INTERCÂMBIO E FORMAÇÃO
TÉCNICOS DE INFORMÁTICA FORENSE
PARTICIPAM EM ACÇÃO DE FORMAÇÃO
Ry a n R . K u b a si a k , u m d o s a u t o r e s d o
famoso livro “Mac OS X, iPod, and iPhone
Forensic Analysis DVD Toolkit”.
O âmbito deste cu rso foi muito
ala rga do, t e ndo - se fo ca do sobret udo: a
história, conceito e instruções mais usadas
do sistema oper at ivo Lin u x; t r uques de
recol ha de d a dos no Linu x, i nclu i ndo a
utilização da instrução "dd" para recolher
i n for m a ç õ e s no p r ó p r io c om put a d or, o
A Polícia Judiciária enviou, entre 6 e 17
uso do disco r ígido EnCase para iniciar um
de Dezembro de 2010, Ho Weng Kin, técnico
comput ador e depois recol her i nfor mações,
superior da Divisão de Informática Forense, e
bem como a combinação da instrução "nc" com
Choi Ka Ut, investigador criminal da Divisão
a Internet para a recolha de dados; explicações
de Investigação de Crimes Informáticos, para se
det al ha d a s d a s est r ut u r a s e ca r acter íst ica s
deslocarem a Hong Kong Police Headquarters
d o s f i c h e i r o s E x t 2, E x t 3, E x t 4 e LV M d o
e p a r t i c i p a r e m n o “L i n u x a n d M a c i n t o s h
sistema operativo Linux, contendo conceitos
Comp uter Foren sic Course ( Le vel 2)”, com
e análises do Superblock, Group Descriptor,
duração de duas semanas. Estiveram presentes
Block bit map, i- Node bit map, i- Node table
formandos vindos da Polícia de Hong Kong, do
e Data block ; tr uques para utilizar os LVM
Hong Kong Customs and Excise Department e
management tools para cr iar, alterar e ler o
de Singapura.
sistema de arquivos LVM; t r uques para usar
Nos pr imeiros cinco dias o cu rso focou
os LVM management tools, Ext3grep, Sleuth
o si s t e m a o p e r at ivo Li n u x, le c cio n a d o p or
Kit e TCT para recuperar dados nos sistemas
u m sa rgento do Technolog y Cr ime Division
de arquivos Ext2, Ext3, Ext4 e LVM; tr uques
do Commercial Crime Bureau d a Polícia de
para examinar e analisar o sistema de arquivos
Hong Kong; nos outros cinco dias efectuou-se
Linu x que foi acessado ilegit i mamente,
o cu rso específ ico para o sistema operativo
incluindo a recolha de vestígios da invasão,
Macintosh, ensinado por dois especialistas da
a procura de contas, f icheiros, open port ou
Companhia Sumuri, situada nos EUA, na área
ser viços suspeitos, bem como sistemas para
de informática forense. Esses especialistas têm
recuperar ficheiros relacionados com um caso
vasto con heci mento e u ma r ica exper iência
específico.
n a i nve st iga çã o do c r i me i n for m át ic o e n a
Relat ivamente ao Macintosh, foram
informática forense, sendo um dos formadores,
ex pl ica dos: o exa me e a n ál ise i n for m át ica
71
INTERCÂMBIO E FORMAÇÃO
fore n se no sist ema ope r at ivo Macintosh;
forenses relativos a iPhone, iPod Touch e iPad,
truques para examinar e analisar as aplicações
para pôr em prática estas técnicas no trabalho
no Mac através do f icheiro plist e da base de
diário e proporcionar um apoio técnico eficaz.
dados SQLite; a procura
Ao mesmo tempo, será possível continuar estes
de informações através
estudos, baseando-se nas teorias aprendidas,
da técnica Spotlight,
para melhorar as técnicas no que se refere a
instalada neste
estes dois sistemas operativos.
sistema; a utilização
Tendo em consideração as características
dos instrumentos
de transnacionalidade do crime infor mático,
Automator, AppleScript
b e m c o m o a s d ive r g ê n c i a s e x i s t e n t e s n o s
e ShellScript, instalados
diversos sistemas
no Mac para designar
jurídicos e nos
programas informáticos
procedimentos
pequenos que procedem
de investigação
a exame e análise informática; o uso do software
criminal dos
de gestão do servidor Macintosh para recolher
vários países,
infor mações constantes no própr io ser vidor,
participantes
t a i s c o m o u s e r n a m e , s h a r e f o l d e r, l o g ; a
e formadores
introdução de técnicas de ar mazenamento de
t i v e r a m
dados de grande envergadura (incluindo RAID,
oportunidade,
Xsan), bem como tr uques e obser vações para
através deste curso
o uso destas técnicas para proceder à recolha;
de formação, de trocar experiência no âmbito do
tecnologias virtuais como VMware, Paralles e
próprio trabalho, das técnicas de investigação
VirtualBox, bem como as respectivas técnicas
e d o n í ve l d e c o o p e r a ç ã o , m e l h o r a n d o o s
de ut i l i z a çã o e obse r va çõe s; sist e m a s pa r a
con he ci mentos ent re pessoa s, fa cil it a ndo a
examinar iPhone, iPod Touch e iPad.
futura cooperação e fortalecendo a capacidade
A caracter ística deste curso foi a teoria
combinada com a prática. Para além de
dar ensinamentos teóricos, os formadores
o r ie n t a r a m o s p a r t ic i p a n t e s n a lg u n s
exercícios práticos, como recolha, procura
e reconst r ução de dados no sistema
Linux e Macintosh, sendo estas técnicas
e s s e n c i a i s n o t r a b a l h o r e a l . At r avé s
deste curso de formação, o nosso pessoal
aprofundou muito os seus conhecimentos
de infor mática forense nos dois
sistemas operativos, Linux e Macintosh,
actualizando também os conhecimentos
72
de investigação da PJ neste âmbito.
a