You are on page 1of 18

FIAP

Curso Superior em Defesa Cibernética

Rodney Eneas Martins Silva

FORENSE COMPUTACIONAL

São Paulo
2018
Rodney Eneas Martins Silva – RM 81112

FORENSE COMPUTACIONAL

São Paulo
2018
RESUMO

Essa atividade tem como objetivo mostrar de maneira clara, um pouco sobre a preservação de
evidências voláteis, que são dados armazenados em certas partes do sistema que estão
escondidas e até mesmo desaparecem sem a ação do usuário.
LISTA DE ILUSTRAÇÕES

FIGURA 1 - CICLO DE VIDA DA PERÍCIA FORENSE COMPUTACIONAL ................................................. 8


FIGURA 2 - VOLATILIDADE DOS DADOS..................................................................................................... 10
FIGURA 3 - LIME ................................................................................................................................................ 10
FIGURA 4 - KERNEL .......................................................................................................................................... 11
FIGURA 5 - VOLATILITY .................................................................................................................................. 12
FIGURA 6 – IDENTIFICAÇÃO DE USUÁRIOS PELA ANÁLISE DE DUMP. ............................................... 12
FIGURA 7 - IDENTIFICAÇÃO DA CONEXÃO REMOTA .............................................................................. 13
FIGURA 8 - IDENTIFICAÇÃO DO ROOTKIT DIAMORPHINE (MÓDULO OCULTO) ............................... 14
FIGURA 9 - LISTA DE TODOS OS COMANDOS EXECUTADOS PELO INVASOR ................................... 15
FIGURA 10 - RETIRANDO STRINGS ............................................................................................................... 15
FIGURA 11 - HASHES OBTIDAS DO SISTEMA ............................................................................................. 16
FIGURA 12 - QUEBRA DAS HASHES OBTIDAS COM A FERRAMENTA "JOHN" .................................... 16
SUMÁRIO

RESUMO ................................................................................................................................... 3
LISTA DE ILUSTRAÇÕES ...................................................................................................... 4
INTRODUÇÃO .......................................................................................................................... 6
EVIDÊNCIA DIGITAL ............................................................................................................. 7
Admissível .............................................................................................................................. 7
Autêntica ................................................................................................................................. 7
Completa ................................................................................................................................. 7
Confiável ................................................................................................................................. 7
Crível ou acreditável ............................................................................................................... 7
PERÍCIA FORENSE COMPUTACIONAL .............................................................................. 8
Ciclo de vida da Perícia Forense Computacional ................................................................... 8
Coleta dos Dados ................................................................................................................. 8
Exame dos Dados ................................................................................................................ 8
Análise das Informações ..................................................................................................... 9
Interpretação dos Resultados ............................................................................................... 9
PRESERVAÇÃO DA EVIDÊNCIA DIGITAL ........................................................................ 9
FLUXO DE UMA ANÁLISE .................................................................................................. 10
Retirada do Dump ................................................................................................................. 11
Análise do Dump .................................................................................................................. 12
REFERÊNCIAS ....................................................................................................................... 18
INTRODUÇÃO

Não é segredo que a área de segurança da informação vem crescendo exponencialmente devido
ao crescente número de ataques hackers nos últimos anos. Tão importante quanto defender é
saber como identificar quando, como e quem o fez.
Logo, devido essa demanda surgiu uma área no ramo da tecnologia, que é chamado de Forense
digital que nada mais é que um ramo da ciência forense que abrange a recuperação e
investigação de material encontrado em dispositivos digitais, geralmente em relação a crimes
computacionais.

6
EVIDÊNCIA DIGITAL

Evidência digital ou evidência eletrônica é uma informação de valor probatório armazenada ou


transmitida em formato digital e que pode ser utilizada em um processo judicial, a evidência
digital pode estar em vários formatos diferentes: e-mail, fotografias, vídeo, áudio, páginas web,
tráfego de dados brutos, dentre outros.
Assim como outros tipos de evidências, as evidências digitais devem atender a certos requisitos
legais. Podemos destacar cinco propriedades que devem ser atendidas para a evidência ser útil:
• Admissível
• Autêntica
• Completa
• Confiável
• Crível ou acreditável
A seguir veremos um breve resumo de que cada um dos itens significa:
Admissível
A evidência reúne condições de ser apresentada em um tribunal ou em qualquer outro lugar. A
legislação de cada país pode especificar de forma diferente o que é admissível em um tribunal.
No Brasil, por exemplo, a prova ilícita é admitida desde que seja usada como forma de absolver
o réu, jamais para condená-lo.
Autêntica
Evidências autênticas são aquelas que apresentam nexo de causalidade com o fato investigado
de forma relevante.
Completa
Não é suficiente coletar evidência que fornece apenas uma perspectiva do fato. Para que o
conjunto de evidências seja completo deve-se coletar evidências que possivelmente
incriminariam um indivíduo e também evidências que possivelmente o inocentariam.
Confiável
Os procedimentos de coleta e análise não devem causar dúvidas da autenticidade e veracidade.
Para a confiabilidade, a cadeia de custódia é elemento de suma importância.
Crível ou acreditável
A evidência deve ser clara, fácil de entender e que faça com que um júri acredite nela. Não
adianta apresentar conceitos técnicos aprofundados para um júri, tentando o fazer acreditar que
a prova é legítima, se este júri não vai entender a explicação.

7
PERÍCIA FORENSE COMPUTACIONAL

A Perícia Forense Computacional é definida como ciência multidisciplinar, ela por sua vez
aplica técnicas investigativas para determinar e analisar evidências, diferentemente dos outros
tipos de perícias forense conhecidos, a análise forense computacional produz resultados diretos
e não interpretativos conforme os outros modelos, sendo por sua vez decisivos em um caso.
Ciclo de vida da Perícia Forense Computacional

Figura 1 - Ciclo de vida da Perícia Forense Computacional

Segue abaixo um breve resumo de cada etapa:


Coleta dos Dados
• Estabelecer Prioridades segundo:
• Volatilidade: dados que podem ser perdidos devem ser priorizados;
• Esforço: deve-se priorizar as coletas de menos esforço;
• Valor Estimado: estimar valor relativo para cada provável fonte de dados.
• Preservar Integridade:
• Gerar provas de que os dados estão íntegros (HASH)
• Importante para admissibilidade das evidências

Exame dos Dados


• Filtrar, avaliar e extrair informações relevantes.
• Uso de recursos e ferramentas específicas como:
• Dump de memória volátil;
• Recuperação e análise de dados persistentes;
• National Software Reference Library: conjunto de assinaturas de softwares e
documentos disponibilizado para filtragem de dados.

8
Análise das Informações
• Interpretação dos dados coletados
• Identificação dos envolvidos;
• Estabelecimento de ordem cronológica;
• Levantamento de eventos e locais;
• Cruzamento de informações que levem a provas concretas ou evidências.

Interpretação dos Resultados


• Elaboração de um laudo pericial
• Conclusão imparcial, clara e concisa;
• Exposição dos métodos utilizados;
• Deve ser de fácil interpretação por uma pessoa leiga.

PRESERVAÇÃO DA EVIDÊNCIA DIGITAL

As evidências devem ser rigorosamente seguras. Além disso, a Cadeia de Custódia precisa ser
claramente documentada. Na cadeia de custódia você deve ser capaz de descrever claramente
como a evidência foi encontrada, como ela foi tratada e tudo o que aconteceu com ela.
O seguinte deve ser documentado:
• Onde, quando e por quem a evidência foi descoberta e coletada.
• Onde, quando e por quem as evidências foram tratadas ou examinadas.
• Quem teve a custódia da evidência, durante o período. Como foi armazenado.
• Quando a evidência mudou de custódia, quando e como ocorreu a transferência (inclui
números de envio, etc.).
DESAFIOS E EXPECTATIVAS
Para a preservação da evidência deve-se também se atentar para requisitos no processo de
obtenção de dados ao analisar o alvo em questão, pois não é possível se dar ao luxo de
corromper ou desvirtuar provas digitais, pois é bem possível que nunca mais estarão
disponíveis. Logo, como boas práticas temos:
• Metodologia definida, testada e validada – Ou seja, utilizar frameworks já conhecidos,
como por exemplo o NIST, OSSTMM, SANS, etc.
• Local de armazenamento da evidência digital – No momento de capturar as informações
por Dump ou outro método, tomar muito cuidado com a maneira de como essas
informações serão armazenadas, por exemplo, no caso de um USB ao você plugar ele
ao computador, diversos processos rodarão em paralelo para que os drivers reconheçam
esse dispositivo, o que causaria uma deturpação da imagem do PC analisado. Uma das
melhores abordagens seria por rede.

9
• Necessidade de processo adequado para correta preservação e recuperação – Deve-se
criar uma rotina para buscar, analisar e arquivar as evidências, essas rotinas podem ser
por meio de scripts e automatizações.

FLUXO DE UMA ANÁLISE

De acordo com Edmond Locard "Todo contato deixa uma marca", partindo desse princípio,
sabemos que uma invasão deixará vestígios como processos, conexões, logs, etc.
Num sistema existem diversos lugares onde as informações podem estar armazenadas, porém
a maioria desses lugares são passíveis de adulteração como por exemplo um log armazenado
no HD. Porém uma das localidades mais seguras é a memória RAM, pois qualquer adulteração
nela iria corrompe-la e parar todo o sistema. Porém conforme a tabela abaixo veremos que esse
tipo de informação não é armazenado por muito tempo, o que requer assertividade na hora de
extrai-los.

Figura 2 - Volatilidade dos dados

Para extrairmos o conteúdo da memória existem diversos programas, um dos mais conhecidos
é o LiME (Linux Memory Extractor) inclusive possui suporte a Dump via rede, que como
citado anteriormente é um dos mais limpos que existe.

Figura 3 - LIME

10
Após a retirada do Dump de memória, uma tática frequente é fazer o Hot Swap, ou seja, retirar
o HD com o sistema ainda ativo, pois a partir do momento que é solicitado ao sistema para
realizar um Shutdown, os processos, etc serão armazenados no disco, logo não será fiel ao que
estava acontecendo no momento da invasão.
É importante salientar que para o uso do LiME, devesse utilizar um sistema com o mesmo
Kernel que a máquina a ser analisada.

Figura 4 - Kernel

Retirada do Dump
Segue um breve resumo sobre a utilização do LiME:
1. Transferir o módulo compilado na maquina do a ser analisada.
a. Na maquina do investigador, com o Netcat abrir uma porta em listen.
b. O que for recebido por essa porta aberta pelo Netcat, salvar em um arquivo.
c. Transferir o módulo LiME via SCP (Secure Copy)
2. Inserir o módulo na máquina a ser analisada.
3. Redirecionar o trafego da maquina analisada para a maquina do investigador.
4. FIM!
Geralmente após o Dump ser coletado, é retirado dois HASHES do arquivo, para meio de
comprovação de integridade do arquivo.

11
Análise do Dump
Para análise do Dump, é utilizado o Framework Volatility para a análise binária.

Figura 5 - Volatility

Segue abaixo imagens retiradas da apresentação do Osmany, referente a parte de análise do


Dump:
Obs.: Os Slides apresentados abaixo foram retirados da apresentação “Preservação de
evidências voláteis em sistemas in vivo, com ênfase em sistemas Linux.” Prof. Osmany

Figura 6 – Identificação de usuários pela análise de Dump.

12
Como podemos ver acima na figura 6, mesmo sem conseguir enxergar a sessão no host local,
com a análise do Dump de memória foi possível enxergar os outros Users.

Figura 7 - Identificação da conexão remota

Na figura 7 conseguimos identificar as conexões que estavam fechadas no momento da


retirada do Dump.

13
Figura 8 - Identificação do Rootkit Diamorphine (Módulo Oculto)

Na figura 8 foi possível observar que havia um Rootkit conhecido como Diamorfine em
processos ocultos.

14
Figura 9 - Lista de todos os comandos executados pelo invasor

Figura 10 - Retirando Strings

15
Figura 11 - Hashes obtidas do sistema

Figura 12 - Quebra das Hashes obtidas com a ferramenta "John"

16
CONCLUSÃO
Não conhecia a profundidade desse assunto e a palestra do Prof. Osmany, me estimulou a
pesquisar mais sobre esse tema, o que me proporcionou um overview sobre o assunto, pois não
é um dos ramos mais explorados aqui no Brasil, pois apesar de possuir algumas páginas na
internet, não há um grande aprofundamento nos assuntos (o mais próximo que encontrei,
realmente foi a palestra do Osmany), o que faz disso uma boa oportunidade para especialização.
Falando do encontro em si, foi muito importante, pois nos deu uma oportunidade de “respirar”
um pouco desse “ar”, principalmente para nós do curso EAD, no geral foi muito bom conhecer
grandes profissionais da área e suas visões de mercado e mesmo sendo de SP escolhi
comparecer ao BHack, pois achei uma boa oportunidade de fazer network e conhecer área a
qual quero fazer parte.
Agradeço a FIAP por essa oportunidade e nos vemos ano que vem!

17
REFERÊNCIAS

SILVA, Eriberto. LiME – Linux Memory Extractor. Disponível em: <


http://eriberto.pro.br/blog/2013/10/07/lime-linux-memory-extractor/ >. Acesso em: 28
Novembro de 2018.
ARRUDA, Osmany. Análise Forense do Conteúdo da Memória Volátil. Disponível em: <
ftp://ftp.registro.br/pub/gts/gts26/09-analise-ram.pdf>. Acesso em: 28 Novembro de 2018.
ARRUDA, Osmany. Preservação de evidências voláteis em sistemas in vivo, com ênfase em
sistemas Linux. Disponível em: <
file:///C:/Users/rodne/Downloads/Preserva%C3%A7%C3%A3o%20de%20evis%C3%AAnci
as%20vol%C3%A1teis%20-%20BHack.pdf >. Acesso em: 28 Novembro de 2018.
SOUZA, Tiago. RFC 3227 em Português – Diretrizes para Coleta e Arquivamento de
Evidências. Disponível em: < https://tiagosouza.com/rfc-3227-em-portugues-diretrizes-para-
coleta-e-arquivamento-de-evidencias/>. Acesso em: 28 Novembro de 2018.
Anônimo. Perícias e Evidências Digitais. Disponível em: <
http://peritodeinformatica.net.br/index.php/pericias-digitais/pericias-e-evidencias-digitais>.
Acesso em: 28 Novembro de 2018.
LOPES, Petter. Forense digital perícia forense computacional. Disponível em: <
https://periciacomputacional.com/pericia-forense-computacional-2/>. Acesso em: 28
Novembro de 2018.
FRANCO, Deivison. A Atuação do Perito Forense Computacional na Investigação de Crimes
Cibernéticos. Disponível em: < https://cryptoid.com.br/banco-de-noticias/atuacao-do-perito-
forense-computacional-na-investigacao-de-crimes-ciberneticos/ >. Acesso em: 28 Novembro
de 2018.
Anônimo. O que é Forense Digital. Disponível em: <
https://www.academiadeforensedigital.com.br/o-que-e-forense-digital/>. Acesso em: 28
Novembro de 2018.
EVIDÊNCIA DIGITAL. In: WIKIPÉDIA, a enciclopédia livre. Flórida: Wikimedia
Foundation, 2018. Disponível em:
<https://pt.wikipedia.org/w/index.php?title=Evid%C3%AAncia_digital&oldid=51228864>.
Acesso em: 28 Novembro 2018
Anônimo. Processo de Investigação. Disponível em: <
https://sites.google.com/a/cristiantm.com.br/forense/forense-computacional/processo-de-
investigacao>. Acesso em: 28 Novembro de 2018.
EDMOND LOCARD. In: WIKIPÉDIA, a enciclopédia livre. Flórida: Wikimedia Foundation,
2015. Disponível em:
<https://pt.wikipedia.org/w/index.php?title=Edmond_Locard&oldid=44102926>. Acesso em:
28 Novembro 2018.

18

You might also like