Percia em informtica: passado, presente e futuro

Ivo de Carvalho Peixinho

Perito Criminal Federal
Coordena o de TI - CTI CTI/DLOG/DPF

Tpicos Percia Criminal Federal Percia em Informtica Equipamentos e ferramentas Desafios atuais Viso do futuro e concluses

Percia Criminal Federal - PCF

Produo de laudos periciais atravs da Criminalstica
Evidncias e questionamentos (IPL)

Divididos em diversas reas

Percias Contbeis e Econmicas Percias de Engenharia e Meio Ambiente Percias de Laboratrio Percias em Informtica Documentoscopia Etc...

Percia em Informtica
Informtica forense Produo de laudos periciais atravs da Criminalstica Objetiva determinar a dinmica, a materialidade dinmica, e a autoria de ilcitos Identificar, processar e transformar evidncias digitais em provas materiais de crimes atravs de mtodos tcnico-cientficos, com a finalidade de tcnicoconferirconferir-lhes validade probatria em juzo

Evidncia Digital
Evidncia: aquilo que indica, com probabilidade, a existncia de (algo); indicao, indcio, sinal, trao Qualquer informao com valor probatrio armazenada ou transmitida no formato digital Exemplos de evidncias relacionadas a locais de crimes cibernticos (corpo de delito): Mensagens de correio eletrnico e bate -papo Imagens de pornografia infantil Dados cifrados Registros de impresso Registros de conexo Internet Fragmentos de arquivos
5

Organograma
Direo-Geral

Diretoria Tcnico-Cientfica

27 Superintendnc ias Regionais

Instituto Nacional de Criminalstica

Instituto Nacional de Identificao

27 Setores Tcnico-Cientficos + 05 Ncleos de Criminalstica

Servio de Percias em Informtica

Escopo de Atuao
Percias em mdias digitais
HD s, pendrives, cartes de memria, etc.

Percias em mquinas caa-nqueis caa(MEP) Percias em aparelhos celulares, PDA s e SmartPhones Percias na Internet (local de crime)

Atuao - Exames Periciais

Apreenso

Duplicao Pericial

Anlise (nas cpias)

Documentao

Laudo

Mensagens de E-mail EDocumentos/imagens Registros de impresso Arquivos apagados; fragmentos Quebra de senhas Uso da Internet Engenharia reversa de programas Converso de banco de dados 8

Anlise de evidncias digitais

Complexidade e Tempo
Arquivos visveis

Arquivos apagados

Sistemas/bancos de dados, registros de impresso, uso da Internet. etc Arquivos ocultos / criptografados Fragmentos de arquivo

+
9

... No passado
Pouca capacidade de armazenamento
Ex: Disquetes, HD s de pequeno tamanho Facilidade de duplicao

Poucos computadores ligados em rede Conhecimento em informtica pouco disseminado

Sistemas complexos de operar

Quantidade de computadores reduzida

Sistemas centralizados

10

... Atualmente
Quase todos os crimes hoje em dia utilizam algum recurso computacional.
Computadores ligados em rede
Internet

Alta capacidade de armazenamento

80gb, 120gb, 1Tera!!

Conhecimento em informtica bastante disseminado Incluso digital Grande quantidade de computadores Organizaes criminosas cibernticas Novos dispositivos e tecnologias
Iphones, criptografia forte, etc.
11

Projeto Promotec / Pro-Amaznia ProConvnio de cooperao e financiamento entre o governo do Brasil e os governos da FranaFranaSOFREMI e da Alemanha
Firmado em 12 de maro de 1997

Finalidade: modernizao e reaparelhamento do DPF com fornecimento de equipamentos franceses e alemes

12

Especificaes
Final de 2005 Diviso em 2 lotes 1 Fase: Hardware/Software de uso individual dos peritos Equipamentos com ampl a disponibilidade comercial 2 Fase: Solues espec ficas p/ interceptao telemtica, recuperao de mdias, quebra de senhas, S.A.R.D. Equipamentos para novos peritos
13

Hardware de Uso Individual Estao de Trabalho Pericial + Notebook

20 Wide 20 Wide Notebook Estao de Trabalho Pericial

KVM No-Break 4GB

14

Hardware de Uso Individual Duplicador de HDs

HD IDE 500GB HD SATA2 750GB

HD SATA2 320GB

15

INC Leitor automtico de CDs e DVDs Leitores externos

Jazz, Fitas DAT e SDLT

Microcomputador Macintosh Rainbow Tables

Tabelas para facilitar quebra de senhas Projeto de armazenamento em storage da CTI

Compiladores
C++ Builder, Delphi, etc.

Jornada Especfica de Criminalstica

Jun. 2007

16

Tecnologias desenvolvidas no DPF

Ferramenta Para Monitoramento de Redes P2P EspiaMule Desenvolvido pelos PCF s Guilherme Martini Dalpian e Carlos Augusto Amelin Benites

Jornada Especfica de Criminalstica

Jun. 2007

17

EspiaMule

Aplicativo eMule modificado a partir do cdigo fonte, disponvel na web Armazena IP, data e hora de todos os clientes compartilhando os arquivos baixados Bloqueio total de upload Forma de uso:
Idntico ao aplicativo eMule disponvel na rede Permite buscas nas redes Kad e eDonkey Permite buscas por palavras-chave ou download a partir de links ED2K

EspiaMule

Processamento do log: log: Aplicativo em java Identifica os usurios pelo pas Separa automaticamente usurios por provedor atravs de pesquisas WHOIS Pode agrupar clientes com diversos arquivos a partir do hash de usurio ou IP Utilizado na operao Carrossel (dez/2007)

Tecnologias desenvolvidas no DPF Colaborao entre os Peritos (geograficamente dispersos)

Wiki Lista de discusso Jabber (Instant Messenger)

Laboratrio de anlise de malware

Curso ICCYBER 2007

Sistema criminalstica
Armazenamento de informaes sobre laudos

KFF s (Known File Filters) Filters) Pesquisas sobre evidncias em sistemas operacionais e dispositivos novos

Capacitao e Treinamento
Iccyber (www.iccyber.org) www.iccyber.org)
Conferncia Internacional de Percias em Crimes Cibernticos Organizada pela percia de informtica Oportunidade de troca de experincias com outras polcias e outros pases Possibilidade de realizao no Brasil de treinamentos com instrutores internacionais (reduo de custos) Interao da percia de informtica com o pblico em geral

Operaes
CAVALO-DECAVALO-DE-TRIA Novembro/2003 Par, Maranho, Teresina e Cear. 54 prises CAVALO-DECAVALO-DE-TRIA II Outubro/2004 Par, Maranho, Tocantins e Cear. 77 prises MATRIX Maro/2005 Rio Grande do Sul 8 Prises ANJO DA GUARDA I Julho/2005 Buscas em 8 Estados Priso em Volta Redonda-RJ, Redonda-RJ, ANJO DA GUARDA II Agosto /2005 cumprimento de prises em PR, SP, MA PEGASUS - setembro/2005 127 Prises em Gois, Tocantins, Par, ES, SP e MG;

Operaes
GALCTICOS - agosto /06 - hacher cerca de 65 prises Imperatriz/MA REPLICANTE setembro/06 cerca de 60 prises Goinia/GO hacker

CTRL ALT DEL- dezembro/06 - hacker DELcerca 39 prises no Par CARROSSEL - dezembro 07 ao contra a pedofilia cerca de 14 estados no BR e 78 pases Participao da percia na fase de investigao Utilizao do EspiaMule para determinar os alvos

Desafios atuais

Aumento exponencial do volume de dados

Material para anlise

Popularizao da criptografia
Skype, Truecrypt, Microsoft Bitlocker

Rastreamento de crimes no cyberespao Organizaes criminosas agindo na Internet

Dificuldades - Rastreamento
Golpista

Destino dos dados roubados

u
e-mail falso

Vestgios espalhados pelo mundo

Site falso

v
Vtima
25

Dificuldades
Omisses na legislao federal existente:
Obrigaes dos provedores e usurios Reteno de logs de acesso e dados cadastrais

Regulamentao de funcionamento:
Cyber-cafs Salas de bate-papo

Cooperao internacional s vezes lenta e ineficiente

Viso de futuro
Aumento dos crimes cometidos usando computador
Puros Impuros

Novos dispositivos com maiores capacidades de armazenamento e menor tamanho

Novos campos de informtica forense Facilidade de ocultao de dispositivos

Novas tticas dos criminosos

Criptografia, obfuscao, etc.

Concluses
Renovaes e novas tecnologias a todo momento O perito em informtica deve estar sempre informado e atento s mudanas Novas reas de informtica forense
Bancos de dados, aparelhos embarcados, etc.

Cooperao entre as percias e outras polcias pelo mundo Novas tecnologias no auxlio da percia
Mas no substituem o crebro!!

Obrigado! Ivo de Carvalho Peixinho