distribuições baseadas em software livre para computação forense

1

Distribuições em Software Livre para

Forense Computacional

gilberto@sudre.com.br

http://gilberto.sudre.com.br

3

4

Agenda

» Perícia Computacional Forense

» Análise de vestígios

» Etapas de uma perícia Digital

» Ferramentas

» Conclusão

5

Trabalho publicado

» Pesquisador• Prof. Gilberto Sudré

» Orientandos• Alexandre Mello de Carvalho

• Francine Perovano Batista

• Lorenna Rocha Rosa

• Ramiro Ceolin Lirio

Perícia Computacional

Forense

7

Perícia Computacional Forense

Perícia Forense aplicada a Tecnologia da Informação é a ciência que visa a proteção, investigação, recuperação, coleta, identificação e análise de evidências aplicadas dentro de um processo legal.

Estes procedimentos visam, dentro do possível, determinar o curso das ações executadas pelo Agente, recriando assim, o cenário completo acerca dos fatos ocorridos no mundo digital.

Gilberto Sudre

8

Perícia Computacional Forense

» Em breve a maioria dos casos de justiça irão envolver meios digitais

• Demitir ou quebrar contrato

• Provar fatos

• Leis de Privacidade

• Ajudar na recuperação dos dados

9

Perícia Computacional Forense

» Toda investigação de um crime virtual tem como base as evidências e informações coletadas

» Só que estas evidências e informações estão em um disco rígido, em um celular, em um código malicioso, nos códigos fontes, etc

» A computação forense é matéria do direito criminal e visa a verdade real a fim de que os infratores sejam punidos e a sociedade preservada

10

Perícia Computacional Forense

» Incidente já ocorreu !

» Busca descobrir• Quem ?

• O quê?

• Quando ?

• Como ?

• Onde?

• Por quê?

• Alcance ?

11

Análise de vestígios

» Arquivos de log» Espaços não utilizados no dispositivo de

armazenagem» Arquivos temporários» Área de Swap» Setor de BOOT» Memória» Periféricos» Comportamento de processos

12

Expectativa de Vida das informações

Fonte: FARMER, 2005

Informação Tempo

Registradores, memória de periféricos, caches , etc.

Nano segundos

Memória Principal Nano segundos

Conexões de Rede Milissegundos

Processos Ativos Segundos

Discos Rígidos Minutos a anos

Disquetes, CD-ROMs, mídias de backup, etc.

Anos

13

Etapas de uma perícia Digital

Fonte: Fases de um processo de investigação (NEUKAMP, 2012)

Ferramentas

15

Ferramentas

» Proprietárias• Auto custo

• Fomentam a utilização de ferramentas sem licenciamento

• Versões antigas

• Ex: Encase e a FTK (Forensic Toolkit)

» Distribuições Linux• Foco em Forense Computacional

• Aderentes a metodologia da investigação

• Adequadas para ensino e uso profissional

16

Ferramentas

» Backtrack

» CAINE - Computer Aided INvestigative Environment

» DEFT Linux - Digital Evidence & Forensic Toolkit

» FDTK – Forensic Digital Toolkit

» PeriBR

17

18

Backtrack

» Origem: Suíça• Whax e Auditor Security Collection

» Site: http://www.backtrack-linux.org

» Baseada no Slackware

» Foco em testes de segurança e testes de penetração

» Live CD/DVD ou instalação no computador

19

Backtrack

» Contém mais de 300 ferramentas para análise e testes de vulnerabilidades

» Modo Forense• Inicia o computador sem um disco de swap

» Modo invisível• Não gera o tráfego de rede típico de um sistema que está

sendo iniciado

20

21

22

CaineComputer Aided INvestigative Environment

» Origem: Itália

» Site: http://www.caine-live.net

» Objetivo• Criar um ambiente grafico amigável que auxilie o

investigador digital durante as quatro fases da investigação digital

» Gera uma compilação semi-automática do relatório final

23

CaineComputer Aided INvestigative Environment

Fonte: Interface principal do CAINE (VIERA, 2011)

24

CaineComputer Aided INvestigative Environment

» Versões• Máquina virtual (VM)

• Live-CD

• Caine Portable – NBCaine

• Caine-From-Deb

» Mais de 80 ferramentas para voltadas• WinTaylor – Específica para forense de Windows

25

CaineComputer Aided INvestigative Environment

26

27

DeftDigital Evidence & Forensic Toolkit

» Origem: Itália• http://www.deftlinux.net

» Live-CD

» Baseada no Ubuntu

» Não utiliza a partição swap no sistema submetido à análise

28

DeftDigital Evidence & Forensic Toolkit

» Ferramentas exclusivas• Dhash: Calculo do hash de um arquivo ou de um

dispositivo de armazenamento (MD5, SHA-1 e SFV)

• XPlico: Decodificador de tráfego de internet

• Catfish: Buscador de arquivos

» Ferramentas para forense em Windows

» DART (Digital Advanced Response Toolkit)• Reúne software voltados para a respostas à incidentes

29

DeftDigital Evidence & Forensic Toolkit

Fonte: Tela DART (FRATEPIETRO et al, 2009)

30

31

FDTKForense Digital ToolKit

» Criada por Paulo Neukamp• Trabalho de conclusão do curso de Segurança da

Informação da Unisinos

» Site: http://www.fdtk.com.br

» Baseada no Ubuntu

» Focada em Forense Computacional

» Utilização profissional e formação de novos técnicos

32

FDTKForense Digital ToolKit

» Reúne as qualidades das seguintes distros• DEFT, BackTrack, INSERT, FCCU, Helix, Operator,

PHLAK, L.A.S. Linux, nUbuntu e Knoppix-STD

» Possui mais de 100 ferramentas• Divididas em três etapas: coleta, exame e análise

das evidências

» Ophcrack• Ferramenta capaz de revelar a senha de sistemas

Windows

33

34

35

36

PeriBR

» Desenvolvida como trabalho de pós-graduação em perícia digital da Universidade Católica de Brasília

» Site: http://sourceforge.net/projects/peribr/files/

» O menu formado por categorias• Fases de uma investigação

» Scripts foram criados para exibir informações sobre as ferramentas

37

PeriBR

» FDTK foi usada como base para o desenvolvimento

» Não realiza a montagem automática de dispositivos

» Quando é feita a montagem do dispositivo ele fica em read-only por padrão

» Ponto negativo• Só existe a versão 1.0

Conclusão

39

Conclusão

» A tecnologia e a Internet trouxeram melhorias enormes para os negócios e para as pessoas

» Este ambiente digital criou um novo terreno para os criminosos

» Novas técnicas de análise e investigação são necessárias para o levantamento de evidências

40

Conclusão

» As técnicas de análise e ferramentas evoluem a cada dia !

» E os crimes também !!!

» Existem ferramentas livres eficientes que podem ser utilizadas de forma profissional para a execução de uma perícia

41

Agradecimentos

» Revista Espírito Livre

» Ifes

» Alunos / Orientandos• Alexandre Mello de Carvalho

• Ramiro Ceolin Lirio

• Francine Perovano Batista

• Lorenna Rocha Rosa

Mais Informações

43

http://labseg.ifes.edu.br

44

http://gilberto.sudre.com.br

45

http://direitoepericiadigital.com.br

47