fbpx

Categoria: Forense Digital

Meetup sobre LGPD: O que é e por que é importante?

LGPD, o que é?
LEI N° 13709, DE 14 DE AGOSTO DE 2018

“Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.”

consulte Mais informação

DANGER RIPPLE20 – vulnerabilidades de dia zero em uma biblioteca de software TCP/IP

O laboratório de pesquisa JSOF descobriu uma série de vulnerabilidades de dia zero em uma biblioteca de software TCP/IP de baixo nível amplamente usada desenvolvida pela Treck, Inc. As 19 vulnerabilidades, com o nome Ripple20 , afetam centenas de milhões de dispositivos (ou mais) e inclui várias vulnerabilidades de execução remota de código. Os riscos inerentes a esta situação são elevados. Apenas alguns exemplos: dados podem ser roubados de uma impressora, o comportamento de uma bomba de infusão pode ser alterado ou dispositivos de controle industrial podem apresentar problemas de funcionamento. Um invasor pode ocultar código malicioso em dispositivos incorporados por anos. Uma das vulnerabilidades pode permitir a entrada de fora nos limites da rede; e esta é apenas uma pequena amostra dos riscos potenciais.

consulte Mais informação

TIMESTAMP ANTIFORENSICS – Artefatos para detecção de manipulação de carimbo de data/hora em NTFS no Windows e sua confiabilidade

Os carimbos de data/hora provaram ser uma fonte conveniente de evidências para examinadores na reconstrução de crimes de computador. Consequentemente, adversários ativos e malware implementaram técnicas de timestomping (ou seja, mecanismos para alterar timestamps) para ocultar seus rastros. Pesquisas anteriores sobre a detecção de manipulação de timestamp focaram principalmente em dois artefatos: o $MFT, bem como os registros no $LogFile. Neste artigo, apresentamos um novo uso de quatro artefatos de janelas existentes – o $USNjrnl, arquivos de link, arquivos de Prefetch e logs de eventos do Windows – que podem fornecer informações valiosas durante as investigações e diversificar os artefatos disponíveis para os examinadores. Esses artefatos contêm informações sobre programas executados ou timestamps adicionais que, quando ocorrerem inconsistências, podem ser usados ​​para provar a falsificação do timestamp. Além disso, examinamos a confiabilidade dos artefatos usados ​​para detectar a manipulação do carimbo de data/hora, ou seja, testando sua capacidade de reter informações contra usuários que tentam ativamente alterá-las ou excluí-las. Com base em nossas descobertas, concluímos que nenhum dos artefatos analisados ​​pode resistir à exploração ativa.

consulte Mais informação

TIMESTOMPING (antiforensics) – Manipulando data/hora de arquivos

Manipular data/hora de arquivos é uma técnica anti-forense comum, que pode ser executada por Pentesters os quais são profissionais especialistas em segurança ofensiva que somente testam a segurança após firmado um contrato com a empresa. Entretanto esta técnica também é utilizada por crackers, os quais por motivos não tão nobres, fazem uso da técnica para dificultar a identificação dos danos gerados por eles.

Embora não seja uma solução definitiva, já que existem outros artefatos que não são modificados, a técnica sendo utilizada, pode aumentar significativamente o tempo/custo de uma investigação.

De acordo como MITER ATT & CK, “os adversários podem modificar os atributos de hora do arquivo para ocultar novas ou alterações em arquivos existentes. Timestomping é uma técnica que modifica os carimbos de data/hora de um arquivo (os horários de modificação, acesso, criação e alteração), geralmente para imitar os arquivos que estão na mesma pasta. Isso é feito, por exemplo, em arquivos que foram modificados ou criados pelo adversário para que não pareçam visíveis aos investigadores forenses ou ferramentas de análise de arquivos. O timestomping pode ser usado junto com o nome do arquivo Masquerading para ocultar malware e ferramentas.”

consulte Mais informação

Arquitetura de proteção EOP Exchange Online (servidor de emails)

A Proteção do Exchange Online é um serviço online da Microsoft que ajuda a proteger sua organização contra spam e malware. Você pode usar essa solução mesmo se seu sistema de email estiver hospedado no local e mesmo se você não estiver usando o sistema de email da Microsoft local.

Embora a maioria das soluções anti-spam em que trabalhei nos últimos anos sejam boas e eficazes, falta-lhes a simplicidade de configuração e integração. A Proteção do Microsoft Exchange Online oferece uma interface administrativa simples para configurar e rastrear diferentes recursos de proteção por meio de uma interface da web simples e limpa.

Embora o portal de administração pareça simples, o EOP tem muito a oferecer quando se trata de anti-spam, ataques de dia zero e recursos de relatório. Nesta postagem do blog, vou nos aprofundar nos bastidores e mostrar como o EOP realmente funciona para garantir essas medidas de alta proteção.

Cabeçalhos de mensagens

consulte Mais informação

Campos de cabeçalho de email e sua importância no email forensics

Para investigar casos relacionados a crimes cibernéticos nos quais os e-mails estão sendo usados, os especialistas forenses digitais examinam os e-mails relevantes em busca de evidências. Como os criminosos frequentemente forjam mensagens para evitar a detecção, os especialistas forenses de email precisam analisar os campos do cabeçalho do email para extrair e coletar evidências cruciais.

consulte Mais informação

Crime do colarinho branco – White Collar

Crime do colarinho brando – White Collar Crime pelo FBI.

Alegadamente cunhado em 1939, o termo crime do colarinho branco agora é sinônimo de toda a gama de fraudes cometidas por empresas e profissionais do governo. Esses crimes são caracterizados por engano, ocultação ou violação de confiança e não dependem da aplicação ou ameaça de força ou violência física. A motivação por trás desses crimes é financeira – obter ou evitar perder dinheiro, bens ou serviços ou garantir uma vantagem pessoal ou comercial.

consulte Mais informação

Investigação de fraudes – As etapas básicas de uma investigação complexa sobre fraude e corrupção (by IACRC)

Investigação de fraudes
As etapas básicas de uma investigação complexa sobre fraude e corrupção

As etapas abaixo aplicam-se a investigações administrativas de investigação de fraudes por agências internacionais de desenvolvimento que não possuem poderes de aplicação da lei para compilar evidências de terceiros por intimação ou não. As organizações de desenvolvimento, no entanto, podem expandir seu acesso às evidências, encaminhando casos às agências policiais para obter assistência, conforme discutido abaixo.

Questões Preliminares

Use a abordagem “Case Theory” para investigações

É essencial que todo investigador ou promotor desenvolva e siga uma “teoria do caso” ao investigar crimes complexos de corrupção e fraude. A abordagem da teoria dos casos para investigações complexas é uma segunda natureza para a maioria dos pesquisadores, pelo menos os bem-sucedidos, mas é mal compreendida ou negligenciada por outros, com resultados desastrosos. É semelhante ao método científico de experimentação e envolve as seguintes etapas:

Analise os dados disponíveis para criar uma hipótese;
Teste com os fatos disponíveis;
Refine e altere até razoavelmente certas conclusões serem tiradas.

Expressa de maneira um pouco diferente, a abordagem começa com uma suposição ou suposição informada, com base nas evidências disponíveis, do que o investigador acha que pode ter acontecido, que é então usado para gerar um plano de investigação para testar – provar ou refutar – a suposição. É melhor ilustrado pelo exemplo:

Exemplo da abordagem da teoria de casos

O investigador 1 recebe alegações anônimas de corrupção na adjudicação de contratos governamentais. Ele persegue o caso sem nenhuma teoria ou plano de investigação. Ele pergunta a uma dúzia de testemunhas se elas têm algum conhecimento de recompensas; nenhum faz (isso não é incomum). Ele intima os arquivos do contrato e tudo o que ele consegue imaginar, mas não vê nenhuma arma de fumo enquanto os folheia (isso é ainda menos incomum). Ele confronta o suspeito, que nega qualquer irregularidade. O investigador não sabe mais o que fazer. Ele montou uma pasta grossa e um impressionante comando dos contratos, mas não pode provar nada. O investigador dois persegue o mesmo caso, usando a abordagem da teoria de casos:

Ele analisa os dados disponíveis – os detalhes das alegações;
Cria uma hipótese ou teoria inicial simples, por exemplo, a empresa A está pagando propinas ao funcionário do governo B pelo trabalho do governo;
Faz suposições que podem ser usadas para testar a teoria – por exemplo, se as alegações forem verdadeiras, o funcionário B deveria:
Favorecer a empresa A nas decisões de compra
Dobre ou quebre as regras para adjudicar contrato à Empresa A
Exiba nova riqueza repentina ou tenha renda inexplicável

O investigador dois usa sua hipótese para organizar a investigação, ou seja, procura evidências para confirmar ou refutar a teoria (inicialmente, essas evidências costumam ser as “bandeiras vermelhas” da ofensa suspeita).

consulte Mais informação
Carregando