Análise Forense Marco Holperin Rodrigo Leobons Redes de Computadores I Universidade Federal do Rio de Janeiro

Introdução A análise forense computacional é o ramo da criminalística que consiste no uso de métodos científicos na Coleta; Preservação; Restauração; Identificação; Análise; Interpretação; Documentação; Apresentação de evidências computacionais. Seu propósito é facilitar ou possibilitar posterior reconstrução de eventos criminais, ou ajudar antecipar ações não autorizadas que se mostram anômalas a comportamentos operacionais esperados ou planejados.

Operação do Invasor Finalidades da Invasão: obtenção de informações (roubo de segredos, números de cartões de crédito, senhas e outros dados relevantes ao intruso); promover algum estrago ( “pichação" de sites, destruição de informações e paralisação do sistema, por exemplo); utilização dos recursos do sistema (repositório de dados, disseminação de ataques distribuídos, provimento de serviços, por exemplo);

Operação do Invasor Passos do Invasor identificação do alvo; busca de vulnerabilidades no alvo (probing); comprometimento inicial; aumento de privilégio; tornar-se “invisível" (stealth); reconhecimento do sistema (reconnaissance); instalaçao de back doors; limpeza dos rastros; retorno por uma back door, inventário e comprometimento de máquinas vizinhas;

Operação do Invasor Descrição Habilidade Evidências Cluless Praticamente nenhuma. Todas atividades são bem aparentes. Script Kiddie Procura exploits prontos na internet e os utiliza seguindo receitas. Não escreve exploits. Pode tentar encobrir rastros utilizando rootkits prontos, porém com sucesso limitado. Pode ser analisado com esforço mínimo. Guru Equivale a um Admin. Checa programas de segurança e logs. Evita alvos seguros. Cuidadosamente apaga registros em logs. Não deixa evidências de sua presença. Requer uma análise profunda no sistema. Wizard Possui grande conhecimento sobre o sistema. Capaz de manipular software e hardware. Não deixa evidencias úteis. Pode comprometer totalmente o sistema.

Análise Pericial Etapas do processo: coleta de informações (ou information gathering); reconhecimento das evidências; coleta, restauração, documentação e preservação das evidências encontradas (Manuseio das Evidências); correlação das evidências; reconstrução dos eventos; 

Ferramentas A análise forense computacional necessita de um conjunto de ferramentas que ajudarão o investigador a coletar, documentar, preservar e processar as informações coletadas no sistema investigado; Estação forense; - The Coroner’s Toolkit (TCT) : grave-robber; mactime; utilitários (icat, ils, pcat, md5, timeout); unrm e lazarus;

Ferramentas TCTUTILs The @stake Sleuth Kit (TASK) Autopsy Forensic Browser (AFB) ForensiX EnCase

Anti-Análise Forense A anti-análise forense é a “arte” de esconder dados, informações e pistas após uma invasão de um sistema computacional. apagando os dados; criptografia de dados; uso de rootkit;

Conclusão Como podemos ver nesse trabalho, há cada vez mais maneiras de se utilizar meios digitais para a prática de crimes. Cada vez mais surgem novos meios e novas ferramentas que ajudam os criminosos a atacar e invadir sistemas. Como sabemos que todo crime deixa evidências, por mais escondidas que elas estejam, é necessário um maior investimento em técnicas de análise forense, para que os crimes praticados através de sistemas digitais possam ser solucionados e os seus respectivos idealizadores possam ser devidamente punidos.

Perguntas Cite dois níveis de invasores diferentes, suas habilidades e os tipos de evidências deixados por eles. Por que a maneira como se manuseia as informações obtidas numa investigaçao é tão importante? Cite os principais passos a serem tomados durante uma análise pericial. O que é uma estação forense. O que é anti-análise forense? Cite um meio de anti-análise.

Análise Forense Marco Holperin Rodrigo Leobons