Pericia Forense computacional

A Análise Forense e Recuperação de Dados não serve apenas como resposta a um ataque, pois tem várias áreas de intervenção, desde perda de informação originada por uma má politica de segurança da empresa, bugs de software & hardware, etc. Ter acesso aos dados da empresa, irá permitir desenhar e estudar novas soluções, corrigir falhas ou servir como prova em casos judiciais.
Sinais de invasões
- Hackers Habilidosos.
- Hackers Iniciantes.
- Novos Usuários no Sistema.
- Execução de processos estranhos.
- Utilização Inexplicável da CPU.
- O Ambiente parece estranho.


Como identificar os atacantes
Existem dois perfis básicos de atacantes, são eles:


Internos:
- Questões pessoais
- Acesso a recursos privilegiados
- Vantagens Financeiras


Externos:
- Vandalismo
- Auto-Afirmação
- Busca por reconhecimento


Ameaças
- Fácil acesso às ferramentas
- Os Script Kiddies procuram por vulnerabilidade
- Não existe horário definido para ser alvo de um ataque, ou mesmo de um scan



Técnicas para perícia
a) Auditoria de logs dos aplicativos dos sistemas.
b) Análise de arquivos e diretórios incluindo o nome de arquivos deletados.
c) Visualização do conteúdo de arquivos suspeitos.
d) Datas de arquivos acessados, alterados e deletados.
e) Seqüência de eventos.
f) Efetuar análise física e lógica em cima dos dados levantados nas etapas antecessoras sem alterar o conteúdo original.



Análise física
a) São investigados os dados brutos da mídia de armazenamento.
b) Análise é feita em cima da imagem pericial ou na cópia restaurada das provas.
c) Dados comumente investigados:
- Todas as urls encontradas na mídia.
- Todos os endereços de e-mail encontrados na mídia.
- Todas as ocorrências de pesquisa de sequencia com palavras sensíveis a caixa alta e baixa.



Análise lógica
a) Erros comumente cometidos.
b) Como efetuar a análise lógica sem alterar os dados?



Análise de logs
a) Extremamente importante que a cultura de auditoria de logs esteja disseminada entre os administradores da rede.
b) Para rastrear os fatos é importante que o profissional atue com um espião e não veja os dados como um usuário.
c) Para isso, é necessário que ele reconstrua construa os históricos dos:
- Usuários
- Processos
- Situação da Rede
- Acesso a Serviços


Análise de tráfego
O processo de arquivamento do tráfego de rede com auxílio de ferramentas de captura de pacotes gera a primeira camada de informação forense: isto é, a carga de tráfego com o passar do tempo.


Obtenção de evidências
a) Grande aumento no número de fraudes e crimes eletrônicos com o passar do tempo.
b) Identificação
c) Preservação
d) Análise
e) Apresentação


Exemplo prático: Investigando um servidor Web
a) Tipos de ataque:
- Negação de serviço
- Site defacement
- Roubo de produto ou informação
b) Métodos para investigação de um possível ataque.


Principais entidades
- IOCE (International Organization on Computer Evidence);
- HTCIA (High Technology Crime Investigation Association);
- SWGDE (Scientific Working Group on Digital Evidence);
- IACIS(International Associantion of Computer investigatibe specialists);
- SACC (Seção de Apuração de Crimes por Computador);


Principais entidades no Brasil
- NBSO(Network Information Center(NIC) – Brazilian Security Office);
- CAIS(Centro de Atendimento a Incidentes de Segurança);
- GT-S(Grupo de Trabalho em segurança do comitê gestor da internet brasileira)


Carreira
- Perito Criminal
- Consultor Independente
- Funcionário público

A forense computacional foi criada com o objetivo de suprir as necessidades das instituições legais no que se refere à manipulação das novas formas de evidências eletrônicas. Ela é a ciência que estuda a aquisição, preservação, recuperação e análise de dados que estão em formato eletrônico e armazenados em algum tipo de mídia computacional.


A forense computacional pode produzir informações diretas, que por sua vez, podem ser decisivas em um dado caso.É importante salientar que a veracidade dessas informações também são passíveis de validação como em qualquer outro tipo de análise forense, pois dependendo das circunstâncias, as informações coletadas podem ter sido manipuladas de forma a induzir o perito a tirar conclusões erradas sobre o caso.


Para resolver um mistério computacional nem sempre é fácil; deve se analisar o sistema como um detetive que examina a cena de um crime, e não como um usuário comum. Muitas das habilidades necessárias para se procurar um erro em um código fonte são também necessárias para uma análise forense, tais como: raciocínio lógico, entendimento das relações de causa e efeito em sistemas computacionais e talvez a mais importante, ter uma mente aberta.


Perícia em um computador suspeito envolve uma série de conhecimentos técnicos e a utilização de ferramentas adequadas para a análise, que é justificado pela necessidade indiscutível de não alterar o sistema que está sendo analisado. Tais alterações, se efetuadas, podem ser traduzidas como mudanças nos tempos de acesso aos arquivos, prejudicando assim uma das mais poderosas formas de se reconstituir o que aconteceu na máquina em um passado próximo. Geralmente as ferramentas convencionais não têm a preocupação de manter a integridade dos tempos de acesso. 


Alguns procedimentos devem ser seguidos pelo perito para garantir que a evidência não seja comprometida, substituída ou perdida, pois, se estes não forem seguidos, num tribunal, os juízes poderão considerar que essas evidências são inválidas e os advogados de defesa poderão contestar sua legitimidade, prejudicando assim o caso. Em muitos casos, as únicas evidências disponíveis são as existentes em formato digital. Isto poderia significar que a capacidade de punição a um invasor pode estar diretamente relacionada com a competência do perito em identificar, preservar, analisar e apresentar as evidências.


Sendo assim, é notória a importância do perito e a responsabilidade a ele confiada. Tal postura, se seguida, produzirá um trabalho revestido de incontestabilidade diante do tribunal. A perícia forense possui quatro procedimentos básicos: identificação, preservação, análise e apresentação. As tarefas envolvidas em uma investigação se enquadram em um desses grupos, como podem ser realizadas através da maioria ou de todos eles. 


Identificando as evidências

Dentre as várias tarefas envolvidas no caso, é necessário estabelecer quais são as informações mais relevantes, como datas, horários, nomes de pessoas, empresas, endereços eletrônicos, nome do responsável ou proprietário pelo computador e etc.


Diferentes crimes resultam em diferentes tipos de evidência, e, por este motivo, cada caso deve ser tratado de forma específica. Por exemplo, em um caso de acesso não autorizado, o perito deverá procurar por arquivos log, conexões e compartilhamentos suspeitos; já em casos de pornografia, buscará por imagens armazenadas no computador, histórico dos sites visitados recentemente, arquivos temporários e etc. A velocidade do perito em identificar as evidências vai depender do seu conhecimento sobre o tipo de crime que foi cometido e dos programas e Sistemas Operacionais envolvidos no caso. Para encontrar possíveis evidências deve se:
- Procurar por dispositivos de armazenamentos (hardware): laptops, HDs, disquetes, CDs, DVDs, drives Zip/Jaz, memory keys, pendrives, câmeras digitais, MP3 player, fitas DAT, Pocket PC, celulares, dispositivos de backup ou qualquer equipamento que possa armazenar evidências;

- Procurar por informações relacionadas ao caso como: anotações, nomes de pessoas, datas, nomes de empresas e instituições, números de telefones, documentos impressos etc.;

- Distinguir entre evidências relevantes e irrelevantes em uma análise.


Cadeia de custódia

Segundo o princípio de Locard, através do contato entre dois itens, irá haver uma permuta. Este princípio é aplicável nas cenas do crime, no qual o interveniente da cena do crime entra em contato com a própria cena onde o crime foi executado, trazendo algo para este. Cada contato deixa o seu rastro.


Sendo assim, todo contato entre quaisquer pessoas ou objetos com a cena do crime pode produzir vestígios, que por mínimos que sejam, poderão servir como base para elucidação dos fatos de um crime. A regra número um em uma investigação é não destruir ou alterar as provas, ou seja, as evidências precisam ser preservadas de tal forma que não haja qualquer dúvida sobre a sua veracidade. 

A inobservância de certos procedimentos no momento da coleta de dados e no transcorrer da análise forense pode significar a diferença entre o sucesso e o fracasso de uma perícia, pois, além de comprometer a veracidade de uma prova, o que a colocaria em dúvida perante o tribunal, poderia também comprometer a sua integridade.

Devido ao uso do contraditório, num tribunal, a defesa pode questionar a legitimidade dos resultados de uma investigação, alegando que as evidências foram alteradas ou substituídas por outras.


Devido a essa possibilidade, é de total importância que o perito faça uso da cadeia de custódia, que, é utilizada para provar onde as evidências estavam em um determinado momento e quem era o responsável por elas durante o curso da perícia. Tal documentação é de suma importância para garantir que as evidências não foram comprometidas e para mapear individualmente os responsáveis num dado momento.


Para que as evidências não sejam comprometidas, substituídas ou perdidas durante o transporte ou manuseio no laboratório, é recomendável que sejam seguidos os seguintes passos:

- Criar imagens do sistema investigado, também conhecido como duplicação pericial, para que as evidências digitais possam ser analisadas posteriormente;

- Se o caso necessitar de uma análise ao vivo, salvar as evidências em um dispositivo externo e bloqueálos contra regravação;

- Todas as evidências físicas deverão ser lacradas em sacos e etiquetadas;

- A etiqueta deverá conter um número para a identificação das evidências, o número do caso, a data e o horário em que a evidência foi coletada, e o nome da pessoa que está manuseandoa;

- Etiquetar todos os cabos e componentes do computador, para que depois possam ser montados corretamente quando chegar ao laboratório;

- Os HDs deverão ser armazenados em sacos antiestáticos, para evitar danos e corrompimento dos dados;

- Durante o transporte das provas, tomar cuidado com líquidos, umidade, impacto, sujeira, calor excessivo, eletricidade e estática;

- Quando já tiverem sido transportadas, as evidências deverão ser armazenadas e trancadas para evitar a adulteração até o momento em que poderão ser examinadas e analisadas;

- Todas as mudanças feitas durante esta fase deverão ser documentadas e justificadas no documento referente à cadeia de custódia.


Analisando as evidências

O propósito desta fase é tentar identificar quem fez, quando fez, que dano causou e como foi realizado o crime. Mas, para isso, o perito deverá saber o que procurar, onde procurar e como procurar. Após analisar as evidências o perito poderá responder às seguintes questões:

- Qual a versão do Sistema Operacional que estava sendo investigado?

- Quem estava conectado ao sistema no momento do crime?

- Quais arquivos foram usados pelo suspeito?

- Quais portas estavam abertas no Sistema Operacional?

- Quem logou ou tentou logar no computador recentemente?

- Quem eram os usuários e a quais grupos pertenciam?

- Quais arquivos foram excluídos?

Esta fase será a pesquisa propriamente dita, em que praticamente todos os filtros de informação já foram executados. A partir deste ponto o perito poderá focalizar se nos itens realmente relevantes ao caso em questão. É nesta fase que os itens farão sentido e os dados e fatos passarão a ser confrontados.


Apresentando a análise

O laudo pericial é um relatório técnico sobre a investigação, no qual são apontados os fatos, procedimentos, análises e o resultado. O perito faz o laudo, e, a partir das evidências, a decisão é da Justiça.

- O laudo deve ser claro, conciso, estruturado e sem ambigüidade, de tal forma que não deixe dúvida alguma sobre a sua veracidade;

- Deverão ser informados os métodos empregados na perícia, incluindo os procedimentos de identificação, preservação e análise, e o software e hardware utilizados;

- O laudo pericial deve conter apenas afirmações e conclusões que possam ser provadas e demonstradas técnica e cientificamente.

Legislação útil:
» Código do Direito de Autor e Direitos Conexos
» Lei n.º 109-2009 - Lei do Cibercrime
» Protecção Jurídica das Bases de Dados
» Protecção Jurídica de Programas de Computador 
 Conclusão
A melhor solução para evitar o acesso indevido a informação é implementar sempre uma política clara e concisa de uso e de auditoria (Constante) do sistema.A análise forense computacional vem a auxiliar na descoberta de falhas de segurança, a fim de que possam ser tomadas de falhas de segurança, a fim de que possam ser tomadas as providências para sanar tais falhas e identificar os culpados.

Fonte: 
hardsecure
Ranieni M. de Souza 
Wikipedia 
Pericia Forense computacional Pericia Forense computacional Reviewed by Kembolle Amilkar on quarta-feira, janeiro 11, 2012 Rating: 5

Nenhum comentário