Senac EAD | Forense Computacional e de Rede | Aula 05

E aí [Música] e forense computacional e redes aula5 investigação de crimes o Olá seja muito bem-vindo seja muito bem-vinda à nossa aula de número cinco da disciplina de florenze e computacional e de redes qual é o objetivo é apresentaram como investigar crimes digitais e o conteúdo é o contexto para coleta de evidências princípios da evidência digital principais requisitos de manuseio da evidência digital o contexto para coleta de evidências o contexto para coleta de evidência tão análise Geral do Senado cenário do crime ou da cena do crime do local do crime é você pode acabar encontrando

diversas formas de apresentar essa terminologia Tá mas em geral quando nós estamos falando aí de ambientes virtuais ou digitais nós podemos estar falando do cenário do clima né aquele contempla um todo o local de crime nós temos aí uma visão mais física é da situação do local onde você vai coletar agradeço coletar CDs pen drives e outros dispositivos então aqui é necessária a coleta de evidências digitais com isso o perito deverá realizar a análise geral estabelecer processo de priorização e essa divindade diminui o risco de evidências ser e nada como probatória é então que basicamente

isso quer dizer né vou fazer uma análise geral dessa desse cenário por aqui você possa entender o que de fato você deve levar para o laboratório para fazer análises ao se você chegou no local e aí você encontrou um HD e um separado você encontrou um um gabinete montado né o computador todo montado encontrou mais um notebook uma placa de rede e solta num canto um roteador que normalmente é você vai ter um roteador para na no local também aqueles roteadores que vem da operadora ou um decodificador é um receptor aí de redes a a

rede de fibra ótica você tem que fazer uma análise Geral do que você está vendo para saber que se de fato você precisa daquilo ou não é então quando eu você está indo para o local onde você vai ter uma noção de o porquê você está indo lá o que você está investigando é muito comum a gente encontrar fotos de operações que aconteceram do outro Quando você vê o perito indo no local para coletar as informações para coletar os materiais resultantes de crimes que envolvam a pornografia infanto-juvenil a muito falado em como pedofilia E aí

você já tendo essa ideia na tendo essa noção do que você está indo fazer naquele local você já sabe o que você deve ou não coletar o que você pode ou não conectar é importante você tem eu acho que aquela evidência é Ou melhor dizendo aquele equipamento aquele artefato aquele dispositivo ele poderá ter uma evidência de alguma coisa ter uma evidência do crime é por enquanto ele ainda é só um um artefato que está lá somente um um indício Então você vai ter que ter essa sensibilidade de saber se você deve Ou não levar o

equipamento para o local de laboratório para fazer análise tá pode ser que você já faça uma análise prévia então isso também é possível de acontecer onde você vai levar um pen drive para o local ceder para fazer o boot no dispositivo informático não computador que pode estar lá no notebook e aí você já pegar as as informações até para facilitar um flagrante esconde o mundo das operações policiais agora se você tiver trabalhando numa operação que é voltada para o ambiente corporativo que você foi contratado como um perito particular investigador particular você normalmente vai estar atuando

em um horário que aquele investigado não estará presente mas as recomendações são as mesmas se você tem que levar para laboratório levar para nariz e aquilo que é realmente suficiente para que você possa dar continuidade para o trabalho e saber se aquilo é relevante ou não para um processo judicial tá voltando aqui por slide os princípios da evidência digital e os princípios da evidência digital tal que é uma evidência digital precisa ter relevância confiabilidade e suficiência eu tô na relevância o que nós temos quando a evidência serve para provar ou refutar o elemento do caso

investigado Então temos que fazer aquela pergunta né Realmente eu preciso disso aqui a isso a gente pode até pensar em um HD mesmo né você pegar um HD que tem lá o sistema operacional que é utilizado por vários usuários aí vamos pensar que o uso desse HD ele tem lá o usuário e senha e você consegue identificar Qual é o usuário que estava utilizando aquele computador né dele fez o login colocou usuário e senha dele vai ficar registrado no log lá no event viewer Windows né pensando nos domínios vai ficar o logo um dele e

depois no momento que ele desligou vai ficar o logoff dele né eu o que ele deslogou da máquina e vai ficar registrado lá também e todas as operações que ele fez enquanto estava logado com aqueles olhos específicos ou se você tem o uso de um computador que é compartilhado Pode ser que no momento que você fez a coleta daquele HD e você vai ter que fazer análise não seja interessante você analisaram os outros usuários que estão naquela máquina Pode ser que naquele momento para aquela situação você só precise Ou você só Deva fazer análises e

voltada para um único usuário que está lá é para não aí ultrapassar ou extrapolar os seus limites também voltando para cá para o nosso slide então confiabilidade um garantir que evidência digital seja O que pretende ser na real e confiável Ou seja é que a gente consiga comprovar que aquela vi é realmente ela Então como que a gente pode fazer isso não é extraído o restos dos arquivos extraindo o resto do HD ele está indo o resto do SSD é do pen drive para que você de fato comprove que ela não não tenha sido adulterado

no meio do caminho entre a sua coleta e o laboratório é e que não tenha nenhum tipo de vício em cima daquela residência tá voltando para slide à suficiência ou o perito deve coletar evidência suficiente para permitir que os elementos em questão sejam examinados e investigados eu gosto sempre de salientar que nessa questão da suficiência nós podemos pecar pelo excesso e nunca pela falta de informação então mesmo que obviamente você tomando cuidado atendeu eu vou estrapolar os limites da sua investigação era mas o importante é que você tenha a quantidade de evidência suficiente para o

seu trabalho é um Voltando Para que o exemplo né de você chegar no local e aí você ter um notebook Você tem o computador você tem mais uma placa de rede solta num canto aí você tem um HD externo alguma outra mídia externa é e roteador alguma coisa assim e você vai naquele momento e pensar uma placa de rede ela não tá armazenando informação não vou precisar coletar essa placa de rede para que que eu levaria para o meu laboratório Pode ser que aquela placa de rede foi removida talvez instantes antes de você chegar na

para fazer a coleta É pode ser que aquele perpetrador tenha sido avisado ele resolveu só trocar a placa de rede o que isso implica para sua investigação e vai ter um endereço de Mac address diferentes A então você a sua melhor evidência na sua melhor correlação entre um uso de rede não uso de tráfico vermelho por meio de uma de um endereço como o Cedro Mas você pode acabar perdendo se você não levar aquele dispositivo de rede é a Cala a placa de rede por exemplo para fazer análise e vincular procurar né o saber qual

é o meteoros aquela placa e ver se tem algum vestígio dentro daquele HD que também você coletou então é importante sempre tem essa sensibilidade né você pensar um pouco fora da caixa e saber que pode sim de fato a esse tipo de coisa acontecer é por isso que a gente fala da suficiência a imagina que você não tenha levado essa placa para fazer análise e aí e olhou-me Mac address da placa que está naquele dispositivo é e ele não bate com o que foi registrado O que foi interpretado como crime é um exemplo que a

gente tem que seguir é uma preocupação muito importante de a gente ter certo principais requisitos de manuseio de evidência digital os principais requisitos de manuseio da evidência digital tão além de coletar em importante a gente saber como coletar e o que é precisamos garantir né com toda a nossa coleta Então quais são os detalhamentos né o detalhamento dos nossos requisitos se vai estar na Índia 27037 e é isso aí que que tem a normativa que nós temos para trabalhar hoje o nós temos o pacote anti-crime que ele tá falando aí de cadeia de Custódia é

e falando de cadeia de Custódia nós temos também esses requisitos lá aí Leo são requisitos que tratam de uma forma ampla para todos os tipos de Perícias para todas as disciplinas das da perícia e não somente de informática eu acho que tem o mesmo propósito a volta no privilégio aqui auditabilidade é o que isso quer dizer permite com assistente ou qualquer pessoa autorizada possa auditar as atividades realizadas pelo perito repetibilidade são utilizados os mesmos métodos de medição mesmos instrumentos sobre as mesmas condições e que podem ser repetidos a qualquer tempo então isso quer dizer o

quê que se eu fizer uma coleta de material para trabalhar na perícia para levar para o laboratório EA utilizar determinadas ferramentas para mim análise a e entregar o meu laudo entregar o meu parecer técnico o meu relatório o próximo investigador o próximo perito próximo profissional que vai pegar aquelas evidências para tentar seguir os mesmos Passos ele de ver a fazer utilizado as mesmas ferramentas chegar ao mesmo resultado que obtive a Então isso é importantíssimo que seja possível de ser feita reprodutibilidade Então são utilizados os mesmos métodos de medição mas com diferentes instrumentos sobre diferentes condições

e que podem ser repetidos a qualquer tempo a então da reprodutibilidade é aquela questão muito parecida com a situação anterior no entanto se eu utilizar outro software vamos pegar o exemplo de que utilizei o autópsia e eu cheguei a um determinado o resultado o identifiquei por exemplo lá que tinha uma uma ferramenta de uso antes porém and que alterou as datas e horas né dos meus arquivos se utilizaram uma ferramenta e como FT Car ou utilizar a crise eu devo conseguir chegar ao mesmo resultado é deve conseguir chegar ainda que com uma ferramenta é diferente

na mesma resposta utilizaram uma ferramenta como o impede que foi desenvolvido pela Polícia Federal ferramenta muito boa então esse é o princípio aí da nossa reprodutibilidade tá voltando para slide a justifica habilidade então é necessário que o perito justifique todas as ações e procedimentos realizados no manuseio da evidência digital certo então aqui qualquer coisa que tenha sido feita aí no momento da coleta no momento da aquisição da evidência ao tudo que está envolvido com a cadeia de Custódia né as pessoas que estavam envolvidas ou se eu tomei alguma ação que era necessário naquele momento que

não está exatamente de acordo com os padrões mas foi e vai tomar aquela são para não perder evidência para não perder aquela informação naquele momento eu preciso justificar aí tem que ser uma justificativa boa não simplesmente a porque eu quis fazer até você tem que ter um embasamento convincente o embasamento sério é para poder justificar algo que não esteja exatamente alinhado com aquela situação nesse eu posso trazer um exemplo muito simples como a coleta e aquisição de material digital que está em um smartphone Nós aprendemos normalmente que fazer a coleta de agradeço ou de computadores

pessoais ou notebooks quando nós chegamos no local se ele estiver desligado nós não devemos ligar e sim só coletar informação com o chamado pós-morte em El no estilo offline você pode retirar o HD a Joice de utilizar uma outra mídia para fazer a cópia daquela evidência ou se ele estiver ligado que você não desligue para não apagar dados da memória por causa da volatilidade que você primeiro pensa na bola nós evidências voláteis que você coleta memória coleta dados de rede E aí quando estamos falando de um ambiente até em Cloud Cloud computing é ou nós

estamos falando de smartphones com maior vai sempre que eu vinha trazendo você não vai ter como arrancar HD ou SSD daquele dispositivo e muitas vezes você vai ter que fazer isso com o dispositivo ligado você vai ter que coletar fazer aquisição de evidência com o dispositivo ligado aí o coletar evidências aí do WhatsApp de telegram um algum outro tipo de mensajería né a neste caso a gente acaba o um pouquinho da regra do que é o padrão é porque porque uma das regras a que você não altere nada na evidência como você tem um dispositivo

parado como um um dispositivo pen drive um HD um SSD você talvez não precisa instalar alguma coisa naquela naquele dispositivo para coletar informação você consegue fazer isso utilizando outras técnicas no entanto na maioria das vezes você vai fazer coleta de um dispositivo móvel de um smartphone por exemplo você vai ter que instalar algum aplicativo você vai acabar modificando um pouco a evidência É talvez não Há evidência de fato que que você está coletando que você está fazendo aqui são naquele momento mas você vai acabar modificando alguma coisa aquele dispositivo para poder obter a informação Então

essa é uma das e nós temos tá lá importante que você saiba como os procedimentos de coleta e aquisição são feitos em dispositivos diferentes para entender Quais são as justificativas cabíveis certo ou tanto por nós slide considerações finais Então os conceitos para investigação de crimes digitais falamos sobre como realizar uma análise Geral do cenário do crime e os princípios fundamentais para a classificação de evidências e os requisitos necessários para o manuseio das evidências apenas recapitulando novamente como um uma dica né e procurar entender como que funcionam as diversas aos diversos dispositivos de armazenamento que nós

temos adversas todos esses dispositivos que são conectados que possam ter alguma informação o smartphones notebooks o Whats Hoje em dia a geladeira conectado então pode ser que em algum momento você vai ter que fazer uma coleta alguma aquisição de um dispositivo totalmente diferente e que você não consiga de fato simplesmente fazer aquisição daquela evidências em uma adulteração prévia e aí você vai precisar fazer uma boa justificativa de porque a e pode ser que de fato você tem que fazer isso certo então muito obrigado por você ter ficado nessa até o final aguardo você na próxima

aula até mais é [Música]