A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

..:: ARMAS PARA COMBATE AOS CRIMES DIGITAIS ::.. Noções Práticas e Funcionalidades das Ferramentas Forenses.

Apresentações semelhantes


Apresentação em tema: "..:: ARMAS PARA COMBATE AOS CRIMES DIGITAIS ::.. Noções Práticas e Funcionalidades das Ferramentas Forenses."— Transcrição da apresentação:

1

2 ..:: ARMAS PARA COMBATE AOS CRIMES DIGITAIS ::.. Noções Práticas e Funcionalidades das Ferramentas Forenses

3 DESAFIOS E MOTIVADORES

4 NOÇÕES BÁSICAS Fraudes Perpretadas por Empregados ou Terceiros Disputas Contratuais Abusos na Utilização de e Internet / Difamação Online; Disputas entre Empregados; Assédio Sexual; Armazenamento Indevido de Imagens Pornográficas e/ou Pedofilia; Roubo de Dados Confidenciais e Espionagem Industrial; Acesso Não-Autorizado a Informações; Roubo de recursos computacionais corporativos para uso pessoal; Uso de meios digitais corporativos para planejamento e execução de crimes Falha de sistemas computacionais, causando dano a terceiros deixando margem à reclamações judiciais por quebra de contrato ou negligência; Motivadores

5 O PROCESSO DA FORENSE COMPUTACIONAL

6 F ORENSE C OMPUTACIONAL Principais Fases Análise Relatório: Laudo Técnico Electronic Crime Scene Investigation Guide: A Guide for First Responders, National Institute of Justice, Preparação: Pessoas/Infra/Processos Coleta e Preservação Preparação Coleta e Preservação AnáliseRelatório

7 F ORENSE C OMPUTACIONAL Processos bem definidos Treinamento de equipes de campo e laboratório Técnico Processual Equipamentos/Software adequados ao trabalho Especializado Adequado ao volume Confiável Padronizado Preparação

8 F ORENSE C OMPUTACIONAL Coleta e Preservação Existem várias formas de se efetuar a coleta das evidências. É preciso entender as limitações e vantagens de cada uma para escolher a mais adequada. Podemos coletar utilizando: Duplicador Forense SOLO 3 Bloqueadores para desktops (Ultrabay para o FRED + EnCase) Disco de boot (ImageMasster/Helix) Coleta via rede (EnCase FIM) Etc Importante: Espaço de Armazenamento com acesso rápido

9 F ORENSE C OMPUTACIONAL Análise Uma das etapas mais técnicas e variáveis Conhecimento sobre sistemas operacionais e seus aplicativos Requer software especializado EnCase, FTK, PRTK, LTU Finder, Gargoyle, StegoSuite, etc... Utilizados em conjunto Ferramentas não-forenses podem ajudar (desde que manipuladas corretamente) Para minimizar esforços, podemos criar rotinas padrão de análise, desde que os pedidos de análise também sejam padronizados Procedimentos Padrão Automatização com EnScript

10 F ORENSE C OMPUTACIONAL Relatório Importante adaptar a linguagem do relatório ao público alvo Utilizar os recursos dos softwares de análise para gerar os relatórios Menor tempo de confecção Consistência Deve ser claro e sem "opiniões" É o produto final de uma análise forense

11 F ORENSE C OMPUTACIONAL Todo o processo deve ser controlado Informação sobre o andamento de cada análise Definição de métricas Tempo gasto por etapa Etapas mais dispendiosas Tempo Recursos (pessoas e equipamentos) Tipos de análise executadas Com informações: Priorizar investimentos em Equipamentos, Treinamento e Pessoal Controle

12 FUNCIONALIDADES DAS FERRAMENTAS

13 Plataforma de Análise Forense Principal Objetivo: Análise de mídias de armazenamento (HD, pen drives, CD/DVD, cartões de memória, etc...); Flexível: Permite que outros softwares também analisem os dados sem comprometê-los; Consistente: Uma única inteface com o usuário; Confiável: Amplamente confrontado em cortes internacionais e nacionais; Aumenta a produtividade: automação de terefas, compartilhamento de resultados e dados com outros intervinientes. EnCase Forensics

14 F UNCIONALIDADES DAS FERRAMENTAS Via Bloqueador Via Cabo Cross-Over Via Rede Abertura de outros formatos (DD, VMWare, etc) EnCase Forensic/FIM – Coleta Forense

15 F UNCIONALIDADES DAS FERRAMENTAS A cópia forense ou imagem forense pode ter vários formatos: Linux DD Muito usado Sem controles específicos para forense (integridade e confiabilidade) Sem compactação nativa EnCase Evidence File Utilizado pelo EnCase Funcionalidades para validação forense (Hash e CRC) Compactação nativa Verificação automática EnCase Forensic/FIM – Formatos Cab. CRC Dados CRC Dados CRC Dados CRC Dados CRC MD5

16 F UNCIONALIDADES DAS FERRAMENTAS EnCase Forensics – Visualização dos dados Uma forma mais eficiente de enxergar toda a estrutura de arquivos e seus conteúdos, independente do sistema de arquivos ou sistema operacional que estava na mídia suspeita e de em qual mídia estavam esses dados.

17 F UNCIONALIDADES DAS FERRAMENTAS EnCase Forensics – Localização de Dados Busca de informações Palavras-Chave Poucos Termos Buscas específicas Index Muitos Termos Buscas mais genéricas Mais veloz depois de gerado o index mas requer espaço de armazenamento do arquivo de indexação

18 F UNCIONALIDADES DAS FERRAMENTAS Header x Extension Header Primeiros bytes do arquivo Padronizado pela ISO Mais confiável que extensão Extensão Indica o tipo de arquivo no Windows Facilmente alterável Pode "ocultar" informações EnCase Forensics – Assinatura de Arquivos Cabeçalhos JPEG: ÿØÿà [FF D8 FF E0 ] GIF: GIF87a / GIF89a ZIP: PK Executáveis: MZ Identificando trocas (Signature): Match * [Alias] Unknown !Bad Extension

19 F UNCIONALIDADES DAS FERRAMENTAS Função Hash Função matemática Seu poder depende do algoritmo usado e do tamanho do resultado (bits) É uma função "sem volta" Usada para identificar conteúdos de forma única, "impressão digital" Blacklist Queremos encontrar Whitelist Podemos Ignorar EnCase Forensics – Hash f hash(arquivo) 9d0c0e2cede0ec5eee3b794fb ea4945d1110ac1693dacacebe7b187 74bd3dda83bb2f447e5ce8c63d568235

20 F UNCIONALIDADES DAS FERRAMENTAS EnCase Forensics – Arquivos Compostos Arquivos com estrutura interna Arquivos compactados – ZIP, RAR, CAB, JAR... Arquivos de – Outlook, Notes, Thunderbird... Arquivos do Office – Word, Excel, PowerPoint Registro do Windows

21 F UNCIONALIDADES DAS FERRAMENTAS Arquivos Apagados Localizar arquivos em áreas livres através de buscas Executar procedimento do EnCase Recuperar dados da lixeira EnCase Forensics – Recuperação de Arquivos

22 F UNCIONALIDADES DAS FERRAMENTAS Coleta e Triagem pela Rede

23 HARDWARES PARA FORENSE COMPUTACIONAL

24 Recomendações Mínimas de Hardware Sistema Médio Processador: 3.8 GHz Hyper-Threading/Dual Core Memória: 2 GB Rede: Gigabit Network Card I/O Interfaces: FireWire (400 & 800), USB 2.0, Flash Media Readers: Multi-Reader Optical Drive: Dual Layer DVD +/- RW Drive Disco do SO: SATA 10k RPM SCSI Card: Adaptec Disco para Armazenamento de Evidências: ATA RAID 7200/10k RPM Sistema Operacional: Windows XP Professional ou Windows 2003 Server Monitor: 19 CRT ou LCD duplo Bloqueador de Escrita::FastBloc2 LE and FastBloc SE Sistema Ideal Processador: Quad Xeon or Quad, Dual-Core Opterons Memória: 4+ GB Rede: Gigabit Network Card I/O Interfaces: FireWire (400 & 800), USB 2.0, Parallel Flash Media Readers: Multi-Reader Optical Drive: Dual Layer DVD +/- RW Disco do OS: U320 LVD SCSI 15k RPM Page file Drive: Sep. U320 LVD SCSI 15k RPM SCSI Card: Adaptec Disco de Evidências: SCSI RAID-5 Array comprised of 10k ou 15k RPM SCSI Drives SO: Windows 2003 Enterprise Edition Monitor: Triple 19 LCD or single 42 Plasma Bloqueadores de escrita: FastBloc2 LE, FastBloc2 FE & Adaptor Kit, FastBloc SE H ARDWARE PARA F ORENSE C OMPUTACIONAL

25 Estações de Trabalho e Servidores para Forense Computacional 28/3/2014 Função Altíssimo poder de processamento Segurança no armazenamento de dados

26 H ARDWARE PARA F ORENSE C OMPUTACIONAL Bloqueadores de Escrita 28/3/2014 Função Manutenção da cadeia de custódia Garantir idoneidade técnica Minimizar erros humanos

27 D UPLICADOR DE D ISCOS S OLO 3 Função Coleta e Duplicação de Dados Conteúdo Aparelho de Coleta e Duplicação Cabos e Adaptadores Bolsa ou Maleta para Transporte Lanterna Manual Duplicador Forense

28 D UPLICADOR DE D ISCOS S OLO 3 Tipos de Interface Discos Rígidos: IDE, SATA, SCSi Adaptadores Discos Rígidos: ZIF, SAS Outras Variações A facilidade de manipulação de interfaces e atualização de Firmware/Software tornam a ferramenta mais aplicável ao contexto do investigado. Coleta de Dados

29 D UPLICADOR DE D ISCOS S OLO 3 O Modelo Operacional apresenta várias funções de capturas de Dados como: 1.Single Capture 2.LinuxDD Capture 3.LinuxDD Restore 4.LinuxDD Hash 5.Hash Only Captura de Dados

30 D UPLICADOR DE D ISCOS S OLO 3 Captura de Dados via NoteBook

31 D UPLICADOR DE D ISCOS S OLO 3 Utilização do Equipamento Vantagens de Manuseio Equipamento Portátil e Leve Tela TouchScreen Bloqueador de Escrita Acoplado Flexibilidade de Funções Diversidade de Adaptadores e Cabos Aquisição acima de 3G/min Sanitização de Dados Atualizações on site de Firmeware

32 CAPTURA DE DADOS EM CELULARES

33 C APTURA DE DADOS EM CELULARES. XRY Função Captura de Dados em Celulares Conteúdo Aparelho de Captura Cabos SIM ID Cloner Maleta para Transporte Equipamento

34 C APTURA DE DADOS EM CELULARES. XRY Modelos de Aparelhos Alcatel Apple BenQ-Siemens Ericsson HP HTC LG Motorola NEC - Capacidade de captura de dados dos maiores fabricantes de celulares do mundo, atendendo 669 modelos do mercado internacional, compatíveis com Sistema Operacional Symbian e Windows Mobile. Aparelhos Atendidos Nokia Panasonic Sagem Samsung Sanyo Sharp Siemens Sony Ericsson

35 C APTURA DE DADOS EM CELULARES. XRY Interface Interface com Idioma em Português Captura Via Infra-vermelho, Bluetooth e Cabos Cabos Adaptadores Todas as marcas apresentadas SIM ID Cloner Dispositivo de Clonagem para Investigação Usabilidade e Aplicabilidade

36 C APTURA DE DADOS EM CELULARES. XRY Segurança Encriptação de Dados e Cadeia de Custódia Extração de Dados Agenda, Chamadas, Imagens, SMS, MMS, Vídeos, Calendário, Áudio Exportar Microsoft Word, Excel e OppenOffice Relatórios Facilita a Customização de Relatórios Novas Technologias Adaptado e totalmente Integrado á Tecnologias Touchscreen Usabilidade e Aplicabilidade

37 C APTURA DE DADOS EM CELULARES. XRY Utilização Ferramenta de fácil instalação, manuseio e com design novo para facilitar a captura, extração e apresentação uniforme de dados coletados. Usabilidade

38 IDENTIFICAÇÃO E ANÁLISE DE IMAGENS

39 M ÉTODOS T RADICIONAIS Técnicas para Identificação de Texto – Palavras-Chave: Busca avançada: GREP( antigo padrão usado desde o Unix que é extremamente poderoso na busca de padrões) Padrão de Busca: O que seria encontrado:

40 IMPRECISÃO NAS CONSULTAS Como podemos encontrar imagens hoje? Metadados (nome, tamanho, data de gravação, extensão, etc.) Original: spider.jpg Nome, extensão Data, Tamanho (kb) Resultados imprecisos

41 IDENTIFICAÇÃO POR HASH Como podemos encontrar imagens hoje? Hash (identificador único: MD5, SHA1, etc) Hash: 4f b31b43cbdcd855d6b782dc3 Hash: 95f2cf0d3b6a9c7359d87f13ceac1e20 Qualquer alteração = 0 resultados

42 O D ESAFIO O que pode gerar uma imagem alterada? Thumbnails do Windows (tamanho diferente) Thumbnails de Webmails (Gmail, Hotmail, Yahoo) Temporários do IE/Firefox (nome diferente) Arquivo corrompido (erro de transferência, conteúdo parcial) Photoshop, Paint, etc. (conteúdo alterado) Várias formas de se modificar o original

43 A SOLUÇÃO Reconhecimento Digital de Imagem LTU Finder for EnCase

44 A SOLUÇÃO Princípios de Funcionamento Algoritmo Finder DNA da Imagem cbc8b0f84bcb83e294ae51bf0555e92f

45 A SOLUÇÃO Identificação de Grandes Volumes de Imagens Evidência DNA referência cbc8b0f84bcb83e294ae51bf0555e92f Localizado cbc8b0f84bcb83e294ae51bf0555e92f(85)

46 A SOLUÇÃO Arquivo de Compartilhamento de Informações RXmZqqqpmIdVeZqqqqqZh1Z5mqqq qqmXVnh1aZqalmVWQkM1WapzIlZBNEI63+oh ZkJYU0q//BFz ETl0R6yWIVIRGGVWh2UhUhE4VVVmZSFCIUc RQ2ZlITNDNhERVlQhMzRWIRERQyFVVWZjIS M1QWaG OKqRSSIhESMkVmE1EREaKUzE Imagens XML

47 C ENÁRIOS Onde poderia ser utilizado? Pedofilia - Utilizando uma base de dados XML (gerada pelo Image Seeker Server) Banco de IMG Policial RXmZqqqpmIdVeZqqqqqZh1Z5mqqqqq mXVnh1aZqalmVWQkM1WapzIlZBNEI63+ohZkJY U0q//BFzETl0R6yWIVIRGGVWh2UhUhE4VVVmZS FCIUcRQ2ZlITNDNhERVlQhMzRWIRERQyFVVWZj ISM1QWaGOKqRSSIhESMkVmE1EREaKUzE Investigadores só carregam XML Nenhum risco de vazamento das imagens originais

48 C ENÁRIOS Onde poderia ser utilizado? Vazamento de Informações; Desenhos industriais; Mapas; Print Screens de sistemas com informações confidenciais; Identificação de obras de arte roubadas.

49 C ENÁRIOS Onde poderia ser utilizado? Difamação Fotomontagem Imagem distribuída por (usada como referência) Original encontrada no disco do suspeito

50 DNA DE I MAGENS Comparação rápida de imagens coletadas com uma base de dados de referência ou com imagens de referência Acelera dramaticamente a análise de conteúdo gráfico Possibilita a utilização de grandes bases de dados com DNA de Imagem do LTU Finder Crie sua própria base de dados que pode ser armazenada e analisada localmente Aplicável a qualquer tipo de análise de imagens: fraude, vazamento de informação, contra-inteligência, etc. Detecta e analisa imagens escondidas (arquivos com extensão trocada) Processa mais de 20 tipos de arquivos de imagem Pode ser encadeado com outros enscripts, permitindo a busca de imagens já apagadas ou em espaços não alocados do disco Compatível com EnCase versões 5 e 6 Benefícios – Análise de Imagens

51 IDENTIFICAÇÃO E ANÁLISE DE TRÁFEGO DE REDES

52 N ETWITNESS I NVESTIGATOR Mapeamento Online de Tráfego Utilização Identificação de artefatos e comunicações de internet e redes em tempo real

53 FÁCIL IDENTIFICAÇÃO DE SUSPEITAS Mapeamento Online de Tráfego Identificação automática de: Origem e destinos de conexão, tipos de serviços em uso, portas sendo utilizadas, usuários logados, etc; Coletas de log com garantia de cadeia de custódia.

54 G OOGLE E ARTH Integração com Google Earth

55 CONCLUSÕES

56 Conclusões Vantagens de uma estrutura planejada para análises forenses Velocidade de análise Profundidade de análise Simplificação de Emissão dos Relatórios Flexibilidade de funções Agilidade para triagem de muitos dados Triagem online in-loco Sempre lembrar Fundamental a definição dos processos Outras ferramentas complementares Forense apenas complementa o trabalho de inteligência em uma investigação

57 CONTATOS Rodrigo Antão Obrigado!

58


Carregar ppt "..:: ARMAS PARA COMBATE AOS CRIMES DIGITAIS ::.. Noções Práticas e Funcionalidades das Ferramentas Forenses."

Apresentações semelhantes


Anúncios Google