Conheça o curso de Computação Forense e Investigação Digital

Este curso tem como objetivo apresentar os conceitos da Computação Forense e métodos de Investigação Digital, sendo baseado no conteúdo apresentado nas certificações mais conhecidas do mercado.

Indicado para:

Entusiastas, peritos criminais, judiciais, profissionais de segurança da informação, técnicos em TI, estudantes e profissionais de todas as áreas ligadas a tecnologia da informação.

Questões e respostas mais comuns na Computação Forense e Investigação Digital

 

 

P: É importante manter o licenciamento dos produtos utilizados durante as investigações?

R: Sim, se qualquer hardware, software ou serviço utilizado estiver sujeito a contratos de licença, esses contratos de licença deverão ser válidos. A instalação, distribuição ou utilização de ferramentas não licenciadas pode estar violando a lei; a evidência obtida como resultado de um ato ilegal pode ser considerada inadmissível (e o investigador pode responsabilizados por atos ilegais).

 

P: Quando estou utilizando ferramentas de hardware e software para executar análises forenses, é suficiente ter dominado a mecânica das ferramentas?

R: Não, também é necessário ser capaz de descrever e demonstrar como as ferramentas alcançam seus resultados e testar as ferramentas para provar que funcionam como esperado.

 

P: Pelo que entendi, todos os dados examinados em um exame forense de computador deve ser duplicado primeiro. Isso se aplica apenas a discos rígidos ou a outra mídia que não pode ser modificada, como CD-Rs e DVD-Rs?

R: Como os CD-Rs e DVD-Rs são Write Once-Read Many (WORM), os dados nessas mídias não podem ser modificados depois de gravados.

No entanto, os discos originais ainda podem ser danificados, tornando os dados irrecuperáveis.

Como as evidências originais estão perdidas, qualquer coisa que você encontrar nos discos pode ser questionada.

Afinal, o processo não pode ser repetido se a evidência original não tiver sido destruída. Para proteger a evidência de possíveis danos, você deve duplicar os dados nos discos e trabalhar com essas imagens duplicadas. Os discos originais podem ser colocados em um local seguro.

 

P: Qual dos sistemas de arquivos para o sistema Microsoft oferece mais segurança?

R: O NTFS é o mais seguro dos sistemas de arquivos usados nos sistemas operacionais Microsoft. Suporta permissões em arquivos e pastas, bem como criptografia usando o sistema de arquivos com criptografia (EFS).

 

P: Estou procurando fotos que possam ter sido exportadas do cartão de memória de uma câmera digital para um local no disco rígido. Existem formatos de arquivo específicos que devo observar?

R: Muitas câmeras armazenam imagens no formato TIFF ou JPEG 2000. Ambos esses formatos suportam alta profundidade de cor e podem ser compactados para melhor armazenamento em um cartão de memória.

 

P: Como devo preparar as evidências a serem transportadas em uma investigação forense?

R: Antes de transportar evidências, você deve garantir que ela esteja protegida contra possíveis danos. Os discos rígidos e outros componentes devem ser embalados em sacos antiestáticos, e outros componentes devem ser embalados para reduzir o risco de danos causados por choques. Todas as evidências devem ser seladas em uma sacola e/ou identificadas para identificá-las como uma peça de evidência específica, e as informações sobre as evidências devem ser incluídas em um registro de evidências.

 

P: Minha empresa planeja atribuir a alguém o dever de realizar investigações forenses por violações internas das políticas e trabalhar com a equipe de resposta a incidentes quando ocorrerem incidentes. Quais qualificações essa pessoa deve ter?

R: Uma pessoa que conduz investigações e exames forenses de computador deve ter conhecimentos especializados em informática, incluindo um entendimento de hardware, tecnologias de rede, habilidades de programação e procedimentos forenses. Também é uma boa ideia para o investigador forense ter um bom conhecimento das leis locais, estaduais e federais aplicáveis a crimes de computador e regras de evidência.

 

P: Eu restaurei um arquivo excluído, mas quando o abro, o arquivo está vazio. O que aconteceu?

R: O arquivo provavelmente tem tamanho zero. Como o tamanho do arquivo é zero, um arquivo vazio é criado. Se os clusters foram usados por outros arquivos, eles foram substituídos. Como muitos dados foram substituídos por outro arquivo, não havia nada para recuperar.

 

P: Estou me preparando para fazer backup de dados no meu disco rígido usando uma ferramenta de recuperação de partição. Quais dados devo fazer backup?

R: Você deve criar uma imagem de todos os dados no disco para que isso possa ser restaurado no caso de um problema. O arquivo de imagem pode ser armazenado em um servidor de rede ou outro disco, onde ficará seguro até que você precise. Você também deve fazer backup dos setores MBR, tabela de partição e inicialização, que podem ser restaurados após a ocorrência de um problema.

 

P: Se houver software disponível para criar uma imagem forense de um disco rígido ou outra mídia, qual é o benefício do hardware forense?

R: Diferentes tipos de hardware forense estão disponíveis. As ferramentas de bloqueio de gravação podem ser usadas para impedir que dados sejam gravados em um disco rígido suspeito ou outra mídia. Também estão disponíveis ferramentas forenses, que podem ser conectadas a um computador ou disco rígido fechado e a aquisição de dados. Em alguns casos, eles ainda oferecem a capacidade de realizar análises dos dados adquiridos em campo. Muitas dessas ferramentas são portáteis, permitindo carregá-las para uma cena de crime e podem fornecer a capacidade de adquirir dados de vários discos rígidos em alta velocidade.

 

P: Onde está localizada a MBR?

R: A MBR está sempre localizada no Cilindro 0, Cabeça 0, Setor 0 de um dispositivo ou disco de inicialização.

 

P: Qual é o tamanho da MBR?

R: A MBR tem 512 bytes e sempre termina com o marcador de fim de arquivo de h55AA.

 

P: Se a live forense sempre muda o sistema, como posso fazer isso sem corromper as evidências?

R: Esse é o principal motivo para a coleta de evidências usando um procedimento e processo de documentação.

Ao manter uma forte cadeia de custódia sobre as evidências e documentar cada etapa que você executa, enquanto tenta minimizar as alterações feitas no sistema, você pode demonstrar que os processos adicionais agregaram valor sem alterar significativamente o sistema.

Os sistemas ativos mantêm informações valiosas e, portanto, evidenciam dados voláteis.

Não é possível obter dados voláteis sem fazer algumas alterações no sistema que está sendo analisado, mas os benefícios superam em muito o risco de danificar os dados.

 

 

P: Eu sei o que estou fazendo, por que tenho que anotar tudo?

R: Muitas vezes, processos judiciais e litígios ocorrem meses ou anos após a análise do dados e coleta de evidências.

Manter boas anotações significa que o valor das evidências que você coletou serão mantidas e é menos provável que você esqueça o que ocorreu.

Ferramentas como o Helix Live CD para Windows ajudam processo criando logs automatizados das atividades que você realizou dentro deles.

A saída desses arquivos pode ser mantida como parte da evidência.

 

P: Examinar a folga de arquivos do Windows parece um grande esforço para obter pedaços de arquivos quebrados.

R: Fragmentos de arquivo são admissíveis em tribunal. Frequentemente, fragmentos de arquivo não são a única coisa encontrada na folga de arquivo.

A folga de arquivo do Windows e a RAM podem conter arquivos inteiros, email, imagens ou informações da memória do sistema.

De particular importância, as informações que normalmente nunca são armazenadas no disco e certamente nunca são salvas no sistema podem ocasionalmente ser encontradas na folga dos arquivos.

De fato, é possível encontrar nomes de usuário e senhas na folga dos arquivos.

 

 

P: Eu sempre usei o Windows, por que devo aprender Linux?

R: O Linux fornece um nível de acesso ao sistema que não está disponível no Windows.

O segredo é usar a ferramenta que fornece os melhores resultados. É importante ser familiarizado com Windows e Linux e há benefícios para ambos os sistemas.

 

P: Ouvi dizer que sempre é possível gravar em um dispositivo no Linux. Qual é o objetivo da opção somente leitura no comando mount e faz alguma coisa?

R: Sempre é possível gravar no dispositivo físico se você tiver as permissões corretas e o sistema Linux ou UNIX.

Um exemplo seria gravar na unidade física /dev/hdc.

Quando você monta uma unidade no Linux, o ponto de montagem definido pode ser configurado para ser somente leitura.

O importante a lembrar é não gravar na unidade física e usar apenas a partição montada somente leitura.

Só porque a funcionalidade existe, não significa que você precise usá-la.

Como tudo em uma tarefa forense, tome o devido cuidado e registre as instruções.

 

 

P: Ao investigar um XSS, me deparei com uma URL que tinha muitos sinais de porcentagem e outros códigos estranhos. Como decodificar o que isso significa?

R: O que você está vendo é a codificação com escape de URL e é uma técnica popular de ofuscação usada pelos atacantes.

Existem inúmeros decodificadores de sequência de escape e decodificadores UU na Web.

Copie e cole o URL em um desses e você poderá ver facilmente a versão legível por humanos.

 

P: Por que não vejo evidência de um ataque de injeção de SQL no log de erros do sistema?

R: A injeção de SQL e a maioria dos ataques de injeção de comando interagem apenas com o serviço e não geram um erro no nível do sistema.

No caso de injeção de SQL, as evidências podem estar nos logs do SQL Server se a entrada for detectada como inválida.

Caso contrário, a maioria dos ataques de injeção SQL pode ser vista apenas nos logs de acesso, porque o acesso seria em um momento incomum.

 

P: Por que monitorar a atividade do usuário?

A: Porque devemos tentar fazer a distinção entre erros repetitivos e ataques maliciosos.

 

P: A atividade do usuário deve ser examinada logo após algo dar errado?

R: Não, a melhor defesa é uma defesa pró-ativa, o que significa periódicos monitoramento.

 

P: Por que a análise forense de rede é importante?

R: A análise forense de redes é importante porque muitos ataques comuns envolvem tipo de uso indevido dos recursos da rede.

 

P: Quais são as diferentes maneiras pelas quais a rede pode ser atacada?

R: Os ataques normalmente visam a disponibilidade, confidencialidade e integridade. Perda de qualquer um desses itens constitui uma violação de segurança.

 

P: Onde é o melhor lugar para procurar informações?

R: As informações podem ser encontradas fazendo uma análise ao vivo da rede, analisando informações do IDS ou examinando logs que podem ser encontrados em roteadores e

servidores.

 

P: As redes sem fio são seguras?

R: Nenhuma solução de rede é 100% segura, mas tomando as devidas precauções e usando técnicas de criptografia fortes, você poderá impedir a maioria dos

ataques. Se a segurança sem fio é uma prioridade, investir em um sistema IDS/IPS que projetado para redes sem fio fornecerá o mais alto nível de segurança.

Os sistemas IPS sem fio podem realmente interceptar e suprimir ataques sem fio, impedindo que muitos dos ataques mais comuns alcancem seu acesso

Eles também podem detectar pontos de acesso não autorizados e fornecer pacotes sem fio para a Análise forense.

 

P: O que é um arquivo de evidência e por que é necessário criar?

R: Um arquivo de evidências possui uma cópia bit a bit das evidências originais do suspeito.

O arquivo é criado para que as evidências do suspeito original não sejam contaminadas.

 

P: O que é análise de assinatura?

R: Os criminosos costumam renomear as extensões dos arquivos para impedir a detecção.

Por exemplo, um criminoso experiente pode alterar todos os arquivos de imagem de bitmap de .bmp para .doc para evitar que alguém detecte as imagens ilegais.

Uma análise de assinatura examinará os cabeçalhos dos arquivos para verificar se os arquivos realmente têm a extensão correta.

 

 

P: Se um arquivo é excluído, ele realmente saiu do disco rígido?

R: Se um arquivo for excluído do disco rígido, o local ou os locais do cluster do arquivo está marcado como disponível.

Se esses clusters não forem gravados, é provável que o arquivo seja recuperável.

Se outro arquivo for gravado nesses clusters, o arquivo anterior será substituído.

Partes desse arquivo podem permanecer no espaço livre e ainda serem recuperadas.

 

P: O que é a cadeia de custódia?

R: A localização da mídia do suspeito precisa ser contabilizada o tempo todo.

Se, a qualquer momento, o paradeiro da unidade do suspeito não puder ser explicado, isso poderá deixar uma dúvida razoável na mente de um júri.

A Cadeia de Custódia estabelecerá uma linha do tempo e um documento que estava na posse da unidade do suspeito e onde ela estava localizada.

Essa linha do tempo é crítica para que os jurados possam ter certeza de que a unidade não foi alterada ou violada desde que foi confiscada.

 

P: O que faço se não consigo fazer logon em um sistema para coletar dados voláteis?

R: Embora dados voláteis não possam ser obtidos em todos os casos, ainda é possível fazer um exame forense completo.

 

P: Estou investigando um incidente em que a pornografia infantil foi encontrada em um computador.

A pessoa que usou o computador afirma ter recebido um pop-up contendo um link para pornografia infantil e clicou nela. Como posso determinar

se a história da pessoa é verdadeira?

R: Lembre-se sempre de que apenas porque um site ou imagem questionável é encontrado em um computador, isso não significa que a pessoa esteja navegando em busca de pornografia infantil.

Mensagens de email e pop-ups são distribuídos com imagens e links para sites de pornografia infantil e, como o pop-up, o email ou o site continha imagens de pornografia infantil, isso significa que eles também estão no disco rígido da pessoa.

Ao analisar um computador, é fácil identificar situações, pois existem apenas imagens e histórico de sites relacionados a um email, pop-up ou página da Web que foi visitada.

Em outras palavras, o comportamento de navegação da pessoa não indica que ele estava procurando sites pornográficos para crianças.

Além disso, os logs do firewall podem mostrar que a pessoa acessou o site ou apareceu por apenas um momento, indicando que ele fechou o pop-up ou o navegador da Web imediatamente após identificar o material ilegal.

 

 Disponível também em: http://institutoexito.net.br/artigo/cfid-questoes-e-respostas

 

Tradução de algumas questões apresentadas no The Official CHFI Study Guide for Computer Hacking Forensics Investigators [Exam 312-49].