Computação Forense 2
Computação Forense 2
Computação Forense 2
Revisão Textual:
Profa. Dra. Selma Aparecida Cesarin
Computação Forense
Caro Aluno(a)!
Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o
último momento o acesso ao estudo, o que implicará o não aprofundamento no material
trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas.
Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você
poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns
dias e determinar como o seu “momento do estudo”.
Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de
discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de
propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de
troca de ideias e aprendizagem.
Bons Estudos!
UNIDADE
Computação Forense
Introdução ao Tema
Contextualização sobre a Computação Forense
Esta unidade tem como objetivo abordar dois temas importantes: Pentest e Compu-
tação Forense.
Forense de Rede
A Forense de Rede pode ser compreendida como a ação do Perito em coletar
dados de todos os ativos de redes envolvidos com um Incidente de Segurança para que,
durante a Forense post mortem, esses dados sejam correlacionados com os demais
dados periciais coletados na Forense in vivo e reforcem tanto os argumentos, quanto
as conclusões sobre a ação do invasor. Técnicas e ferramentas para Forense de Rede
são empregadas ao longo de toda a perícia, da Forense in vivo à Forense post mortem.
6
Objetivo da Forense de Rede
O trabalho consiste em uma busca detalhada nos registros de Sistema de Detecção
de Intrusão para responder a questões acerca da anatomia de uma intrusão, tais como:
• O invasor utilizou técnicas de levantamento de dados, como footprint, fingerprint
e port scanner?;
• É possível identificar as técnicas utilizadas?;
• Ocorreu invasão ou uma ação resultante da atividade de um Malware do tipo worm?
A Forense de Rede possibilita ao Perito Forense reconstruir muitas ações com riqueza
de detalhes, a partir de dados capturados de comunicação de redes.
Forense de Memória
Parte da Computação Forense destinada à extração de informações para identificar
evidências sobre incidentes de computador a partir de informações da memória RAM.
Consiste em um processo de captura dos dados da memória RAM, por meio da criação
de um arquivo de DUMP da memória, para uma posterior análise.
7
7
UNIDADE
Computação Forense
É fato que a Forense Memória torna-se cada vez mais estratégica diante de um
cenário de sistemas computacionais com grande capacidade de armazenamento, uso da
virtualização e Computação nas Nuvens.
Sendo importante se lembrar de que, embora a memória RAM seja volátil, essa
volatilidade pode variar de acordo com o contexto, ou seja, ainda existe a possibilidade
de recuperação de dados da memória RAM após o desligamento da máquina.
Deve-se compreender que muitos dados que poderiam ser úteis a uma perícia
correm o risco de serem perdidos no desligamento do sistema ou mesmo de serem
reescritos no funcionamento normal do sistema. Dessa forma, a criação de um DUMP
de memória torna-se necessária para o perito ter uma “fotografia” real do estado do
sistema operacional comprometido.
Assim sendo, é factível realizar a configuração de uma estação forense que possibilite:
• Suporte para a Resposta à Incidente;
• Análise post mortem de mídias;
• Análise de dados periciais de Rede;
• Análise Forense de Dispositivos Móveis;
• Análise de Dump de Memória;
• Análise Dinâmica de Malware;
• Análise Estática de Malware.
8
Essa proposta considera combinar os recursos de três interessantes projetos de distri-
buições personalizadas para diferentes tipos de forenses computacionais:
• SIFT Forensics: Reúne ferramentas para vários tipos de forense, com ênfase em
ferramentas para Forense: in vivo, post mortem, de Rede e Memória;
• Santoku Forensics: Embora reúna vários tipos de ferramentas, é uma distribuição
personalizada para dar suporte à análise de dispositivos móveis;
• Remnux Forensics: Distribuição Linux personalizada para dar suporte à análise
de Malware dos mais variados tipos e diferentes arquiteturas.
Técnica Antiforense
Antiforense é um conjunto de técnicas e procedimentos que podem ser aplicados
com o propósito de impedir e/ou prejudicar o processo de investigação digital, não
sendo o conceito de Antiforense algo novo e nem que se destina exclusivamente a ser
utilizado pela classe criminosa.
Todavia, não se pode ignorar o fato de que essas mesmas técnicas e ferramentas
também poder tem uso legítimo por aqueles que desejam proteger a sua privacidade.
Essas ações não estariam necessariamente vinculadas a uma invasão; pode ser uma
fraude, um ataque baseado em malware, como, por exemplo, um típico ataque de
Engenharia Social baseado em Phishing scam ou, ainda, um incidente de segurança que
caracterize uma ameaça persistente.
9
9
UNIDADE
Computação Forense
Todas essas ações irão gerar várias possíveis evidências e mesmo que as ações possam
ser executadas de forma a fazer o mínimo de modificações no sistema comprometido,
ainda assim, elas irão gerar vestígios, mesmo que essas vestígios fiquem apenas residentes
na memória RAM.
10
Orientações para leitura Obrigatória
Para aprofundar seus conhecimentos, recomendo a leitura do artigo:
Conceitos de Computação Forense: https://goo.gl/um6gII
11
11
UNIDADE
Computação Forense
Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:
Vídeos
Conceitos de Computação Forense
https://youtu.be/zVcnzG7_f70
Tratamento de Incidente de Segurança do NIC.br
https://youtu.be/flu6JPRHW04
Hackers
https://youtu.be/TRDV57B1Khc
Leitura
Versão da PCI DSS, disponível em português
https://goo.gl/EmfKQl
12
Referências
ABNT NBR ISO/IEC 27001:2013 – Sistemas de gestão da segurança da informação
– Requisitos.
MELO, Sandro. Computação Forense com Software Livre. Rio de Janeiro: Altabooks, 2007.
13
13