Análise Forense Computacional — Referências

Maurício Harley
TechRebels

--

Olá, e obrigado por sua visita! Seguindo uma linha de posts que particularmente gosto de escrever, este é mais um de referência. Muitas pessoas me perguntam nos grupos que gerencio/participo, e até mesmo pessoalmente, como se faz para iniciar a carreira como Perito Forense Computacional. O que estudar? Que livros ler? Há algum vídeo ou canal do YouTube que o Harley recomenda? Você vai encontrar respostas a estas e outras perguntas aqui.

A ordem em que apresento os itens abaixo não é aleatória. Para qualquer conceito novo que vou estudar (ou aprimorar), costumo segui-la o mais fielmente possível. Não significa que ela será a melhor pra você. Algumas pessoas preferem vídeos a sites, ou gostam mais de cursos do que ler livros. Isso é característica de cada um. De qualquer forma, serve como uma orientação, caso você não tenha nenhuma. Leia frequentemente este post. Farei atualizações nele à medida que novas fontes apareçam. Mãos à obra!

1 — O que estudar

A Análise Forense Computacional é uma área fabulosa, rica em detalhes e repleta de sub-divisões. Um Analista Forense (ou Perito Forense, como é mais comum se ouvir falar) pode trabalhar em uma ou várias delas. Assim, à medida que os casos chegam, e as investigações precisam ser conduzidas, você sentirá a necessidade de adquirir ou melhorar seu conhecimento em um determinado assunto.

Você se encontrará estudando as entranhas de um sistema, ou o comportamento de um software aplicativo, ou mesmo protocolos de rede. Veja a lista abaixo:

  • Arquitetura de Computadores — Isto vai lhe ser útil não apenas na Análise Forense Computacional, mas em outras áreas da Cyber Security ou mesmo da Tecnologia da Informação. Compreender como os computadores funcionam internamente (pelo menos num nível básico) deveria ser algo obrigatório para todos os profissionais de IT;
  • Criptografia — É algo definidamente importante em perícia forense computacional. Seja para quebrar uma senha de um disco rígido, descobrir um dado ou informação importante dentro de uma fotografia, ou mesmo interpretar fluxos de comunicação numa rede, o conhecimento de criptografia se mostra extremamente fundamental. Questões de privacidade estão intimamente endereçadas aqui;
  • Direito — Se você achava que não tinha nada a ver com Forense Computacional, está enganado, muito enganado! Basicamente, os seguintes artigos do Código Penal brasileiro precisam estar afiados na sua cabeça: 29, 138, 139, 140, 147, 154 (A e B), 184, 266, 298, 299, 307. Eles são importantes para entender tipificações de crimes, bem como punições correspondentes. São úteis também para citações no seu laudo pericial. Considere, ainda, o Código Civil. Adicione à leitura: a LGPD (Lei Geral de Proteção de Dados), o Marco Civil da Internet, a Lei Azeredo, e a Lei Carolina Dieckmann;
  • Esteganografia — Muitos suspeitos de crimes costumam esconder evidências importantes em fotografias, como outras fotografias, contatos de criminosos parceiros ou mesmo dados sigilosos de empresas. Assim, entender como funciona esta técnica de ocultação de dados, e como descobrir formas de desvendá-la é de suma importância;
  • Linguagens de Programação — Um dos setores onde os peritos trabalham é análise de softwares. Você pode ser solicitado a verificar um possível plágio, ou pode precisar realizar investigação de um malware, como um ransomware ou vírus, decorrente de uma infecção no ambiente do seu cliente. Desta forma, aprender C e Assembly se tornam de grande relevância.Este item está diretamente relacionado com o primeiro (Arquitetura de Computadores). Quando é necessário realizar uma análise de software, como ilegalidade, plágio ou malware, faz parte do processo a Engenharia Reversa. Shell Scripting, tipicamente em Linux, também é útil para automatizar algumas tarefas.
  • Redes de Computadores — Sendo para inspecionar uma rede em si, sendo como parte da verificação de uma possível invasão em um servidor, o conceito se mostra demais relevante. É primordial entender como funcionam as comunicações numa rede de computadores, que protocolos podem estar em uso, como eles interagem, e até que ponto impactam nos serviços e aplicações que podem ser frutos de uma investigação;
  • Sistemas Operacionais — Por fim, você não deve jamais deixar de compreender (o mais profundamente possível) como funcionam os sistemas operacionais que você vai periciar. É preciso entender características como: sistemas de arquivos, RAM, serviços intrínsecos, armazenamento e gerenciamento de configurações, comportamento em rede, mecanismos de segurança, vulnerabilidades (corrigidas ou não), patches. Há quem prefira periciar um sistema usando o mesmo sistema. Ou seja, se vai periciar um computador com Windows, usa Windows; se vai analisar uma máquina com Linux, usa Linux, … Isso não é obrigatório, apenas gosto pessoal;
  • Telefonia Celular — Se você deseja se enveredar pelo mundo dos smartphones e suas nuances, obviamente é algo que precisa ser compreendido, e bem! Assim, entender detalhadamente como funcionam o Android e o iOS (os dois sistemas operacionais mais populares atualmente), assim como possíveis detalhes de arquitetura dos aparelhos é de suma relevância para o caso.

2 — Livros

Tratado da Computação Forense

Seguramente, uma das maiores e melhores obras nacionais em Computação Forense. Escrito por especialistas em várias áreas, como Engenharia, Ciências da Computação e Direito, o livro traz nomes famosos do setor no Brasil.

Cada capítulo foi dividido entre um ou mais autores, como o nobre Deivison Pinheiro Franco, e vários assuntos são cobertos à extensão, como: sistemas de arquivos, análises de redes de computadores, laudos periciais, malwares, entre vários outros.

Título obrigatório na prateleira de qualquer perito. Veja aqui.

Desvendando a Computação Forense

Concebido por Pedro Eleutério (um dos autores do Tratado) e por Marcio Pereira Machado, ambos perito criminais, este livro passeia por conceitos fundamentais da Perícia Forense, como: introdução geral, ambientes de crime envolvendo computadores, análise em sistemas operacionais móveis, pornografia infantil, e muitos outros.

O livro tem apêndices inestimáveis com exemplos de laudos que podem servir de inspiração para que você mesmo construa os seus.

Excelente complemento de leitura ao Tratado. Veja aqui.

Direito Digital

Patrícia Peck Pinheiro, ou simplesmente, Patrícia Peck, é uma das profissionais mais reconhecidas neste âmbito no país e fora dele. Advogada com vários anos de experiência em defesas de causas relacionadas ao mundo digital, Patrícia começou sua carreira como programadora.

A mudança de profissão para o Direito e a vontade de unir ambas as áreas nos presentearam com um livro extremamente bem escrito e de altíssimo conteúdo técnico. Tive a honra de ser agraciado com um autógrafo em meu exemplar.

Leitura mais que recomendada, principalmente porque é impossível dissociar a Computação Forense do Direito. Veja aqui.

Os dois autores (Preston Miller e Chapin Bryce) são investigadores digitais, e ambos possuem históricos de pesquisas e contribuição tanto nas comunidades de software livre, quanto Análise Forense.

O livro cobre desde uma boa introdução a esta linguagem de programação, passando por técnicas de exploração em artefatos coletados e indo além, com keyloggers, fuzzing e outros conceitos bem interessantes.

É uma boa leitura! Veja aqui.

Concebido por uma “cria” do MIT e um funcionário do DoD (Departamento de Defesa) norte-americano, você consegue imaginar o nível técnico desta obra…

Sikorski e Honig, acompanhados por excelentes autores complementares e revisores técnicos, nos levam ao intrincado mundo dos malwares, detalhando suas formas de manifestação, interação com o sistema operacional, técnicas de ocultação e diversos outros conceitos intrigantes. Recheado de laboratórios, estou certo de que você, assim como eu, também gostará bastante do livro.

Leia de capa a capa. Veja aqui.

Co-autorado por José Antônio Milagre, Perito em Informática, bacharel em Direito, mestre e doutorando em Ciência da Informação, que tive o prazer de conhecer no último Cofforense (ocorrido dia 05/05/2018), este livro traz discussões e reflexões sobre legislação relacionada a Crimes de Informática. É feito um paralelo entre a cobertura técnica aprofundada e o conteúdo relacionado ao Direito Criminal.

Já entrou na minha lista de leitura obrigatória. Veja aqui.

3 — Sites

Se existem uma grande quantidade de livros e obras técnicas sobre Computação Forense, imagine quantos sites sobre o assunto estão disponíveis. Muitos! Além do próprio itHarley (:-)), os que eu vou mostrar aqui são boas referências para você consultar frequentemente e adicionar aos seus favoritos.

  • Alexandre Borges — O Alexandre Borges (@ale_sp_brazil) é um dos analistas de malware mais conhecidos e competentes do Brasil. Ele possui uma empresa de consultoria em segurança que executa testes de vulnerabilidade, coleta dados para análise ,e faz treinamentos. No blog dele, você vai encontrar vários tutoriais sobre conceitos diversos de cybersec, incluindo contribuições valiosas em Forense;
  • Cyber Forensicator — Este site não é só um blog. É um verdadeiro repositório de conteúdo sobre Computação Forense. Com tutoriais, white papers, dicas de livros, softwares, artigos detalhados, vídeos e muito mais conteúdo, é de longe um das melhores referências que já vi no assunto;
  • 0xffffffff— O Ialle Teixeira (ou “root”, como prefere ser chamado) é um outro pesquisador de malware bastante presente no cenário brasileiro. O blog dele é recheado de amostras e análises de malwares, que explicam de forma clara o comportamento de códigos maliciosos dos mais diversos tipos. Se você se interessa por Engenharia Reversa, é um local para visitar;
  • Digital Forensics Podcast — Saindo um pouco da leitura e seguindo para o áudio, é um outro site que merece estar entre seus favoritos. Eu escuto sempre os podcasts e gosto bastante. Falam de Windows, Linux, macOS, malware, redes, browsers, hardware, e uma infinidade de assuntos. Compensa demais reservar um tempo para escutar;
  • Academia de Forense Digital — Com uma frequência média de um artigo por mês, a AFD traz conteúdos atuais para a discussão. Um que valorizei bastante foi a tradução da RFC 3227, que trata das melhores práticas para coleta e arquivamento de evidências;
  • Rafael Salema — Talvez mais conhecido por seu nickname “SWaNk”, Rafael é outro dos analistas de malware mais atuantes no país. Seu site apresenta códigos de utilitários e papers escritos/apresentados em algumas conferências;
  • Forensics Wiki — Um site no formato Wiki com diversos conceitos e referências relevantes à área, como: metadados, legislação, criptografia, esteganografia, análise de rede, além de vários outros;
  • Forensic Focus — Este é um portal que congrega artigos, entrevistas, fórum, análises de livros e ferramentas, e diversos outros recursos. Por ser bem diversificado, e possuir material de boa qualidade, vale a visita constante;
  • Digital Forensic Science — Este site possui diversos tutoriais em texto e/ou vídeo, mostrando aspectos diversos de Computação Forense. Há notícias sobre eventos internacionais, referências a artigos e uma área de pesquisa. Visite também o sub-site Security Revolution, que dispõe de eventos ao vivo ou sob-demanda;
  • ICDF2C — Site oficial da International Conference of Digital Forensics and Cyber Crime. Trata-se de um evento que ocorre em vários anualmente em diversas cidades ao redor do mundo. Há palestrantes pesquisadores, da comunidade de Análise Forense e também de patrocinadores. Se você tiver orçamento e tempo, nem precisa dizer que é altamente recomendável…

4 — Cursos

Se você é daqueles que preferem um conteúdo estruturado, com alguém para lhe ensinar, há opções também. A lista que trago aqui contém tanto cursos avulsos quanto pós-graduações. Uma das grandes vantagens de cursar um treinamento, além da aquisição de conteúdo, é o networking que se faz, especialmente nas modalidades presenciais.

  • Marcos Monteiro — O Marcos (@marcosjmonteiro) é presidente da APECOF, a primeira instituição brasileira (e cearense) dedicada a congregar os peritos computacionais forenses. O curso dele é semi-presencial, ou seja, o foco maior é para o ambiente físico, onde se encontra a maioria dos estudantes; mas, ele também abre espaço para algunsalunos que queiram assistir por meio de Skype. Excelente curso! O Marcos também é coordenador da pós-graduação da Unichristus;
  • Academia de Forense Digital — A Academia foi fundada e é conduzida pelo Renan Cavalheiro, um cara com bastante experiência e extremamente humilde. Já trabalhou em diversas empresas de auditoria e oferece dois treinamentos, sendo um próprio e outro em parceria com a eSecurity;
  • Data Security — Esta é a consultoria do Marcelo Lau, um dos peritos computacionais forenses mais antigos e experientes no Brasil. Tive o prazer de assistir a algumas palestras dele e atestar sua didática em transmitir o conteúdo. Outra aposta que você pode fazer e não vai se arrepender;
  • Daryus — Trata-se de uma empresa de consultoria e educação, com uma generosa oferta de treinamentos presenciais e online. No nosso caso aqui, existe uma pós-graduação no estilo MBA em Perícia Digital, coordenada pelo Luiz Rabelo, um profissional com considerável experiência em segurança da informação e possuidor de certificações relevantes, como EnCE e ACE;
  • IPOG — É um instituição de educação, com cursos de graduação, pós-graduação e de curta duração. O MBA do IPOG, um dos mais elogiados e comentados no Brasil, traz no corpo docente atuais e ex-policiais federais, todos peritos computacionais. O curso é entregue de forma presencial em algumas cidades no país. Veja a disponibilidade e programação no site ou com o coordenador;
  • Unifor — Para quem está no Ceará, estado que aparece muito bem no quadro nacional da Computação Forense, há mais uma oferta de MBA no setor. Coordenado pelo Marcus Fábio, outro perito computacional forense com excelente experiência e amigo de longa data, o curso é uma especialização com uma grade curricular bem interessante. Vale conferir;
  • Open Source Intelligence — A Hakin9, editora mais famosa pela sua revista homônima, vende treinamentos com conteúdos diversos em cybersecurity. Este em particular cobre formas de investigação através do uso de OSINT (Open Source Intelligence).

5 — Comunidades

Estudar é importante. Não, é fundamental! Mas, e quando aparece aquela dúvida, quando surge aquele questionamento que pode parecer simples, mas não é, a quem recorrer? Nestas horas, as comunidades (presenciais e online) mostram seu valor. Reunindo profissionais de vários níveis, são ótimos lugares para se trocar experiências e aprender um pouco.

  • Análise Forense Brasil — Criei este grupo no Telegram com o intuito maior de compartilhar informações sobre situações reais ou conceitos relacionados ao tema. Entre dicas de livros, links, dúvidas e notícias, surgem boas discussões, inclusive sobre cibersegurança em geral, onde se pode ver os diferentes pontos de vista que os especialistas possuem. Apareça por lá;
  • Enterprise Security — Iniciado pelo Leomar Viegas, parceiro de longo tempo, o grupo é mais um no Telegram com o apelo de segurança da informação. Apesar de não ser focado em Análise Forense, aparecem questões esporádicas lá a respeito. Segue um estilo parecido, com divulgação de notícias, links e alguns arquivos;
  • Security H1v3 — É uma comunidade formada por profissionais de cybersecurity de todos os ramos. Há peritos, pentesters, consultores ISO 27001, desenvolvedores/testadores, criadores de ferramentas, e muitos outros. Fundada pelo Nelson Brito, funcionário IBM e palestrante antigo do tema. Nas palavras dele, é “uma comunidade para juntar essa galera de segurança espalhada por aí”.

6 — Canais YouTube

Eu sei! Você é da geração YouTube, não é?

Tudo bem, existe conteúdo pra você também. Inclusive, não é muito difícil de achar. Alguns dos profissionais que citei aqui no post lançam vídeos esporadicamente e você pode verificar nos perfis dos mesmos. Seguem outras dicas:

  • Qual é teu Papo? — O Joatham Pedro, especialista em cybersec e palestrante, além de hilário, é um cara com uma didática muito boa. Nos videos dele, você vai encontrar uma miríade de coisas, como análises de imagens, rastreamento de endereços, análises de vulnerabilidades, entre outras coisas;
  • SANS — É claro que nenhuma lista que envolva segurança da informação está realmente completa sem mencionar o SANS Institute. O canal YouTube é imperdível e tem resumos de eventos, palestras de treinamentos online e presenciais, dicas de ferramentas, curiosidades;
  • Cellebrite — A fabricante de uma das ferramentas mais famosas no mundo da investigação digital para plataformas celulares também possui seu canal próprio. Lá, você encontra casos de uso do produto, dicas gerais e muitas curiosidades;
  • Magnet Forensics — Outro fabricante de softwares para Computação Forense, possui um conjunto de ferramentas gratuitas para você incluir no seu cinturão de utilidades;
  • Paraben Forensics — O canal YouTube deste fabricante é recheado de vídeos mostrando como usar os diversos recursos de seus produtos, incluindo um muito bom sobre expressões regulares. A Paraben se diferencia dos demais por possuir ferramentas para forense em IoT;
  • InfoSec Institute — O instituto é famoso por criar materiais para diversas áreas de Segurança da Informação, dentre as quais, Computação Forense. Neste canal, você terá acesso a vídeos curtos e longos discutindo tópicos como Resposta a Incidentes e introduções a temas diversos;
  • DFIR.Science — Canal do site Digital Forensic Science. Há muitos vídeos sobre Computação Forense, cobrindo os mais diversos assuntos, como: instalação e uso de ferramentas, perspectivas sobre crimes cibernéticos, dicas em Linux e muito mais.

7 — Softwares

Estamos quase no fim.

Obviamente, nenhum perito computacional forense consegue progredir no trabalho sem um bom conjunto de ferramentas para lhe auxiliar. Vamos ver algumas das que merecem sua atenção.

  • IPED — Eu já havia ouvido falar muitas vezes do Indexador e Processador de Evidências Digitais, mas só recentemente soube que se encontra sob a égide da licença GPL, o que libera o seu livre uso e distribuição, segundo as normas da licença. É nada mais, nada menos que o software desenvolvido pela Polícia Federal brasileira para vasculhar e classificar as enormes massas de dados geradas pela Operação Lava-Jato. Para saber dos vários recursos que o produto possui, leia o arquivo README.md do repositório GitHub;
  • CAINE — É uma distribuição Linux estilo live (ou seja, roda a partir do DVD ou do pen drive). Focada em Análise Forense, ela reúne diversas ferramentas gratuitas, como o Autopsy, FTK Imager, Wireshark, e muitas outras. Algumas delas também estão presentes no Kali. Com ele, você consegue executar perícias sem precisar de muito auxílio externo;
  • Paladin — Pertencente à SUMURI, empresa focada em construção de ferramentas para forense, o Paladin é outra distribuição que congrega muitos softwares relacionados, incluindo coleta e análise de memória RAM, criptografia, análises de malware, file carving, e demais categorias. Está disponível para plataformas de 32 e 64 bits;
  • Santoku Linux — A terceira e última distribuição que eu incluo na lista é a Santoku. Esta, no entanto, é focada para dispositivos móveis. Com o mesmo apelo do CAINE, de só incorporar código gratuito e/ou livre, a distribuição possui três categorias de ferramentas: Mobile Forensics, Mobile Malware e Mobile Security;
  • Kali — Mantido pela Offensive Security, é uma distribuição Linux mais conhecida entre os pentesters, porém, compartilha diversas ferramentas de Análise Forense com seu “primo investigador” CAINE. O Kali, no entanto, possui um diferencial: também está disponível para o processador ARM;
  • Parrot — O “papagaio” é uma distribuição baseada no Debian que segue três correntes: Segurança, Privacidade e Desenvolvimento. Nele, você encontrará ferramentas que lhe ajudarão a exercitar cada uma dessas correntes. A parte de Análise Forense está em Segurança;
  • Volatility — Criada e mantida pela Volatility Foundation, é uma das ferramentas de análise de RAM mais usadas no mundo. Escrevi um artigo sobre ele. O grande diferencial do Volatility é a inclusão de plugins que podem ser desenvolvidos por qualquer pessoa. Com o uso deles, torna-se viável interpretar e apresentar resultados de amostras pertencentes a praticamente qualquer sistema operacional disponível;
  • Autopsy — Trata-se de uma plataforma de código aberto, extremamente atualizada, construída para auxiliar o Sleuth Kit. Com ele, você consegue criar um caso, definir mais de um analista para trabalhar ao mesmo tempo, distribuir atividades entre eles, empregar expressões regulares ao criar e executar scripts para facilitar tarefas. É possível deixar um servidor com ele em execução ao qual todos podem se conectar;
  • Cellebrite — Conforme citado na lista anterior, a empresa dispõe de um software que é, segundo ela, líder no mercado de análise forense em smartphones. Ainda segundo a empresa, é a única ferramenta capaz de quebrar a criptografia de qualquer iPhone e iOS, o telefone comercial com mais recursos de segurança atualmente disponível. Sabida por possuir produtos de altíssimo custo, costuma estampar páginas de notícias envolvendo grandes investigações;
  • Oxygen — A empresa possui um conjunto de produtos para auxiliar os investigadores em diversas tarefas integrantes da perícia, como coleta de dados, análise, recuperação e extração de dados, incluindo ativos presentes em nuvens públicas.

8 — Certificações

Por último, deixei as certificações. Quem me conhece e conversa um pouco comigo, sabe que eu sempre as recomendo após se ter um mínimo de experiência na área desejada. Com Análise Forense, não poderia ser diferente. Abaixo, algumas que merecem destaque, elencadas segundo ordem de dificuldade.

  • ACE (AccessData Certified Examiner) — A empresa é mais conhecida pelo famoso FTK Imager, uma excelente ferramenta para coleta de evidências em disco rígido (cópia forense), disponível gratuitamente. Até há bem pouco tempo, o material de estudo e o próprio exame eram gratuitos, mas a partir de 01/02/2018, a empresa decidiu começar a cobrar pela prova (US$ 100,00);
  • CHFI (Computer Hacking Forensic Investigator) — Mantida pelo EC-Council, mais conhecido pela famosa certificação C|EH (Certified Ethical Hacker). Com uma duração média de 4 horas e cerca de 150 questões, o exame atesta a capacidade do candidato em áreas pertinentes: regulamentação/legislação, coleta de evidências, procedimentos, conceitos de crimes digitais, e muitas outras;
  • EnCE (Encase Certified Examiner) — Proveniente da Encase, outra empresa muito conhecida no cenário forense internacional, a certificação atesta a capacidade do profissional em corretamente usar seus produtos. Assim como ocorre com a Cellebrite, os softwares costumar custar valores altos, e são normalmente usados em investigações mais sofisticadas ou usando recursos comumente não disponíveis em produtos livres ou de código aberto;
  • CFCE (Certified Forensic Computer Examiner) — Criada e mantida pela IACIS (International Association of Computer Investigative Specialists), é uma certificação se divide em duas fases, onde a primeira é composta por 4 problemas com 30 dias para se resolver e a segunda, onde você recebe um disco rígido para resolver diversas questões sobre o material contido nele, além de um teste teórico com 100 perguntas. Osso duro!;
  • SANS GIAC — E lá vamos nós de novo com o SANS Institute. Através de sua divisão GIAC (Global Assurance Information Certification), são apresentados seis certificações relacionadas a Forense Computacional. Elas vão desde analista forense, passando por malware e engenharia reversa, e chegando até inteligência de ameaças. São sabidamente difíceis de alcançar e costumam remunerar muito bem.

Espero que você tenha gostado do esforço em compartilhar um pouco do conhecimento que possuo neste mundo fantástico da Análise Forense. Peço que comente no espaço abaixo com referências a outros softwares, canais, blogs ou conteúdo relevante que você conhece.

--

--

TechRebels
TechRebels

Published in TechRebels

The day-to-day of the IT Infrastructure. Higher quality content and less filter :P

Maurício Harley
Maurício Harley

Written by Maurício Harley

CCIE duplo (R&S/SP), CISSP, VCIX-NV (VMware NSX), MCSE Cloud Platform. Trabalho com Cloud Computing e Cyber Security. Veja meu blog em https://itHarley.com.