TOPICO 1

Prévia do material em texto

Certificados 
Principais Certificações: 
● ACE (AccessData Certified Examiner), realizado pela Access Data: 
● CHFI Computer Hacking Forensic Investigator - www.chfi.com 
● ACFE Association of Certified Fraud Examiners 
● HTCIA Higt Technology Crime Investigation Association 
● EnCE (EnCase Certified Examiner), realizado pela Guidance Software. 
 
Principais Certificações em Cursos: 
● Computer Hacking Forensic Investigator​ (CHFI) da EC-Council é uma 
certificação que prepara o profissional para detectar ataques e extrair 
adequadamente as evidências para a comprovação do crime cibernético, assim 
como a condução de auditorias que visam prevenir futuros incidentes. ​Computer 
forensics​ é simplesmente a aplicação de investigações cibernéticas e técnicas 
de análises com o fim de determinar a evidência legal. 
 
● GCFA (​GIAC Certified Forensic Analyst​) A ​GIAC Certified Forensic Analyst 
(GCFA) da SANS é uma certificação ideal para profissionais que trabalham na 
segurança da informação, com forense computacional e também no campo de 
resposta a incidentes. Certifica que os candidatos têm habilidades, 
conhecimento e capacidade para realizar investigações de incidentes 
computacionais, incluindo invasões, violação de dados, ameaças persistentes 
avançadas, detecção de técnicas anti-forense utilizadas, e casos de forense 
digital complexos. 
 
● GCFE (​GIAC Certified Forensic Examiner​) Esta certificação da SANS é ideal 
para profissionais que atuam ou se interessam na área de segurança da 
informação, sobre o direito e a obrigatoriedade legal das indústrias com a 
necessidade em entender a análise forense computacional. A certificação 
concentra-se na coleta e análise de dados de sistemas operacionais Windows. 
 
● GREM (​GIAC Reverse Engineering Malware​) Esta certificação da SANS é 
destinada aos profissionais que protegem uma organização contra códigos 
maliciosos. Os profissionais que possuem tal certificação estão aptos a efetuar 
engenharia reversa em malwares que possuem como alvos plataformas como 
Windows e navegadores web. 
 
● CCFP (Certified Cyber Forensics Professional), realizado pela (ISC)2. 
 
● DSFE (Data Security Forensics Examiner), realizado pela Data Security 
 
Norma ABNT ISO/IEC 27037:2013 
A Perícia Forense Computacional começou na década de 1980, quando os 
computadores começaram a se tornar populares, principalmente nos países de primeiro 
mundo. 
No ano de 1984, surgiu o CART, como um tipo de resposta do FBI aos incidentes 
computacionais que estavam se tornando mais frequentes, ainda mais com o 
surgimento da ARPA NET. CART significa ​Computer Analysis and Response Team​, 
sendo, assim, o primeiro grupo de resposta a incidentes (ou GRI) para lidar com os 
diversos crimes computacionais. 
No ano de 1991, ocorreu o primeiro grande encontro de International Law Enforcement, 
organizado com o intuito de conduzir discussão sobre perícia forense computacional e 
as diversas necessidades de criar um padrão de metodologia para atuação contra 
esses crimes cibernéticos. 
Depois, no ano de 1997, o grupo Scientific Working Group on Digital Evidence 
(SWGDE) estabeleceu-se com o grande objetivo de desenvolver um padrão discutido 
no evento do 1994. 
Em 2001, ocorreu o Digital Forensic Research Workshop, primeiro no mundo, que, hoje, 
possui periodicidade anual e conta com diversos palestrantes de vários locais, em que 
qualquer indivíduo pode participar para, assim, praticar e realizar teste de seus 
conhecimentos de perícia forense computacional. 
Forense Computacional 
A Forense Computacional abrange todas as questões relacionadas aos crimes 
praticados na Internet ou fora dela, chamados ciber-crimes. Estudando como coletar 
evidências de crimes e violações, analisar e documentar casos, esta ciência, 
relativamente nova, segue as principais metodologias internacionais usadas e adotadas 
por todos os países na investigação de crimes e delitos comuns. 
Evidência digital entende-se pela informação armazenada ou transmitida em formatos 
ou meios digitais. Sendo que essa evidência, na maioria das vezes, é frágil e volátil, o 
que requer a atenção de um especialista certificado ou bastante experiente a fim de 
garantir que os materiais de valor probatório possam ser efetivamente isolados e 
extraídos correta e licitamente. Tais materiais podem ser apresentados em um tribunal 
de justiça como prova de materialidade de um crime, por exemplo; ou mesmo como 
parte de um laudo pericial. 
A Forense Computacional é uma ciência que obtém, preserva e documenta evidências 
de dispositivos de armazenamento digital, como computadores, PDAs, câmeras digitais, 
telefones celulares e vários dispositivos de armazenamento de memória. 
A Computação Forense e organizada em 4 etapas principais: Coleta, Exame, Análise e 
Relatório. 
Norma ABNT ISO/IEC 27037:2013 – Diretrizes para identificação, coleta, ​aquisição e 
preservação​ de evidência digital, sua leitura na íntegra é imprescindível a todos que 
pretendem atuar na área de investigação cibernética e Forense Digital. 
 
● Coleta: O objetivo da primeira etapa é identificar, isolar, etiquetar, registrar e 
coletar os dados e evidências físicas relacionadas com o incidente que está 
sendo investigado, enquanto estabelece e mantem a integridade das provas. 
 
● Exame: identificar e extrair as informações relevantes a partir dos dados 
coletados utilizando ferramentas e técnicas forenses adequadas. 
 
● Análise: Analisar os resultados do exame para gerar respostas úteis para as 
questões apresentadas nas fases anteriores. 
 
● Relatório (Resultados): inclui encontrar relevância para o caso. Nessa etapa 
também é redigido o laudo pericial, o qual deve ter conclusão imparcial, clara e 
concisa; deve ter exposto os métodos utilizados na perícia, e deve ser de fácil 
interpretação por uma pessoa comum, de conhecimento médio. 
Imagem e Espelhamento 
De maneira geral, os exames forenses devem ser efetuados em cima de duplicatas 
idênticas, as quais são obtidas dos materiais questionados originalmente apreendidos e 
submetidas a exames forenses. Dessa forma, deverão ser aplicadas ferramentas e 
técnicas que efetuem uma cópia fidedigna dos dados e mantenham a integridade do 
material apreendido. 
Imagem e Espelhamento são técnicas de duplicação/cópia utilizadas na fase de coleta. 
Essas técnicas, ao serem realizadas através de softwares e equipamentos forenses, 
https://unotec.com.br/ead/mod/page/view.php?id=63
https://unotec.com.br/ead/mod/page/view.php?id=63
garantem uma cópia fiel dos dados e consequentemente a preservação correta do 
material que foi apreendido. 
Etapa de extração 
Depois de finalizada a etapa de coleta, a próxima etapa é extrair dados / informações 
relevantes para uma posterior análise. Nessa etapa, é extraído e avaliado o quê pode 
ser importante para a investigação. Nesse ponto, podem ser encontradas evidências 
inacessíveis, devido à proteção por senha, criptografia, ou prévia exclusão do dado. A 
seguir, será revisto importantes ferramentas e técnicas utilizadas na etapa de extração. 
Etapa de análise 
Esta etapa consiste em examinar os dados/informações extraídos da etapa de extração, 
e em seguida identificar evidências digitais, verificando a relação com o fato apurado. 
Após a identificação e avaliação das evidências encontradas no material questionado, é 
possível responder as perguntas feitas pela autoridade solicitante. 
Dessa forma, é importante que o a autoridade solicitante busque sempre detalhar o quê 
procura, descrevendo no máximo de detalhes possível, ou seja, que mostre para a 
equipe pericial exatamente o quê deve ser buscado, para dessa forma, evitar 
desperdício de trabalho ​dos peritos​. 
Explosão da Tecnologia 
Nas últimas décadas, tem-se notado uma explosão do uso da tecnologia em todas as 
áreas da indústria, bem como no dia a dia das pessoas. Não é surpresa que os 
criminosos acompanham e até evoluem o emprego da tecnologia no planejamento e 
prática de crimes.A medida que a tecnologia invade o mercado com uma extraordinária quantidade de 
periféricos, quase nunca compatíveis entre si, com smartphones, tablets, notebooks, 
desktops dentre outros, além de armazenamentos como cloud, pen drives, hd's 
externos, etc. Tudo isso somado a enorme quantidade de redes sociais, que já atingem 
todo o planeta, como Facebook, Twitter, etc.. exigem uma especialização e 
conhecimentos para atuar na área, cada vez maiores. 
No Brasil, os crimes eletrônicos estão crescendo cada vez mais de acordo com o 
crescimento da informatização, pois existem pessoas sem cuidados com seus e-mails, 
redes sociais e também seus arquivos do seu computador pessoal. Assim, um ​cracker 
pode invadir sua máquina para tentar obter tais dados, como fotos, número de CPF, 
senhas de cartão de créditos, RG. 
Para localizar, analisar e identificar como ocorreram essas invasões, são usadas as 
ferramentas de perícia forense de rede. 
https://unotec.com.br/ead/mod/page/view.php?id=67
Novos campos profissionais vão surgindo, com o intuito de formar profissionais para 
desvendar e solucionar casos que necessitam de inteligência e aprofundamento para 
atuar na perícia de crimes. Assim, vão surgindo os peritos forenses computacionais, 
que têm características e perfis necessários para dar respostas à justiça. E, para ter 
esse perfil profissional, deve-se ter formação superior em tecnologia, especialização, 
domínio tecnológico, boa redação para relatar os fatos do caso no laudo pericial e 
também de saber línguas estrangeiras, principalmente inglês. 
S.O Forenses e Ferramentas 
Segundo Queiroz e Vargas (2010)QUEIROZ, Claudemir; VARGAS, Raffael. 
Investigação e Perícia Forense Computacional. 1. ed. Rio de Janeiro: Brasport, 2010., 
as ferramentas de perícia forense computacional são capazes de atender a todas as 
etapas de uma investigação forense. O que vai determinar a escolha das ferramentas 
diante de muitas no mercado será o tipo de caso a ser analisado. 
Algumas das funções principais das ferramentas forenses de rede são: analisar o 
tráfego, conexões, estatísticas na rede, com o objetivo de extrair, capturar pacotes 
PCAP, que são pacotes capturados depois de um monitoramento da ferramenta no 
tráfego da rede. 
● NetworkMiner: ferramenta voltada para análise forense em redes de 
computadores 
● Chaosreader: busca vários tipos de arquivos em logs de redes 
● Wireshark – htps://www.wireshark.org: O Wireshark é a ferramenta para análise 
de redes mais usada em todo mundo, tanto por administradores de redes como 
por hackers. O nível de detalhes gerado por essa ferramenta é tamanho que até 
hoje eu não conheci nenhum administrador de redes que não tenha consigo 
resolver um problema em sua rede utilizando-o. 
● Netwitness Investigator: versão free da famosa ferramenta para análise forense 
de rede 
● Xplico: Ferramenta Open Source para análise forense de redes 
● ngrep: Network Grep 
● tcpflow: captura um fluxo de informações TCP e o armazena para poder ser feito 
depois uma análise dos protocolos 
● p0f (Passive OS Fingerprinting): ferramenta para fingerprinting passivo de 
OS/rede 
● tcpreplay: é uma suíte de ferramentas para editar o tráfego de rede capturado 
anteriormente por ferramentas, como tcpdump. O objetivo é testar uma 
variedade de dispositivos de rede, como switches, roteadores, firewall, IPS 
● SiLK (System for Internet-Level Knowledge): coleção de ferramentas voltadas 
para análise de tráfego desenvolvida pela CERT NetSA cujo objetivo é facilitar a 
análise da segurança em redes de computadores de grande escala. 
● OSSIM: Solução Open Source para SIEM 
● OSSEC: HIDS Open Source que funciona também como uma ferramenta para 
SIEM 
● Security Onion: Distribuição Linux específica para se trabalhar com vários IDS 
(Intrusion Detection System) e NSM (Network Security Monitoring). Baseada no 
Ubuntu, contém SNORT, Suricata, Bro, Sguil, Squert, Snorby, Xplico, 
NetworkMiner, etc. 
 
HARDWARE PARA FORENSE COMPUTACIONAL 
● Digital Intelligence 
● ForensicPC 
● ForensicComputers 
● Silicon Forensics 
● Data Duplication 
● Mac Forensics Lab 
 
FRAMEWORKS DE ANÁLISES FORENSE 
● OSForensics: ferramenta de análise forense, feita primeiramente para rodar um 
sistema "vivo" (Live Forensics), porém, o perito pode montar a imagem como um 
volume e rodar a ferramenta contra a imagem montada. Lista das principais 
tarefas. 
● DFF: ferramenta em python que trabalha com módulos. Para aprender a 
trabalhar com esta ferramenta é só seguir o blog e wiki 
● DEFT: distribuição linux voltada para forense computacional 
● Caine: distribuição linux, italiana, voltada para forense computacional. 
● SIFT (Sans Investigative Forensic Toolkit): distribuição linux voltada para forense 
computacional, feita pelo SANS. 
● VulnHub: Fornece material (várias VMs legalmente frágeis, vulneráveis e 
exploráveis) permitindo que qualquer pessoa possa ganhar prática "hands on" 
em segurança digital. 
 
ANÁLISE FORENSE DE MEMÓRIA / DUMPS DE MEMÓRIA 
● Volatility: framework em python que funciona através de plugins 
● Mandiant Redline: nova ferramenta da empresa Mandiant que analisa um dump 
de memória, trabalhando inclusive com IOC 
● FTK Imager: ferramenta da empresa AccessData que dentre várias outras 
coisas, realiza o dump de memória 
● Win32dd: faz parte de uma toolkit chamada Moonsols Windows Memory Toolkit. 
A versão Community Edition é free. 
● HBGary Free Tools: conjunto de várias ferramentas grátis da empresa HBGary. 
 
 
CARVING 
● Foremost: ferramenta para recuperar arquivos baseando-se em headers, footers 
e estrutura de dados internas. http://foremost.sourceforge.net 
● Scalpel: excelente ferramenta para recuperar arquivos com base nos headers e 
footers. Funciona independentemente do sistema de arquivos. 
● Photorec: excelente ferramenta para recuperar fotos. 
● Testdisk: ferramenta que foi inicialmente criada para recuperar partições com 
problemas. 
● Bulk_Extractor: ferramenta desenvolvida pelo Simson Garfinkel. Foi feita para 
recuperar dados em massa. 
● Ontrack EasyRecovery – 
http://www.krollontrack.com/data-recovery/recovery-software 
 
MONTANDO IMAGENS 
● FTK Imager: Ferramenta gratuita da empresa AccessData. Serve tanto para 
montar um arquivo de imagem como um volume adicional, como para realizar 
uma análise básica na imagem montada 
● ImDisk: Faz o mesmo que a ferramenta FTK Imager. Também é gratuita 
 
ANÁLISE DE AMBIENTE WINDOWS 
● LastActivityView – http://www.nirsoft.net/utils/computer_activity_view.html 
● USBDeview – http://www.nirsoft.net/utils/usb_devices_view.html 
● Registry Workshop – http://www.torchsoft.com/en/rw_information.html 
● Ultimate Forensics Outflow Win-UFO – http://win-ufo.org/downloads.shtml 
● PrefetchForensics – http://www.woanware.co.uk/forensics/prefetchforensics.html 
 
ANÁLISE DE EMAILS 
● Kernel for Exchange Server Recovery – 
http://www.nucleustechnologies.com/Exchange-Server-Data-Recovery.html 
 
CÁLCULO DE HASH 
● MultiHasher – http://www.abelhadigital.com/multihasher 
 
DISPOSITIVOS MÓVEIS (SMARTPHONES) 
● MOBILedit! Forensic – http://www.mobiledit.com 
● Oxygen Forensic Suite – 
http://www.oxygen-forensic.com/en/products/oxygen-forensic-suite/features 
 
DUMP E ANÁLISE DE MEMÓRIA 
● Belkasoft Live RAM Capturer – https://belkasoft.com/en/ram-capturer 
● Memoryze – https://www.mandiant.com/resources/download/memoryze 
● Volatility – https://github.com/volatilityfoundatio 
 
Sistemas Operacionais 
Existem hoje, diversos Sistemas Operacionais baseados em Linux e Software Livre, 
desenvolvidos exclusivamente para profissionais e estudiosos de Segurança da 
Informação e Computação Forense. Quando um serviço nasce, ele pode ser 100% 
seguro, mas com a evolução das técnicas de invasão, logo torna-se vulnerável, por isso 
é muito importante investir em proteção e segurança. 
Os Sistemas Operacionais possuem ferramentas e aplicativos exclusivos para 
realização de testes, análises e atividades da área, taiscomo: recuperação de arquivos 
apagados, analisadores de logs do sistema e programas, engenharia reversa, testes de 
invasão, vasculhador de tarefas executadas no sistema, analisador de protocolos 
enviados e recebidos na rede, programas de força bruta para quebrar senhas, entre 
outras coisas. Nesta era, em que estamos conectados em todos os lugares, os 
problemas e incidentes tendem a aumentar, o mercado de segurança da informação é 
promissor, por isso busque especialização nesta área, com certeza terá retorno rápido. 
Aproveite para conhecer alguns sistemas operacionais baseados em Linux e Software 
Livre, que reúnem ferramentas e um conjunto de aplicativos customizados para 
profissionais da área de segurança da informação, que trabalham com Forense 
Computacional. São Eles: 
 
KALI LINUX (ANTIGO BACKTRACK) 
Distribuição Linux com foco em segurança da informação e computação forense, o Kali 
Linux possui um arsenal de ferramentas para testes que auxiliam os profissionais na 
realização de avaliações de segurança. O sistema é destinado a todos os públicos, dos 
profissionais de segurança mais experientes aos novatos. Com ótimos recursos, o 
sistema pode ser utilizado para análises diversas, avaliação de aplicação web e 
sistemas, aprender sobre segurança da informação, estudos de engenharia social, 
realizar testes de penetração e vários outros aplicativos. 
https://www.kali.org/ 
 
 
FDTK – FORENSE DIGITAL TOOLKIT 
Distribuição Linux especializada em segurança da informação e computação forense, 
baseada em Ubuntu, tendo como vantagem principal ser toda em português. O projeto 
possui um kit com mais de 100 ferramentas utilizadas para realização de testes, coleta, 
análises em forense computacional. Possui uma interface gráfica amigável, está em 
constante desenvolvimento. O usuário pode baixar a distribuição e instalar na sua 
máquina ou utilizar como LIVE CD, podendo rodar em qualquer estação com drive de 
CD/DVD sem a necessidade de instalação no Disco Rígido. 
http://fdtk.com.br/ 
 
 
CAINE 
Distribuição Linux especializada em segurança da informação e computação forense. A 
distribuição CAINE (Computer Aided Investigative Environment) é um projeto de forense 
digital baseado em Linux e Software Livre. Com uma interface amigável e visual, o 
sistema possui um pacote de aplicativos para realização de investigações forense que 
vão desde o básico ao avançado. O sistema pode ser utilizado para diversas 
avaliações, confira a lista de aplicativos do sistema. 
http://www.caine-live.net/ 
 
 
SANTOKU 
Distribuição Japonesa Linux especializada em segurança da informação e computação 
forense. Possui com foco em segurança mobile, engenharia reversa e análises de 
malwares, vírus em dispositivos móveis, nas principais plataformas de smatphones e 
tablets. Atualmente as pragas virtuais para smartphones e tablets crescem num ritmo 
acelerado, os recursos contidos nessa distribuição são muito úteis para realização de 
testes e experiências em segurança móbile. 
https://santoku-linux.com/ 
 
 
 
DEFT 
Distribuição Italiana Linux, baseada em Ubuntu, especializada em segurança da 
informação e computação forense, com kernel na versão atual 3. Um sistema 
profissional, estável com um excelente conjunto de ferramentas para realização de 
análises forenses e inteligência cibernética. A distribuição possui cerca de 3 GB de 
tamanho, com um kit de ferramentas chamado de DART (Digital Advanced Response 
Toolkit – Ferramenta de Resposta Digital Avançada). O ambiente gráfico é o LXDE, 
porém no terminal é mais rápido a realização das tarefas. O usuário pode usar o 
sistema através do CD – LIVE ou instalar na máquina. O DART possui diversas 
ferramentas, citando as principais: descoberta de informações de rede, inclusive 
wireless, análise de aplicações web, coleta de informações em redes sociais, proteção 
de identidade, clonagem de disco e recuperação de arquivos. A equipe mantenedora do 
sistema disponibiliza um manual completo para estudos. 
http://www.deftlinux.net/ 
 
 
BACKBOX 
Distribuição Linux, baseada em Ubuntu, especializada em segurança da informação e 
computação forense. Foi desenvolvida para realização de testes de penetração e 
avaliações de segurança. O projeto oferece ao usuário as melhores ferramentas para 
análises, testes e investigações forenses. Além de ser rápida e fornecer um ambiente 
completo, a distribuição está sempre atualizada para garantir qualidade e evolução 
constante. 
http://www.backbox.org/ 
 
 
HELIX 
Distribuição Linux, também baseada em Ubuntu, especializada em segurança da 
informação e computação forense. Possui uma gama de ferramentas dedicada a 
investigações e estudos da ciência da computação forense. Foi descontinuada em 2009 
http://www.e-fense.com/ 
 
 
REMNUX 
Distribuição Linux, também baseada em Ubuntu, utilizada por analistas de segurança na 
criação e administração de malwares para engenharia reversa. Engenharia reversa, no 
caso, é utilizada para criar pragas para combater as existentes. Os profissionais criam 
uma nova amostra de malware em laboratório para infectar o sistema que possui o 
malware em questão e direciona as conexões potencialmente maliciosas para o sistema 
REMnux, que escutará e analisará o software malicioso. O que ocorre na verdade é a 
engenharia reversa, que estuda e entende como funciona o praga para combatê-la. O 
kit de ferramentas do sistema inclui programas para análise de documentos maliciosos 
e utilitários para a engenharia reversa de malware através de análise forense de 
memória. 
http://zeltser.com/remnux/ 
 
 
WIFISLAX 
Distribuição Linux, baseada no Slackware, especializada em auditoria e Invasão de 
Redes , voltada 100% para auditoria/invasão de redes sem fio. A distribuição possui 
vasta coleção de utilitários para a realização de conexão sem fio, análises e testes de 
segurança completos. 
http://www.wifislax.com/ 
 
 
PALADIN 
Distribuição Linux voltada para realizar imagens forense de disco 
https://sumuri.com/software/paladin/ 
 
 
 
 
TIM (Tableau IMager) 
Software de Imagem forense de disco gratuito, fabricado pela tableau (famosa empresa 
fabricante de bloqueadores de escrita), produz imagens forense no formato .E01, RAW 
(formato DD) e .DMG. 
https://www.guidancesoftware.com/tableau/download-center#tim 
 
 
https://www.guidancesoftware.com/tableau/download-center#tim