Perícia Forense com FDTK - FLISOL DF 2010

Perícia Forense com FDTK
Prof Alcyon Junior

24/04/2010
Prof. Alcyon Junior - alcyon.junior@gmail.com
http://wwwportaltic.com/ 2
Quem é Alcyon Junior?
Alcyon Junior é Administrador de Redes do Estado-Maior do
Exército e Professor de Tecnologia na Faculdade UNISABER.
Apaixonado pro tecnologia e software livre. Graduado em 3
diferentes cursos de Tecnologia de Informação, com ênfase em
redes de computador.
Possui também certificação internacional CNAP e o título de
Especialista em Redes de Computador pela CISCO e MBA em
Governança de TI.

24/04/2010
Portal TIC
http://portaltic.com/

24/04/2010
Tudo que for considerado de útil para a
investigação deve ser isolado e preservado
para que tenha aceitação como verídico para
um caso.
Veremos mais adiante o que torna uma
investigação tão difícil de ser realizada.
O QUE É FORENSE COMPUTACIONAL?

http://wwwportaltic.com/
●Coletar
●Custodiar
●Preservar
●Analisar
Forense Computacional

24/04/2010
Técnicas de Forense Computacional
 Podemos citar alguns dos passos para uma análise perícial:
 Coleta de informações (Information Gathering);
 Reconhecimento das evidências;
 Coleta, restauração, documentação e preservação
das evidência encontradas;
 Correlação das evidências;
 Reconstrução dos eventos.

24/04/2010
Níveis de Modus Operandi
O nível em que o invasor consegue executar o
modus operandi é essencial para a perícia
forense:
 Clueless
 Script kiddie
 Guru
 Wizard

COMO É O TRABALHO DO PERITO DIGITAL?
O que ele faz?
Onde ele trabalha?
Grupos de Peritos:
Criminais
Judicial

●Problemas existentes.
●Laudo Pericial.
“Uma prova mal feita é um processo perdido”
“Não existe crime perfeito”
COMO É O TRABALHO DO PERITO DIGITAL?

●ANTI-FORENSE
O que é Anti-Forense?

●ANTI-FORENSE
● Encriptação;
● Esteganografia;
● Self Split Files + Encryption;
● Wipe;
● Data Hiding;

VOCÊ MONITORA OS SEUS EMPREGADOS?
● É certo fazer o monitoramento?
● De onde vem a ameaça?
● Dados encontrados na empresa;
● Mais porque tudo isso?

FDTK (Forense Digital ToolKit)

FDTK (Forense Digital ToolKit)
Baseada no Ubuntu Linux;
Desenvolvida para Forense Computacional;
Idioma Português do Brasil (pt_BR);
Possui softwares utilizados em várias distribuições existentes;
Possui menus organizados;
Pode ter utilização profissional;
E muito útil no estudo da forense computacional;

Etapas e suas ferramentas
A metodologia da forense computacional é
dividida em fases, resumidas em:
1. Preparação/Chegada ao local;
2. Coleta de dados;
3. Exame dos dados;
4. Análise das Evidências.
5. Laudo.

Preparação
Planejar e definir politicas para lidar com o cenário do
crime;
Consiste em:
● Esterilizar mídias;
● Avaliar condições do cenário;
● Adotar coleção de ferramentas necessárias.

Preparação
ETAPAS

Coleta de dados
Etapa primordial é a copia
(Backup):

Lógica (pastas e arquivos);

Imagem (toda unidade).

Dados voláteis: pesquisa
dentro do sistema “vivo”;

Dados não-voláteis:
arquivos de fácil acesso, não
somem, mesmo com o
sistema “morto”.
Situações:

“Vivo” (ligado):
análise da memória ram;
Processos em execução
no momento.

“Morto” (desligado):
Investigar só a cópia;
Desligar diretamente da
energia; (efetuar cópia).

Análise de evidências
Diferentes perfis;
Grande variedade de
extensões e atualmente
diferentes estruturas
Windows 98/XP, Vista &
Linux;
Quantidade de arquivos
elevada;
Variedade de softwares;
Encontrar atividades
suspeitas
Ferramentas:

Cookie-cruncher (análise
de cookies)

Xtraceroute (verificar
localidade por ip)

Galetta (análise do
Outlook)

Pasco (histórico I.E.)

Rifiuti (verifica a lixeira)

Mork (histórico do firefox)

Autopsy (Toolkit)

24/04/2010
Preparação para a coleta dos dados
Limpar (wipe) e formatar a mídia para garantir
que as provas não sejam contaminadas por
antigos dados existentes na mesma.
 Wipe – Utilitário que efetua uma sobrescrita no
disco inteiro ou na área de um arquivo com
números aleatórios ou zeros e uns
(extremamente demorado, mas confiável).

24/04/2010
Como proceder
# wipe -f -i -Q 3
# wipe -kq /dev/hda
# wipe -kq /dev/hda1
Também pode ser usado para arquivos para
removê-los sem a possibilidade de
recuperação.
# wipe -rfi >wipe.log /var/log/*

24/04/2010
dcfldd
Versão aprimorada pelo Departamento de
Defesa Amerino do DD.
É aconselhado pelos desenvolvedores que
esta tarefa seja efetuada pelo menos 3 vezes
sendo que existem estudos que apontam que
na verdade o número de interações deve ser
de pelo menos 7 vezes.

24/04/2010
foremost
 É uma ferramenta open source de recuperação
de dados baseado nos headers, footers e
estrutura interna de dados.
 Originalmente desenvolvida pelo United States
Air Force Office of Special Investigations and
The Center for Information Systems Security
Studies and Research, depois seu código foi
aberto para GNU.

24/04/2010
Foremost - Laboratório
 #sudo foremost /dev/device
 Ele vai criar uma pasta chamada output

24/04/2010
Perguntas
 Dúvidas?
 Dívidas?
 Choro?
 Reclamações?
 Lamentações?
?

24/04/2010
http://wwwportaltic.com/ 26FIMFIM
Alcyon JuniorAlcyon Junior
http://portaltic.com/http://portaltic.com/
alcyon.junior@gmail.comalcyon.junior@gmail.com

Perícia Forense com FDTK - FLISOL DF 2010

Mais conteúdo relacionado

Semelhante a Perícia Forense com FDTK - FLISOL DF 2010 (20)

Mais de Alcyon Ferreira de Souza Junior, MSc (20)

Último (11)

Perícia Forense com FDTK - FLISOL DF 2010