Certificados

Principais Certificações:

● ACE (AccessData Certified Examiner), realizado pela Access Data:

● CHFI Computer Hacking Forensic Investigator - www.chfi.com
● ACFE Association of Certified Fraud Examiners
● HTCIA Higt Technology Crime Investigation Association
● EnCE (EnCase Certified Examiner), realizado pela Guidance Software.

Principais Certificações em Cursos:

● Computer Hacking Forensic Investigator​ (CHFI) da EC-Council é uma

certificação que prepara o profissional para detectar ataques e extrair
adequadamente as evidências para a comprovação do crime cibernético, assim
como a condução de auditorias que visam prevenir futuros incidentes. ​Computer
forensics​ é simplesmente a aplicação de investigações cibernéticas e técnicas
de análises com o fim de determinar a evidência legal.

● GCFA (​GIAC Certified Forensic Analyst​) A ​GIAC Certified Forensic Analyst

(GCFA) da SANS é uma certificação ideal para profissionais que trabalham na
segurança da informação, com forense computacional e também no campo de
resposta a incidentes. Certifica que os candidatos têm habilidades,
conhecimento e capacidade para realizar investigações de incidentes
computacionais, incluindo invasões, violação de dados, ameaças persistentes
avançadas, detecção de técnicas anti-forense utilizadas, e casos de forense
digital complexos.

● GCFE (​GIAC Certified Forensic Examiner​) Esta certificação da SANS é ideal

para profissionais que atuam ou se interessam na área de segurança da
informação, sobre o direito e a obrigatoriedade legal das indústrias com a
necessidade em entender a análise forense computacional. A certificação
concentra-se na coleta e análise de dados de sistemas operacionais Windows.

● GREM (​GIAC Reverse Engineering Malware​) Esta certificação da SANS é

destinada aos profissionais que protegem uma organização contra códigos
maliciosos. Os profissionais que possuem tal certificação estão aptos a efetuar
 engenharia reversa em malwares que possuem como alvos plataformas como
Windows e navegadores web.

● CCFP (Certified Cyber Forensics Professional), realizado pela (ISC)2.

● DSFE (Data Security Forensics Examiner), realizado pela Data Security

Norma ABNT ISO/IEC 27037:2013

A Perícia Forense Computacional começou na década de 1980, quando os
computadores começaram a se tornar populares, principalmente nos países de primeiro
mundo.

No ano de 1984, surgiu o CART, como um tipo de resposta do FBI aos incidentes
computacionais que estavam se tornando mais frequentes, ainda mais com o
surgimento da ARPA NET. CART significa ​Computer Analysis and Response Team​,
sendo, assim, o primeiro grupo de resposta a incidentes (ou GRI) para lidar com os
diversos crimes computacionais.

No ano de 1991, ocorreu o primeiro grande encontro de International Law Enforcement,

organizado com o intuito de conduzir discussão sobre perícia forense computacional e
as diversas necessidades de criar um padrão de metodologia para atuação contra
esses crimes cibernéticos.

Depois, no ano de 1997, o grupo Scientific Working Group on Digital Evidence

(SWGDE) estabeleceu-se com o grande objetivo de desenvolver um padrão discutido
no evento do 1994.

Em 2001, ocorreu o Digital Forensic Research Workshop, primeiro no mundo, que, hoje,
possui periodicidade anual e conta com diversos palestrantes de vários locais, em que
qualquer indivíduo pode participar para, assim, praticar e realizar teste de seus
conhecimentos de perícia forense computacional.

Forense Computacional

A Forense Computacional abrange todas as questões relacionadas aos crimes

praticados na Internet ou fora dela, chamados ciber-crimes. Estudando como coletar
evidências de crimes e violações, analisar e documentar casos, esta ciência,
relativamente nova, segue as principais metodologias internacionais usadas e adotadas
por todos os países na investigação de crimes e delitos comuns.
Evidência digital entende-se pela informação armazenada ou transmitida em formatos
ou meios digitais. Sendo que essa evidência, na maioria das vezes, é frágil e volátil, o
que requer a atenção de um especialista certificado ou bastante experiente a fim de
garantir que os materiais de valor probatório possam ser efetivamente isolados e
extraídos correta e licitamente. Tais materiais podem ser apresentados em um tribunal
de justiça como prova de materialidade de um crime, por exemplo; ou mesmo como
parte de um laudo pericial.

A Forense Computacional é uma ciência que obtém, preserva e documenta evidências

de dispositivos de armazenamento digital, como computadores, PDAs, câmeras digitais,
telefones celulares e vários dispositivos de armazenamento de memória.

A Computação Forense e organizada em 4 etapas principais: Coleta, Exame, Análise e

Relatório.

Norma ABNT ISO/IEC 27037:2013 – Diretrizes para identificação, coleta, ​aquisição e

preservação​ de evidência digital, sua leitura na íntegra é imprescindível a todos que
pretendem atuar na área de investigação cibernética e Forense Digital.

● Coleta: O objetivo da primeira etapa é identificar, isolar, etiquetar, registrar e

coletar os dados e evidências físicas relacionadas com o incidente que está
sendo investigado, enquanto estabelece e mantem a integridade das provas.

● Exame: identificar e extrair as informações relevantes a partir dos dados

coletados utilizando ferramentas e técnicas forenses adequadas.

● Análise: Analisar os resultados do exame para gerar respostas úteis para as

questões apresentadas nas fases anteriores.

● Relatório (Resultados): inclui encontrar relevância para o caso. Nessa etapa

também é redigido o laudo pericial, o qual deve ter conclusão imparcial, clara e
concisa; deve ter exposto os métodos utilizados na perícia, e deve ser de fácil
interpretação por uma pessoa comum, de conhecimento médio.

Imagem e Espelhamento

De maneira geral, os exames forenses devem ser efetuados em cima de duplicatas

idênticas, as quais são obtidas dos materiais questionados originalmente apreendidos e
submetidas a exames forenses. Dessa forma, deverão ser aplicadas ferramentas e
técnicas que efetuem uma cópia fidedigna dos dados e mantenham a integridade do
material apreendido.

Imagem e Espelhamento são técnicas de duplicação/cópia utilizadas na fase de coleta.

Essas técnicas, ao serem realizadas através de softwares e equipamentos forenses,
garantem uma cópia fiel dos dados e consequentemente a preservação correta do
material que foi apreendido.

Etapa de extração

Depois de finalizada a etapa de coleta, a próxima etapa é extrair dados / informações

relevantes para uma posterior análise. Nessa etapa, é extraído e avaliado o quê pode
ser importante para a investigação. Nesse ponto, podem ser encontradas evidências
inacessíveis, devido à proteção por senha, criptografia, ou prévia exclusão do dado. A
seguir, será revisto importantes ferramentas e técnicas utilizadas na etapa de extração.

Etapa de análise

Esta etapa consiste em examinar os dados/informações extraídos da etapa de extração,

e em seguida identificar evidências digitais, verificando a relação com o fato apurado.

Após a identificação e avaliação das evidências encontradas no material questionado, é

possível responder as perguntas feitas pela autoridade solicitante.

Dessa forma, é importante que o a autoridade solicitante busque sempre detalhar o quê
procura, descrevendo no máximo de detalhes possível, ou seja, que mostre para a
equipe pericial exatamente o quê deve ser buscado, para dessa forma, evitar
desperdício de trabalho ​dos peritos​.

Explosão da Tecnologia

Nas últimas décadas, tem-se notado uma explosão do uso da tecnologia em todas as
áreas da indústria, bem como no dia a dia das pessoas. Não é surpresa que os
criminosos acompanham e até evoluem o emprego da tecnologia no planejamento e
prática de crimes.

A medida que a tecnologia invade o mercado com uma extraordinária quantidade de

periféricos, quase nunca compatíveis entre si, com smartphones, tablets, notebooks,
desktops dentre outros, além de armazenamentos como cloud, pen drives, hd's
externos, etc. Tudo isso somado a enorme quantidade de redes sociais, que já atingem
todo o planeta, como Facebook, Twitter, etc.. exigem uma especialização e
conhecimentos para atuar na área, cada vez maiores.

No Brasil, os crimes eletrônicos estão crescendo cada vez mais de acordo com o
crescimento da informatização, pois existem pessoas sem cuidados com seus e-mails,
redes sociais e também seus arquivos do seu computador pessoal. Assim, um ​cracker
pode invadir sua máquina para tentar obter tais dados, como fotos, número de CPF,
senhas de cartão de créditos, RG.

Para localizar, analisar e identificar como ocorreram essas invasões, são usadas as
ferramentas de perícia forense de rede.
Novos campos profissionais vão surgindo, com o intuito de formar profissionais para
desvendar e solucionar casos que necessitam de inteligência e aprofundamento para
atuar na perícia de crimes. Assim, vão surgindo os peritos forenses computacionais,
que têm características e perfis necessários para dar respostas à justiça. E, para ter
esse perfil profissional, deve-se ter formação superior em tecnologia, especialização,
domínio tecnológico, boa redação para relatar os fatos do caso no laudo pericial e
também de saber línguas estrangeiras, principalmente inglês.

S.O Forenses e Ferramentas

Segundo Queiroz e Vargas (2010)QUEIROZ, Claudemir; VARGAS, Raffael.
Investigação e Perícia Forense Computacional. 1. ed. Rio de Janeiro: Brasport, 2010.,
as ferramentas de perícia forense computacional são capazes de atender a todas as
etapas de uma investigação forense. O que vai determinar a escolha das ferramentas
diante de muitas no mercado será o tipo de caso a ser analisado.

Algumas das funções principais das ferramentas forenses de rede são: analisar o
tráfego, conexões, estatísticas na rede, com o objetivo de extrair, capturar pacotes
PCAP, que são pacotes capturados depois de um monitoramento da ferramenta no
tráfego da rede.

● NetworkMiner: ferramenta voltada para análise forense em redes de

computadores
● Chaosreader: busca vários tipos de arquivos em logs de redes
● Wireshark – htps://www.wireshark.org: O Wireshark é a ferramenta para análise
de redes mais usada em todo mundo, tanto por administradores de redes como
por hackers. O nível de detalhes gerado por essa ferramenta é tamanho que até
hoje eu não conheci nenhum administrador de redes que não tenha consigo
resolver um problema em sua rede utilizando-o.
● Netwitness Investigator: versão free da famosa ferramenta para análise forense
de rede
● Xplico: Ferramenta Open Source para análise forense de redes
● ngrep: Network Grep
● tcpflow: captura um fluxo de informações TCP e o armazena para poder ser feito
depois uma análise dos protocolos
● p0f (Passive OS Fingerprinting): ferramenta para fingerprinting passivo de
OS/rede
● tcpreplay: é uma suíte de ferramentas para editar o tráfego de rede capturado
anteriormente por ferramentas, como tcpdump. O objetivo é testar uma
variedade de dispositivos de rede, como switches, roteadores, firewall, IPS
● SiLK (System for Internet-Level Knowledge): coleção de ferramentas voltadas
para análise de tráfego desenvolvida pela CERT NetSA cujo objetivo é facilitar a
análise da segurança em redes de computadores de grande escala.
● OSSIM: Solução Open Source para SIEM
 ● OSSEC: HIDS Open Source que funciona também como uma ferramenta para
SIEM
● Security Onion: Distribuição Linux específica para se trabalhar com vários IDS
(Intrusion Detection System) e NSM (Network Security Monitoring). Baseada no
Ubuntu, contém SNORT, Suricata, Bro, Sguil, Squert, Snorby, Xplico,
NetworkMiner, etc.

HARDWARE PARA FORENSE COMPUTACIONAL

● Digital Intelligence
● ForensicPC
● ForensicComputers
● Silicon Forensics
● Data Duplication
● Mac Forensics Lab

FRAMEWORKS DE ANÁLISES FORENSE

● OSForensics: ferramenta de análise forense, feita primeiramente para rodar um

sistema "vivo" (Live Forensics), porém, o perito pode montar a imagem como um
volume e rodar a ferramenta contra a imagem montada. Lista das principais
tarefas.
● DFF: ferramenta em python que trabalha com módulos. Para aprender a
trabalhar com esta ferramenta é só seguir o blog e wiki
● DEFT: distribuição linux voltada para forense computacional
● Caine: distribuição linux, italiana, voltada para forense computacional.
● SIFT (Sans Investigative Forensic Toolkit): distribuição linux voltada para forense
computacional, feita pelo SANS.
● VulnHub: Fornece material (várias VMs legalmente frágeis, vulneráveis e
exploráveis) permitindo que qualquer pessoa possa ganhar prática "hands on"
em segurança digital.

ANÁLISE FORENSE DE MEMÓRIA / DUMPS DE MEMÓRIA

● Volatility: framework em python que funciona através de plugins

● Mandiant Redline: nova ferramenta da empresa Mandiant que analisa um dump
de memória, trabalhando inclusive com IOC
● FTK Imager: ferramenta da empresa AccessData que dentre várias outras
coisas, realiza o dump de memória
● Win32dd: faz parte de uma toolkit chamada Moonsols Windows Memory Toolkit.
A versão Community Edition é free.
 ● HBGary Free Tools: conjunto de várias ferramentas grátis da empresa HBGary.

CARVING
● Foremost: ferramenta para recuperar arquivos baseando-se em headers, footers
e estrutura de dados internas. http://foremost.sourceforge.net
● Scalpel: excelente ferramenta para recuperar arquivos com base nos headers e
footers. Funciona independentemente do sistema de arquivos.
● Photorec: excelente ferramenta para recuperar fotos.
● Testdisk: ferramenta que foi inicialmente criada para recuperar partições com
problemas.
● Bulk_Extractor: ferramenta desenvolvida pelo Simson Garfinkel. Foi feita para
recuperar dados em massa.
● Ontrack EasyRecovery –
http://www.krollontrack.com/data-recovery/recovery-software

MONTANDO IMAGENS

● FTK Imager: Ferramenta gratuita da empresa AccessData. Serve tanto para

montar um arquivo de imagem como um volume adicional, como para realizar
uma análise básica na imagem montada
● ImDisk: Faz o mesmo que a ferramenta FTK Imager. Também é gratuita

ANÁLISE DE AMBIENTE WINDOWS

● LastActivityView – http://www.nirsoft.net/utils/computer_activity_view.html
● USBDeview – http://www.nirsoft.net/utils/usb_devices_view.html
● Registry Workshop – http://www.torchsoft.com/en/rw_information.html
● Ultimate Forensics Outflow Win-UFO – http://win-ufo.org/downloads.shtml
● PrefetchForensics – http://www.woanware.co.uk/forensics/prefetchforensics.html

ANÁLISE DE EMAILS

● Kernel for Exchange Server Recovery –

http://www.nucleustechnologies.com/Exchange-Server-Data-Recovery.html

CÁLCULO DE HASH

● MultiHasher – http://www.abelhadigital.com/multihasher
DISPOSITIVOS MÓVEIS (SMARTPHONES)

● MOBILedit! Forensic – http://www.mobiledit.com

● Oxygen Forensic Suite –
http://www.oxygen-forensic.com/en/products/oxygen-forensic-suite/features

DUMP E ANÁLISE DE MEMÓRIA

● Belkasoft Live RAM Capturer – https://belkasoft.com/en/ram-capturer

● Memoryze – https://www.mandiant.com/resources/download/memoryze
● Volatility – https://github.com/volatilityfoundatio

Sistemas Operacionais

Existem hoje, diversos Sistemas Operacionais baseados em Linux e Software Livre,

desenvolvidos exclusivamente para profissionais e estudiosos de Segurança da
Informação e Computação Forense. Quando um serviço nasce, ele pode ser 100%
seguro, mas com a evolução das técnicas de invasão, logo torna-se vulnerável, por isso
é muito importante investir em proteção e segurança.

Os Sistemas Operacionais possuem ferramentas e aplicativos exclusivos para

realização de testes, análises e atividades da área, tais como: recuperação de arquivos
apagados, analisadores de logs do sistema e programas, engenharia reversa, testes de
invasão, vasculhador de tarefas executadas no sistema, analisador de protocolos
enviados e recebidos na rede, programas de força bruta para quebrar senhas, entre
outras coisas. Nesta era, em que estamos conectados em todos os lugares, os
problemas e incidentes tendem a aumentar, o mercado de segurança da informação é
promissor, por isso busque especialização nesta área, com certeza terá retorno rápido.

Aproveite para conhecer alguns sistemas operacionais baseados em Linux e Software

Livre, que reúnem ferramentas e um conjunto de aplicativos customizados para
profissionais da área de segurança da informação, que trabalham com Forense
Computacional. São Eles:

KALI LINUX (ANTIGO BACKTRACK)

Distribuição Linux com foco em segurança da informação e computação forense, o Kali

Linux possui um arsenal de ferramentas para testes que auxiliam os profissionais na
realização de avaliações de segurança. O sistema é destinado a todos os públicos, dos
profissionais de segurança mais experientes aos novatos. Com ótimos recursos, o
sistema pode ser utilizado para análises diversas, avaliação de aplicação web e
sistemas, aprender sobre segurança da informação, estudos de engenharia social,
realizar testes de penetração e vários outros aplicativos.

https://www.kali.org/

FDTK – FORENSE DIGITAL TOOLKIT

Distribuição Linux especializada em segurança da informação e computação forense,

baseada em Ubuntu, tendo como vantagem principal ser toda em português. O projeto
possui um kit com mais de 100 ferramentas utilizadas para realização de testes, coleta,
análises em forense computacional. Possui uma interface gráfica amigável, está em
constante desenvolvimento. O usuário pode baixar a distribuição e instalar na sua
máquina ou utilizar como LIVE CD, podendo rodar em qualquer estação com drive de
CD/DVD sem a necessidade de instalação no Disco Rígido.

http://fdtk.com.br/
CAINE

Distribuição Linux especializada em segurança da informação e computação forense. A

distribuição CAINE (Computer Aided Investigative Environment) é um projeto de forense
digital baseado em Linux e Software Livre. Com uma interface amigável e visual, o
sistema possui um pacote de aplicativos para realização de investigações forense que
vão desde o básico ao avançado. O sistema pode ser utilizado para diversas
avaliações, confira a lista de aplicativos do sistema.

http://www.caine-live.net/
SANTOKU

Distribuição Japonesa Linux especializada em segurança da informação e computação

forense. Possui com foco em segurança mobile, engenharia reversa e análises de
malwares, vírus em dispositivos móveis, nas principais plataformas de smatphones e
tablets. Atualmente as pragas virtuais para smartphones e tablets crescem num ritmo
acelerado, os recursos contidos nessa distribuição são muito úteis para realização de
testes e experiências em segurança móbile.

https://santoku-linux.com/
DEFT

Distribuição Italiana Linux, baseada em Ubuntu, especializada em segurança da

informação e computação forense, com kernel na versão atual 3. Um sistema
profissional, estável com um excelente conjunto de ferramentas para realização de
análises forenses e inteligência cibernética. A distribuição possui cerca de 3 GB de
tamanho, com um kit de ferramentas chamado de DART (Digital Advanced Response
Toolkit – Ferramenta de Resposta Digital Avançada). O ambiente gráfico é o LXDE,
porém no terminal é mais rápido a realização das tarefas. O usuário pode usar o
sistema através do CD – LIVE ou instalar na máquina. O DART possui diversas
ferramentas, citando as principais: descoberta de informações de rede, inclusive
wireless, análise de aplicações web, coleta de informações em redes sociais, proteção
de identidade, clonagem de disco e recuperação de arquivos. A equipe mantenedora do
sistema disponibiliza um manual completo para estudos.

http://www.deftlinux.net/
BACKBOX

Distribuição Linux, baseada em Ubuntu, especializada em segurança da informação e

computação forense. Foi desenvolvida para realização de testes de penetração e
avaliações de segurança. O projeto oferece ao usuário as melhores ferramentas para
análises, testes e investigações forenses. Além de ser rápida e fornecer um ambiente
completo, a distribuição está sempre atualizada para garantir qualidade e evolução
constante.

http://www.backbox.org/
HELIX

Distribuição Linux, também baseada em Ubuntu, especializada em segurança da

informação e computação forense. Possui uma gama de ferramentas dedicada a
investigações e estudos da ciência da computação forense. Foi descontinuada em 2009

http://www.e-fense.com/
REMNUX

Distribuição Linux, também baseada em Ubuntu, utilizada por analistas de segurança na

criação e administração de malwares para engenharia reversa. Engenharia reversa, no
caso, é utilizada para criar pragas para combater as existentes. Os profissionais criam
uma nova amostra de malware em laboratório para infectar o sistema que possui o
malware em questão e direciona as conexões potencialmente maliciosas para o sistema
REMnux, que escutará e analisará o software malicioso. O que ocorre na verdade é a
engenharia reversa, que estuda e entende como funciona o praga para combatê-la. O
kit de ferramentas do sistema inclui programas para análise de documentos maliciosos
e utilitários para a engenharia reversa de malware através de análise forense de
memória.

http://zeltser.com/remnux/
WIFISLAX

Distribuição Linux, baseada no Slackware, especializada em auditoria e Invasão de

Redes , voltada 100% para auditoria/invasão de redes sem fio. A distribuição possui
vasta coleção de utilitários para a realização de conexão sem fio, análises e testes de
segurança completos.

http://www.wifislax.com/
PALADIN

Distribuição Linux voltada para realizar imagens forense de disco

https://sumuri.com/software/paladin/
TIM (Tableau IMager)

Software de Imagem forense de disco gratuito, fabricado pela tableau (famosa empresa
fabricante de bloqueadores de escrita), produz imagens forense no formato .E01, RAW
(formato DD) e .DMG.

https://www.guidancesoftware.com/tableau/download-center#tim