existência de um controle remoto; Implementação de vários comandos; Mecanismo de espalhamento. Ao identificar seu mestre, irá realizar o que lhe for ordenado através de comandos. 27/10/14 Forense Computacional - Cássio D. B. Pinheiro 33