Perícia Computacional: Conceitos, Técnicas e Aplicações

1 – O que é Perícia Computacional?

É uma ciência forense que vai além da auditoria punitiva, coletando evidências e organizando-as de modo a elaborar um laudo para comprovar a ocorrência de um incidente, buscando antecipar-se a fatos futuros.

2 – Para que serve a Perícia Computacional?

Serve para combater crimes eletrônicos, realizar varreduras de dados (software, hardware e comportamento humano), resolver mistérios tecnológicos e manter a conduta ética.

3 – Quais as técnicas utilizadas na Perícia Computacional?

Utilizam-se técnicas e metodologias investigativas com ferramentas sniffer, avaliação de cenários com técnicas observacionais, buscando antecipar o comportamento do observado.

4 – Quais são os pontos principais da Perícia Computacional?

• Privacidade: Cumprir normas legais e internas da empresa.
• Implicações Legais: Atender ao Código de Processo Penal, podendo gerar um desligamento com ou sem justa causa.
• Evidências: Obter evidências palpáveis e inquestionáveis que sirvam de prova.

5 – Principais Organizações Internacionais de Perícia

• IOCE: Padroniza a troca de informações e auxilia na organização de evidências computacionais.
• SWGDE: Entidade de divulgação do IOCE, que padroniza os procedimentos em forense computacional.

6 – Principais Organizações Brasileiras de Perícia

• NBSO: Cuida de incidentes de segurança.
• CAIS: Cuida de incidentes de segurança (geralmente de menor impacto que os tratados pelo NIC.br).

Ambas servem para padronizar os procedimentos em forense computacional.

7 – O que é CSIRT (Computer Security Incident Response Team)?

É uma organização responsável por receber, analisar e responder a notificações e atividades relacionadas a incidentes de segurança em computadores.

8 – Para que serve o CSIRT?

• Construir mecanismos de resposta a incidentes.
• Manter a instituição preparada para as ameaças emergentes.
• Aumentar o grau de segurança da organização.
• Criar mecanismos que visam à preservação da instituição.

9 – O que é evidência digital?

É um conjunto de dados que formam uma informação mais técnica ou prova jurídica.

10 – Para que serve a evidência digital?

Serve para comprovar fatos, dando consistência a laudos forenses, provenientes de análises em hardware, software e comportamento humano.

11 – Como coletar evidências digitais?

As evidências, para ter sua legitimidade garantida, devem ser coletadas com cuidado e precisão, priorizando as mais voláteis rapidamente e garantindo sua preservação para uso futuro, se necessário.

12 – Como organizar as evidências digitais?

Devemos organizá-las em ambiente seguro para que não sejam alteradas nem extraviadas, mantendo-as em arquivo para a necessidade de uso futuro. É fundamental manter seus registros de datas, horas, endereços IP, MAC, entre outros.

13 – Qual o principal sistema operacional com maior foco de ataque?

Windows.

14 – Quais os requisitos para a identificação de um ataque ou incidente?

• Identificação do tempo.
• Utilização de ferramentas adequadas.
• Correlação de eventos.
• Estrutura do ataque/incidente.

15 – Qual o objetivo da identificação do ataque ou do incidente?

Criar históricos de ações, subsidiando a elaboração do laudo.

16 – Problemas Comuns em Ataques e Incidentes Digitais

Sistemas comprometidos com muitas vulnerabilidades e informações não confiáveis.

17 – O que é linha do tempo forense?

São todos os dados relacionados a datas, horas, nomes, endereços IP, MAC e domínios.

18 – Como criar a linha do tempo forense?

Devemos identificar o início da atividade do PC investigado, registrando: nomes, IP, MAC Address, domínio, área comprometida, data de comprometimento e todas as evidências.

19 – Quais as ferramentas utilizadas na identificação de ataque e incidente?

O próprio sistema operacional, software de monitoramento, ferramentas de varredura forense e alguns comandos do Linux.

20 – Como realizar a correlação de eventos?

Organizando os dados de acordo com a data e os eventos ocorridos, analisando os sistemas envolvidos e o hardware comprometido.

21 – Qual a estrutura de um ataque/incidente?

• Reconstrução do evento.
• Proposição de soluções para o ataque/incidente.
• Análise das causas do ocorrido.
• Tratamento das evidências.

22 – Quais as principais razões para análise forense no Windows?

• É o maior alvo de ataques.
• Altamente suscetível a infecções por vírus e códigos maliciosos.

23 – Qual a importância das ferramentas forenses?

• Reprodução de resultados.
• Não alteração dos dados analisados.
• Validade jurídica.

24 – O que considerar ao escolher uma ferramenta forense?

• Custo.
• Licenciamento (Open Source / Proprietário).
• Código-fonte.
• Portabilidade (compatibilidade com os principais S.O.).

25 – Quais as primeiras ações a serem realizadas em uma análise forense?

• Preservar evidências.
• Coletar rapidamente as mais voláteis.

26 – Quais as verificações a serem feitas em uma análise forense?

• Número de série.
• Dispositivos conectados.
• Conectividade e energia.
• Configurações.
• IP / Host.
• Data / Hora.
• Rascunho do relatório.

27 – Qual foi o primeiro grande ataque?

O primeiro grande ataque foi realizado pelo Morris Worm na década de 80.

28 – Conceitos Base em Segurança Digital

• Hacker: Termo popularizado nos anos 90.
• Cracker: Termo popularizado a partir dos anos 2000.
• Engenharia Social: Destaque a partir de 2003.
• Primeiro grande vilão: Kevin Mitnick.
• Explosão dos crimes de internet: A partir de 2002.
• Nomes comuns: Hackers (vândalos) e Crackers (com objetivo de lucro).
• O culto ao hacker: Difundido pela internet e cinema.
• Vulnerabilidades detectadas em 2009 pelo CERT.br: 12.174 tipos.
• Número de fontes crescentes de ataques/vulnerabilidades: rede elétrica, Wi-Fi / WiMAX.