Baixe o app para aproveitar ainda mais
Prévia do material em texto
Atuação do perito forense · Softwares envolvendo pirataria e arquivos protegidos por direitos autorais · Rastreamento de venda de informações · Análise de códigos maliciosos · Identificação e monitoramento de programas spywares e keylogger · Recuperação científica de dados e leitura de memórias · Recuperação de arquivos envoltos com pedofilia · Identificação da origem dos atacantes · Identificação de usuários anônimos em fóruns da internet · Apuração de irregularidades e fraudes Questionamentos de um perito: quando, onde, como, por que e quem 1 caso morte da mulher na banheira · Restauração dos arquivos de backup do registro (system.dao e user.dao) · Restauração das pastas de histórico do navegador web (c:\windws\history) · Utilização de software IEHistoryView 2 caso: morte da moça em represa · Procura ligar o suspeito ao local e hora do crime quando ele foi cometido · Estação rádio base (ERB) detectou a presença do aparelho do corretor próximo a cena do crime (margem de erro de 100 metros) Ciclo da investigação Preservação → Coleta → Analise → Relatório (Laudo) Como investigar crimes de informática · Assegurar que a evidencia não seja comprometida, substituída ou perdida. · Caso algum procedimento seja analisado e verificado duvida, os juízes poderão considerar as evidências INADMISSÍVEIS, os advogados de defesa poderão contestar sua LEGITIMIDADE e o caso poderá ser prejudicado. Busca e apreensão · O desligamento dos equipamentos, nao deve ser realizado pela simples interrupção do fornecimento de energia, com o risco de inviabilizar sua inicialização futura. · O desligamento ideal de um equipamento contendo um SO windows deve-se ser feito através de hibernação · Todo o conteúdo da memória será gravado no disco rígido, o que possibilitara sua análise pelo perito e a possível descoberta de provas essenciais à resolução do caso. · Após a realização do desligamento dos equipamentos, deve-se retirar todos os cabos e acessórios conectados ao dispositivo e levá-lo ao veículo que realizará o transporte ate a unidade de perícia · A busca por evidências deve ser ainda mais cuidadora, não restringindo-se apenas aos computadores. · Deve-se verificar no local a possível existência de mídias removíveis como, disquetes, cds, fitas dat, pen-drives,… · Apenas equipamentos que contenham dados serão importantes para a perícia do ilícito investigado. · Fase de fundamental importância, pois pode vir a comprometer todas as etapas seguintes do trabalho. Isso se deve a sensibilidade dos equipamentos de informática. · Unidades óticas devem ser manuseadas pelas bordas ou pelo orifício central, não devendo ficar exposta a local quente ou úmido. · Não se deve levar as unidades de armazenamento soltas no gabinete · O transporte de gabinetes deve ser feito em caixas de papelão e com material que absorva impacto, como plástico bolha ou isopor O início da perícia · Devido ao usual exercício do contraditório, A DEFESA poderá questionar no tribunal a LEGITIMIDADE dos resultados da investigação, alegando que as evidências foram alteradas ou substituídas por outras. · O primeiro passo de uma perícia é realizar a CADEIA DE CUSTÓDIA, ou seja, documentar toda e qualquer operação realizada no material apreendido. · A documentação deve conter, entre outros dados, a pessoa responsável pela operação, data e hora de início e fim de cada operação realizada. · Realizar a DUPLICAÇÃO DA MÍDIA para o exame de dados · DUPLICAÇÃO “BIT A BIT” · Passo de fundamental importância para as próximas etapas, pois preservará dados fundamentais, como data e hora de criação, última edição e último acesso. · Evitará surpresas desagradáveis como a presença de um programa particionador de disco rígido na inicialização do computador. Kit de Ferramentas · Conjunto de softwares confiáveis usados na investigação, que além de conter todas as ferramentas necessárias à captura de evidências, deverá conter ainda um arquivo de texto contendo o hash de todas as ferramentas. · Hash como assinatura digital · Autopsy · pyFlag · Encase · Padronização de laudo · Recuperação de dados, banco de dados e evidências · Análise de HW e logs Exame · O exame dos dados tem como finalidade: localizar, filtrar e extrair somente as informações relevantes à investigação · Quantidade de diferentes formatos de arquivos existentes (imagens, áudio, arquivos criptografados e compactados) Processo trabalhoso · Muitos formatos de arquivos possibilitam o uso de esteganografia para ocultar dados, o que exige que o perito esteja atento e apto a identificar e recuperar esses dados · Em meio aos dados recuperados podem estar informações irrelevantes e que devem ser filtradas. Ex: log de um servidor pode conter milhares de entradas, sendo que somente algumas delas podem interessar à investigação Após a restauração da cópia dos dados, o perito faz uma avaliação dos dados encontrados: · Arquivos que haviam sido removidos e foram recuperados · Fragmentos de arquivos encontrados · Arquivos ocultos · Fragmentos de arquivos encontrados em setores alocados, porém não utilizados pelo arquivo Análise · Após a extração dos dados considerados relevantes, o perito deve concentrar suas habilidades e conhecimentos na etapa de análise e interpretação das informações · A etapa de Análise tem como finalidade: identificar pessoas, locais e eventos e determinar como esses elementos estão inter-relacionados. Ex: acesso não autorizado a um servidor. Laudo · O perito elabora um laudo pericial que deve ser escrito de forma clara e concisa, listando todas as evidências localizadas e analisadas. · O laudo pericial deve apresentar uma conclusão imparcial e final a respeito da investigação. Laudo organizado em seções: · Finalidade da investigação · Autor do laudo · Resumo do incidente · Relação de evidências analisadas e seus detalhes · Conclusão · Anexos · Glossário ou rodapés
Compartilhar