CYBERSI

De Area31 Hackerspace
Responsável: 
* Victor Martins
Alt text
CYBERSI
Cybercrime Scene Investigation

CYBER SI - Cybercrime Scene Investigation

Licença

BSD

https://pt.wikipedia.org/wiki/Licen%C3%A7a_BSD
https://github.com/area31/CYBER-SI/blob/master/LICENSE.md

Bibliografia

ABNT/CEE-137 -2013, ABNT ISO/IEC 27001 e 27037 de 2013

Pedro Monteiro e Marcio Pereira Machado - Desvendando a Computação Forense -2014 / ISBN-10: 8575222600

Evandro Della Vecchia - Perícia Digital, da Investigação à Análise Forense - 2014 / ISBN-10: 8576253100

Chris Prosise e Kevin Mandia - Incident Response Computer Forensics 3ª Edition - 2014 / ISBN-10: 0071798684

BRITZ, MARJIE T. - Computer Forensics And Cyber Crime 3ª Edition - 2014 / ISBN-10: 0132677717

Catch Me If You Know How Travis - Morgan – 2011 / ISBN-10: 0983711801

Bill Nelson, Amelia Phillips, Christopher Steuart - Guide to Computer Forensics and Investigations (with DVD) 5th Edition - 2016 / ISBN-10: 1285060032


Observações iniciais

Este projeto é divido em três partes, metodologia, software e equipamento informático. Antes de iniciar a leitura do Projeto gostaria de ressaltar algumas observações:

Termo Perito em Informática

Atualmente o termo Perito Digital é utilizado para referenciar profissionais com habilidades em computação, porém em nosso projeto trataremos o profissional com expertise em computação como Perito em Informática e nada mais. De acordo com o dicionário Oxford, temos as seguintes definições de digital e informática:

Digital (Of signals or data) expressed as series of the digits 0 and 1, typically represented by values of a physical quantity such as voltage or magnetic polarization. Often contrasted with analogue.

Computer An electronic device for storing and processing data, typically in binary form, according to instructions given to it in a variable program.

Dessa forma o termo "informática" ("computer" em inglês) tem uma referencia maior com o trabalho do perito na área da computação, enquanto o termo "digital" tem uma referencia maior para a transmissão de dados.


Definição

CYBER SI - Cybercrime Scene Investigation Tradução: Crime Informático Sob Investigação.

Esse foi o codename do projeto que consiste em criar uma ferramenta tecnológica para auxiliar Peritos Criminais e Peritos Particulares ao periciar ambientes com dispositivos informáticos.

O CYBER SI se baseia em 3 pilares sendo eles:


Metodologia Forense Computacional

O objetivo do desenvolvimento de uma metodologia Forense Computacional, é definir uma estrutura que garante a coleta, armazenamento, preservação, extração, análise, disponibilidade, materialidade, formalização, requisitos mínimos dos relatórios e laudos, requisitos mínimos profissionais, estrutura física mínima, gestão da qualidade, gestão da segurança da informação com aplicação da ABNT/CEE-137 -2013 e ABNT ISO/IEC 27001 e 27037 de 2013, competência técnica e competência legal previsto no CPC, no exame de dispositivos, programas, softwares ou sistemas, computacionais, seja físico ou digital.


ICFL - International Computer Forensics Library

Alt text
ICFL
Clique na imagem para acessar

A ICFL(International Computer Forensics Library) é um conjunto de métodos, normas e técnicas da forense computacional para instrução do trabalho do Perito em Informática no tangível e no intangível, ou seja, físico e digital. A ICFL é de propriedade da Empresa Mineira de Tecnologia da Informação CNPJ:20.586.819/0001-90, com registro no INPI, mantendo sua atualização juntamente com a Area31 Hackerspace e demais colaboradores.

O objetivo da ICFL é manter uma biblioteca forense computacional e um centro de cursos em informática forense, além de desenvolver técnicas e metodologias Forenses Computacionais, garantindo uma estrutura que respeite os procedimentos técnicos de coleta, armazenamento, preservação, extração, análise, disponibilidade, materialidade e formalização. Cumprindo os requisitos mínimos (relatórios, laudos, requisitos mínimos profissionais legais previsto no CPC e equipamento para analise), no exame de dispositivos, programas, softwares ou sistemas computacionais, seja no físico ou digital.Todos os cursos, técnicas e metodologias da ICFL seguem as normas previstas na ABNT ISO/IEC 27001:2005 e ABNT ISO/IEC 27037 de 2013 (Diretrizes para identificação, coleta, aquisição e preservação de evidência digital).

A Biblioteca Digital (Wiki Forense privada) terá seu acesso restrito para profissionais da área afim de preservar os métodos, normas e técnicas evitando a Antiforense Computacional.

Software PFIX1

O Software PFIX1 é o conjunto de programas criados a partir dos métodos descritos na ICFL. O Software é responsável por orientar o perito na coleta das informações automatizada de ambientes informáticos, nele é registrado a ocorrência pericial e através da aplicação de métodos da ICFL, as informações são inseridas no software e armazenadas em unidade removível criptografada para análise e elaboração do laudo pericial.

Funções

As principais funções do PFIX1 são:

  • Manutenção de ocorrência
  • Manutenção de biometria (coleta de digitais)
  • Manutenção de CD(Vestígio, Evidências e Indícios)
  • Manutenção de usuário
  • Manutenção de relatório
  • Manutenção de Empresa
  • Manutenção de LP

Tecnologias

As principais tecnologias usadas são:

  • Confrontação de digitais
  • Cruzamento de Modus operandi
  • Sniffing - intercepta e registra tráfego de dados e é capaz de decodificar o conteúdo trocado entre computadores de uma rede.
  • Descoberta de rede e mapeamento de topologia, registro de dados dos dispositivos informáticos (ip, mac, dns, proxy, s.o, etc...)
  • Consulta via API WHO.IS dos detentores dos IPS, DNS, coletados de forma automatizada.

Entre outros...

Legenda: CD = coleta de dados, ocorrência = registro do local e/ou objeto periciado, empresa = empresa, instituição, instituto ou outros, LP = laudo pericial.

Case Forense FCX1

O bom equipamento do perito em informática é essencial para coletar os dados no ambiente periciado. Sem as ferramentas adequadas a integridade e disponibilidade dos dados coletados podem ser questionados na investigação ou no judiciário. A case FCX1 disponibiliza uma gama de programas e dispositivos informáticos para auxiliar nas ocorrências periciais. São alguns dos dispositivos integrados na case:

Alt text
FCX1
Desenho do protótipo V1.0

Dispositivos Informáticos

  • Destravamento por sensor NFC
  • Rastreador GPS
  • Dispositivo para gerar clonagem de HD
  • Interface de cabos USB
  • Modem 4G
  • Antenas externas de alta precisão para dispositivos wireless e bluetooth
  • Leitor biométrico
  • Scanner portátil
  • Bateria auxiliar com recarregamento por energia solar

Entre outros...

STATUS do Desenvolvimento

Estamos coletando técnicas e métodos utilizados por peritos em informática nos órgãos como Policia Federal, Policia Civil, CIA, FBI, MOSSAD, Instituições Acadêmicas e demais profissionais na área de tecnologia da informação. Todos os métodos e técnicas serão testados em laboratório e sua eficiência será publicada na ICFL.

Andamento

ICFL - Information Computer Forensics Library - DONE!

WIKI ICFL - Information Computer Forensics Library - DONE!

Case Forense FCX1 - Primeira etapa desenho do protótipo.

Software PFIX1 - Primeira etapa levantamento de requisitos e desenvolvimento da UML.

Colaboração

Aos interessados no projeto, para mais informações envie um e-mail para victor.martins ${ARROBA} emati.com.br ou contato ${ARROBA} area31.net.br


Código fonte

https://github.com/area31/CYBER-SI