1. introducao

1

Informática Forense e Reengenharia

Mestrado em Engenharia de Segurança Informática

Escola Superior de Tecnologia e Gestão Instituto Politécnico de Beja

Francisco Luís


Sumário

� Objectivos� Competências a adquirir � Conteúdos programáticos� Bibliografia recomendada � Avaliação � Planificação das aulas

2


Objectivos

� O conhecimento teórico da área dainformática forense e de algumasdas ferramentas usadas nesta área

� Os conhecimentos na área dainformática forense são, por umlado, de natureza jurídica e poroutro de natureza técnica(informática)


Competências a adquirir

� Obter e/ou preservar dados de acordocom a legislação em vigor, com recursoa diferentes técnicas

� Realização de imagens binárias epesquisa sobre as mesmas

� …

3


Conteúdos programáticos

� Aplicação de técnicas de informática forenseatravés do uso de ferramentas que auxiliam oexaminador a extrair evidências sobre osfactos em investigação, de forma a poderemconstituir prova

� Uso de ferramentas open source bem comodemonstração de ferramentas comerciais deanálise forense como o EnCase da GuidanceSoftware e o Forensic Toolkit da AccessData


Bibliografia recomendada

� [1] BUNTING, Steve, The Official EnCE: EnCase Certified Exa miner StudyGuide, 2007

� [3] GRUNDY, Barry J., The Law Enforcement and Forensic Exami ner'sIntroduction to Linux ( http://www.linuxleo.com/Docs/linuxintro-LEFE-3.78.pdf ), 2008

� [6] CARVEY, Harlan, Windows Forensic Analysis, 2nd Edition , 2009

4


Avaliação

� Trabalho individual• Guia Elaboração Relatórios, IPBeja• 6 páginas

� Trabalho grupo• Exame directo• Relatório (sem limite de páginas)


Planificação das Aulas

5


Obrigado

[email protected]

Instalação

� VirtualBox• Ubuntu 11.04


6

Prova digital

� Legalmente admissível• Forma da obtenção

• Lei nacional• Regulamentos internos

� Tecnicamente irrefutável• Origem• Integridade

� Certificação (resumo digital / assinatura)Informática Forense e Reengenharia

Forensics

� Forensics is the process of using scientificknowledge for collecting, analyzing, and presentingevidence to the courts. (The word forensics means“to bring to the court.”). Forensics deals primarilywith the recovery and analysis of latent evidence.

� Latent evidence can take many forms, fromfingerprints left on a window to DNA evidencerecovered from blood stains to the files on a harddrive.

Fonte: US-CERT


7

Informática Forense?

� Circunstância• Investigadores (criminais, equipas de resposta a incidentes, …) necessitam de

responder a diversas questões para provarem determinados factos / debelarem o seuproblema

� Aquisição• São usadas técnicas padronizadas (quer técnica quer legal) para a recolha de prova

digital

� Análise• Os analistas têm de examinar os dados, extrair as evidências necessárias ao passo

que preservam a integridade dos dados

� Relatório• Os analistas forenses têm de elaborar relatório que enumere as evidências

encontradas e as suas conclusões

� Apresentação• Os analistas têm de estar preparados para apresentar as suas conclusões (provas)

em Tribunal / Administração / …



Alvos

� Empresas públicas e privadas� Universidades� Organismos Públicos

• Hospitais• Ministérios• Institutos• ...

� Cidadão

8


Circunstância

� Tipicamente gostamos de saber quem, quê, onde, quando, como, porquê? (quanto)

� Recolha de prova• Pesquisas (fontes abertas/sistemas/…)• Solicitações a entidades diversas• Entregas voluntárias• Buscas/Apreensões• Intercepções• Exames/Análises/Perícias/…• …

Análise

� Análise do File System• Ficheiros apagados• File slack• Unnalocated space• Timeline

� Determinação do OS

� Tipo de Ficheiros• Validar a extensão dos ficheiros

� Resumo digital de ficheiros (hashing)• Separar os conhecidos dos desconhecidos (“bons dos maus”)


9

Análise

� Keyword indexing

� Ficheiros com interesse forense

• Registry files

• Log files

• Browser history

• Mailboxes/contacts

� Virus Scanning

• Identificação de malware



Dificuldade

� Cifra� Malware� Sistemas remotos� Mobile� …

10


Fonte: http://en.wikipedia.org/wiki/Computer_forens ics

Custos

� EnCase Forensic v7 – $2,995.00• EnCase 4 custava 4.200€ em 2004

� AccessData• FTK Imager – Gratuito• Forensic Toolkit v 4.0.1 – $2,995.00 + HW

� X-Ways• Specialist – 195,90€• Forensics – 949,90€


11



12


Custos

� Write Blocker• WiebeTech UltraDock v5 (USB3) - $250• WiebeTech Forensic UltraDock v4 - $200• Tableau T8-R2 – $260• Tableau T9 – $300• Tableau TD2 Duplicator (9GB/min) – $1,500


13


Fonte: http://en.wikipedia.org/wiki/Computer_forens ics


14


Comercial vs Open Source

� Comercial (ex: EnCase, FTK, etc.)• Comummente usada na industria e Governos (+)• Tem licenciamento especial para Ensino (+)• Licença por sala de aula (-)• User interface complexa pode prejudicar aprendizagem (-)• Normalmente só em Windows (-)• Requer hardware de gestão de licença (dongle) (-)

� Open Source (ex: The SleuthKit – TSK)• Versões para Windows, Mac e Linux (+)• Não tem dongle (+)• Boa base para alargar pesquisa de conhecimento (+)• Menos funcionalidades que aplicações comerciais (-)• User interface pobre (-)


15

� Instalar� - dcfldd� - libewf� - ewf-tools� - Sleuth Kit� - Autopsy



Obrigado

[email protected]

1. introducao

Documents