1. introducao

Informática Forense e Reengenharia

Mestrado em Engenharia de Segurança Informática

Escola Superior de Tecnologia e Gestão Instituto Politécnico de Beja

Francisco Luís

Sumário

� Objectivos� Competências a adquirir � Conteúdos programáticos� Bibliografia recomendada � Avaliação � Planificação das aulas

Objectivos

� O conhecimento teórico da área dainformática forense e de algumasdas ferramentas usadas nesta área

� Os conhecimentos na área dainformática forense são, por umlado, de natureza jurídica e poroutro de natureza técnica(informática)

Competências a adquirir

� Obter e/ou preservar dados de acordocom a legislação em vigor, com recursoa diferentes técnicas

� Realização de imagens binárias epesquisa sobre as mesmas

� …

Conteúdos programáticos

� Aplicação de técnicas de informática forenseatravés do uso de ferramentas que auxiliam oexaminador a extrair evidências sobre osfactos em investigação, de forma a poderemconstituir prova

� Uso de ferramentas open source bem comodemonstração de ferramentas comerciais deanálise forense como o EnCase da GuidanceSoftware e o Forensic Toolkit da AccessData

Bibliografia recomendada

� [1] BUNTING, Steve, The Official EnCE: EnCase Certified Exa miner StudyGuide, 2007

� [3] GRUNDY, Barry J., The Law Enforcement and Forensic Exami ner'sIntroduction to Linux ( http://www.linuxleo.com/Docs/linuxintro-LEFE-3.78.pdf ), 2008

� [6] CARVEY, Harlan, Windows Forensic Analysis, 2nd Edition , 2009

Avaliação

� Trabalho individual• Guia Elaboração Relatórios, IPBeja• 6 páginas

� Trabalho grupo• Exame directo• Relatório (sem limite de páginas)

Planificação das Aulas

Obrigado

francisco.m.luis@gmail.com

Instalação

� VirtualBox• Ubuntu 11.04

Prova digital

� Legalmente admissível• Forma da obtenção

• Lei nacional• Regulamentos internos

� Tecnicamente irrefutável• Origem• Integridade

� Certificação (resumo digital / assinatura)Informática Forense e Reengenharia

Forensics

� Forensics is the process of using scientificknowledge for collecting, analyzing, and presentingevidence to the courts. (The word forensics means“to bring to the court.”). Forensics deals primarilywith the recovery and analysis of latent evidence.

� Latent evidence can take many forms, fromfingerprints left on a window to DNA evidencerecovered from blood stains to the files on a harddrive.

Fonte: US-CERT

Informática Forense?

� Circunstância• Investigadores (criminais, equipas de resposta a incidentes, …) necessitam de

responder a diversas questões para provarem determinados factos / debelarem o seuproblema

� Aquisição• São usadas técnicas padronizadas (quer técnica quer legal) para a recolha de prova

digital

� Análise• Os analistas têm de examinar os dados, extrair as evidências necessárias ao passo

que preservam a integridade dos dados

� Relatório• Os analistas forenses têm de elaborar relatório que enumere as evidências

encontradas e as suas conclusões

� Apresentação• Os analistas têm de estar preparados para apresentar as suas conclusões (provas)

em Tribunal / Administração / …

� Empresas públicas e privadas� Universidades� Organismos Públicos

• Hospitais• Ministérios• Institutos• ...

� Cidadão

Circunstância

� Tipicamente gostamos de saber quem, quê, onde, quando, como, porquê? (quanto)

� Recolha de prova• Pesquisas (fontes abertas/sistemas/…)• Solicitações a entidades diversas• Entregas voluntárias• Buscas/Apreensões• Intercepções• Exames/Análises/Perícias/…• …

Análise

� Análise do File System• Ficheiros apagados• File slack• Unnalocated space• Timeline

� Determinação do OS

� Tipo de Ficheiros• Validar a extensão dos ficheiros

� Resumo digital de ficheiros (hashing)• Separar os conhecidos dos desconhecidos (“bons dos maus”)

Análise

� Keyword indexing

� Ficheiros com interesse forense

• Registry files

• Log files

• Browser history

• Mailboxes/contacts

� Virus Scanning

• Identificação de malware

Dificuldade

� Cifra� Malware� Sistemas remotos� Mobile� …

Fonte: http://en.wikipedia.org/wiki/Computer_forens ics

Custos

� EnCase Forensic v7 – $2,995.00• EnCase 4 custava 4.200€ em 2004

� AccessData• FTK Imager – Gratuito• Forensic Toolkit v 4.0.1 – $2,995.00 + HW

� X-Ways• Specialist – 195,90€• Forensics – 949,90€

Custos

� Write Blocker• WiebeTech UltraDock v5 (USB3) - $250• WiebeTech Forensic UltraDock v4 - $200• Tableau T8-R2 – $260• Tableau T9 – $300• Tableau TD2 Duplicator (9GB/min) – $1,500

Fonte: http://en.wikipedia.org/wiki/Computer_forens ics

Comercial vs Open Source

� Comercial (ex: EnCase, FTK, etc.)• Comummente usada na industria e Governos (+)• Tem licenciamento especial para Ensino (+)• Licença por sala de aula (-)• User interface complexa pode prejudicar aprendizagem (-)• Normalmente só em Windows (-)• Requer hardware de gestão de licença (dongle) (-)

� Open Source (ex: The SleuthKit – TSK)• Versões para Windows, Mac e Linux (+)• Não tem dongle (+)• Boa base para alargar pesquisa de conhecimento (+)• Menos funcionalidades que aplicações comerciais (-)• User interface pobre (-)

� Instalar� - dcfldd� - libewf� - ewf-tools� - Sleuth Kit� - Autopsy

Obrigado

francisco.m.luis@gmail.com

1. introducao

Documents

1 introducao

aula 1 ( introducao )

1 - introducao a probabilidade

1 - segurança - introducao

1 introducao auditoria

introducao a estrategia (1)

1 - introducao a fisica

introducao direito 04-1

bdi - aula 1 - introducao

1 introducao conceitos basicos

introducao microinformatica - 1.doc

parte 1 introducao-vista_e_diedros

01 - pdf introducao (1)

micro 1 introducao

1 - introducao - sommerville

1 embriologia introducao ucb

1 - certificação neocontrol - introducao

introducao vpn (1)

eidn 1-introducao

1 processos fabricacao introducao