Forense Digital com Software Livre PETTER ANDERSON LOPES

Forense Digital com Software Livre PETTER ANDERSON LOPES

Sobre mim q - Consultor em Segurança da Informação, atuando em Forense Digital e Pentest; q - Perito Judicial/Assistente Técnico – Tribunal Regional Federal e Estadual do RS; q - Especialista em Desenvolvimento de Sistemas – Metadados Assessoria e Sistemas; q - Tecnólogo em Segurança da Informação e MBA em Gestão de TI; q - Editor associado EFORENSICS, HAKIN 9 E PENTEST MAGAZINE; q - Website: www. periciacomputacional. com q - Facebook: https: //www. facebook. com/digitalforense/ q - Linkedin: https: //www. linkedin. com/in/petter-anderson-lopes

Certificações

Livros. NET Engenharia Reversa e o Software Seguro À venda na Amazon. Disponível em e-book e impresso. E-book: https: //www. amazon. com. br/dp/B 07 H 2 RYCYT Impressão em preto e branco: https: //www. amazon. com/dp/172011059 X Impressão colorida: https: //www. amazon. com/NET-Engenharia-Reversa-Software -Seguro-ebook/dp/B 07 H 2 RYCYT

Livros Fundamentos da Computação Forense À venda na Amazon. Disponível em e-book e impresso. E-book: https: //www. amazon. com/Fundamentos-Computa-C 3 -A 7 -C 3 -A 3 o. Forense-objetiva-Portuguese-ebook-dp-B 07 CHWYPQG/dp/B 07 CHWYPQG Impressão colorida: https: //www. amazon. com/Fundamentos. Computa%C 3%A 7%C 3%A 3 o-Forense-objetiva-Portuguese/dp/1980883025

Quem pode ser perito? O PERITO EM COMPUTAÇÃO FORENSE. O QUE FAZ UM PERITO EM COMPUTAÇÃO FORENSE? QUANDO PROCURAR UM PERITO?

Quem pode ser perito? O PERITO É O PROFISSIONAL QUER IRÁ AUXILIÁ-LO NA ELUCIDAÇÃO DE CASOS, POR ISSO É IMPORTANTE VOCÊ SEMPRE CONTRATAR UM PERITO, POIS ELE É O ESPECIALISTA EM PROVAS, ENQUANTO O ADVOGADO E O JUIZ, SÃO ESPECIALISTAS EM DIREITO. CONSULTOR: NORMALMENTE CONTRATADO POR UMA EMPRESA PARA FAZER UMA INVESTIGAÇÃO INTERNA, PORÉM O SEU PARECER PODERÁ SER UTILIZADO EM TRIBUNAL. PERITO JUDICIAL OU PERITO NOMEADO: É AQUELE NOMEADO PELO JUIZ. O CÓDIGO DE PROCESSO CIVIL CITA DEZENAS DE VEZES O TERMO PERITO, SENDO POR ELE CLASSIFICADO COMO O CIDADÃO QUE PRODUZIRÁ UM RELATÓRIO PARA CONSTAR COMO PROVA NO PROCESSO. O PERITO REPRESENTA A JUSTIÇA NA PERÍCIA JUDICIAL. ASSISTENTE TÉCNICO: É O PROFISSIONAL QUE REPRESENTARÁ A PARTE NA PERÍCIA, SENDO, PORTANTO, ALGUÉM DE SUA CONFIANÇA. O PAGAMENTO DOS HONORÁRIOS DO ASSISTENTE TÉCNICO SERÁ EFETUADO DIRETAMENTE PELA PARTE CONTRATANTE. PERITO CRIMINAL: NORMALMENTE O PROFISSIONAL CONCURSADO.

CPP - segundo o artigo 158 “QUANDO A INFRAÇÃO DEIXAR VESTÍGIOS, SERÁ INDISPENSÁVEL O EXAME DE CORPO DE DELITO, DIRETO OU INDIRETO, NÃO PODENDO SUPRI-LO A CONFISSÃO DO ACUSADO”. DESTA FORMA FIRMA-SE A IMPORT NCIA DE UM PROFISSIONAL DEVIDAMENTE CAPACITADO, AFIM DE QUE CONSIGA AVALIAR AS INFORMAÇÕES EM MEIOS DIGITAIS, ESSE PROFISSIONAL RECEBE O TÍTULO DE PERITO FORENSE COMPUTACIONAL.

Ferramentas e Distribuições CAI NE - https: //www. caine-live. net/ WIN-UFO - https : //ww w. caine-live. net/ NIRSOFT - https: //l auncher. nirsoft. net/downlo ads/index. html SLEUTH KIT - https : //ww w. sleuthkit. org/ AUT OPSY - https: //w ww. sleuthkit. org/ SIFT - https: //digi tal -forensics. sans. org/communit y/downloads PALADI N - https : //sumuri. com/software/paladin/ IPED - https: //serv icos. dpf. gov. br/ferramentas/iped/

O Autopsy CAINE (VERSÃO WEB) WINDOWS (VERSÃO GUI) 2018 - GUI MULTIPLATAFORMA PLUGINS HTTPS: //GITHUB. COM/MARKMCKINNON/AUTOPSY-PLUGINS

O IPED Gui multiplataforma desenvolvido pela Polícia Federal, para uso na operação Lava Jato. OCR – reconhecimento de textos em imagens - é executado sobre imagens (jpg, gif, tif, png e bmp) e arquivos PDF com pouco texto, fazendo parte do processo de indexação. VELOCIDADE EM GRANDES VOLUMES DE DADOS

Ciclo

Coleta – equipamento ligado 1) Wipe da mídia de destino - de preferência sempre deixar o dispositivo pronto ainda em laboratório. 2) Desativar antivírus, tomar cuidado com a ordem de volatilidade, verificar existência de criptografia, rastros deixados no sistema. 3) Copiar/gerar imagem (dump) de memória (pode ser usado o FTK Imager). Alguns especialistas recomendam a remoção do cabo de energia.

Coleta – equipamento desligado PALADIN TOOLBOX 1) Wipe da mídia de destino - de preferência sempre deixar o dispositivo pronto ainda em laboratório. 2) Boot pelo pendrive ou cd/dvd. 3) Cópia bit (com bloqueio de escrita na mídia de origem), para isso o Paladin Toolbox usa o dc 3 dd gerando hashes MD 5 e SHA 1.

Passos importantes Documentar a condição da evidência encontrada (tirar fotografias da tela do computador por completo e o ambiente onde este se encontra. Fazer um esboço das conexões existentes no computador e em todo o ambiente. ) Manter a documentação sempre atualizada. Embalar e etiquetar. Devem-se tomar cuidados no transporte da evidência protegendo-a contra danos físicos, vibrações, campos magnéticos ou eletroestáticos, variações de temperatura, humidade, etc. Sempre manter mais de uma cópia das imagens obtidas.

A Forense Digital Algumas outras ferramentas gratuitas Volatility (memória) Image. J (imagens) Wireshark e Xplico (redes) Audacity (áudio) Video. Cleaner (vídeo)

Respondendo Quesitos Informe o Sr. perito. . .

Respondendo Quesitos 1) QUAIS SÃO OS VALORES DE HASH (MD 5 E SHA-1) DA IMAGEM? O VALOR HASH DE AQUISIÇÃO E VERIFICAÇÃO SÃO CORRESPONDENTES? 2) IDENTIFIQUE A PARTIÇÃO DA IMAGEM DO PC. 3) EXPLIQUE AS INFORMAÇÕES DE INSTALAÇÃO DO SISTEMA OPERACIONAL EM DETALHES. 4) QUAL É A CONFIGURAÇÃO DO FUSO HORÁRIO? 5) QUAL É O NOME DO COMPUTADOR ? 6) QUEM FOI O ÚLTIMO USUÁRIO A FAZER LOGON NO PC ?

Respondendo Quesitos 7) QUANDO FOI A ÚLTIMA DATA / HORA DE ENCERRAMENTO REGISTADA? 8) EXIBIR AS INFORMAÇÕES DA(S) INTERFACE(S) DE REDE COM UM ENDEREÇO IP ATRIBUÍDO PELO DHCP. 9) QUAIS NAVEGADORES DE INTERNET FORAM USADOS ? 10) QUAIS SITES O SUSPEITO ACESSOU? (TIMESTAMP, URL. . . )

The end - Muito obrigado!!! WWW. PERICIACOMPUTACIONAL. COM HTTPS: //WWW. FACEBOOK. COM/DIGITALFORENSE HTTPS: //BR. LINKEDIN. COM/IN/PETTER-ANDERSON-LOPES (54) 99645 -0777 OU PETTER@PERICIACOMPUTACIONAL. COM