INTERCÂMBIO E FORMAÇÃO TÉCNICOS DE INFORMÁTICA FORENSE PARTICIPAM EM ACÇÃO DE FORMAÇÃO Ry a n R . K u b a si a k , u m d o s a u t o r e s d o famoso livro “Mac OS X, iPod, and iPhone Forensic Analysis DVD Toolkit”. O âmbito deste cu rso foi muito ala rga do, t e ndo - se fo ca do sobret udo: a história, conceito e instruções mais usadas do sistema oper at ivo Lin u x; t r uques de recol ha de d a dos no Linu x, i nclu i ndo a utilização da instrução "dd" para recolher i n for m a ç õ e s no p r ó p r io c om put a d or, o A Polícia Judiciária enviou, entre 6 e 17 uso do disco r ígido EnCase para iniciar um de Dezembro de 2010, Ho Weng Kin, técnico comput ador e depois recol her i nfor mações, superior da Divisão de Informática Forense, e bem como a combinação da instrução "nc" com Choi Ka Ut, investigador criminal da Divisão a Internet para a recolha de dados; explicações de Investigação de Crimes Informáticos, para se det al ha d a s d a s est r ut u r a s e ca r acter íst ica s deslocarem a Hong Kong Police Headquarters d o s f i c h e i r o s E x t 2, E x t 3, E x t 4 e LV M d o e p a r t i c i p a r e m n o “L i n u x a n d M a c i n t o s h sistema operativo Linux, contendo conceitos Comp uter Foren sic Course ( Le vel 2)”, com e análises do Superblock, Group Descriptor, duração de duas semanas. Estiveram presentes Block bit map, i- Node bit map, i- Node table formandos vindos da Polícia de Hong Kong, do e Data block ; tr uques para utilizar os LVM Hong Kong Customs and Excise Department e management tools para cr iar, alterar e ler o de Singapura. sistema de arquivos LVM; t r uques para usar Nos pr imeiros cinco dias o cu rso focou os LVM management tools, Ext3grep, Sleuth o si s t e m a o p e r at ivo Li n u x, le c cio n a d o p or Kit e TCT para recuperar dados nos sistemas u m sa rgento do Technolog y Cr ime Division de arquivos Ext2, Ext3, Ext4 e LVM; tr uques do Commercial Crime Bureau d a Polícia de para examinar e analisar o sistema de arquivos Hong Kong; nos outros cinco dias efectuou-se Linu x que foi acessado ilegit i mamente, o cu rso específ ico para o sistema operativo incluindo a recolha de vestígios da invasão, Macintosh, ensinado por dois especialistas da a procura de contas, f icheiros, open port ou Companhia Sumuri, situada nos EUA, na área ser viços suspeitos, bem como sistemas para de informática forense. Esses especialistas têm recuperar ficheiros relacionados com um caso vasto con heci mento e u ma r ica exper iência específico. n a i nve st iga çã o do c r i me i n for m át ic o e n a Relat ivamente ao Macintosh, foram informática forense, sendo um dos formadores, ex pl ica dos: o exa me e a n ál ise i n for m át ica 71 INTERCÂMBIO E FORMAÇÃO fore n se no sist ema ope r at ivo Macintosh; forenses relativos a iPhone, iPod Touch e iPad, truques para examinar e analisar as aplicações para pôr em prática estas técnicas no trabalho no Mac através do f icheiro plist e da base de diário e proporcionar um apoio técnico eficaz. dados SQLite; a procura Ao mesmo tempo, será possível continuar estes de informações através estudos, baseando-se nas teorias aprendidas, da técnica Spotlight, para melhorar as técnicas no que se refere a instalada neste estes dois sistemas operativos. sistema; a utilização Tendo em consideração as características dos instrumentos de transnacionalidade do crime infor mático, Automator, AppleScript b e m c o m o a s d ive r g ê n c i a s e x i s t e n t e s n o s e ShellScript, instalados diversos sistemas no Mac para designar jurídicos e nos programas informáticos procedimentos pequenos que procedem de investigação a exame e análise informática; o uso do software criminal dos de gestão do servidor Macintosh para recolher vários países, infor mações constantes no própr io ser vidor, participantes t a i s c o m o u s e r n a m e , s h a r e f o l d e r, l o g ; a e formadores introdução de técnicas de ar mazenamento de t i v e r a m dados de grande envergadura (incluindo RAID, oportunidade, Xsan), bem como tr uques e obser vações para através deste curso o uso destas técnicas para proceder à recolha; de formação, de trocar experiência no âmbito do tecnologias virtuais como VMware, Paralles e próprio trabalho, das técnicas de investigação VirtualBox, bem como as respectivas técnicas e d o n í ve l d e c o o p e r a ç ã o , m e l h o r a n d o o s de ut i l i z a çã o e obse r va çõe s; sist e m a s pa r a con he ci mentos ent re pessoa s, fa cil it a ndo a examinar iPhone, iPod Touch e iPad. futura cooperação e fortalecendo a capacidade A caracter ística deste curso foi a teoria combinada com a prática. Para além de dar ensinamentos teóricos, os formadores o r ie n t a r a m o s p a r t ic i p a n t e s n a lg u n s exercícios práticos, como recolha, procura e reconst r ução de dados no sistema Linux e Macintosh, sendo estas técnicas e s s e n c i a i s n o t r a b a l h o r e a l . At r avé s deste curso de formação, o nosso pessoal aprofundou muito os seus conhecimentos de infor mática forense nos dois sistemas operativos, Linux e Macintosh, actualizando também os conhecimentos 72 de investigação da PJ neste âmbito. a