Palestra Live Analisys: Tecnicas para coleta forense de memória

Horário: 15:40 as 16:30

Duração: 40 minutos (mais 10 minutos para perguntas e respostas)

Local: Associação Cultural Cecília

Resumo

Dentro da literatura forense, é ponto pacífico que se um First Responder (a primeira pessoa a responder ao incidente) encontrar um equipamento desligado, ele deve mantê-lo desligado. Ligar um equipamento eletrônico significa alterar seu estado, o que pode destruir informações ou inutilizar a prova para fins forenses. Por outro lado, uma das mais importantes decisões de um First Responder e quanto a desligar ou não o equipamento quando este se encontra ligado.

Recuperar as informações da memória é uma oportunidade única, que o first responder deve aproveitar sempre, recuperar uma senha em texto puro na memória RAM, por exemplo, faz muito mais sentido do que passar dias ou meses tentando quebrar uma senha ou a criptografia de dados em disco, sem nenhuma garantia de sucesso. Por outro lado, o risco do first responder invalidar legalmente todas as evidências, ou de algum programa estar destruindo as informações da memória auxiliar (discos, cartões, etc) deve ser pesado, pois o investigador pode acabar de mãos vazias.

Se no passado recomendava-se apenas puxar a tomada e levar o equipamento para o laboratório, vivemos hoje um momento em que as tecnologias estão em constante mudança e as pessoas cada vez mais conectadas. A quantidade de dados que manipulamos online faz com que não se possa mais ignorar o conteúdo da memória volátil.

Ao chegar na cena de um crime, por exemplo, um investigador pode encontrar informações na memória volátil que ainda não foram salvas nos discos, informações que não serão salvas, como senhas e hashes de senhas utilizadas em criptografias recentes ou em acessos a serviços online. No momento de uma apreensão, pode-se encontrar ainda informações que indicam outros lugares onde procurar dados, como drives de redes aos quais o computador está conectado e conexões na internet, que podem variar desde um simples disco ligado a um roteador wireless a discos virtuais na nuvem.

Como consequência deste cenário muito mais complexo, os colaboradores responsáveis por resposta a incidentes e forense digital precisam atualizar-se constantemente para que possam atuar com mais eficiência, identificando a situação, capturando uma imagem e analisando posteriormente a memória volátil, utilizando-se de uma ampla gama de ferramentas para essa tarefa.

Nesta apresentação,detalharemos algumas características da memória volátil, as implicações de manter um equipamento ligado ou desliga-lo, e as técnicas utilizadas para adquirir os dados da memória volátil nas plataformas Windows, Macintosh e Linux.

Palestrantes

Fernando Fonseca - Diretor de Educação da Segurança Objetiva Vice-presidente do ISSA Brasil Chapter e Consultor de segurança da informação certificado CISSP- ISSAP, CHFI, ACE, ISMAS, ISFS, Security +, MCSO, MCT e MCSE Security. Graduado em processamento de dados e pós-graduado em Multimídia e Internet (UFES), Segurança da Informação (UNIRIO) e Administração de Redes Linux (UFLA). Atua como professor de pós-graduação na Faculdade Impacta de Tecnologia, Escola Paulista de Direito e UNI-BH .

Atuou também como Professor de graduação e pós-graduação na Universidade Anhembi-Morumbi e UNIP, Diretor de comunicação do ISSA Brasil Chapter entre 2006 e 2010, Gerente de conteúdo da Módulo Security Solutions , Coordenador de treinamentos na Techbiz Forense Digital, Test engineer e Consultor de segurança na Microsoft, onde foi responsável pelo conteúdo dos programas Academia de Segurança da Informação, Technet Security Experience e do Fast Start Security da Microsoft