computação forense

Prévia do material em texto

Atuação do perito forense
· Softwares envolvendo pirataria e arquivos protegidos por direitos autorais
· Rastreamento de venda de informações
· Análise de códigos maliciosos
· Identificação e monitoramento de programas spywares e keylogger
· Recuperação científica de dados e leitura de memórias
· Recuperação de arquivos envoltos com pedofilia
· Identificação da origem dos atacantes
· Identificação de usuários anônimos em fóruns da internet
· Apuração de irregularidades e fraudes
Questionamentos de um perito: quando, onde, como, por que e quem
1 caso morte da mulher na banheira
· Restauração dos arquivos de backup do registro (system.dao e user.dao)
· Restauração das pastas de histórico do navegador web (c:\windws\history)
· Utilização de software IEHistoryView
2 caso: morte da moça em represa
· Procura ligar o suspeito ao local e hora do crime quando ele foi cometido
· Estação rádio base (ERB) detectou a presença do aparelho do corretor próximo a cena do crime (margem de erro de 100 metros)
Ciclo da investigação
Preservação → Coleta → Analise → Relatório (Laudo)
Como investigar crimes de informática
· Assegurar que a evidencia não seja comprometida, substituída ou perdida.
· Caso algum procedimento seja analisado e verificado duvida, os juízes poderão considerar as evidências INADMISSÍVEIS, os advogados de defesa poderão contestar sua LEGITIMIDADE e o caso poderá ser prejudicado.
Busca e apreensão
· O desligamento dos equipamentos, nao deve ser realizado pela simples interrupção do fornecimento de energia, com o risco de inviabilizar sua inicialização futura.
· O desligamento ideal de um equipamento contendo um SO windows deve-se ser feito através de hibernação
· Todo o conteúdo da memória será gravado no disco rígido, o que possibilitara sua análise pelo perito e a possível descoberta de provas essenciais à resolução do caso.
· Após a realização do desligamento dos equipamentos, deve-se retirar todos os cabos e acessórios conectados ao dispositivo e levá-lo ao veículo que realizará o transporte ate a unidade de perícia
· A busca por evidências deve ser ainda mais cuidadora, não restringindo-se apenas aos computadores.
· Deve-se verificar no local a possível existência de mídias removíveis como, disquetes, cds, fitas dat, pen-drives,…
· Apenas equipamentos que contenham dados serão importantes para a perícia do ilícito investigado.
· Fase de fundamental importância, pois pode vir a comprometer todas as etapas seguintes do trabalho. Isso se deve a sensibilidade dos equipamentos de informática.
· Unidades óticas devem ser manuseadas pelas bordas ou pelo orifício central, não devendo ficar exposta a local quente ou úmido.
· Não se deve levar as unidades de armazenamento soltas no gabinete
· O transporte de gabinetes deve ser feito em caixas de papelão e com material que absorva impacto, como plástico bolha ou isopor
O início da perícia
· Devido ao usual exercício do contraditório, A DEFESA poderá questionar no tribunal a LEGITIMIDADE dos resultados da investigação, alegando que as evidências foram alteradas ou substituídas por outras.
· O primeiro passo de uma perícia é realizar a CADEIA DE CUSTÓDIA, ou seja, documentar toda e qualquer operação realizada no material apreendido.
· A documentação deve conter, entre outros dados, a pessoa responsável pela operação, data e hora de início e fim de cada operação realizada.
· Realizar a DUPLICAÇÃO DA MÍDIA para o exame de dados
· DUPLICAÇÃO “BIT A BIT”
· Passo de fundamental importância para as próximas etapas, pois preservará dados fundamentais, como data e hora de criação, última edição e último acesso.
· Evitará surpresas desagradáveis como a presença de um programa particionador de disco rígido na inicialização do computador.
Kit de Ferramentas 
· Conjunto de softwares confiáveis usados na investigação, que além de conter todas as ferramentas necessárias à captura de evidências, deverá conter ainda um arquivo de texto contendo o hash de todas as ferramentas.
· Hash como assinatura digital
· Autopsy
· pyFlag
· Encase
· Padronização de laudo
· Recuperação de dados, banco de dados e evidências
· Análise de HW e logs
Exame
· O exame dos dados tem como finalidade: localizar, filtrar e extrair somente as informações relevantes à investigação
· Quantidade de diferentes formatos de arquivos existentes (imagens, áudio, arquivos criptografados e compactados)
Processo trabalhoso
· Muitos formatos de arquivos possibilitam o uso de esteganografia para ocultar dados, o que exige que o perito esteja atento e apto a identificar e recuperar esses dados
· Em meio aos dados recuperados podem estar informações irrelevantes e que devem ser filtradas.
Ex: log de um servidor pode conter milhares de entradas, sendo que somente algumas delas podem interessar à investigação
Após a restauração da cópia dos dados, o perito faz uma avaliação dos dados encontrados:
· Arquivos que haviam sido removidos e foram recuperados
· Fragmentos de arquivos encontrados
· Arquivos ocultos
· Fragmentos de arquivos encontrados em setores alocados, porém não utilizados pelo arquivo
Análise
· Após a extração dos dados considerados relevantes, o perito deve concentrar suas habilidades e conhecimentos na etapa de análise e interpretação das informações
· A etapa de Análise tem como finalidade: identificar pessoas, locais e eventos e determinar como esses elementos estão inter-relacionados.
Ex: acesso não autorizado a um servidor.
Laudo
· O perito elabora um laudo pericial que deve ser escrito de forma clara e concisa, listando todas as evidências localizadas e analisadas.
· O laudo pericial deve apresentar uma conclusão imparcial e final a respeito da investigação.
Laudo organizado em seções:
· Finalidade da investigação
· Autor do laudo
· Resumo do incidente
· Relação de evidências analisadas e seus detalhes
· Conclusão
· Anexos
· Glossário ou rodapés