Análise Forense - Aspectos de perícia criminal
Este pequeno arquivo nos fala um pouco do que é a perícia forense voltada a informática, que aspectos são levados em consideração numa análise e quais os procedimentos mais usados para solucionar casos.
[ Hits: 86.403 ]
Por: Anderson L Tamborim em 25/03/2004 | Blog: http://y2h4ck.wordpress.com
Análise pericial
A cada dia o mundo está mais e mais dependente de sistema de comunicação
digital, seja celular, seja computador, seja por telefone convencional,
sempre estamos utilizando alguns desses meios para nos comunicar,
trabalhar e divertir.
Porém como nada é perfeito, toda dependência tem um preço. E esse preço pagamos a cada dia com mais e mais sistemas com falhas. Isso é nada mais nada menos que uma questão algébrica: aumenta o número de pessoas dependentes do serviço -> aumenta a velocidade com que o pessoal que da suporte tem que fazer as coisas "andarem" -> diminui-se o tempo de debug de programas + diminui o tempo para analisar melhor falhas em projetos.
Quando se dá conta... BOOM!
Aí entra a perícia, creio que todos aqui estão familiarizados com esse termo porque sempre na TV temos noticias de que se ocorre um assassinato, um furto ou seja quaisquer situação onde seja preciso agir de maneira é preservar o ambiente para se obter deste ambiente o máximo de informações necessárias para reproduzir o mais fielmente possível a cena do acontecimento, esclarecendo assim causas, circunstâncias e ativos desse ocorrido.
A análise pericial para informática não é diferente. Temos todo um panorama digno de filmes de investigação e garanto que fazer uma análise pericial pode não ser tão simples quanto se vê em filmes, porém digamos que o nível de comprometimento e emoção com a análise é bem grande.
Perícia forense é o ato de coletar, analisar, co-relacionar os dados de um ambiente comprometido e recriá-lo da maneira mais fiel ao "original" quanto for possível.
Podemos citar alguns dos passos para uma análise pericial:
Porém como nada é perfeito, toda dependência tem um preço. E esse preço pagamos a cada dia com mais e mais sistemas com falhas. Isso é nada mais nada menos que uma questão algébrica: aumenta o número de pessoas dependentes do serviço -> aumenta a velocidade com que o pessoal que da suporte tem que fazer as coisas "andarem" -> diminui-se o tempo de debug de programas + diminui o tempo para analisar melhor falhas em projetos.
Quando se dá conta... BOOM!
Aí entra a perícia, creio que todos aqui estão familiarizados com esse termo porque sempre na TV temos noticias de que se ocorre um assassinato, um furto ou seja quaisquer situação onde seja preciso agir de maneira é preservar o ambiente para se obter deste ambiente o máximo de informações necessárias para reproduzir o mais fielmente possível a cena do acontecimento, esclarecendo assim causas, circunstâncias e ativos desse ocorrido.
A análise pericial para informática não é diferente. Temos todo um panorama digno de filmes de investigação e garanto que fazer uma análise pericial pode não ser tão simples quanto se vê em filmes, porém digamos que o nível de comprometimento e emoção com a análise é bem grande.
Perícia forense é o ato de coletar, analisar, co-relacionar os dados de um ambiente comprometido e recriá-lo da maneira mais fiel ao "original" quanto for possível.
Podemos citar alguns dos passos para uma análise pericial:
- Coleta de informações ( Information Gathering );
- Reconhecimento das evidências;
- Coleta, restauração, documentação e preservação das evidências encontradas;
- Correlação das evidências;
- Reconstrução dos eventos.
Páginas do artigo
1. Introdução2. Análise pericial
3. Análise física
4. Modus Operandi
5. Links e ferramentas
Outros artigos deste autor
Segurança extrema com LIDS: novos recursos
Race condition - vulnerabilidades em suids
Análise Passiva: Analisando seu tráfego de maneira segura
Jails em SSH: Montando sistema de Shell Seguro
Leitura recomendada
Acesso remoto de forma simples e segura
Passkeys: A Evolução da Autenticação Digital
Instalando e configurando Nagios no Linux Fedora 8
Filtro de conteúdo e vírus: Slackware 10.2 + Squid + Dansguardian + Clamav
Comentários
[1] Comentário enviado por norrinradd em 25/03/2004 - 11:32h
Muito interessante o artigo...realmente, é um trabalho bastante minucioso e altamente técnico.
Muito interessante o artigo...realmente, é um trabalho bastante minucioso e altamente técnico.
[2] Comentário enviado por norrinradd em 25/03/2004 - 11:35h
Muito interessante o artigo...realmente, é um trabalho bastante minucioso e altamente técnico.
Muito interessante o artigo...realmente, é um trabalho bastante minucioso e altamente técnico.
[3] Comentário enviado por y2h4ck em 25/03/2004 - 11:53h
Uma analise pericial em busca de informacoes as vezes pode levar ate 6 meses, isso levando em conta um modus operandis de um atacante experiente que apaga logs e registros..
Trazer a tona informações "apagadas" e algo nao trivial, e as ferramentas de Analise Forense disponibilizadas sao menos triviais ainda.
Porem e algo que adiciona muito ao conhecimento. Dentro de um mes estarei começando escrever meu Artigo para Bolsa de Pos-graduacao e vou fazer uma analise pericial completa em uma maquina comprometida. O arquivo contera todos os metodos e passos seguidos desde elaboracao do projeto a recuperacao de dados da Midia.
Uma analise pericial em busca de informacoes as vezes pode levar ate 6 meses, isso levando em conta um modus operandis de um atacante experiente que apaga logs e registros..
Trazer a tona informações "apagadas" e algo nao trivial, e as ferramentas de Analise Forense disponibilizadas sao menos triviais ainda.
Porem e algo que adiciona muito ao conhecimento. Dentro de um mes estarei começando escrever meu Artigo para Bolsa de Pos-graduacao e vou fazer uma analise pericial completa em uma maquina comprometida. O arquivo contera todos os metodos e passos seguidos desde elaboracao do projeto a recuperacao de dados da Midia.
[5] Comentário enviado por davi182 em 26/03/2004 - 07:36h
Muito bom! Parabéns! :)
(ainda mais pra um viciado em CSI como eu hehehe)
Muito bom! Parabéns! :)
(ainda mais pra um viciado em CSI como eu hehehe)
[6] Comentário enviado por ryu em 07/06/2004 - 23:15h
estou curioso agora pra ver esse artigo de uma analise de um servidor comprometido
estou curioso agora pra ver esse artigo de uma analise de um servidor comprometido
[7] Comentário enviado por __OZzy__ em 11/07/2004 - 17:44h
Aeee
Bom lembra que tem um grupo de discussão sobre o temo
http://br.groups.yahoo.com/group/PericiaForense/
[]´x
Aeee
Bom lembra que tem um grupo de discussão sobre o temo
http://br.groups.yahoo.com/group/PericiaForense/
[]´x
[8] Comentário enviado por dudu_away em 18/09/2004 - 10:20h
Aí kra.... mto bom msm seu artigo..... Parabéns....
Aí kra.... mto bom msm seu artigo..... Parabéns....
[9] Comentário enviado por juantech em 12/10/2004 - 16:09h
Interessante, so faltou citar o credito/fonte (Marcelo Abdalla dos Reis, Paulo Lício de Geus, Instituto de Computacao - Unicamp - num artigo de mesmo nome e com quase os mesmos sub-titulos).
Para um resumo esta excelente Anderson. Poderia ter colocado pelo menos referencias.
[]'s
Jairo Willian
Interessante, so faltou citar o credito/fonte (Marcelo Abdalla dos Reis, Paulo Lício de Geus, Instituto de Computacao - Unicamp - num artigo de mesmo nome e com quase os mesmos sub-titulos).
Para um resumo esta excelente Anderson. Poderia ter colocado pelo menos referencias.
[]'s
Jairo Willian
[10] Comentário enviado por y2h4ck em 12/10/2004 - 20:42h
Legal, bom eu não tive oportunidade de ler nenhum artigo desse cara da Unicamp que vc falou ai ... mas enfim...
se eu tivesse lido e utilizado algo dele ... com certeza teria colocado créditos :)
então falou ae filhote ...
Legal, bom eu não tive oportunidade de ler nenhum artigo desse cara da Unicamp que vc falou ai ... mas enfim...
se eu tivesse lido e utilizado algo dele ... com certeza teria colocado créditos :)
então falou ae filhote ...
[11] Comentário enviado por removido em 23/11/2007 - 14:35h
Gostei do artigo e não hesitarei em procurar o próximo que terá maior abrangência de detalhes =)
Gostei do artigo e não hesitarei em procurar o próximo que terá maior abrangência de detalhes =)
[12] Comentário enviado por kalib em 08/01/2008 - 17:11h
Poxa..de fato um ótimo artigo a cerca deste assunto....parabéns pelo conteúdo que com certeza passou o que prometia de forma clara e bem completa. ;]
Poxa..de fato um ótimo artigo a cerca deste assunto....parabéns pelo conteúdo que com certeza passou o que prometia de forma clara e bem completa. ;]
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Berry Bank: Criando um Banco Digital Gamificado para seus Filhos com Gentoo, Flask e Tailscale
Papagaiando o XFCE com temas e recursos
Dicas
Recuperando arquivos com o Photorec de discos zoados
Usando o --load-average no Gentoo para evitar OOM Kill
Instalando o COSMIC DE no Gentoo (systemd)
Tópicos
Quando vocês pararam de testar distros? (24)
Ajudante para criar dicas e artigos no VOL (6)
Problemas com o "startx&... no Slackware (13)
Top 10 do mês
-
Xerxes
1° lugar - 125.223 pts -
Fábio Berbert de Paula
2° lugar - 58.318 pts -
Buckminster
3° lugar - 27.557 pts -
Alberto Federman Neto.
4° lugar - 20.532 pts -
Mauricio Ferrari (LinuxProativo)
5° lugar - 19.705 pts -
Sidnei Serra
6° lugar - 20.212 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
7° lugar - 19.692 pts -
Daniel Lara Souza
8° lugar - 18.688 pts -
edps
9° lugar - 18.461 pts -
Andre (pinduvoz)
10° lugar - 16.869 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
