Ferramentas para Resposta a Incidentes - ago12
•Télécharger en tant que PPTX, PDF•
1 j'aime•533 vues
Ferramentas para Resposta a Incidentes - ago12
Recommandé
Recommandé
Contenu connexe
Similaire à Ferramentas para Resposta a Incidentes - ago12
Similaire à Ferramentas para Resposta a Incidentes - ago12 (20)
Plus de Luiz Sales Rabelo
Ferramentas para Resposta a Incidentes - ago12
- 2. Luiz Sales Rabelo • Coordenador de Prevenção a Fraudes – Nextel (2012) • Consultor TechBiz Forense Digital (2009 a 2012) • Certificações internacionais EnCE e ACE • Membro Comissão Crimes Alta Tecnologia OAB/SP • Membro HTCIA – U.S. Investigation Association • NÃO SOU ADVOGADO!!
- 3. Conceitos Básicos Como responder a um incidente?? O que é um incidente?
- 4. Conceitos Básicos Reconhecendo um incidente (ISO 17799:2005) • Perda de serviço • Mal funcionamento ou sobrecarga de sistema • Falha humana • Vulnerabilidades no controle do acesso físico • Violação de Acesso
- 5. Ciência Forense Metodologia científica aplicada, que atua em conjunto com o Investigador e é utilizada para esclarecer questionamentos jurídicos: Toxicologia Forense, Genética e Biologia Forense, Psiquiatria Forense, Antropologia Forense, Odontologia Forense, Entomologia Forense, Balística Forense, Tanatologia Forense...
- 6. Dispositivos Móveis Na atualidade, os celulares são verdadeiros computadores, e em alguns casos guardam muito mais sobre nossas vidas do que nossos computadores. Ex: • E-mails • Contatos / Agenda • Fotos, imagens e vídeos • Ring Tones e Jogos (copyright) • Histórico, cookies, senhas de navegação (browser) • Chamadas (discadas e recebidas) em determinada data/hora • Detalhes de mensagens SMS (data, origem/destino, templates)
- 7. Perícia em dispositivo Móveis 7
- 8. Perícia em dispositivo Móveis - GPS
- 9. O que não é Forense Digital? O “Efeito” CSI • Adaptação livre do tema para televisão • Relata fatos no formato de série de TV • Diferença quanto a métodos, organização e tempos
- 10. “Efeito” CSI
- 11. “Efeito” CSI
- 12. “Efeito” CSI
- 13. “Efeito” CSI
- 14. “Efeito” CSI
- 15. “Efeito” CSI
- 16. Ferramentas Avançadas AccessData FTK – Forensic Toolkit Guidance Software – EnCase Forensic Qual o melhor? Discussão filosófica..
- 17. Arquivos Apagados O espaço em disco marcado como livre na tabela de alocação de arquivos geralmente contém informações essenciais para a análise: são os dados dos arquivos removidos
- 19. “Sanitização” • Evitar cross-contamination • Demanda wipe completo das mídias reutilizáveis
- 20. “Sanitização” Visualização de mídia no EnCase após wipe
- 21. “Data Hidding” Ocultando arquivos no disco
- 22. File Systems Um sistema de arquivos é um conjunto de estruturas lógicas e de rotinas, que permitem ao sistema operacional controlar o acesso ao disco rígido. Diferentes sistemas operacionais usam diferentes sistemas de arquivos. Alguns dos pontos a serem analisados são: • Assinatura de arquivos • ADS (Alternate Data Streams)
- 23. Assinatura de arquivos – números mágicos
- 24. Assinatura de arquivos – números mágicos São usados em arquivos para que o formato de seu conteúdo possa ser reconhecido independente de formas externas. Cada sistema operacional tenta identificar o tipo dos arquivos de formas diferentes. O Windows utiliza extensões, enquanto os sistemas operacionais Mac usam meta-dados, que são gravados na estrutura do arquivo.
- 25. Assinatura de arquivos – números mágicos
- 26. ADS – Alternate Data Stream
- 27. ADS – Alternate Data Stream
- 28. ADS – Alternate Data Stream
Notes de l'éditeur
- A ciência forense é a utilização de técnicas e métodos científicos em análise de evidências legais ou informações como forma de auxílio em processos legais, sejam eles criminais ou não. Toxicologia Forense: tem como principal objectivo a detecção e quantificação de substâncias tóxicas. ·Genética e Biologia Forense: Entre as múltiplas actividades constam a realização das perícias referentes aos casos de filiação, criminalística biológica e identificação individual (genética). ·Psiquiatria Forense: Trata-se de uma “ciência auxiliar do direito que estabelece e define os elementos necessários ao fundamento da opinião médica que informa o juiz a respeito da aplicação da lei aos portadores de doenças e anomalias mentais” (Pedro Polónia). ·Antropologia Forense: Tem como objectivos determinar a identidade do indivíduo; determinar a data e a causa da morte; interpretar as circunstâncias da morte. ·Odontologia Forense: A Odontologia Forense compreende áreas diversas de intervenção que vão desde a avaliação do dano orofacial pós-traumático (no âmbito da clínica médico-legal do direito penal, civil ou do trabalho), até à identificação de indivíduos mortos ou à identificação de agressores, através das marcas de mordida. ·Entomologia Forense: A Entomologia Forense é o estudo dos insectos, ácaros e outros artrópodes, associados com um cadáver humano para se determinar a data da morte, e, quando for possível, deduzir as circunstâncias que cercaram o facto antes do ocorrido ou que se seguiram depois deste. ·Balística Forense: Este ramo da ciência forense estuda as armas de fogo, ou seja, a sua classificação (funcionamento, constituição, dimensões, calibre, etc.), da munição e dos fenómenos e efeitos causados por estas armas. ·Anatomia Patológica Forense: A anatomia patológica é um ramo da patologia que lida com o diagnóstico das doenças baseado no exame macroscópico de peças cirúrgicas e microscópicos para o exame de células e tecidos. ·Tanatologia Forense: A Tanatologia Forense é o ramo das ciências forenses que partindo do exame do local, da informação acerca das circunstâncias da morte. O trabalho forense realizado durante o processo investigativo é feito por peritos que são os responsáveis pela coleta e análise de evidências, e os investigadores que fazem a solicitação das análises e uso dos resultados. Estas análises e seus respectivos resultados podem ser apresentadas como provas durante um processo legal e portanto, devem sempre ser completas e detalhadas para evitar contestação por alguma das partes envolvidas.
- Desde que os celulares passaram a fazer parte da vida dos cidadãos, tornaram-se também uma riquíssima fonte de informações sobre as ações executadas por estes. Mesmo os celulares mais antigos (com exceção dos enormes rádios da década de 80) guardavam informações importantes, como por exemplo as últimas chamadas realizadas, as últimas mensagens enviadas e recebidas, assim como data e hora desses eventos. Não podemos nos esquecer também das ricas agendas de contatos, que constituem por si só um banco de dados pronto para ser utilizado. Com a convergência de tecnologias, os celulares da atualidade possuem processamento e funcionalidade superiores aos computadores de alguns anos atrás, sendo amplamente utilizados para navegação na web, troca de mensagens eletrônicas (e-mail), troca de mensagens instantâneas, fotos e filmes. Outro ponto comprometedor nos celulares da atualidade é que os mesmos podem estar infectados (vírus) ou possuir conteúdo não licenciado como jogos, ringtones, temas, etc.
- A ciência forense é a utilização de técnicas e métodos científicos em análise de evidências legais ou informações como forma de auxílio em processos legais, sejam eles criminais ou não. Toxicologia Forense: tem como principal objectivo a detecção e quantificação de substâncias tóxicas. ·Genética e Biologia Forense: Entre as múltiplas actividades constam a realização das perícias referentes aos casos de filiação, criminalística biológica e identificação individual (genética). ·Psiquiatria Forense: Trata-se de uma “ciência auxiliar do direito que estabelece e define os elementos necessários ao fundamento da opinião médica que informa o juiz a respeito da aplicação da lei aos portadores de doenças e anomalias mentais” (Pedro Polónia). ·Antropologia Forense: Tem como objectivos determinar a identidade do indivíduo; determinar a data e a causa da morte; interpretar as circunstâncias da morte. ·Odontologia Forense: A Odontologia Forense compreende áreas diversas de intervenção que vão desde a avaliação do dano orofacial pós-traumático (no âmbito da clínica médico-legal do direito penal, civil ou do trabalho), até à identificação de indivíduos mortos ou à identificação de agressores, através das marcas de mordida. ·Entomologia Forense: A Entomologia Forense é o estudo dos insectos, ácaros e outros artrópodes, associados com um cadáver humano para se determinar a data da morte, e, quando for possível, deduzir as circunstâncias que cercaram o facto antes do ocorrido ou que se seguiram depois deste. ·Balística Forense: Este ramo da ciência forense estuda as armas de fogo, ou seja, a sua classificação (funcionamento, constituição, dimensões, calibre, etc.), da munição e dos fenómenos e efeitos causados por estas armas. ·Anatomia Patológica Forense: A anatomia patológica é um ramo da patologia que lida com o diagnóstico das doenças baseado no exame macroscópico de peças cirúrgicas e microscópicos para o exame de células e tecidos. ·Tanatologia Forense: A Tanatologia Forense é o ramo das ciências forenses que partindo do exame do local, da informação acerca das circunstâncias da morte. O trabalho forense realizado durante o processo investigativo é feito por peritos que são os responsáveis pela coleta e análise de evidências, e os investigadores que fazem a solicitação das análises e uso dos resultados. Estas análises e seus respectivos resultados podem ser apresentadas como provas durante um processo legal e portanto, devem sempre ser completas e detalhadas para evitar contestação por alguma das partes envolvidas.
- A ciência forense é a utilização de técnicas e métodos científicos em análise de evidências legais ou informações como forma de auxílio em processos legais, sejam eles criminais ou não. Toxicologia Forense: tem como principal objectivo a detecção e quantificação de substâncias tóxicas. ·Genética e Biologia Forense: Entre as múltiplas actividades constam a realização das perícias referentes aos casos de filiação, criminalística biológica e identificação individual (genética). ·Psiquiatria Forense: Trata-se de uma “ciência auxiliar do direito que estabelece e define os elementos necessários ao fundamento da opinião médica que informa o juiz a respeito da aplicação da lei aos portadores de doenças e anomalias mentais” (Pedro Polónia). ·Antropologia Forense: Tem como objectivos determinar a identidade do indivíduo; determinar a data e a causa da morte; interpretar as circunstâncias da morte. ·Odontologia Forense: A Odontologia Forense compreende áreas diversas de intervenção que vão desde a avaliação do dano orofacial pós-traumático (no âmbito da clínica médico-legal do direito penal, civil ou do trabalho), até à identificação de indivíduos mortos ou à identificação de agressores, através das marcas de mordida. ·Entomologia Forense: A Entomologia Forense é o estudo dos insectos, ácaros e outros artrópodes, associados com um cadáver humano para se determinar a data da morte, e, quando for possível, deduzir as circunstâncias que cercaram o facto antes do ocorrido ou que se seguiram depois deste. ·Balística Forense: Este ramo da ciência forense estuda as armas de fogo, ou seja, a sua classificação (funcionamento, constituição, dimensões, calibre, etc.), da munição e dos fenómenos e efeitos causados por estas armas. ·Anatomia Patológica Forense: A anatomia patológica é um ramo da patologia que lida com o diagnóstico das doenças baseado no exame macroscópico de peças cirúrgicas e microscópicos para o exame de células e tecidos. ·Tanatologia Forense: A Tanatologia Forense é o ramo das ciências forenses que partindo do exame do local, da informação acerca das circunstâncias da morte. O trabalho forense realizado durante o processo investigativo é feito por peritos que são os responsáveis pela coleta e análise de evidências, e os investigadores que fazem a solicitação das análises e uso dos resultados. Estas análises e seus respectivos resultados podem ser apresentadas como provas durante um processo legal e portanto, devem sempre ser completas e detalhadas para evitar contestação por alguma das partes envolvidas.
- Quando ligamos um computador, ele é um dispositivo “vazio”; ele não é um Windows, um Linux ou um Mac, é apenas um monte de componentes eletrônicos (Hardware) esperando por instruções sobre como trabalhar. Todos os computadores possuem um processo de inicialização, chamado processo de Boot, no qual buscam em seus componentes por um sistema operacional, que os dirá como se comportar. Este sistema pode ser encontrado em um Disquete, CD, DVD, Pen drive, placa de rede ou em um Disco Rígido (HD - Hard Disk), sendo este último a mídia onde encontramos com mais frequência o sistema operacional. Nos primeiros bytes do HD encontramos o programa que carrega o sistema (Loader) e a descrição do sistema de arquivos, uma vez que um sistema operacional pode trabalhar com diversos tipos diferentes de sistemas de arquivos. Os sistemas de arquivos são as estruturas que os sistemas operacionais utilizam para guardar os dados dentro dos dispositivos (discos, pen drives, etc). O que torna o conhecimento da estrutura e das nuances desses sistemas um item obrigatório para os analistas de forense digital. Conhecer a estrutura dos próprios arquivos também faz parte dos requisitos de um analista forense. Tomemos como exemplo os arquivos cuja extensão não confere com o seu real tipo. Uma pessoa pode ter diversos arquivos de pornografia infantil em seu computador, e renomear os a extensão dessas fotos de JPG para TXT, por exemplo.
- Quando ligamos um computador, ele é um dispositivo “vazio”; ele não é um Windows, um Linux ou um Mac, é apenas um monte de componentes eletrônicos (Hardware) esperando por instruções sobre como trabalhar. Todos os computadores possuem um processo de inicialização, chamado processo de Boot, no qual buscam em seus componentes por um sistema operacional, que os dirá como se comportar. Este sistema pode ser encontrado em um Disquete, CD, DVD, Pen drive, placa de rede ou em um Disco Rígido (HD - Hard Disk), sendo este último a mídia onde encontramos com mais frequência o sistema operacional. Nos primeiros bytes do HD encontramos o programa que carrega o sistema (Loader) e a descrição do sistema de arquivos, uma vez que um sistema operacional pode trabalhar com diversos tipos diferentes de sistemas de arquivos. Os sistemas de arquivos são as estruturas que os sistemas operacionais utilizam para guardar os dados dentro dos dispositivos (discos, pen drives, etc). O que torna o conhecimento da estrutura e das nuances desses sistemas um item obrigatório para os analistas de forense digital. Conhecer a estrutura dos próprios arquivos também faz parte dos requisitos de um analista forense. Tomemos como exemplo os arquivos cuja extensão não confere com o seu real tipo. Uma pessoa pode ter diversos arquivos de pornografia infantil em seu computador, e renomear os a extensão dessas fotos de JPG para TXT, por exemplo.
- Quando ligamos um computador, ele é um dispositivo “vazio”; ele não é um Windows, um Linux ou um Mac, é apenas um monte de componentes eletrônicos (Hardware) esperando por instruções sobre como trabalhar. Todos os computadores possuem um processo de inicialização, chamado processo de Boot, no qual buscam em seus componentes por um sistema operacional, que os dirá como se comportar. Este sistema pode ser encontrado em um Disquete, CD, DVD, Pen drive, placa de rede ou em um Disco Rígido (HD - Hard Disk), sendo este último a mídia onde encontramos com mais frequência o sistema operacional. Nos primeiros bytes do HD encontramos o programa que carrega o sistema (Loader) e a descrição do sistema de arquivos, uma vez que um sistema operacional pode trabalhar com diversos tipos diferentes de sistemas de arquivos. Os sistemas de arquivos são as estruturas que os sistemas operacionais utilizam para guardar os dados dentro dos dispositivos (discos, pen drives, etc). O que torna o conhecimento da estrutura e das nuances desses sistemas um item obrigatório para os analistas de forense digital. Conhecer a estrutura dos próprios arquivos também faz parte dos requisitos de um analista forense. Tomemos como exemplo os arquivos cuja extensão não confere com o seu real tipo. Uma pessoa pode ter diversos arquivos de pornografia infantil em seu computador, e renomear os a extensão dessas fotos de JPG para TXT, por exemplo.
- Todas as mídias de armazenamento temporário das evidências, utilizadas no processo de investigação, devem ser saneadas no encerramento do caso, possibilitando sua reutilização para casos futuros. Tal medida é absolutamente essencial para evitar problemas de cross-contamination: contaminação das evidências pelo perito, no processo de investigação. Isso significa que não basta apenas apagar os dados, ou mesmo excluir as partições . Como visto anteriormente, tal procedimento apenas desaloca os cluster nos quais os dados estão armazenados. É preciso executar um wipe completo para garantir a remoção de todas as informações. Wipe: Técnica de remoção de informações que apaga e sobrepõe os dados presentes nos clusters alocados para os arquivos alvo, objetivando impossibilitar a recuperação das informações originais. Existem diversos produtos (free e comerciais) para realizar o wipe de mídias, tais como: EnCase, Axcrypt, Dban, Sdelete (Sysinternals). A maioria dos hardwares de duplicação de disco também possuem a funcionalidade de wipe. A maioria das soluções usa como referência a norma 5220.22-M, do Departamento de Defesa dos Estados Unidos, que define o método para o processo de wipe.
- Nesta imagem é possível visualizar o resultado do processo de wipe em uma mídia, realizado pela ferramenta EnCase. Pela visualização em hexadecimal, verifica-se que o disco está “zerado” (0, no caso, foi o caractere escolhido para sobrescrever os dados no wipe).
- A Fase de análise inicia-se após a coleta dos dados nos dispositivos envolvidos na investigação. É nesta fase que buscamos informações que possam ser utilizadas em um processo de investigação, seja ela interna ou policial. Ao realizar a coleta, criamos um conjunto enorme de dados que precisam ser “Triturados e peneirados” para que possamos extrair os pedaços de informação que realmente podem ligar o indivíduo investigado ao objeto de investigação ou, em alguns casos, provar sua inocência
- Uma das vantagens de se conhecer a estrutura dos sistemas de arquivo é que podemos recuperar arquivos que foram apagados, mas ainda não sobrescritos. Quando um arquivo é apagado, o sistema de arquivos simplesmente libera os espeço que ele ocupava no disco para uma futura gravação, sem que seu conteúdo seja imediatamente sobrescrito. A medida em que novas gravações são realizadas no disco, e dependendo da taxa de ocupação do disco, o arquivo apagado vai sendo sobrescrito, mas ainda é possível recuperar mesmo que parcialmente este arquivo. Diversas ferramentas gratuitas podem ser utilizadas para tal propósito, daremos como exemplo a Recuva, Recover4All e R-Undelete.
- Use etiquetas identificadoras a fim de manter o procedimento de coleta organizado. Caso o material precise ser acautelado em cofre, utilize também um saco para armazenamento para proteção e identificação. Tenha cuidado ao duplicar discos e outros equipamentos. Todo procedimento de coleta realizado de forma errada, pode comprometer a evidência física ou logicamente.
- Use etiquetas identificadoras a fim de manter o procedimento de coleta organizado. Caso o material precise ser acautelado em cofre, utilize também um saco para armazenamento para proteção e identificação. Tenha cuidado ao duplicar discos e outros equipamentos. Todo procedimento de coleta realizado de forma errada, pode comprometer a evidência física ou logicamente.
- Use etiquetas identificadoras a fim de manter o procedimento de coleta organizado. Caso o material precise ser acautelado em cofre, utilize também um saco para armazenamento para proteção e identificação. Tenha cuidado ao duplicar discos e outros equipamentos. Todo procedimento de coleta realizado de forma errada, pode comprometer a evidência física ou logicamente.
- Use etiquetas identificadoras a fim de manter o procedimento de coleta organizado. Caso o material precise ser acautelado em cofre, utilize também um saco para armazenamento para proteção e identificação. Tenha cuidado ao duplicar discos e outros equipamentos. Todo procedimento de coleta realizado de forma errada, pode comprometer a evidência física ou logicamente.
- Use etiquetas identificadoras a fim de manter o procedimento de coleta organizado. Caso o material precise ser acautelado em cofre, utilize também um saco para armazenamento para proteção e identificação. Tenha cuidado ao duplicar discos e outros equipamentos. Todo procedimento de coleta realizado de forma errada, pode comprometer a evidência física ou logicamente.
- Use etiquetas identificadoras a fim de manter o procedimento de coleta organizado. Caso o material precise ser acautelado em cofre, utilize também um saco para armazenamento para proteção e identificação. Tenha cuidado ao duplicar discos e outros equipamentos. Todo procedimento de coleta realizado de forma errada, pode comprometer a evidência física ou logicamente.