Download
1 / 29
290 likes | 645 Views
03/07/07. Forense Computacional. 2. Introdu??oForense ComputacionalT?cnicas ForenseDistribui??es LinuxAn?lise da distribui??o FDTKConclus?o. Roteiro. 03/07/07. Forense Computacional. 3. Introdu??o. A partir da ?ltima d?cada, os criminosos est?o utilizando os benef?cios oferecidos pela tecnolo
E N D
1. ESTUDO E ANÁLISE DE FERRAMENTAS BASEADAS EM LINUX APLICADAS À FORENSE COMPUTACIONAL Paulo Alberto Neukamp
Professor: Msc. Leonardo Lemes Fagundes
2. 03/07/07 Forense Computacional 2 Introdução
Forense Computacional
Técnicas Forense
Distribuições Linux
Análise da distribuição FDTK
Conclusão
3. 03/07/07 Forense Computacional 3 Introdução
A partir da última década, os criminosos estão utilizando os benefícios oferecidos pela tecnologia em suas atividades ilícitas.
Entre os anos de 2005 e 2006 o CERT.br, registrou um aumento de mais de 190% nos incidentes de segurança reportados.
Forense Computacional é uma área que necessita uma atenção especial das entidades de ensino e das corporações.
4. 03/07/07 Forense Computacional 4 Problema
Ferramentas proprietárias:
Auto custo; Fomentam a utilização de ferramentas sem licenciamento;
Versões antigas;
Código fonte.
Distribuições Linux:
Foco em Forense Computacional;
Metodologia;
Adequadas para ensino.
5. 03/07/07 Forense Computacional 5 Buscar conhecimento sobre Forense Computacional;
Procurar de forma imparcial analisar e apresentar:
Um conjunto de técnicas para Forense Computacional;
Apresentar um estudo sobre as ferramentas de código livre atualmente disponíveis, capazes de atender as técnicas estudadas e a manipulação de dados oriundos de diferentes sistemas operacionais. Introdução
6. 03/07/07 Forense Computacional 6 A Ciência Forense possui diversas àreas de atuação;
Segundo KRUSE II e HEISER, a “Forense Computacional compreende a aquisição, preservação, identificação, extração, restauração, análise e documentação de evidências computacionais, quer sejam componentes físicos ou dados que foram eletronicamente processados e armazenados em mídias computacionais”.
7. 03/07/07 Forense Computacional 7 Etapas de uma Investigação
8. 03/07/07 Forense Computacional 8 Preparação
Chegada ao local da Investigação
Coleta dos Dados
Exame dos Dados
Análise das Informações
Redação do Laudo
9. 03/07/07 Forense Computacional 9 Esterilizar as mídias ? wipe
Licença dos Software’s ? código livre
Equipamentos ? em condições
Cabos e conexões ? se necessário
10. 03/07/07 Forense Computacional 10 Chegada ao local da Investigação Isolar a área ? alteração e contaminação
Fotografar ou Filmar ? próximas etapas
Registro dos detalhes ? reconstrução da cena
Manter o estado dos equipamentos ? prioridade
11. 03/07/07 Forense Computacional 11 Coleta dos Dados Dados voláteis
Data hora;
Conexões de rede;
Memória;
Configuração da rede;
Processos em execução;
Arquivos abertos;
Sessão de Login.
Dados não-voláteis
Log, temporários e de configuração;
Textos, planilhas, imagens, etc…
12. 03/07/07 Forense Computacional 12 Formas de coleta dos dados
Cópia lógica (Backup) ? arquivos e pastas
Imagem ? bit-a-bit
Coletando dados voláteis ? Rootkits & alterações
Coletando dados não-voláteis ? RO
Integridade dos dados ? Hash Coleta dos Dados cont.
13. 03/07/07 Forense Computacional 13 Extração dos dados ?Localizar ? Filtrar ? Extrair ? Recronstrução dos eventos (john the ripper)
Localizando os dados ? Conhecimento sobre extensões e localização (foremost)
14. 03/07/07 Forense Computacional 14 A etapa de análise das informações, ocorre muitas vezes, paralela à etapa de exame;
Finalidade de recriar o(s) evento(s) que estão sendo investigado(s).
15. 03/07/07 Forense Computacional 15 Finalidade do relatório ? Objetivos da Investigação;
Autor(es) do relatório ?Especialidade e responsabilidades;
Resumo do incidente ? Incidente e suas conseqüências;
Estado das evidências ? Como, quando e por quem;
Detalhes ? Quais evidências, métodos, procedimentos;
Conclusão ? Evidências que comprovem;
Anexos ? Toda documentação.
16. 03/07/07 Forense Computacional 16
17. 03/07/07 Forense Computacional 17 Critérios utilizados para a seleção das distribuições:
Foco em Segurança da informação ou Forense Computacional;
Data da última atualização;
18. 03/07/07 Forense Computacional 18
19. 03/07/07 Forense Computacional 19
20. 03/07/07 Forense Computacional 20 A FDTK-UbuntuBr é um Live CD que também pode ser instalado;
Criada a partir da distribuição Ubuntu;
Focada em Forense Computacional;
Utiliza o ambiente gráfico GNOME;
Portada para o Portugues Brasil (pt_BR);
Uni as principais características de todas as distribuições estudadas;
Possui menus estruturados de acordo com as etapas estudadas;
Ulilização profissional;
Utilização no ensino e formação de novos profissionais.
21. 03/07/07 Forense Computacional 21
22. 03/07/07 Forense Computacional 22
23. 03/07/07 Forense Computacional 23
24. 03/07/07 Forense Computacional 24
25. 03/07/07 Forense Computacional 25
26. 03/07/07 Forense Computacional 26
27. 03/07/07 Forense Computacional 27 Necessidade de criação de novas frentes de pesquisas;
Facilidade de operação = alto custo (fonte fechado);
Projeto Forense Digital ToolKit – FDTK
Possui código fonte aberto;
100% voltado a Forense Computacional;
Disposição das Ferramentas de acordo com as etapas de uma investigação;
Utilizada profissionalmente;
Voltada para o ensino da Forense Computacional.
28. 03/07/07 Forense Computacional 28 Distribuição Linux FDTK ( Projeto SourceForge);
Aprovação de um Minicurso no SBseg 2007.
29. Obrigado!!!
30. 03/07/07 Forense Computacional 30 Anexo A
