..:: Armas para combate aos crimes digitais ::.. Noções Práticas e Funcionalidades das Ferramentas Forenses

Desafios e Motivadores

NOÇÕES BÁSICAS Motivadores Fraudes Perpretadas por Empregados ou Terceiros Disputas Contratuais Abusos na Utilização de Email e Internet / Difamação Online; Disputas entre Empregados; Assédio Sexual; Armazenamento Indevido de Imagens Pornográficas e/ou Pedofilia; Roubo de Dados Confidenciais e Espionagem Industrial; Acesso Não-Autorizado a Informações; Roubo de recursos computacionais corporativos para uso pessoal; Uso de meios digitais corporativos para planejamento e execução de crimes Falha de sistemas computacionais, causando dano a terceiros deixando margem à reclamações judiciais por quebra de contrato ou negligência;

O Processo da forense Computacional

Forense Computacional Principais Fases Forense Computacional Preparação Preservação Coleta e Análise Relatório Preparação: Pessoas/Infra/Processos Coleta e Preservação Análise Relatório: Laudo Técnico Modelo proposto pelo Departamento de Justiça dos EUA. É um dos mais simples em termos do número de fases e mais indicado para trabalho de “Peritos”, onde a dinâmica da Forense Computacional é mais tradicional. Cenários mais dinâmicos como Forense Corporativa podem necessitar de um modelo mais especializado. Electronic Crime Scene Investigation Guide: A Guide for First Responders, National Institute of Justice, 2001. http://www.ncjrs.gov/pdffiles1/nij/187736.pdf

Forense Computacional Preparação Forense Computacional Processos bem definidos Treinamento de equipes de campo e laboratório Técnico Processual Equipamentos/Software adequados ao trabalho Especializado Adequado ao volume Confiável Padronizado Mostrar a importância da etapa de preparação com a definição dos processos, treinamento de pessoal e preparação de infraestrutura. Os procedimentos (padronização de procedimentos técnicos) devem ser citados como parte da preparação técnica.

Forense Computacional Coleta e Preservação Forense Computacional Existem várias formas de se efetuar a coleta das evidências. É preciso entender as limitações e vantagens de cada uma para escolher a mais adequada. Podemos coletar utilizando: Duplicador Forense SOLO 3 Bloqueadores para desktops (Ultrabay para o FRED + EnCase) Disco de boot (ImageMasster/Helix) Coleta via rede (EnCase FIM) Etc Importante: Espaço de Armazenamento com acesso rápido Mostrar as possibilidades de procedimentos de coleta forense. Desde soluções via software livre até as soluções proprietárias e com hardware especializado. Comentar das vantagens de equipamento e software específico como menor chance de erros durante o procedimento, ganho em velocidade e validação jurídica.

Forense Computacional Análise Forense Computacional Uma das etapas mais técnicas e variáveis Conhecimento sobre sistemas operacionais e seus aplicativos Requer software especializado EnCase, FTK, PRTK, LTU Finder, Gargoyle, StegoSuite, etc... Utilizados em conjunto Ferramentas não-forenses podem ajudar (desde que manipuladas corretamente) Para minimizar esforços, podemos criar rotinas padrão de análise, desde que os pedidos de análise também sejam padronizados Procedimentos Padrão Automatização com EnScript

Forense Computacional Relatório Forense Computacional Importante adaptar a linguagem do relatório ao público alvo Utilizar os recursos dos softwares de análise para gerar os relatórios Menor tempo de confecção Consistência Deve ser claro e sem "opiniões" É o produto final de uma análise forense

Forense Computacional Controle Forense Computacional Todo o processo deve ser controlado Informação sobre o andamento de cada análise Definição de métricas Tempo gasto por etapa Etapas mais dispendiosas Tempo Recursos (pessoas e equipamentos) Tipos de análise executadas Com informações: Priorizar investimentos em Equipamentos, Treinamento e Pessoal

Funcionalidades das ferramentas

Funcionalidades das ferramentas EnCase Forensics Funcionalidades das ferramentas Plataforma de Análise Forense Principal Objetivo: Análise de mídias de armazenamento (HD, pen drives, CD/DVD, cartões de memória, etc...); Flexível: Permite que outros softwares também analisem os dados sem comprometê-los; Consistente: Uma única inteface com o usuário; Confiável: Amplamente confrontado em cortes internacionais e nacionais; Aumenta a produtividade: automação de terefas, compartilhamento de resultados e dados com outros intervinientes.

Funcionalidades das ferramentas EnCase Forensic/FIM – Coleta Forense Funcionalidades das ferramentas Via Bloqueador Via Cabo Cross-Over Via Rede Abertura de outros formatos (DD, VMWare, etc)

Funcionalidades das ferramentas EnCase Forensic/FIM – Formatos Funcionalidades das ferramentas A cópia forense ou imagem forense pode ter vários formatos: Linux DD Muito usado Sem controles específicos para forense (integridade e confiabilidade) Sem compactação nativa EnCase Evidence File Utilizado pelo EnCase Funcionalidades para validação forense (Hash e CRC) Compactação nativa Verificação automática Cab. CRC Dados CRC Dados CRC Dados CRC Dados CRC MD5

Funcionalidades das ferramentas EnCase Forensics – Visualização dos dados Funcionalidades das ferramentas Uma forma mais eficiente de enxergar toda a estrutura de arquivos e seus conteúdos, independente do sistema de arquivos ou sistema operacional que estava na mídia suspeita e de em qual mídia estavam esses dados.

Funcionalidades das ferramentas EnCase Forensics – Localização de Dados Funcionalidades das ferramentas Busca de informações Palavras-Chave Poucos Termos Buscas específicas Index Muitos Termos Buscas mais genéricas Mais veloz depois de gerado o index mas requer espaço de armazenamento do arquivo de indexação Comentar e mostrar a diferença entre buscar com palavras-chave e com o index. Mostrar as possibilidades de busca e os prós e contras de cada um dos métodos (desempenho, tempo, escalabilidade, flexibilidade, espaço de armazenamento).

Funcionalidades das ferramentas EnCase Forensics – Assinatura de Arquivos Funcionalidades das ferramentas Header x Extension Header Primeiros bytes do arquivo Padronizado pela ISO Mais confiável que extensão Extensão Indica o tipo de arquivo no Windows Facilmente alterável Pode "ocultar" informações Cabeçalhos JPEG: ÿØÿà [FF D8 FF E0 ] GIF: GIF87a / GIF89a ZIP: PK Executáveis: MZ Identificando trocas (Signature): Match * [Alias] Unknown !Bad Extension

Funcionalidades das ferramentas EnCase Forensics – Hash Funcionalidades das ferramentas Função Hash Função matemática Seu poder depende do algoritmo usado e do tamanho do resultado (bits) É uma função "sem volta" Usada para identificar conteúdos de forma única, "impressão digital" Blacklist Queremos encontrar Whitelist Podemos Ignorar f hash(arquivo) 9d0c0e2cede0ec5eee3b794fb5252811 Função de Hash. Identificação de arquivos de forma automatizada. Função sujeita a falso positivo, nunca negativo devido a suas características matemáticas intrínsecas (colisão). Colisão depende do algoritmo. Alterações de conteúdo são identificadas, de metadados não. 12ea4945d1110ac1693dacacebe7b187 74bd3dda83bb2f447e5ce8c63d568235

Funcionalidades das ferramentas EnCase Forensics – Arquivos Compostos Funcionalidades das ferramentas Arquivos com estrutura interna Arquivos compactados – ZIP, RAR, CAB, JAR... Arquivos de Email – Outlook, Notes, Thunderbird... Arquivos do Office – Word, Excel, PowerPoint Registro do Windows

Funcionalidades das ferramentas EnCase Forensics – Recuperação de Arquivos Funcionalidades das ferramentas Arquivos Apagados Localizar arquivos em áreas “livres” através de buscas Executar procedimento do EnCase Recuperar dados da lixeira

Funcionalidades das ferramentas Coleta e Triagem pela Rede Funcionalidades das ferramentas

Hardwares para Forense Computacional

Hardware para Forense Computacional Recomendações Mínimas de Hardware Hardware para Forense Computacional Sistema Médio Processador: 3.8 GHz Hyper-Threading/Dual Core Memória: 2 GB Rede: Gigabit Network Card I/O Interfaces: FireWire (400 & 800), USB 2.0, Flash Media Readers: Multi-Reader Optical Drive: Dual Layer DVD +/- RW Drive Disco do SO: SATA 10k RPM SCSI Card: Adaptec 29160 Disco para Armazenamento de Evidências: ATA RAID 7200/10k RPM Sistema Operacional: Windows XP Professional ou Windows 2003 Server Monitor: 19” CRT ou LCD duplo Bloqueador de Escrita::FastBloc2 LE and FastBloc SE Sistema Ideal Processador: Quad Xeon or Quad, Dual-Core Opterons Memória: 4+ GB Rede: Gigabit Network Card I/O Interfaces: FireWire (400 & 800), USB 2.0, Parallel Flash Media Readers: Multi-Reader Optical Drive: Dual Layer DVD +/- RW Disco do OS: U320 LVD SCSI 15k RPM Page file Drive: Sep. U320 LVD SCSI 15k RPM SCSI Card: Adaptec 39160 Disco de Evidências: SCSI RAID-5 Array comprised of 10k ou 15k RPM SCSI Drives SO: Windows 2003 Enterprise Edition Monitor: Triple 19” LCD or single 42” Plasma Bloqueadores de escrita: FastBloc2 LE, FastBloc2 FE & Adaptor Kit, FastBloc SE

Hardware para Forense Computacional 26/03/2017 Estações de Trabalho e Servidores para Forense Computacional Hardware para Forense Computacional Função Altíssimo poder de processamento Segurança no armazenamento de dados

Hardware para Forense Computacional 26/03/2017 Bloqueadores de Escrita Hardware para Forense Computacional Função Manutenção da cadeia de custódia Garantir idoneidade técnica Minimizar erros humanos

Duplicador de Discos Solo3 Duplicador Forense Duplicador de Discos Solo3 Função Coleta e Duplicação de Dados Conteúdo Aparelho de Coleta e Duplicação Cabos e Adaptadores Bolsa ou Maleta para Transporte Lanterna Manual Falar da do conteúdo da maleta, sua resistência e facilidade de transporte.

Duplicador de Discos Solo3 Coleta de Dados Duplicador de Discos Solo3 Tipos de Interface Discos Rígidos: IDE, SATA, SCSi Adaptadores Discos Rígidos: ZIF, SAS Outras Variações A facilidade de manipulação de interfaces e atualização de Firmware/Software tornam a ferramenta mais aplicável ao contexto do investigado. Falar das interface encontradas no equipamento, seus adaptadores e atualizações.

Duplicador de Discos Solo3 Captura de Dados Duplicador de Discos Solo3 O Modelo Operacional apresenta várias funções de capturas de Dados como: Single Capture LinuxDD Capture LinuxDD Restore LinuxDD Hash Hash Only Falar dos requisitos de coleta de dados;

Duplicador de Discos Solo3 Captura de Dados via NoteBook Duplicador de Discos Solo3 Falar da aquisição via Notebook

Duplicador de Discos Solo3 Utilização do Equipamento Duplicador de Discos Solo3 Vantagens de Manuseio Equipamento Portátil e Leve Tela TouchScreen Bloqueador de Escrita Acoplado Flexibilidade de Funções Diversidade de Adaptadores e Cabos Aquisição acima de 3G/min Sanitização de Dados Atualizações on site de Firmeware Vantagens do Dispositivo

CAPTURA DE DADOS EM CELULARES

Captura de dados em celulares .xry Equipamento Captura de dados em celulares .xry Função Captura de Dados em Celulares Conteúdo Aparelho de Captura Cabos SIM ID Cloner Maleta para Transporte Falar da do conteúdo da maleta, sua resistência e facilidade de transporte.

Captura de dados em celulares .xry Aparelhos Atendidos Captura de dados em celulares .xry Modelos de Aparelhos Alcatel Apple BenQ-Siemens Ericsson HP HTC LG Motorola NEC - Capacidade de captura de dados dos maiores fabricantes de celulares do mundo, atendendo 669 modelos do mercado internacional, compatíveis com Sistema Operacional Symbian e Windows Mobile. Nokia Panasonic Sagem Samsung Sanyo Sharp Siemens Sony Ericsson Falar da do conteúdo da maleta, sua resistência e facilidade de transporte.

Captura de dados em celulares .xry Usabilidade e Aplicabilidade Captura de dados em celulares .xry Interface Interface com Idioma em Português Captura Via Infra-vermelho, Bluetooth e Cabos Cabos Adaptadores Todas as marcas apresentadas SIM ID Cloner Dispositivo de Clonagem para Investigação Falar da do conteúdo da maleta, sua resistência e facilidade de transporte.

Captura de dados em celulares .xry Usabilidade e Aplicabilidade Captura de dados em celulares .xry Segurança Encriptação de Dados e Cadeia de Custódia Extração de Dados Agenda, Chamadas, Imagens, SMS, MMS, Vídeos, Calendário, Áudio Exportar Microsoft Word, Excel e OppenOffice Relatórios Facilita a Customização de Relatórios Novas Technologias Adaptado e totalmente Integrado á Tecnologias Touchscreen Falar da do conteúdo da maleta, sua resistência e facilidade de transporte.

Captura de dados em celulares .xry Usabilidade Captura de dados em celulares .xry Utilização Ferramenta de fácil instalação, manuseio e com design novo para facilitar a captura, extração e apresentação uniforme de dados coletados. Falar da do conteúdo da maleta, sua resistência e facilidade de transporte.

IDENTIFICAÇÃO E ANÁLISE DE IMAGENS

Técnicas para Identificação de Texto – Palavras-Chave: Busca avançada: GREP( antigo padrão usado desde o Unix que é extremamente poderoso na busca de padrões) Métodos Tradicionais Padrão de Busca: f(ulano)?(\.)?(da)?(\.)?(silva)?@empresa\.com O que seria encontrado: fsilva@empresa.com  fdasilva@empresa.com  fulanosilva@empresa.com  fulano.silva@empresa.com  fulanodasilva@empresa.com  Busca de palavras pode ser extremamente eficiente para a localização de dados textuais e metadados (informações sobre arquivos).

IMPRECISÃO NAS CONSULTAS Como podemos encontrar imagens hoje? Metadados (nome, tamanho, data de gravação, extensão, etc.) IMPRECISÃO NAS CONSULTAS Original: spider.jpg Nome, extensão Data, Tamanho (kb) Resultados imprecisos Para a localização de imagens, a busca por palavras e o uso de outros filtros de metadados normalmente é muito ineficiente, visto que esses metadados são facilmente alteráveis e isso é muito comum de ocorrer quando os arquivos são movidos de uma máquina para outra.

IDENTIFICAÇÃO POR HASH Como podemos encontrar imagens hoje? Hash (identificador único: MD5, SHA1, etc) IDENTIFICAÇÃO POR HASH Qualquer alteração = 0 resultados Hash: 4f0343032b31b43cbdcd855d6b782dc3 Localização de imagens por Hash pode ser eficiente se a imagem se manteve inalterada. Qualquer modificação na imagem (1 pixel de diferença), altera totalmente o valor de hash, tornando a busca inútil. Hash: 95f2cf0d3b6a9c7359d87f13ceac1e20

Várias formas de se modificar o original O que pode gerar uma imagem alterada? Thumbnails do Windows (tamanho diferente) Thumbnails de Webmails (Gmail, Hotmail, Yahoo) Temporários do IE/Firefox (nome diferente) Arquivo corrompido (erro de transferência, conteúdo parcial) Photoshop, Paint, etc. (conteúdo alterado) O Desafio Várias formas de se modificar o original Várias ações, voluntárias ou não, podem alterar o conteúdo de uma imagem, tornando sua localização por métodos tradicionais muito menos precisas ou até inviáveis.

Reconhecimento Digital de Imagem A SOLUÇÃO LTU Finder for EnCase

“DNA” da Imagem cbc8b0f84bcb83e294ae51bf0555e92f Princípios de Funcionamento A SOLUÇÃO A idéia por trás do software LTU-SIE é a de gerar uma representação da imagem original (DNA da Imagem), que pode, através de um algoritmo proprietário, ser comparada aos valores de todas as outras imagens encontradas na evidência em análise. “DNA” da Imagem cbc8b0f84bcb83e294ae51bf0555e92f Algoritmo Finder

“DNA” referência cbc8b0f84bcb83e294ae51bf0555e92f Identificação de Grandes Volumes de Imagens A SOLUÇÃO Evidência “DNA” referência cbc8b0f84bcb83e294ae51bf0555e92f Esse DNA da imagem de referência, pode ser comparado individualmente a todos os DNAs encontrados na evidência e, através do algoritmo do software, é definido o grau de proximidade com a imagem original. Imagens que estejam com seu valor de similaridade dentro da faixa especificada pelo examinador ao executar o software, são separadas como resultados positivos. Outras imagens com valores mais “distantes” podem ser encontradas e marcadas como “suspeitas”. Localizado cbc8b0f84bcb83e294ae51bf0555e92f(85)

A SOLUÇÃO Arquivo de Compartilhamento de Informações Imagens XML - <dna>   <type>50</type>   <segmentation_type>100</segmentation_type>   <process_type>107</process_type>   <resize>128</resize>   <binary>RXmZqqqpmIdVeZqqqqqZh1Z5mqqqqqmXVnh1aZqalmVWQkM1WapzIlZBNEI63+ohZkJYU0q//BFz ETl0R6yWIVIRGGVWh2UhUhE4VVVmZSFCIUcRQ2ZlITNDNhERVlQhMzRWIRERQyFVVWZjISM1QWaG OKqRSSIhESMkVmE1EREaKUzE</binary>   </dna> Pode-se utilizar dois tipos de arquivos de referência para a busca de imagens. Imagens propriamente ditas (arquivos JPG, GIF, etc) ou um arquivo XML com os DNAs das imagens que se quer encontrar. Esse segundo método, além de poupar espaço de armazenamento na máquina do examinador e poupar processamento da máquina (os DNAs estão previamente calculados), evita que se tenha que carregar as imagens originais, que podem ser confidenciais ou ter conteúdo sensível (pornografia, violência, ofensivo, etc). É necessário o LTU Server para gerar o arquivo XML. O plugin LTU-ISE consegue somente utilizar o XML gerado pelo servidor.

Cenários Onde poderia ser utilizado? Pedofilia - Utilizando uma base de dados XML (gerada pelo Image Seeker Server) - <dna>   <type>50</type>   <segmentation_type>100</segmentation_type>   <process_type>107</process_type>   <resize>128</resize>   <binary>RXmZqqqpmIdVeZqqqqqZh1Z5mqqqqqmXVnh1aZqalmVWQkM1WapzIlZBNEI63+ohZkJYU0q//BFzETl0R6yWIVIRGGVWh2UhUhE4VVVmZSFCIUcRQ2ZlITNDNhERVlQhMzRWIRERQyFVVWZjISM1QWaGOKqRSSIhESMkVmE1EREaKUzE</binary>   </dna> Banco de IMG Policial Um banco de imagens com alto grau de confidencialidade pode ser criado e através do LTU Server, gerados arquivos XML para uso pelos investigadores que utilizarão essa base para localizar esses arquivos e suas variações dentro de evidências coletadas. Investigadores só carregam XML Nenhum risco de vazamento das imagens originais

Cenários Onde poderia ser utilizado? Vazamento de Informações; Desenhos industriais; Mapas; “Print Screens” de sistemas com informações confidenciais; Identificação de obras de arte roubadas. Utilizar o LTU-ISE para encontrar imagens corporativas confidenciais como desenhos técnicos, informações geológicas, telas de sistemas (print screen).

Cenários Onde poderia ser utilizado? Difamação Fotomontagem Encontrar imagens originais a partir de imagens modificadas, como por exemplo, em casos onde a imagem modificada é distribuída por email e existe a suspeita de que a origem desse email é uma máquina interna. Original encontrada no disco do suspeito Imagem distribuída por email (usada como referência)

DNA de Imagens Benefícios – Análise de Imagens Comparação rápida de imagens coletadas com uma base de dados de referência ou com imagens de referência Acelera dramaticamente a análise de conteúdo gráfico Possibilita a utilização de grandes bases de dados com “DNA de Imagem” do LTU Finder Crie sua própria base de dados que pode ser armazenada e analisada localmente Aplicável a qualquer tipo de análise de imagens: fraude, vazamento de informação, contra-inteligência, etc. Detecta e analisa imagens escondidas (arquivos com extensão trocada) Processa mais de 20 tipos de arquivos de imagem Pode ser encadeado com outros enscripts, permitindo a busca de imagens já apagadas ou em espaços não alocados do disco Compatível com EnCase versões 5 e 6

IDENTIFICAÇÃO E ANÁLISE DE TRÁFEGO DE REDES

Netwitness Investigator Mapeamento Online de Tráfego Netwitness Investigator Utilização Identificação de artefatos e comunicações de internet e redes em tempo real

FÁCIL IDENTIFICAÇÃO DE SUSPEITAS Mapeamento Online de Tráfego FÁCIL IDENTIFICAÇÃO DE SUSPEITAS Identificação automática de: Origem e destinos de conexão, tipos de serviços em uso, portas sendo utilizadas, usuários logados, etc; Coletas de log com garantia de cadeia de custódia.

Integração com Google Earth

CONCLUSÕES

CONCLUSÕES Conclusões Vantagens de uma estrutura planejada para análises forenses Velocidade de análise Profundidade de análise Simplificação de Emissão dos Relatórios Flexibilidade de funções Agilidade para triagem de muitos dados Triagem online in-loco Sempre lembrar Fundamental a definição dos processos Outras ferramentas complementares Forense apenas complementa o trabalho de inteligência em uma investigação

Obrigado! www.forensedigital.com.br CONTATOS Rodrigo Antão rodrigoa@techbiz.com.br www.forensedigital.com.br