Baixe o app para aproveitar ainda mais
Prévia do material em texto
Certificados Principais Certificações: ● ACE (AccessData Certified Examiner), realizado pela Access Data: ● CHFI Computer Hacking Forensic Investigator - www.chfi.com ● ACFE Association of Certified Fraud Examiners ● HTCIA Higt Technology Crime Investigation Association ● EnCE (EnCase Certified Examiner), realizado pela Guidance Software. Principais Certificações em Cursos: ● Computer Hacking Forensic Investigator (CHFI) da EC-Council é uma certificação que prepara o profissional para detectar ataques e extrair adequadamente as evidências para a comprovação do crime cibernético, assim como a condução de auditorias que visam prevenir futuros incidentes. Computer forensics é simplesmente a aplicação de investigações cibernéticas e técnicas de análises com o fim de determinar a evidência legal. ● GCFA (GIAC Certified Forensic Analyst) A GIAC Certified Forensic Analyst (GCFA) da SANS é uma certificação ideal para profissionais que trabalham na segurança da informação, com forense computacional e também no campo de resposta a incidentes. Certifica que os candidatos têm habilidades, conhecimento e capacidade para realizar investigações de incidentes computacionais, incluindo invasões, violação de dados, ameaças persistentes avançadas, detecção de técnicas anti-forense utilizadas, e casos de forense digital complexos. ● GCFE (GIAC Certified Forensic Examiner) Esta certificação da SANS é ideal para profissionais que atuam ou se interessam na área de segurança da informação, sobre o direito e a obrigatoriedade legal das indústrias com a necessidade em entender a análise forense computacional. A certificação concentra-se na coleta e análise de dados de sistemas operacionais Windows. ● GREM (GIAC Reverse Engineering Malware) Esta certificação da SANS é destinada aos profissionais que protegem uma organização contra códigos maliciosos. Os profissionais que possuem tal certificação estão aptos a efetuar engenharia reversa em malwares que possuem como alvos plataformas como Windows e navegadores web. ● CCFP (Certified Cyber Forensics Professional), realizado pela (ISC)2. ● DSFE (Data Security Forensics Examiner), realizado pela Data Security Norma ABNT ISO/IEC 27037:2013 A Perícia Forense Computacional começou na década de 1980, quando os computadores começaram a se tornar populares, principalmente nos países de primeiro mundo. No ano de 1984, surgiu o CART, como um tipo de resposta do FBI aos incidentes computacionais que estavam se tornando mais frequentes, ainda mais com o surgimento da ARPA NET. CART significa Computer Analysis and Response Team, sendo, assim, o primeiro grupo de resposta a incidentes (ou GRI) para lidar com os diversos crimes computacionais. No ano de 1991, ocorreu o primeiro grande encontro de International Law Enforcement, organizado com o intuito de conduzir discussão sobre perícia forense computacional e as diversas necessidades de criar um padrão de metodologia para atuação contra esses crimes cibernéticos. Depois, no ano de 1997, o grupo Scientific Working Group on Digital Evidence (SWGDE) estabeleceu-se com o grande objetivo de desenvolver um padrão discutido no evento do 1994. Em 2001, ocorreu o Digital Forensic Research Workshop, primeiro no mundo, que, hoje, possui periodicidade anual e conta com diversos palestrantes de vários locais, em que qualquer indivíduo pode participar para, assim, praticar e realizar teste de seus conhecimentos de perícia forense computacional. Forense Computacional A Forense Computacional abrange todas as questões relacionadas aos crimes praticados na Internet ou fora dela, chamados ciber-crimes. Estudando como coletar evidências de crimes e violações, analisar e documentar casos, esta ciência, relativamente nova, segue as principais metodologias internacionais usadas e adotadas por todos os países na investigação de crimes e delitos comuns. Evidência digital entende-se pela informação armazenada ou transmitida em formatos ou meios digitais. Sendo que essa evidência, na maioria das vezes, é frágil e volátil, o que requer a atenção de um especialista certificado ou bastante experiente a fim de garantir que os materiais de valor probatório possam ser efetivamente isolados e extraídos correta e licitamente. Tais materiais podem ser apresentados em um tribunal de justiça como prova de materialidade de um crime, por exemplo; ou mesmo como parte de um laudo pericial. A Forense Computacional é uma ciência que obtém, preserva e documenta evidências de dispositivos de armazenamento digital, como computadores, PDAs, câmeras digitais, telefones celulares e vários dispositivos de armazenamento de memória. A Computação Forense e organizada em 4 etapas principais: Coleta, Exame, Análise e Relatório. Norma ABNT ISO/IEC 27037:2013 – Diretrizes para identificação, coleta, aquisição e preservação de evidência digital, sua leitura na íntegra é imprescindível a todos que pretendem atuar na área de investigação cibernética e Forense Digital. ● Coleta: O objetivo da primeira etapa é identificar, isolar, etiquetar, registrar e coletar os dados e evidências físicas relacionadas com o incidente que está sendo investigado, enquanto estabelece e mantem a integridade das provas. ● Exame: identificar e extrair as informações relevantes a partir dos dados coletados utilizando ferramentas e técnicas forenses adequadas. ● Análise: Analisar os resultados do exame para gerar respostas úteis para as questões apresentadas nas fases anteriores. ● Relatório (Resultados): inclui encontrar relevância para o caso. Nessa etapa também é redigido o laudo pericial, o qual deve ter conclusão imparcial, clara e concisa; deve ter exposto os métodos utilizados na perícia, e deve ser de fácil interpretação por uma pessoa comum, de conhecimento médio. Imagem e Espelhamento De maneira geral, os exames forenses devem ser efetuados em cima de duplicatas idênticas, as quais são obtidas dos materiais questionados originalmente apreendidos e submetidas a exames forenses. Dessa forma, deverão ser aplicadas ferramentas e técnicas que efetuem uma cópia fidedigna dos dados e mantenham a integridade do material apreendido. Imagem e Espelhamento são técnicas de duplicação/cópia utilizadas na fase de coleta. Essas técnicas, ao serem realizadas através de softwares e equipamentos forenses, https://unotec.com.br/ead/mod/page/view.php?id=63 https://unotec.com.br/ead/mod/page/view.php?id=63 garantem uma cópia fiel dos dados e consequentemente a preservação correta do material que foi apreendido. Etapa de extração Depois de finalizada a etapa de coleta, a próxima etapa é extrair dados / informações relevantes para uma posterior análise. Nessa etapa, é extraído e avaliado o quê pode ser importante para a investigação. Nesse ponto, podem ser encontradas evidências inacessíveis, devido à proteção por senha, criptografia, ou prévia exclusão do dado. A seguir, será revisto importantes ferramentas e técnicas utilizadas na etapa de extração. Etapa de análise Esta etapa consiste em examinar os dados/informações extraídos da etapa de extração, e em seguida identificar evidências digitais, verificando a relação com o fato apurado. Após a identificação e avaliação das evidências encontradas no material questionado, é possível responder as perguntas feitas pela autoridade solicitante. Dessa forma, é importante que o a autoridade solicitante busque sempre detalhar o quê procura, descrevendo no máximo de detalhes possível, ou seja, que mostre para a equipe pericial exatamente o quê deve ser buscado, para dessa forma, evitar desperdício de trabalho dos peritos. Explosão da Tecnologia Nas últimas décadas, tem-se notado uma explosão do uso da tecnologia em todas as áreas da indústria, bem como no dia a dia das pessoas. Não é surpresa que os criminosos acompanham e até evoluem o emprego da tecnologia no planejamento e prática de crimes.A medida que a tecnologia invade o mercado com uma extraordinária quantidade de periféricos, quase nunca compatíveis entre si, com smartphones, tablets, notebooks, desktops dentre outros, além de armazenamentos como cloud, pen drives, hd's externos, etc. Tudo isso somado a enorme quantidade de redes sociais, que já atingem todo o planeta, como Facebook, Twitter, etc.. exigem uma especialização e conhecimentos para atuar na área, cada vez maiores. No Brasil, os crimes eletrônicos estão crescendo cada vez mais de acordo com o crescimento da informatização, pois existem pessoas sem cuidados com seus e-mails, redes sociais e também seus arquivos do seu computador pessoal. Assim, um cracker pode invadir sua máquina para tentar obter tais dados, como fotos, número de CPF, senhas de cartão de créditos, RG. Para localizar, analisar e identificar como ocorreram essas invasões, são usadas as ferramentas de perícia forense de rede. https://unotec.com.br/ead/mod/page/view.php?id=67 Novos campos profissionais vão surgindo, com o intuito de formar profissionais para desvendar e solucionar casos que necessitam de inteligência e aprofundamento para atuar na perícia de crimes. Assim, vão surgindo os peritos forenses computacionais, que têm características e perfis necessários para dar respostas à justiça. E, para ter esse perfil profissional, deve-se ter formação superior em tecnologia, especialização, domínio tecnológico, boa redação para relatar os fatos do caso no laudo pericial e também de saber línguas estrangeiras, principalmente inglês. S.O Forenses e Ferramentas Segundo Queiroz e Vargas (2010)QUEIROZ, Claudemir; VARGAS, Raffael. Investigação e Perícia Forense Computacional. 1. ed. Rio de Janeiro: Brasport, 2010., as ferramentas de perícia forense computacional são capazes de atender a todas as etapas de uma investigação forense. O que vai determinar a escolha das ferramentas diante de muitas no mercado será o tipo de caso a ser analisado. Algumas das funções principais das ferramentas forenses de rede são: analisar o tráfego, conexões, estatísticas na rede, com o objetivo de extrair, capturar pacotes PCAP, que são pacotes capturados depois de um monitoramento da ferramenta no tráfego da rede. ● NetworkMiner: ferramenta voltada para análise forense em redes de computadores ● Chaosreader: busca vários tipos de arquivos em logs de redes ● Wireshark – htps://www.wireshark.org: O Wireshark é a ferramenta para análise de redes mais usada em todo mundo, tanto por administradores de redes como por hackers. O nível de detalhes gerado por essa ferramenta é tamanho que até hoje eu não conheci nenhum administrador de redes que não tenha consigo resolver um problema em sua rede utilizando-o. ● Netwitness Investigator: versão free da famosa ferramenta para análise forense de rede ● Xplico: Ferramenta Open Source para análise forense de redes ● ngrep: Network Grep ● tcpflow: captura um fluxo de informações TCP e o armazena para poder ser feito depois uma análise dos protocolos ● p0f (Passive OS Fingerprinting): ferramenta para fingerprinting passivo de OS/rede ● tcpreplay: é uma suíte de ferramentas para editar o tráfego de rede capturado anteriormente por ferramentas, como tcpdump. O objetivo é testar uma variedade de dispositivos de rede, como switches, roteadores, firewall, IPS ● SiLK (System for Internet-Level Knowledge): coleção de ferramentas voltadas para análise de tráfego desenvolvida pela CERT NetSA cujo objetivo é facilitar a análise da segurança em redes de computadores de grande escala. ● OSSIM: Solução Open Source para SIEM ● OSSEC: HIDS Open Source que funciona também como uma ferramenta para SIEM ● Security Onion: Distribuição Linux específica para se trabalhar com vários IDS (Intrusion Detection System) e NSM (Network Security Monitoring). Baseada no Ubuntu, contém SNORT, Suricata, Bro, Sguil, Squert, Snorby, Xplico, NetworkMiner, etc. HARDWARE PARA FORENSE COMPUTACIONAL ● Digital Intelligence ● ForensicPC ● ForensicComputers ● Silicon Forensics ● Data Duplication ● Mac Forensics Lab FRAMEWORKS DE ANÁLISES FORENSE ● OSForensics: ferramenta de análise forense, feita primeiramente para rodar um sistema "vivo" (Live Forensics), porém, o perito pode montar a imagem como um volume e rodar a ferramenta contra a imagem montada. Lista das principais tarefas. ● DFF: ferramenta em python que trabalha com módulos. Para aprender a trabalhar com esta ferramenta é só seguir o blog e wiki ● DEFT: distribuição linux voltada para forense computacional ● Caine: distribuição linux, italiana, voltada para forense computacional. ● SIFT (Sans Investigative Forensic Toolkit): distribuição linux voltada para forense computacional, feita pelo SANS. ● VulnHub: Fornece material (várias VMs legalmente frágeis, vulneráveis e exploráveis) permitindo que qualquer pessoa possa ganhar prática "hands on" em segurança digital. ANÁLISE FORENSE DE MEMÓRIA / DUMPS DE MEMÓRIA ● Volatility: framework em python que funciona através de plugins ● Mandiant Redline: nova ferramenta da empresa Mandiant que analisa um dump de memória, trabalhando inclusive com IOC ● FTK Imager: ferramenta da empresa AccessData que dentre várias outras coisas, realiza o dump de memória ● Win32dd: faz parte de uma toolkit chamada Moonsols Windows Memory Toolkit. A versão Community Edition é free. ● HBGary Free Tools: conjunto de várias ferramentas grátis da empresa HBGary. CARVING ● Foremost: ferramenta para recuperar arquivos baseando-se em headers, footers e estrutura de dados internas. http://foremost.sourceforge.net ● Scalpel: excelente ferramenta para recuperar arquivos com base nos headers e footers. Funciona independentemente do sistema de arquivos. ● Photorec: excelente ferramenta para recuperar fotos. ● Testdisk: ferramenta que foi inicialmente criada para recuperar partições com problemas. ● Bulk_Extractor: ferramenta desenvolvida pelo Simson Garfinkel. Foi feita para recuperar dados em massa. ● Ontrack EasyRecovery – http://www.krollontrack.com/data-recovery/recovery-software MONTANDO IMAGENS ● FTK Imager: Ferramenta gratuita da empresa AccessData. Serve tanto para montar um arquivo de imagem como um volume adicional, como para realizar uma análise básica na imagem montada ● ImDisk: Faz o mesmo que a ferramenta FTK Imager. Também é gratuita ANÁLISE DE AMBIENTE WINDOWS ● LastActivityView – http://www.nirsoft.net/utils/computer_activity_view.html ● USBDeview – http://www.nirsoft.net/utils/usb_devices_view.html ● Registry Workshop – http://www.torchsoft.com/en/rw_information.html ● Ultimate Forensics Outflow Win-UFO – http://win-ufo.org/downloads.shtml ● PrefetchForensics – http://www.woanware.co.uk/forensics/prefetchforensics.html ANÁLISE DE EMAILS ● Kernel for Exchange Server Recovery – http://www.nucleustechnologies.com/Exchange-Server-Data-Recovery.html CÁLCULO DE HASH ● MultiHasher – http://www.abelhadigital.com/multihasher DISPOSITIVOS MÓVEIS (SMARTPHONES) ● MOBILedit! Forensic – http://www.mobiledit.com ● Oxygen Forensic Suite – http://www.oxygen-forensic.com/en/products/oxygen-forensic-suite/features DUMP E ANÁLISE DE MEMÓRIA ● Belkasoft Live RAM Capturer – https://belkasoft.com/en/ram-capturer ● Memoryze – https://www.mandiant.com/resources/download/memoryze ● Volatility – https://github.com/volatilityfoundatio Sistemas Operacionais Existem hoje, diversos Sistemas Operacionais baseados em Linux e Software Livre, desenvolvidos exclusivamente para profissionais e estudiosos de Segurança da Informação e Computação Forense. Quando um serviço nasce, ele pode ser 100% seguro, mas com a evolução das técnicas de invasão, logo torna-se vulnerável, por isso é muito importante investir em proteção e segurança. Os Sistemas Operacionais possuem ferramentas e aplicativos exclusivos para realização de testes, análises e atividades da área, taiscomo: recuperação de arquivos apagados, analisadores de logs do sistema e programas, engenharia reversa, testes de invasão, vasculhador de tarefas executadas no sistema, analisador de protocolos enviados e recebidos na rede, programas de força bruta para quebrar senhas, entre outras coisas. Nesta era, em que estamos conectados em todos os lugares, os problemas e incidentes tendem a aumentar, o mercado de segurança da informação é promissor, por isso busque especialização nesta área, com certeza terá retorno rápido. Aproveite para conhecer alguns sistemas operacionais baseados em Linux e Software Livre, que reúnem ferramentas e um conjunto de aplicativos customizados para profissionais da área de segurança da informação, que trabalham com Forense Computacional. São Eles: KALI LINUX (ANTIGO BACKTRACK) Distribuição Linux com foco em segurança da informação e computação forense, o Kali Linux possui um arsenal de ferramentas para testes que auxiliam os profissionais na realização de avaliações de segurança. O sistema é destinado a todos os públicos, dos profissionais de segurança mais experientes aos novatos. Com ótimos recursos, o sistema pode ser utilizado para análises diversas, avaliação de aplicação web e sistemas, aprender sobre segurança da informação, estudos de engenharia social, realizar testes de penetração e vários outros aplicativos. https://www.kali.org/ FDTK – FORENSE DIGITAL TOOLKIT Distribuição Linux especializada em segurança da informação e computação forense, baseada em Ubuntu, tendo como vantagem principal ser toda em português. O projeto possui um kit com mais de 100 ferramentas utilizadas para realização de testes, coleta, análises em forense computacional. Possui uma interface gráfica amigável, está em constante desenvolvimento. O usuário pode baixar a distribuição e instalar na sua máquina ou utilizar como LIVE CD, podendo rodar em qualquer estação com drive de CD/DVD sem a necessidade de instalação no Disco Rígido. http://fdtk.com.br/ CAINE Distribuição Linux especializada em segurança da informação e computação forense. A distribuição CAINE (Computer Aided Investigative Environment) é um projeto de forense digital baseado em Linux e Software Livre. Com uma interface amigável e visual, o sistema possui um pacote de aplicativos para realização de investigações forense que vão desde o básico ao avançado. O sistema pode ser utilizado para diversas avaliações, confira a lista de aplicativos do sistema. http://www.caine-live.net/ SANTOKU Distribuição Japonesa Linux especializada em segurança da informação e computação forense. Possui com foco em segurança mobile, engenharia reversa e análises de malwares, vírus em dispositivos móveis, nas principais plataformas de smatphones e tablets. Atualmente as pragas virtuais para smartphones e tablets crescem num ritmo acelerado, os recursos contidos nessa distribuição são muito úteis para realização de testes e experiências em segurança móbile. https://santoku-linux.com/ DEFT Distribuição Italiana Linux, baseada em Ubuntu, especializada em segurança da informação e computação forense, com kernel na versão atual 3. Um sistema profissional, estável com um excelente conjunto de ferramentas para realização de análises forenses e inteligência cibernética. A distribuição possui cerca de 3 GB de tamanho, com um kit de ferramentas chamado de DART (Digital Advanced Response Toolkit – Ferramenta de Resposta Digital Avançada). O ambiente gráfico é o LXDE, porém no terminal é mais rápido a realização das tarefas. O usuário pode usar o sistema através do CD – LIVE ou instalar na máquina. O DART possui diversas ferramentas, citando as principais: descoberta de informações de rede, inclusive wireless, análise de aplicações web, coleta de informações em redes sociais, proteção de identidade, clonagem de disco e recuperação de arquivos. A equipe mantenedora do sistema disponibiliza um manual completo para estudos. http://www.deftlinux.net/ BACKBOX Distribuição Linux, baseada em Ubuntu, especializada em segurança da informação e computação forense. Foi desenvolvida para realização de testes de penetração e avaliações de segurança. O projeto oferece ao usuário as melhores ferramentas para análises, testes e investigações forenses. Além de ser rápida e fornecer um ambiente completo, a distribuição está sempre atualizada para garantir qualidade e evolução constante. http://www.backbox.org/ HELIX Distribuição Linux, também baseada em Ubuntu, especializada em segurança da informação e computação forense. Possui uma gama de ferramentas dedicada a investigações e estudos da ciência da computação forense. Foi descontinuada em 2009 http://www.e-fense.com/ REMNUX Distribuição Linux, também baseada em Ubuntu, utilizada por analistas de segurança na criação e administração de malwares para engenharia reversa. Engenharia reversa, no caso, é utilizada para criar pragas para combater as existentes. Os profissionais criam uma nova amostra de malware em laboratório para infectar o sistema que possui o malware em questão e direciona as conexões potencialmente maliciosas para o sistema REMnux, que escutará e analisará o software malicioso. O que ocorre na verdade é a engenharia reversa, que estuda e entende como funciona o praga para combatê-la. O kit de ferramentas do sistema inclui programas para análise de documentos maliciosos e utilitários para a engenharia reversa de malware através de análise forense de memória. http://zeltser.com/remnux/ WIFISLAX Distribuição Linux, baseada no Slackware, especializada em auditoria e Invasão de Redes , voltada 100% para auditoria/invasão de redes sem fio. A distribuição possui vasta coleção de utilitários para a realização de conexão sem fio, análises e testes de segurança completos. http://www.wifislax.com/ PALADIN Distribuição Linux voltada para realizar imagens forense de disco https://sumuri.com/software/paladin/ TIM (Tableau IMager) Software de Imagem forense de disco gratuito, fabricado pela tableau (famosa empresa fabricante de bloqueadores de escrita), produz imagens forense no formato .E01, RAW (formato DD) e .DMG. https://www.guidancesoftware.com/tableau/download-center#tim https://www.guidancesoftware.com/tableau/download-center#tim
Compartilhar