Anda di halaman 1dari 124

SegInfo2009::IVWorkshopdeSeguranadaInformao

21,23,24e25deJulhode2009 Unirio::RiodeJaneiro/RJ

Percia Forense Computacional


RicardoKlberM.Galvo
(rk@cefetrn.br) www.ricardokleber.com.br

www.ricardokleber.com.br

Contextualizao
reabastanteabrangente(tempoinsuficiente); Apresentaodeprincipaisconceitosenvolvidos; Listasnoexaustivasdetcnicaseferramentas; ScreenshotseLinks(materialcomplementar); Prticalimitadacomprincipaisferramentas; ObjetivoPrincipal:Apresentaroassuntoe estimularoestudonarea.

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Definies
AnliseForense
Aaplicaodeprincpiosdascinciasfsicasaodireitonabusca daverdadeemquestescveis,criminaisedecomportamento socialparaquenosecometaminjustiascontraqualquer membrodasociedade
(ManualdePatologiaForensedoColgiodePatologistasAmericanos,1990).

Levantarevidnciasquecontamahistriadofato:
Quando? Como? Porque? Onde?

NormaseProcedimentos

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Definies
AnliseForenseComputacional
Supreasnecessidadesdasinstituieslegais paramanipulaodeevidnciaseletrnicas; Estudaaaquisio,preservao,identificao, extrao,recuperaoeanlisededadosem formatoeletrnico; Produzinformaesdiretasenointerpretativas.

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Definies
AnliseForenseComputacional
ComputaoForenseacinciaquetratado exame,anliseeinvestigaodeumincidente computacional,ouseja,queenvolvama computaocomomeio,sobaticaforense, sendoelacveloupenal. NacriminalsticaaComputaoForensetratao incidentecomputacionalnaesferapenal, determinandocausas,meios,autoriae conseqncias

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Definies
AnliseForenseComputacional
Permiteorastreamento,identificaoe comprovaodaautoriadeaesnoautorizadas Auxiliaeminvestigaesqueapuramdesde violaesdenormasinternasacrimes eletrnicos.

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Definies
AnliseForenseComputacional::AspectosLegais
Enquanto no existe uma padronizao das metolodologias de anlise forense, feito um paralelo com mtodos tradicionais, a fim de se garantir o valor judicial de uma prova eletrnica; fundamental ao perito a compreenso do Cdigo de Processo Penal - "Captulo II - Do Exame do Corpo de Delito, e das Percias em Geral.

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Definies
AnliseForenseComputacional::AspectosLegais
Artigo 170: "Nas percias de laboratrio, os peritos guardaro material suficiente para a eventualidade de nova percia. Sempre que conveniente, os laudos sero ilustrados com provas fotogrficas, ou microfotogrficas, desenhos ou esquemas. Artigo 171: "Nos crimes cometidos com destruio ou rompimento de obstculo a subtrao da coisa, ou por meio de escalada, os peritos, alm de descrever os vestgios, indicaro com que instrumentos, por que meios e em que poca presumem ter sido o fato praticado".

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Definies
AnliseForenseComputacional::AspectosLegais
Adaptao das normas da percia convencional (Cdigo de Processo Penal);

Exemplo: Os peritos devero guardar material suficiente para nova percia. (do Cdigo de Processo Penal - Artigo 170) Entende-se que deve-se fazer cpias com assinaturas digitais para anlise futura.

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Primeiros Registros

Fraudesnacontabilidadebancria,cometidaspor funcionriosresponsveispelareadeinformticada instituio; Fraudescontraogoverno; Fraudescontraousurio.

EmCrimebycomputer,oautorDonnB.Parkercitaoprimeiro casoquesetevenotcianosEUA,maisprecisamentenoestado deMinnesota,noticiadoatravsdoMinneapolisTribunedodia18 deoutubrode1966,sobottulo"PERITOEMCOMPUTADOR ACUSADODEFALSIFICARSEUSALDOBANCRIO"

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Necessidade de Percia

OGartnerGroup,estimaqueosPHISHINGSCAMS, custaram1,2bilhodedlaressadministradoras decartodecrditoebancosamericanosem2007; Diztambmquecercade57milhesdeamericanos estiveramsujeitosaestetipodefraudeonlineno mesmoano.

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Resultados (Operaes PF)

CAVALODETRIANovembro/2003

CAVALODETRIAIIOutubro/2004

Par,Maranho,TeresinaeCear.54prises Par,Maranho,TocantinseCear.77prises RioGrandedoSul8Prises

MATRIXMaro/2005

ANJODAGUARDAIJulho/2005

ANJODAGUARDAIIAgosto/2005

Buscasem8EstadosPrisoemVoltaRedondaRJ CumprimentodeprisesemPR,SP,MA 127PrisesemGois,Tocantins,Par,ES,SPeMG

PEGASUSsetembro/2005

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Resultados (Operaes PF)


GALCTICOSagosto/06 Cercade65prises/Imperatriz/MA

REPLICANTEsetembro/06 CTRLALTDELdezembro/06

Cercade60prises/Goinia/GO Cerca39prisesnoPar

CARROSSELdezembro07aocontraapedofilia
Cercade14estadosnoBRe78pases

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Onde Necessrio?

Defacementscomviolaodedadosdesites; Defacementscomdifamaoemsites; Ataquesaservidores; Emailsfalsos; Roubodedados(usandophishingscamp.ex.); Difamao; Ameaas; Retiradasetransfernciasdecontasbancrias; Investigaessobrepedofilia; Investigaessobrecrimescomunscomindciosde provasemcomputadorese/oumdias. Etcetcetc...

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Caractersticas do Perito
Necessidade de profundos conhecimentos tcnicos; Conhecimento de ferramentas especficas; tica.
O perito no um policial nem juiz... No pode se envolver pessoalmente em prises ou julgar os praticantes dos delitos descobertos Caso do aluno homossexual Caso da professora separada

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Tarefas do Perito
Preservar os dispositivos Cpia integral (e fiel) das mdias Hash (resumo criptogrfico) para garantir a integridade dos dados Preservao dos Logs Ata Notarial (constatao escrita, atestada por testemunhas, da ocorrncia de um fato)

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Cuidados com a Lei (Privacidade)


Invaso de privacidade tambm crime o perito no deve invadir sistemas ou analisar dados de um suspeito sem ordem judicial; Quando se analisa servidores de arquivos, antes feita uma restrio na rea de busca para no violar a privacidade de inocentes; Seguir a poltica de segurana (se houver) da instituio (conhecida por todos os usurios).

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Reconhecimento da Atividade
Legislao do Estado de So Paulo Decreto n 48.009, de 11 de agosto de 2003 Artigo 12 - O Ncleo de Percias de Informtica tem por atribuio realizar percias visando elaborao de laudos periciais de locais e peas envolvendo aparelhos computadorizados, "software", "hardware" e perifricos, relacionados com a prtica de infraes penais na rea de informtica.

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Falta de Padronizao
Ausncia de normas possibilita uma margem de erro muito grande para evidncias despercebidas; Procedimentos... Ferramentas... qual deve/pode ser utilizada legalmente? Peritos x Advogados !!!

Ex.:BoazGuttman http://www.4law.co.il

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Tentativas de Padronizao
Proposed Standards for the Exchange of Digital Evidence
Scientific Working Group on Digital Evidence (SWGDE)

International Principles for Computer Evidence


International Organization on Digital Evidence (IOCE)

EstespadresforamapresentadosduranteaInternational HiTechCrimeandForensicsConference(IHCFC), realizadaemLondres,de4a7deoutubrode1999.

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Dificuldades Atuais
Omisses na legislao federal existente:
Obrigaes dos provedores e usurios Reteno de logs de acesso e dados cadastrais

Regulamentao de funcionamento:
Cyber-cafs Salas de bate-papo

Cooperao internacional s vezes lenta e ineficiente Aumento dos crimes cibernticos x Nmero de Peritos Aumento na capacidade de armazenamento Novas tcnicas (criptografia/anti-forense)

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Definies
AnliseForenseComputacional
Aquisio Preservao Identificao Extrao Recuperao Anlise Apresentao(documentao)

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Aquisio de Dados
OqueColetar?
Mdias Hds,pendrives,cds,dvds... Dadosemmemria Emanlisescomequipamentosligados Dadostrafegandonarede Eminvestigaesdetrfegodeinformaes Tambmcomequipamentosligados Dispositivosnoconvencionais Cmerasdigitais,culos/relgios/pulseiras...(com dispositivosdearmazenamento).

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Aquisio de Dados

Interfacesexternas(baseadasemUSBe/ou firewire)soindicadasparaauxiliaresteprocesso.

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Aquisio de Dados
SerialATA DriveLock DriveLock Firewire/USB DriveLock IDE

SerialATA DriveLock DriveLock PCI/IDE

WriteProtect CardReader

Ousodebloqueadoresdeescritapara aquisioapartirdasmdiasoriginais fortementerecomendado

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Aquisio de Dados

Maletascomkitsotimizadosparaaquisiode dadosdevriasmdiasestodisponveis.

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Aquisio (Remota) de Dados


Mdiasmuitograndese/ouequipamentosdecoleta limitados(ouinexistentes); Usodaredeparaenviodedados; Estaopericialremota; Criptografiafundamental; PrincipalDificuldade:Atestarintegridadedosdados

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Aquisio de Dados
Dadosarmazenadosforadosequipamentos
Sistemasdearquivosremotos; Backupsemprovedoresdecontedo; Servidorescorporativosexternos; Datacentersinternacionais.

NecessriaaIntervenodoJuiz (OrdemJudicial)

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Preservao de Dados
Comomanipulardadossemalteraroseu contedooriginal?

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Preservao de Dados
Aalteraodedadospodesercomparadaa alteraodacenadeumcrimenomundoreal.

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Preservao de Dados
Garantirbloqueiodedadosantesdacpia= Impediralteraodamdiaoriginalduranteos procedimentosdeaquisio; Somentedepoisdacpiafieldosdados(atestado porperitosetestemunhas)amdiaoriginalpode serdispensada. PeritoOficial(fpblica); PeritoConvidado(necessidadedetestemunhas).

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Identificao de Dados
Todoomaterialapreendidoparaanlisedeveser detalhadamenterelacionadoemumdocumento (CadeiadeCustdia); Ousodeassinaturashash(MD5/SHA1/SHA256) fundamentalparagarantirqueosdadoscoletadose armazenadoscomoprovanoseromodificados futuramente.

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Extrao/Recuperao de Dados
Apsacoleta,amanipulaodosdadosdas mdiaspodeserfeitapeloprprioperitoou posteriormenteporoutro(inclusiveporumperito contratadoporadvogadosquecontestaramos laudos); Extraooprocessoderetirardasmdias periciadasasinformaesdisponveis; Recuperaooprocessodebuscardados removidostotalouparcialmente,propositalmente ouno.

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Anlise de Evidncias
umadasfasesmaisdemoradas,ondeoperito utilizaferramentasetcnicasparaextrair informaesdasmdiaspericiadas; Estafaseexigecuidadoespecialemproporo igualaovolumededadosanalisados,jquenem sempreasevidnciassoexplcitas(nomese formatosdearquivosp.ex.).

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Apresentao de Resultados
(Laudos Periciais)

Estafasetecnicamentechamadade"substanciao daevidncia",poisnelaconsisteoenquadramentodas evidnciasdentrodoformatojurdico,sendoinseridas, pelojuizoupelosadvogados,naesferaciviloucriminal oumesmoemambas; Deverepresentarasconclusesdoperitoemlinguagem claraparaapresentaoemjulgamentos(oucomdados tcnicoscomentados).

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Apresentao de Resultados
(Laudos Periciais)

OsLaudosdevemconter: FinalidadedaInvestigao; Autor(es)doLaudo(peritosenvolvidos); Resumodocaso/incidente; Relaodeevidnciasanalisadaseseusdetalhes; Concluso; Anexos; Glossrio. Metodologia/tcnicas/softwaresutilizados.

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Resumindo...

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Imagens para Percia


AquisiodeumaimagemdeumHD,emmuitoscasos, opontodepartidadeumainvestigao; Atcnicaconhecidacomo"deadanalysis"determina queoHDaseranalisadodeveserclonadobitabite qualqueranlisedeveserfeitanessacpia,deformaa manteroHDntegro; AimagemdevecopiartodososdadosdoHD,incluindo aspartesnoutilizadas.

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Imagens para Percia


Oqueutilizar?
Existemvriasferramentasparaestatarefa; Amaioriaimplementaomesmoformato(raw); Esse,literalmente,umacpiafieldoHD; Formatogeradopelaferramendadd(padro); Entretantonoonicoformatodisponvel.

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Imagens para Percia


ImagensRAW
PontosPositivos:
Formatofacilmentemontvel; Independedeferramentasespecficas; Muitasferramentasdisponveis,tantoparalinhadecomando(CLI)quantopara interfacegrfica(GUI); DisponvelemutilitriostantoparaLinuxquantoparaWindows; possvelmontarimagensrawdeHDsnoWIndowsusandoprodutosfree, permitindoumasriedeanlisesespecficasatravsdeutilitriosquesexistem emWindows; Muitotilemanlisesdemalware.

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Imagens para Percia


ImagensRAW
PontosNegativos:
Nopossuicompactao Osarquivosrawsomuitograndes; Casosejamcompactadosporalgumutilitriodecompactao(zip,gzip, tar,etc),elesnopoderosermontadosdessaforma,requerendoquesejam descompactadosantesdeseremmontadoseusados. Nopossveladicionardadosdainvestigaoaoarquivoraw. Todasasinformaesrelativasaocasoouaoarquivodevemser armazenadasparte,emoutrosarquivos/dispositivos; Nomontafacilmenteseestiverdividido. Parasemontarumaimagemde80Gbdivididaem10pedaosde8Gb,os pedaosprecisamserconcatenadosantesesomenteapsissopodemser montados. Algumasoperaessomaislentasdevidoaograndetamanho.

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Imagens para Percia


OutrosTiposdeImagens
ExpertWitness(E01)
PropietriodoEncase Permitecompactao(semperda)

SGZIP
UtilizadopelopyFlag(baseadonogzip) Compactadomascompossibilidadedemontagemepesquisainterna Cdigofonteaberto NomontaemWindows(necessrioconverterpararawantesdisso)

AdvancedForensicFormat(AFF)
Tentativadepadronizaoesoluodeproblemasdosanteriores Usacompactao,tratamentodeerroseoferecebibliotecasparaadaptao Emfasedetestesmascomfortetendnciadeconsolidao.

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas

Freeware Shareware(limitaes!!??) Comerciais($$$!!??) Pirataria(tica!!??fundamentobsico)



PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
Criadoem1996porMarkRussinovichandBryceCogswell CompradapelaMicrosoftemJulho/2006 Ferramentasavanadasparamanipulaoecoletade informaesdesistemasWindows Forunspermanentesparatirardvidasecompartilhar informaessobreasferramentas.
http://live.sysinternals.com http://technet.microsoft.com/enus/sysinternals/default.aspx

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Fr e

WindowsSysinternals

ew ar e

Ferramentas Windows
PrincipaisFerramentas
ProcessExplorer ProcessMonitor Autoruns RootkitRevealer TcpView BgInfo Strings

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
ProcessExplorer
Listadetalhadadeprocessosemexecuo(eDLLs)
http://download.sysinternals.com/Files/ProcessExplorer.zip

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
ProcessExplorer

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
ProcessMonitor
http://download.sysinternals.com/Files/ProcessMonitor.zip

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
Autoruns

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
RootkitRevealer

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
TcpView

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
BgInfo

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
BgInfo

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
DuplicaoPericial::Hiren's
NortonGhost AcronisTrueImage DriveSnapShot

GhostImageExplorer DriveImageExplorer

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
RecuperaodeArquivosApagados
ActivePartitionRecovery ActiveUneraser OntrackEasyRecoveryPro WinternalsDiskCommander Lost&Found ProsoftMediaTools ActiveUndelete Restoration GetDataBackforFAT GetDataBackforNTFS Recuva

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
DuplicaoPericial
NortonGhost??
Imagem.GHOe.GHS(formatospropietrios) Imagem.VMDK(Vmware)

ImageCenter(DriveImage)??
Imagem.PQI(formatopropietrio)

AcronisTrueImage??
Imagem.TIB(formatopropietrio)

DriveSnapshot??
Imagem.SNA(formatopropietrio)

dd(forWindows)
Imagem.RAW(maisindicado!!!)

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
DuplicaoPericial::dd(forWindows)
http://www.chrysocome.net/dd ddlist
Listaasparties(origens)

ddif=origemof=destino

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
EnCase
DesenvolvidopelaGuidanceSoftware http://www.guidancesoftware.com VersesEnterpriseeForensicEdition +Versodeusorestrito(PolicyEnforcement) FerramentaComercialMaisConhecidaeRecomendada paraAnliseForenseapartirdeMquinasWindows RelatriosDetalhados,LinguagemdeScript(EnScript) EnCaseNeutrino(MobileDevices)

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
EnCaseForensicEdition
Tela Principal (Identificao de Componentes)

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
EnCaseForensicEdition
Criao de Filtros com a Linguagem de Programao EnScript

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
EnCaseForensicEdition
[LinEn] Ferramenta de Aquisio de Dados para Linux

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
EnCaseForensicEdition
Suporte a Unicode = Exibio de Dados em Vrias Lnguas

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
EnCaseForensicEdition
Suporte a vrios sistemas de arquivos como o JFS (IBM/AIX)

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
EnCaseForensicEdition
Visualizao de E-mails (Mensagens e Anexos)

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
EnCaseForensicEdition
Visualizao de Cabealhos de E-mails

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
EnCaseForensicEdition
Visualizao Detalhada de Anexos de E-mails

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
EnCaseForensicEdition
Histrico (Internet History) com suporte para Internet Explorer, Mozilla, Opera e Macintosh/Safari.

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
EnCaseForensicEdition
Web Cache com suporte para Internet Explorer, Mozilla, Opera e Macintosh/Safari.

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
FTK::ForensicToolKit
DesenvolvidopelaAccessData http://www.accessdata.com ConcorrentedoEnCase Maisfcildeoperar...MenosRecursos Comercial...Porm,maisbarato FTKMobilePhoneExaminer

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
FTK::ForensicToolKit

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
FTK::ForensicToolKit

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
FTK::ForensicToolKit

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
FTK::ForensicToolKit

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
FTK::ForensicToolKit

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
FTK::ForensicToolKit

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
FTK::ForensicToolKit

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
FTK::ForensicToolKit

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
FTK::ForensicToolKit

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
FTK::ForensicToolKit

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
FTK::ForensicToolKit

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
FTK::ForensicToolKit

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Windows
FTK::ForensicToolKit

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
strings

Ferramentas Nativas

Extraimensagensdetexto(strings)dearquivos; Podeserutilizadaemarquivoscomunsoudispositivos
grep

Procuraporpadresemarquivos; UtilizadocomofiltroporvrioscomandosnoLinux.
file

Identificaotipodearquivo(independentedeextenses)

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
Coleta de informaes volteis
Conexes TCP # netstat natp | tee conexoes.tcp Conexes UDP # netstat naup | tee conexoes.udp Processos em Execuo # ps aux | tee processos

Aquisio (Coleta de Evidncias)

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
Coleta de informaes volteis
Trfego para determinado endereo:

Aquisio (Coleta de Evidncias)

# tcpdump -n -vv -X -s 1518 host <endereo> -w trafego.dump

Otrfegopodeserremontadoposteriormente utilizandoseumanalisadordepacotescomooWireshark Arquivos Abertos e Relacionamentos com Processos # lsof | tee arquivos

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
Coleta de informaes volteis
Informaes sobre porta especfica (TCP) # fuser v <porta>/tcp > porta.tcp Informaes sobre porta especfica (UDP) # fuser v <porta>/udp > porta.udp Mdulos Ativos # lsmod | tee a modulos.info # cat /proc/modules | tee a modulos.info

Aquisio (Coleta de Evidncias)

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
PerciacomEstaoPericialRemota
UsodoNetcat(nc) Enviodeinformaesparaamquinaremota:

Aquisio (Coleta de Evidncias)

#cat<arquivo>|nc<mquinaremota><portaremota>

Recebimentodedadosdamquinapericiada:
#nclp<porta>|tee<arquivo>

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
Aquisio (Coleta de Evidncias)

Imagemfsicaeimagemlgica
Umdispositivodearmazenamentooumdia(HD,CD,pendrive...)possuiuma tabelainternaqueindicacomoodispositivoestdivididonasparties; CDsependrives,namaioriadasvezes,possuemapenasumapartio; HDs,porm,comumentesoparticionadosdeformaaorganizarmelhoro armazenamentodearquivos. Umaimagemlgicaumaimagemforensedeumapartioapenas.Uma imagemfsicacontmtodasaspartiesdodispositivomaisatabelade parties.Porexemplo,setemosumHDcom3partiesemumamquina comLinux,carregandoesseHDcomoumdispositivo(device)hda,teramos:
Imagemfsica=>/dev/hda Imagemlgica=>/dev/hda1,/dev/hda2ou/dev/hda3

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
Aquisio (Coleta de Evidncias)

GeraodeImagemPericial
Usododd GeraodaImagem:
# dd if=/dev/hda1 of=imagem.dd

Montandoumaimagem:
# mount <imagem> <destino> -o ro,loop

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux

Aquisio (Coleta de Evidncias)

GeraodeImagemPericialRemotamente
Usododd+ssh GerandoumaImagemdeformasegura(criptografia):
# dd if=/dev/hdb2 | ssh usuario@estacaopericial dd of=imagem.img

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux

Identificao (Assinatura de Arquivos) IdentificaodaImagemPericial


VerificandoImagem (integridade):
# dd if=/dev/hda1 | md5sum b deve ser igual a # dd if=imagem.dd | md5sum b

Apsageraodeumaimagempericialdevesesempre aplicarohashmd5(ousha1)eanotaraassinaturadigital. Issopodeserfeitocomoscomandosmd5sum/sha1sum

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
Aquisio (Coleta de Evidncias)

InformaesComplementares
Apesardeseramaneiramaissimples,outilitrioddnooferecealgumas funcionalidadesimportantes; Odd_rescueservepararealizaraquisiesdemdiascomproblemas(em algumassituaeoddinterrompidoaoencontrarerrosnamdia); Osddrealizaaquisiesmaisrpidodoqueodd,quandootamanhode blocodosdevicesdeorigemedestinosodiferentes; Odcflddpossuiumlogdetodaaoperao,fazdivisodaimagem(split)e permiteverificardiretamenteaintegridadedaoperaoatravsdevrios algoritmosdehash; OrddfoidesenvolvidopeloNetherlandsForensicInstitute(NFI)esua documentaoindicaqueelebemmaisrobustoemrelaoatratamentode erros,divisodearquivos(split)ehash.

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
Aquisio (Coleta de Evidncias)

InformaesComplementares
Asinterfacesgrficasso,emsuamaioria,mscarasparaasferramentas emlinhadecomando.Ousurioindicaasopesdaaquisio,queso passadasparaumdosutilitriosemlinhadecomando. OAdepto,oferecelogsobretodaaoperaoeapossibilidadedeseescolher entreusarodcfldd(formatoraw)ouaindaoAFF,paraoformatoAdvanced ForensicFormat.Nainterfacetambmindicamosqualalgoritmodehashser usadoparavalidaraoperaoesequeremosdividiroarquivodaimagemem poresmenores(split).Elepermitetambmfazeraaquisiotendocomo destinoumdispositivomontado(local),umdispositivoSMB(Sambaoumesmo umcompartilhamentoWindows)ouentovianetcat. OAir,presentenoHelix,notocompletoquantooAdeptoemtermosde log,eoferececaptaraimagematravsdoddoudodcfldd.possvel determinaroalgoritmodehash(md5eSHA1)eenviaraimagemcapturada atravsdaredecomnetcatoucryptcat(netcatencriptado).

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
Origem
6deagostode1999; DanFarmerandWietseVenema; IBMT.J.WatsonResearchCenter; Apresentaramapalestra:

Avaliao (Anlise Post-Mortem)

UNIXComputerForensicsAnalysis,promovidapelaIBM. PrimeiraferramentaTheCoroner'sToolkit(TCT)

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
TCT::TheCoroner'sToolkit
ColeodescriptsPerl Ferramentasmaisconhecidas:
graverobber:capturadeinformaes ils/mactime:informaessobreacessoaarquivos findkey:recuperaodechavescriptogrficas unrm/lazarus:recuperaodearquivosapagados

Avaliao (Anlise Post-Mortem)

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
TCT::TheCoroner'sToolkit
UsodoTCTemrecuperaodedadosapagados: unrm+lazarus

Avaliao (Anlise Post-Mortem)

Visualizaoviabrowser Identificaodetipo(provvel)dedadorecuperado baseadoemlegenda

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
TCT::TheCoroner'sToolkit
Coletadedados(varreduradereasapagadas) unrm /dev/hdb1 >> imagem.out GeraodecdigoHTMLparaanlise

Avaliao (Anlise Post-Mortem)

lazarus -h -D . H . -w . imagem.out
-h cria um documento HTML (visualizado por qualquer browser); -D <dir> direciona a escrita dos blocos para um diretrio especfico; -H <dir> direciona os principais arquivos HTML para um diretrio especfico; -w <dir> direciona outras sadas HTML para um diretrio especfico.

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
TCT::TheCoroner'sToolkit

Avaliao (Anlise Post-Mortem)

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
TCT::TheCoroner'sToolkit
Limitaes: TipodePartioInvestigada
NoreconhecepartiesNTFS,FATeEXT3

Avaliao (Anlise Post-Mortem)

InterfacePoucoAmigvel Necessrioconhecimentodelegendas Ausnciademecanismodecatalogaodepercias realizadas Framework???



PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
SleuthKit
Coleodeferramentasparaanlisedesistemas

Avaliao (Anlise Post-Mortem)

CapazdeanalisarsistemasdearquivosNTFS,FAT,UFS,
EXT2eEXT3

BrianCarrier2002 InicialmentechamadoT@SKThe@stakeSleuthKit BaseadonoTCT

BrianCarrierdesenvolveu,antesdoT@SKumconjuntodeferramentas queutilizamfuneseestruturasdoTCTprovendofuncionalidades extras.AestasferramentasdeuonomedeTCTUTILS



PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
TheAutopsyForensicBrowser
Interfacegrfica(escritaemPerl)paraoSleuthKit

Avaliao (Anlise Post-Mortem)

BaseadaemHTML,semelhanteaumgerenciadordearquivos Permiteanalisararquivos,diretrios,blocosdedadose inodes(alocadosouapagados)emumaimagemdesistema dearquivosouemumarquivogeradopelodls. Permiteabuscaporpalavraschaveouexpressesregulares.

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
TheAutopsyForensicBrowser

Avaliao (Anlise Post-Mortem)

Podeserexecutadodiretamentenosistemacomprometido (idealemcasosondenopossvelextrairimagensdosistema
dearquivos)

Montaumframeworkcompossibilidadedearmazenamento decasos(Cases)periciaisparaeventualanliseposterior. Individualizaosinvestigadoresdeummesmocaso (usandoamesmaestaopericial)

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
TheAutopsyForensicBrowser

Avaliao (Anlise Post-Mortem)

root@estacaopericial:~# autopsy & [1] 1074 root@estacaopericial:~# ============================================================================ Autopsy Forensic Browser http://www.sleuthkit.org/autopsy/ ver 1.75 ============================================================================ Evidence Locker: /var/lib/autopsy/ Start Time: Sat Sep 04 09:59:26 2004 Remote Host: localhost Local Port: 9999 Open an HTML browser on the remote host and paste this URL in it: http://localhost:9999/34346426042338741437/autopsy

Keep this process running and use <ctrl-c> to exit

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
TheAutopsyForensicBrowser
Tela Inicial

Avaliao (Anlise Post-Mortem)

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
TheAutopsyForensicBrowser
Galeria de Cases (Case Gallery)

Avaliao (Anlise Post-Mortem)

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
TheAutopsyForensicBrowser
Galeria de Hosts (Host Gallery)

Avaliao (Anlise Post-Mortem)

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
TheAutopsyForensicBrowser
Gerenciador de Hosts (Host Manager)

Avaliao (Anlise Post-Mortem)

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
TheAutopsyForensicBrowser
Criando um Novo 'Case'

Avaliao (Anlise Post-Mortem)

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
TheAutopsyForensicBrowser
Adicionando uma Nova Imagem

Avaliao (Anlise Post-Mortem)

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
TheAutopsyForensicBrowser
Estudo de Caso (Scan do Ms 24 :: 10/2002) Desafio:
1. Quem so os fornecedores de maconha de Joe Jacobs e qual o endereo informado pelo fornecedor? 2. Que dados cruciais esto disponveis dentro do arquivo coverpage.jpg e porque estes dados so cruciais? 3. Quais (se existe alguma) outras escolas alm da Smith Hill Joe Jacobs frequenta? 4. Para cada arquivo, que procedimentos foram feitos pelo suspeito para mascar-los dentro de outros? 5. Que procedimentos voc (investigador) utilizou para examinar com sucesso o contedo de cada arquivo?

Avaliao (Anlise Post-Mortem)

www.honeynet.org

Analisaraimagemrecuperadadeumdisqueteeresponderasquestespropostas.

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
TheAutopsyForensicBrowser
Exerccio: Exame de Contedo (File Analysis)

Avaliao (Anlise Post-Mortem)

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
TheAutopsyForensicBrowser
Exerccio: Exame de Contedo do Arquivo Apagado

Avaliao (Anlise Post-Mortem)

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
TheAutopsyForensicBrowser
Exerccio: Exame de Contedo do Arquivo Scheduled Visits.exe

Avaliao (Anlise Post-Mortem)

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
TheAutopsyForensicBrowser
Exerccio: Exame de Contedo do Arquivo Scheduled Visits.exe

Avaliao (Anlise Post-Mortem)

Arquivo .XLS exportado solicitou senha

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
TheAutopsyForensicBrowser
Exerccio: Exame de Contedo do Arquivo coverpage.jpgc

Avaliao (Anlise Post-Mortem)

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
TheAutopsyForensicBrowser
Exerccio: Exame de Contedo do Arquivo coverpage.jpgc

Avaliao (Anlise Post-Mortem)

Senha da Planilha ??? A planilha contm a lista solicitada pelo Desafio



PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux

http://www.efense.com/helix/
http://mirrors.cmich.edu/helix/Helix2008R1.iso

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
OutrosConjuntosdeFerramentasemLiveCD
ProfessionalHackersLinuxAssaultKit(PHLAK) http://www.phlak.org Knoppixsecuritytoolsdistribution(Knoppixstd) http://www.knoppix-std.org PenguinSleuthKitBootableCD http://www.linux-forensics.com ForensicandIncidentResponseEnvironment(F.I.R.E) http://fire.dmzs.com/

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Ferramentas Unix/Linux
OutrosConjuntosdeFerramentasemLiveCD
FdtkUbuntuBR http://www.fdtk.com.br
ForenseDigitalToolkit Projetolivrequeobjetivaproduziremanterumadistribuio paracoletaeanlisededadosemPerciaForenseComputacional

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Fdtk Ubuntu-BR
ColetadeDados
Formulrio>FormulriodeCadeiadeCustdia air>Interfacegrficaparadd/dcfldd,paracriarfacilmenteimagensforense dcfldd>VersoaprimoradapeloDOD(DepartamentofDefense)dodd dd>Ferramentaparageraodeimagemdosdados ddrescue>Recuperardadosdehdscomsetoresdefeituosos(badblocks) sdd>VersodaferramentaddparaFitas(DAT,DLT...) memdump>DumpdememriaparasistemasUNIXlike md5sum>Gerarhashmd5 sha1sum>Gerahashsha(160bits) discover>InformaessobreHardware hardinfo>InformaeseTestesdoSistema lshwgrfico>ListaosdispositivosdehardwareemformatoHTML sysinfo>Mostrainformaesdocomputadoredosistema wipe>RemovertotalmenteosdadosdasMdias

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Fdtk Ubuntu-BR
ExamedeDados(1/2)
cabextract>Acessarcontedodearquivos.cab orange>Ferramentaparamanipulararquivos.cab p7zip>Acessararquivoszip unshield>FerramentaparadescompactararquivosCABdaMS exif>LerinformaesEXIFdearquivosjpeg exifprobe>ExamedocontedoedaestruturadosarquivosdeJPEGeTIFF exiftags>Adquiririnformaessobreacmeraeasimagensporela produzidas jhead>Visualizaremanipularosdadosdecabealhosdeimagensjpeg jpeginfo>Ferramentaparacoletarinformaessobreimagensjpeg antiword>FerramentaparalerarquivosdoMSWord dumpster>AcessarosarquivosdalixeiradoWindows readpst>FerramentaparalerarquivosdoMSOutlook reglookup>UtilitrioparaleituraeresgatededadosdoregistrodoWindows

regp>Acessarocontedodearquivos.dat

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Fdtk Ubuntu-BR
ExamedeDados(2/2)
gnomesearchtool>Ferramentagrficadelocalizaodearquivos slocate>Localizaarquivoseindexaosdisco ntfscat>ConcatenaarquivosevisualizaossemmontarapartioNTFS ntfsclone>ClonarumsistemadearquivosNTFSousomentepartedele ntfsinfo>ObterinformaessobrepartiesNTFS ntfsls>ListaocontedodediretriosempartiesNTFSsemmontlos atback>FerramentapararecuperardadosdesistemasdearquivosFAT foremost>Ferramentapararecuperaodeimagensapartirdoscabealhos gzrecover>Ferramentaparaextrairdadosdearquivosgzipcorrompidos ntfsundelete>RecuperararquivosdeletadosempartiesNTFS recoverjpg>Ferramentapararecuperarimagensjpg scroungentfs>FerramentapararecuperardadosdepartiesNTFS chkrookit>Ferramentaparaidentificarapresenaderootkitsnosistema rkhunter>Ferramentaparaidentificarapresenaderootkitsnosistema

imageindex>Geragaleriadeimagensemhtml

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)

Questionamentos

PerciaForenseComputacional::RicardoKlber(www.ricardokleber.com.br)