Slides da segunda aula interativa - Módulo 4 - Bootcamp Analista de Cybersecurity

Prévia do material em texto

A aula interativa do Módulo 4 - Bootcamp Analista 
de Cybersecurity começará em breve!
Atenção:
1) Você entrará na aula com o microfone e o vídeo DESABILITADOS.
2) Apenas a nossa equipe poderá habil i tar seu microfone e seu vídeo em 
momentos de interatividade, indicados pelo professor.
3) Uti l ize o recurso Q&A para dúvidas técnicas. Nossos tutores e 
monitores estarão prontos para te responder e as perguntas não se 
perderão no chat.
4) Para garantir a pontuação da aula, no momento em que o professor 
sinal izar, você deverá ir até o ambiente de aprendizagem e responder a 
enquete de presença. Não é necessário encerrar a reunião do Zoom, 
apenas minimize a janela.
Análise Computacional Forense
SEGUNDA AULA INTERATIVA
PROF. FABRÍCIO LANA
*PROF. TIAGO RUBIA MARTINS
Nesta aula
❑ Casos e cenários reais, ferramentas, dúvidas e debates.
➢ Relevância da Forense Computacional.
➢ O papel do perito e seu posicionamento.
➢ Evidências e provas.
➢ Cuidados na coleta de dados e erros comuns.
➢ Equipamento para forense em Celular.
➢ Cadeia de Custódia – Cuidados e erros.
➢ Questões complementares.
Apresentação
Acredito na educação e no seu poder transformador 
de realidades sociais.
Tenho a docência como minha paixão e realização.
• Mestre em Administração, pós-graduado em Direito Público, Graduado
em Ciência da Computação.
• Professor de programas de Pós, MBA e graduação em diferentes
universidades em disciplinas relacionadas a redes, infraestrutura e
segurança.
• Certificações, artigos e publicações internacionais. (CISSP/CEH/CCNA
Cyber)
https://www.linkedin.com/in/fabriciolana/
https://www.linkedin.com/in/fabriciolana/
Apresentação
• Pós-graduado em Segurança Cibernética e Cloud Computing, 
Graduado em Sistema de Informação.
https://www.linkedin.com/in/tiagormartins/
https://www.linkedin.com/in/fabriciolana/
Relevância da Forense Computacional
Internet um local fértil para diferentes tipos de crimes:
• Pedofilia
Internet um local para diferentes tipos de crimes
• Sextorsion (Skype ou e-mail)
Relevância da Forense Computacional
Internet um local para diferentes tipos de crimes
• Boletos /Faturas / Serviços 
Relevância da Forense Computacional
• Venda de ferramentas maliciosas.
• Cybercrimes.
Relevância da Forense Computacional
O Papel do Perito
O perito coleta evidências, que respondendo a quesitos do Juiz 
auxiliarão na sua convicção.
Convicção é fruto de pedaços da realidade sobre um fato ou hipótese.
“Prova pericial: consiste de exames, 
vistorias ou avaliação”
Convicção é fruto de pedaços
da realidade sobre um fato ou
hipótese.
“Prova pericial: consiste de exames, 
vistorias ou avaliação”
O Papel do Perito
• O perito deve relatar, descrever os seus achados.
• Responder quesitos.
• Cuidado com os relatórios para não interpretar os fatos.
Os achados são indicativos de que ... 
.... corroboram com 
.... são compatíveis com
O que é isto ?
(The Treason of Images – René Magritte)
https://www.fusionmagazine.org/why-this-is-not-a-pipe/
https://www.fusionmagazine.org/why-this-is-not-a-pipe/
Como o cérebro pode nos confundir
DEFR Digital evidence first 
responder- ISO 27037
Você é um perito criminal e foi chamado a participar de uma
operação de busca e apreensão na residência de um influente líder
do tráfico.
Você é o primeiro é entrar no quarto de sua luxuosa mansão onde o
criminoso encontra-se tranquilo e confortavelmente navegando na
internet.
Nesta situação:
O que fazer?
Que cuidados tomar?
Que procedimentos executar?
• Isole a área e restrinja o acesso (físico e lógico) às mídias 
e equipamentos.
• Fotografe ou filme a área e os equipamentos.
• Certifique-se de ter duas testemunhas durante o processo.
• Verifique se há atividade no(s) computadores(s).
• Não altere nada.
Após verificar se há atividade no computador:
• Se possível, salve os dados voláteis (RAM).
• Se desconfiar de uma destruição de dados em andamento, 
puxe o cabo.
• Se não puder remover o equipamento, faça uma imagem 
autenticada.
• Execute somente programas seus, e documente todos os 
passos.
O que fazer?
Erros fatais na “Cena do 
Crime”
Por desconhecimento ou outras questões emocionais, erros
na coleta das evidências podem enfraquecer ou invalidar o
conjunto probatório.
• Não desligar ou ligar computador
• Esquecer-se de isolar a possibilidade de qualquer
interação ou comando remoto. (Eletromagnética ou
eletrônica/Digital) Não basta desconectar a rede de
dados.
Estando o dispositivo ou computador 
ligado, coletar (aquisição) logs e 
informações do sistema.
-> Logs dos servidores
-> Cookies
-> Histórico do browser
-> Fotografias e/ou vídeos
-> Cache do browser
-> Bookmark
-> E-mail
• Conexões de rede
• Portas e sockets 
abertos
• Processos em 
execução, ocultos ou 
terminados
• DLLs carregadas
• Arquivos abertos
• Usuários logados
Coletando evidências
Importância de se fotografar o local e registrar/documentar todo 
o procedimento pericial
Coletar o que estiver próximo ao dispositivo. (Agendas, post-
it, anotações de rascunho, etc.)
É possível que em análises posteriores sejam encontrados 
novos elementos.
“Corpo de delito é o conjunto de vestígios 
materiais deixados pela infração penal, a 
materialidade do crime”
Exemplos – Toolkit Forense
Trabalhar de forma que o impacto na memória seja o
menor possível, e ainda assim toda interação deve
ser documentada para evitar que a outra parte
alegue que houve espoliação da evidência.
Em algumas situações não será possível manter a 
absoluta integridade da evidência.
▪ Documentar tudo. Todos os passos e 
procedimentos.
▪ Mesmo aqueles que eventualmente 
modifiquem parte da evidência.
Exemplo: 
Extração de dados de um celular com Cellebrite. Ligar o 
aparelho é a única forma de se obter o conteúdo.
UFEED CELLEBRITE
Cases
O uso do UFED durante as investigações do incêndio na boate Kiss, em 2013.
Naquela época, o software forense foi utilizado para extrair vídeos e fotos dos
smartphones encontrados na tragédia, no intuito de tentar obter provas concretas
sobre quais fatores contribuíram para o início do fogo.
O uso do UFED por parte da Polícia Federal durante as investigações
da operação Lava Jato. Acesso facilitado ao armazenamento de
mensagens e outros tipos de comunicação.
Cases
https://wigle.net/
https://wigle.net/
Outros cases em que a perícia foi fundamental para 
elucidar um caso.
Outros cases
https://g1.globo.com/economia/tecnologia/noticia/2019/03/12/investigacao-
hi-tech-como-a-policia-fucou-buscas-e-localizacao-de-celular-para-chegar-
aos-suspeitos-de-matar-marielle.ghtml
https://www.uol.com.br/tilt/noticias/redacao/2019/03/13/como-os-
celulares-ajudaram-a-achar-o-assassino-de-marielle-franco.htm
• Sinal de ERBs no trajeto do carro – 33 mil linhas.
• Câmera mostrou luz do celular, no carro, em
determinada data e local – Celular estava ativo.
• Filtro de telefones ativos naquela ERB/Data -318
linhas.
• Uma das 318 linhas fez contato com um dos suspeitos
que já estava sendo investigado.
• Deste ponto, a polícia conseguiu autorização para
quebrar o sigilo dos dados desse suspeito.
• Realizou varredura no seu histórico de navegação e
buscas do Google.
“Alguns dias antes do crime, ele pesquisou a
rua onde ela [Marielle] morava.”
https://g1.globo.com/economia/tecnologia/noticia/2019/03/12/investigacao-hi-tech-como-a-policia-fucou-buscas-e-localizacao-de-celular-para-chegar-aos-suspeitos-de-matar-marielle.ghtml
https://www.uol.com.br/tilt/noticias/redacao/2019/03/13/como-os-celulares-ajudaram-a-achar-o-assassino-de-marielle-franco.htm
Outros cases
https://www.cellebrite.com/en/case-studies/gps-data-
extraction-changes-focus-of-murder-investigation-in-brazil/
Assassinato em Pernambuco
Em 4 de julho de 2018, um cardiologista de Pernambuco,
desaparecido há mais de um mês, foi encontrado morto em
sua propriedade.
Antônio *, 54 anos, havia sido estrangulado e
desmembrado.Ele morava com sua esposa
Márcia, farmacêutica, e dois filhos, 23 e 20
anos.
https://www.cellebrite.com/en/case-studies/gps-data-extraction-changes-focus-of-murder-investigation-in-brazil/
Outros cases
O caminho da investigação
A esposa disse às autoridades que o marido
havia viajado para o exterior, mas que desde
então não havia retornado.
Em uma operação na casa a polícia
descobre que seu corpo havia sido
esquartejado e as partes jogadas em um
poço na residência do médico, o qual havia
sido fechado e cimentado a poucos dias.
Suspeitas de envolvimento no crime
recaem sobre o Jardineiro da casa e
seu Tio, um conhecido e experiente
pedreiro na região.
Outros cases
O caminho da investigação
O Jardineiro informa a polícia que no suposto dia do
crime, encontrava-se de folga.
A empregada da casa diz a polícia que o Jardineiro
não tinha folgas usuais e que estava mentindo.
O jardineiro não tinha um álibi que comprovasse suas
afirmações.
Outros cases
Investigadores forenses iniciam um
trabalho com o celular dos investigados
e notebook da vítima, cujo telefone
havia desaparecido.
A partir da análise dos dados de
Geolocalização do telefone do
jardineiro, peritos verificam que ele
estava falando a verdade!
Uma investigação profunda é
direcionada para o notebook da vítima.
Outros cases
A partir da análise dos dados
armazenados em nuvem, mesmo sem
acesso ao telefone, peritos verificam que
o telefone do médico havia enviado sinal
de GPS para o Google, ao meio dia.
Este sinal tinha como origem a
residência da família, em contradição ao
depoimento da esposa que informou ter
visto o marido pela última vez às 08 da
manha, quando esse teria saído para
viagem.
Em contradição nos seus depoimentos e mediante as
evidências apresentadas pela polícia, a viúva confessou o
crime por razão passional.
Observações do “mercado”
Usualmente, versões mais novas de SW, SO e Iphones são mais difíceis de 
desbloquear.
Cellebrite possui um serviço internacional de desbloqueio.
Cadeia de Custódia
O registro de cadeia de custódia é um documento identificando a cronologia 
de movimento e do manuseio da potencial evidência digital.
Cadeia de Custódia
Informações a serem mantidas na cadeia de custódia:
• Identificador único da evidência;
• Quem acessou a evidência e o tempo e local em que ocorreu;
• Quem checou a evidência interna e externamente nas instalações de
preservação da evidência e quando isto ocorreu;
• Motivo de a evidência ter sido verificada;
• Quaisquer alterações inevitáveis da potencial evidência digital.
Você se lembra de algum caso em que erros no manuseio das provas 
ou evidências levaram a anulação de uma acusação ou processo?
Importância do hash de evidências digitais e da cadeia de custódia.
▪ Caso em que o processo sumiu.
▪ Caso em que sumiram folhas.
▪ Provas adulteradas.
▪ Áudios editados (Temer e outros).
▪ Equipamentos ou provas apagadas/destruídos com 
comando remoto.
Após um ataque, um dos artifícios do cybercriminoso é adulterar 
logs do sistema para esconder sua ação ou confundir a perícia.
Como formalizar o registro de 
situações ocorridas em redes sociais 
ou sites na internet.
Ata Notarial
Print de Tela
Conversa de WhatAPP
São facilmente questionados em juízo !
O ideal é fazer uma ata Notarial 
que descreva a data e o 
procedimento realizado no print e 
também inclua um hash da 
imagem.
http://oldweb.today/
https://archive.org/web/
http://oldweb.today/
https://archive.org/web/
Extraindo informações da memória 
volátil
Solução do Trabalho Prático
Exemplo: Extraindo senha da memória com volatility.
1- Identificando o perfil e características do que será analisado.
Exemplo: Extraindo senha da memória com volatility.
2- Localizando a posição da memória na qual as chaves de 
registro foram carregadas.
Exemplo: Extraindo senha da memória com volatility.
3- Realizar busca uma posição de memória na qual se encontram os 
registros da SAM e SYSTEM.
Exemplo: Extraindo senha da memória com volatility.
Ref: https://cyberarms.wordpress.com/2011/11/04/memory-forensics-how-to-pull-passwords-from-a-
memory-dump/
https://cyberarms.wordpress.com/2011/11/04/memory-forensics-how-to-pull-passwords-from-a-memory-dump/
...
Exemplo:
Usuário: administrador
Senha:
Hash: 
aa1bf4646de67fd9086cf6c79007026c
https://crackstation.net
https://www.md5online.org/
Vamos quebrar uma senha ?
https://crackstation.net/
https://www.md5online.org/
Caso: Pedofilia
Você está investigando o dispositivo de um indivíduo
suspeito de pedofilia.
Naturalmente, um dos seus principais objetivos, como
usuário e membro de uma rede compartilhamento de
fotos infantis, é ocultar evidências do armazenamento
destes arquivos.
Como ele pode ocultar essas evidências ?
Armazenar e Transmitir !
Técnicas de ocultação de arquivos
• Modificação do atributo do arquivo.
• Arquivos ocultos em áreas reservadas pelo sistema (BootSector)
Técnicas de ocultação de arquivos
• Remoção da assinatura de um arquivo (magic number) para evitar a
sua detecção.
A determinação de espaço e a posição de
arquivos no disco estão contidas na FAT ou MFT.
Mesmo que um arquivo tenha sido “apagado”,
ele se encontra “presente no disco” e poderia set
identificado por sua estrutura ou sequência de
bits.
Setor/Bloco
• Utilização de blocos marcados como defeituosos para armazenar e ocultar
dados.
Técnicas de ocultação de arquivos
Técnicas de ocultação de arquivos
• File Slack
Técnicas de ocultação de arquivos
• Volume Slack
Semelhante ao exemplo anterior, referindo-se porém aos
espaços deixados entre o fim do sistema de arquivos e o fim
da partição.
.
• Varredura “manual” na estrutura do disco. (Ferramentas de manipulação NTFS)*
• Pesquisa por palavra-chave com hexedit
• Ferramentas forense - Busca por padrões e assinaturas.
Mas como esses dados podem ser 
recuperados?
*https://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.114.8953&rep=rep1&type=pdf
https://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.114.8953&rep=rep1&type=pdf
Questões Complementares
Autor vs o Usuário do 
computador
Uma das principais dificuldades no mundo digital é
associar inequivocamente uma determinada pessoa
a uma identidade digital quando essa identidade é
utilizada para um delito ou crime.
O principal instrumento de prova é o flagrante, mas
como caracterizar o flagrante considerando que com
a Internet o criminoso pode estar em qualquer parte
do mundo?
Importância do conjunto 
de evidências e do 
contexto
• Impressão Palmar
• Posicionamento GPS
• Login e ações em redes sociais
• Impressões digitais
• Flagrante
Invasão / roubo de conta 
Bancária
• Os bancos possuem setores específicos para 
análise de fraudes e o surgimento de novos 
malwares.
• A grande questão objeto da forense nesse 
caso é como aconteceu a “fraude” e como 
ocorreu a “participação” do usuário.
Passo a passo ...
• Primeiro os hackers capturavam a senha 
digitada no teclado por meio de keylogers
Implementaram o teclado Virtual.
Então os bancos...
Começaram a capturar as coordenadas (x,y) da 
posição do clique do mouse.
Depois... Hackers
Começaram a exibir os números em posições aleatórias.
Começaram a utilizar teclado virtual flutuante, em 
diferentes posições na tela.
Então os bancos...
Começaram a capturar um print de uma pequena 
imagem ao redor do cursor no momento do clique 
do mouse.
Depois... Hackers
Começaram a implantar um “piscar” da 
tela no momento do clique.
Então os bancos...
Começaram a realizar vídeos do movimento e 
cliques do mouse no momento do acesso.
Depois... Hackers
Começaram a implantar acesso com 
múltiplos caracteres e outros recursos.
Então os bancos...
Desistiram de obter a senha e começaram a 
realizar operações em background.
Depois... Hackers
Começaram a implantar fator 
adicional de autenticação.
Então os bancos...
Hackers começaram a 
utilizar engenhariasocial 
para capturar o fator 
adicional de autenticação.
Começaram a implantar autenticação por 
transações, tokens, etc.
Então os bancos ...
Mas afinal, qual a importância da 
forense nestes casos?
Compreender a dinâmica dos 
acontecimentos pode evitar muitas fraudes 
e até responsabilizar o usuário.
Mas de quem é a responsabilidade?
O usuário paga o preço por tudo isso?
• Em situações como o código de defesa do 
consumidor, existe o que se chama de inversão da 
prova, porque o consumidor é hipossuficiente.
• Como regra geral, no ordenamento jurídico, “Quem 
alega tem que provar”.
O que os bancos têm alegado
Situações em que o consumidor/cliente pode ser responsabilizado.
• Agiu com negligência ao fornecer seus dados pessoais e senhas.
• Foi negligente com a guarda do cartão físico, (não comprovação de 
que o cliente foi vítima de roubo).
• Fornecimento de senha a um terceiro ou a familiar para realizar 
operações bancárias em seu nome.
• Quando o cliente perde documento, onde há a anotação de sua 
senha, sem que ele tenha efetuado o bloqueio imediato junto ao 
banco.
• Negligência claramente comprovada pode excluir a responsabilidade 
da instituição bancária.
Engenharia Social !!
Falha da tecnologia ?
Falha humana ? 
(Engenharia Social)
Considerações 
Finais
Política
Quanto vale tudo i$$o?
Quanto vale tudo i$$o?
CyberWar
Quanto vale tudo i$$o?
Fianceiro, industrial, fraudes e projetos.
Quanto vale tudo i$$o?
Conclusão
Cada vez mais, as coisas que fazemos cotidianamente, 
migram para o mundo virtual.
Do mesmo modo, também migram os golpes e a 
criminalidade.
Evidências
Grissom
Eu não acredito nas pessoas, eu acredito nas 
evidências. Pessoas mentem, evidências não.
https://www.mensagenscomamor.com/mensagem/15635
Desenvolver e aprimorar o conhecimento de perícia forense e 
segurança da informação será cada vez mais importante para 
o cenário futuro.
Are you ready ?
Conclusão
Agradecimentos
▪ Preencher o feedback.
▪ Equipe técnica e suporte.
▪ Professores/Tutores.