Computação Forense - A análise forense no contexto da resposta a acidentes computacionais 3ª edição
Sinopse
O crescimento do Cyber Crime vem atingindo toda a sociedade que muitas vezes não tem consciência dos riscos das tecnologias utilizadas diariamente. Furtos em operações bancárias on line, fraudes em documentos, espionagem, racismo, difamação, são cada vez mais associados a recursos computadorizados. Esta edição oferece aos peritos um conteúdo próximo ao dia a dia de um laboratório de informática forense orientando como proceder a investigação, preservar provas, realizar a pericia e elaborar laudos periciais consistentes e decisivos.
Série Tratado de Perícias Criminalísticas – organizador: Domingos Tocchetto
Sobre o Autor:
Marcelo Antonio Sampaio Lemos Costa
Engenheiro civil pela Universidade Federal da Bahia. Especialista em Análise Computacional Forense e Eletronic Discovery.
Iniciou-se na atividade de computação em 1983 trabalhando com operação de mainframes. Atualmente dedica-se às áreas relacionadas à Computação Forense e Resposta a Incidentes Computacionais.
Fundador da Coordenação de Computação Forense do Departamento de Polícia Técnica do Estado da Bahia em 1997; professor da Academia de Polícia Civil do Estado da Bahia, na matéria Computação Forense, dos cursos de formação de profissionais de polícia; professor universitário de Auditoria e Análise Forense; líder do Grupo de Pesquisa em Computação Forense no Instituto de Criminalística Afrânio Peixoto, órgão integrante do Departamento de Polícia Técnica do Estado da Bahia; perito Criminal da Coordenação de Computação Forense do DPT/ICAP.
- Binding: mkt
Introdução
1. O Que é Informação?
2. Segurança da Informação
Capítulo I - Terminologia Pericial e Convenções
1. Terminologias
2. Convenções
Capítulo II - O Grupo de Respostas a Incidentes
1. O Projeto
2. Missão do CSIRT
3. Implantando
4. Interagindo com Outros Setores da Empresa
5. Resultados
6. A Equipe
7. Política de Segurança
7.1. Definição
7.2. Amplitude
7.3. Análise de Riscos
7.4. Ameaças
7.5. Vulnerabilidades
7.6. Ativos
7.7. Risco
7.8. Infra-Estrutura
7.9. Sistemas
7.10. Recursos Disponíveis
7.11. Auditoria
7.12. Política de Senhas
7.13. Administração de Usuários
7.14. Política de Acesso à Web
7.15. Política de Uso de Softwares
7.16. Política de Antivírus
7.17. Política de Patchs, Updates e Service Packs
7.18. Acesso Discado, VPN e Outros Acessos Externos
7.19. Outras Políticas
7.20. Responsabilidades do Usuário
8. Atuando em Um Incidente
8.1. Notificação do Incidente
8.2. Avaliação Inicial
8.3. Complementando Informações
8.4. Reunir Documentação de Apoio
8.5. Preparando uma Lista de Suspeitos
8.6. Investigando um Incidente
8.6.1. Iniciando a investigação
8.6.2. Realizando a perícia
8.6.3. Resposta inicial ao incidente
8.6.4. Elaborando o Relatório
8.6.5. Obtendo a Aprovação Final
Capítulo III - A Computação Forense
1. Os Primeiros Crimes
2. Panorama Atual
3. Principais Modalidades
4. O Local de Crime
4.1. Áreas Imediatas
4.2. Áreas Mediatas
5. Caso Real
Capítulo IV - Procedimentos Básicos para a Computação Forense
1. Recomendações, Princípios e Definições Apresentadas pela IOCE
1.1. Recomendações
1.2. Princípios
1.3. Definições
2. Procedimentos Básicos
2.1. Coleta de Evidências
2.2. Apreensão, Transporte e Armazenamento de Evidências
2.3. O Laboratório
2.4. A Perícia
2.5. Documentação e o Laudo Pericial
3. Etapas da Perícia
Capítulo V - Análise a Quente
1. Direcionando para uma Mídia Externa
2. Direcionando para uma Estação Pericial
3. Examinando o Histórico de Comandos do Shell
4. Listando Usuários Autenticados
5. Listando Conexões Estabelecidas
6. Listando Processos Ativos
7. Listando Portas Abertas
8. Ferramentas para Realização de Exames a Quente
8.1. COFEE
8.2. E-Fense Live Responder e o Aperio
9. Análise a Frio
10. A Duplicação Pericial
11. Bloqueio de Escrita
12. Hardwares Duplicadores de Disco
13. Software de Duplicação Pericial
14. Fazendo uma Duplicação Pericial
Capítulo VI - Objetos de Perícia
1. O Computador
1.1. Hardware
1.2. Software
1.3. O Disco Rígido
1.4. O Layout do Disco Rígido
1.5. Sistemas Operacionais
2. Conceitos em Sistema de Arquivos
2.1. Sistema de Arquivos
2.2. FAT (File Allocation Table)
2.3. NTFS (New Technology File System)
2.4. EXT - Extended File System
2.5. CDFS - Compact Disc File System
2.6. HFS E (HFS+) - Hierarchical File System
2.7. UFS - Unix File System
2.8. Clusters
2.9. Cluster Bitmap
2.10. Root Folder (Pasta Raiz)
2.11. File Entries (Entrada de Arquivos)
2.12. File Slack (Folga do Arquivos)
2.13. Tamanho Lógico do Arquivo (Logical File Size)
2.14. Tamanho Físico do Arquivo (Physical File Size)
2.15. RAM Slack (Folga da RAM)
Capítulo VII - Iniciando a Perícia
1. Identificando os Equipamentos
2. Evidências do Usuário
3. Evidências de Sistema
4. Histórico de Documentos
5. Indícios de Navegação na Internet
5.1. Histórico
5.2. Arquivos Temporários
6. Registro do Windows
7. Iniciando um Caso
7.1. Identificando o Nome do Computador
7.2. Identificando a Configuração de Fuso Horário
7.3. Determinando Quando o Equipamento Foi Desligado pela Última Vez
7.4. Último Acesso a Arquivos
7.5. Registro de Dispositivos USB
7.6. Arquivos Recentes
Capítulo VIII - Análise de Metadados de Arquivos
1. Metadados dos Sistemas de Arquivos - MAC Times
1.1. Exemplo
2. Metadados de Arquivos de Imagens
3. Metadados do Microsoft Office
Capítulo IX - Investigando Crimes na Rede
1. Estabelecendo uma Identidade na Internet
1.1. O Protocolo TCP/IP
1.2. O Endereço IP
1.3. Atribuindo um Endereço IP
1.4. Análise de LOGS
1.4.1. Formato do log Padrão do IIS
1.4.2. Formato do log padrão ao apache
5. Investigação e Rastreamento de E-mails
6. Determinação de Origem e Autoria
7. O Correio Eletrônico
8. Buscando a Origem de um E-mail
8.1. O Cabeçalho de um E-mail (E-mail Header)
8.2. HELO
8.3. MAIL FROM:
8.4. RCPT TO:
8.5. DATA
8.6. QUIT
8.7. Relaying
8.8. O Cabeçalho RECEIVED:
8.9. Cabeçalhos Comuns
8.10. X-HEADERS (Cabeçalhos X)
ANEXOS