__________________________________________________________________________________

FACULDADE DE TECNOLOGIA DE SÃO CAETANO DO SUL

(SEGURANÇA DA INFORMAÇÃO)

ROUBO DE CELULAR
ROUBO DE UM CELULAR E ACESSO AOS DADOS DOS DIRETORES
DA EMPRESA

CAIO YAMADA MIURA

MAURICIO TAKASHI ABE

SÃO CAETANO DO SUL

2024

__________________________________________________________________________________
__________________________________________________________________________________

RELATÓRIO TÉCNICO

SEGURANÇA DA INFORMAÇÃO

SEGNA4

Relatório de Técnico apresentado como

requisito parcial para a obtenção de
aprovação na disciplina de Fundamentos de
Perícia Forense
Nome do estudante: Caio Yamada Muira
Mauricio Takashi Abe
Orientador: Kleber Aristides Ribeiro

SÃO CAETANO DO SUL/SÃO PAULO

2024

__________________________________________________________________________________
__________________________________________________________________________________

Sumário
1. INTRODUÇÃO.................................................................................................................................4
1.2 OBJETIVOS...............................................................................................................................4
2. METODOLOGIA...............................................................................................................................4
3. COLETA...........................................................................................................................................4
4. EXAME............................................................................................................................................5
5. ANÁLISE..........................................................................................................................................5
6. RESULTADOS OBTIDOS...................................................................................................................6
7. CONCLUSÃO...................................................................................................................................7
8. PARECER.........................................................................................................................................8
9. REFERÊNCIAS..................................................................................................................................9
10. ANEXO 1..................................................................................................................................10
11. APENDICE................................................................................................................................11

________________________________________________________________________________
SEGNA4 3
__________________________________________________________________________________

1. INTRODUÇÃO
A Call Forever é uma empresa de grande porte especializada em atendimento
ao cliente, operando em múltiplas localidades no Brasil. Em maio de 2024, um dos
diretores da empresa estava em uma viagem de negócios em São Paulo. Durante
um jantar em um restaurante, ele teve seu celular roubado. Este incidente,
aparentemente simples, teve implicações severas para a segurança da informação
da empresa.

O celular roubado continha informações extremamente sensíveis, incluindo

credenciais de acesso a sistemas internos, dados confidenciais de clientes,
comunicações estratégicas e e-mails corporativos. A perda deste dispositivo expôs a
empresa a um risco significativo de violação de dados.

Após o roubo, os atacantes usaram técnicas sofisticadas de engenharia social

para enviar e-mails de phishing aos colegas do diretor, disfarçando-se como ele.
Esses e-mails convincentes continham links para sites que instalavam trojans nos
dispositivos dos destinatários. Esses trojans permitiram que os atacantes
obtivessem ainda mais informações sensíveis, aumentando a gravidade do
comprometimento de dados.

A empresa rapidamente reconheceu a seriedade do incidente e iniciou uma

investigação forense para entender a extensão do comprometimento, identificar os
métodos usados pelos atacantes e implementar medidas para mitigar os riscos e
prevenir futuros incidentes.

Este relatório técnico documenta detalhadamente a investigação conduzida,

desde a coleta e análise das evidências até as recomendações para melhorar a
segurança da informação da empresa.

1.2 OBJETIVOS

O objetivo desta investigação é determinar a extensão do comprometimento

dos dados resultante do roubo do celular do diretor da Call Forever. Além disso, visa
identificar os métodos utilizados pelos atacantes, especificamente as técnicas de

________________________________________________________________________________
SEGNA4 4
__________________________________________________________________________________

engenharia social e phishing empregadas. Com base nas descobertas, o relatório

pretende avaliar os riscos para a segurança da informação da empresa e fornecer
recomendações detalhadas para mitigar esses riscos e prevenir futuros incidentes
semelhantes. Os principais resultados que se pretende alcançar incluem a
compreensão completa do incidente, a identificação das vulnerabilidades exploradas
e a implementação de medidas corretivas e preventivas eficazes.

________________________________________________________________________________
SEGNA4 5
__________________________________________________________________________________

2. METODOLOGIA

Neste tópico serão apresentados os métodos e processos utilizados e

recomendados para a identificação, coleta, exame, análise e apresentação dos
resultados encontrados na investigação, de acordo com os critérios da ISO 27037.

Identificação

A equipe de identificação foi composta por três especialistas em segurança da

informação:

Maria Silva (Chefe de Equipe): Especialista em segurança cibernética com 10

anos de experiência.

João Pereira (Analista Forense): Analista forense com 7 anos de experiência

em investigações digitais.

Ana Costa (Técnica de TI): Técnica de TI com 5 anos de experiência em

recuperação de dados.

Detalhes da Identificação:

A equipe realizou uma análise inicial para reconhecer e documentar todas as

evidências digitais relevantes. O celular do diretor foi identificado como a principal
fonte de evidências, juntamente com backups dos dados e logs de e-mails. A equipe
usou ferramentas de software para mapear todas as fontes de dados que poderiam
conter informações relevantes para a investigação.

Coleta

A equipe de coleta foi composta por três profissionais altamente qualificados:

Carlos Mendes (Coordenador de Coleta): Coordenador de coleta com 8 anos

de experiência em segurança da informação.

Fernanda Lopes (Especialista em Coleta de Dados): Especialista em coleta

de dados digitais com 6 anos de experiência.
________________________________________________________________________________
SEGNA4 6
__________________________________________________________________________________

Lucas Ribeiro (Técnico Forense): Técnico forense com 4 anos de experiência

em manipulação de evidências digitais.

Detalhes da Coleta:

A equipe recolheu o celular do diretor, fez cópias dos backups e extraiu os

logs de e-mails. Durante a coleta, foram utilizados procedimentos rigorosos para
garantir que as evidências não fossem alteradas ou danificadas. Cada item foi
embalado e etiquetado adequadamente para manter a cadeia de custódia.

Aquisição

A equipe de aquisição foi composta por três especialistas em forense digital:

Renata Alves (Líder de Aquisição): Líder de aquisição com 9 anos de

experiência em investigação digital.

Pedro Souza (Especialista em Hardware): Especialista em hardware com 7

anos de experiência.

Mariana Oliveira (Analista de Dados): Analista de dados com 5 anos de

experiência.

Detalhes da Aquisição:

A equipe utilizou o FTK Imager para criar imagens forenses dos dispositivos,
incluindo o celular do diretor e os backups. Os cálculos de hash (MD5, SHA-256)
foram realizados para verificar a integridade dos dados. Todas as cópias forenses
foram armazenadas em locais seguros para posterior análise.

Preservação

A equipe de preservação foi composta por três profissionais dedicados:

Rodrigo Martins (Gerente de Preservação): Gerente de preservação com 10

anos de experiência em segurança de dados.

________________________________________________________________________________
SEGNA4 7
__________________________________________________________________________________

Julia Ferreira (Especialista em Integridade de Dados): Especialista em

integridade de dados com 6 anos de experiência.

Ricardo Lima (Técnico de Preservação): Técnico de preservação com 4 anos

de experiência.

Detalhes da Preservação:

A equipe garantiu que todas as evidências digitais coletadas permanecessem

inalteradas durante todo o processo de investigação. As evidências foram
armazenadas em ambientes controlados e seguros, com acesso restrito a pessoal
autorizado. Procedimentos de auditoria foram implementados para monitorar
qualquer acesso ou movimentação das evidências.

Exame

A equipe de exame foi composta por três analistas forenses:

Vanessa Santos (Supervisora de Exame): Supervisora de exame com 8 anos

de experiência em análise forense.

Thiago Costa (Analista Forense): Analista forense com 6 anos de experiência

em investigações cibernéticas.

Carolina Rodrigues (Técnica de Exame): Técnica de exame com 5 anos de

experiência em recuperação de dados.

Detalhes do Exame:

A equipe realizou a extração e análise detalhada das evidências coletadas.

Utilizando ferramentas como EnCase, verificaram aplicativos instalados, dados de
comunicação e conteúdos dos e-mails de phishing. Hashes das imagens foram
calculados para garantir a integridade dos dados analisados.

Análise

A equipe de análise foi composta por três especialistas em cibersegurança:

________________________________________________________________________________
SEGNA4 8
__________________________________________________________________________________

Felipe Gonçalves (Chefe de Análise): Chefe de análise com 10 anos de

experiência em segurança da informação.

Luana Souza (Analista de Segurança): Analista de segurança com 7 anos de

experiência em análise de ameaças.

Daniela Moreira (Especialista em Phishing): Especialista em phishing com 6

anos de experiência.

Detalhes da Análise:

A equipe interpretou os dados extraídos para entender a extensão do

comprometimento e identificar os métodos utilizados pelos atacantes. A análise
incluiu a identificação de técnicas de phishing, a verificação dos trojans instalados e
a avaliação dos riscos associados ao acesso não autorizado. Documentaram todas
as descobertas relevantes e correlacionaram os dados para fornecer uma visão
abrangente do incidente.

Ferramentas Utilizadas

 FTK Imager: Utilizado para criar imagens forenses e extração de dados. É

uma ferramenta essencial para garantir que as cópias das evidências sejam
exatas e não alteradas durante o processo de aquisição.

 EnCase: Utilizado para análise detalhada de dados e recuperação de

informações. Esta ferramenta permite examinar os dados de forma minuciosa,
identificar arquivos ocultos ou deletados e correlacionar informações
relevantes.

 Outros Softwares:

o Autopsy: Utilizado para análise forense de dispositivos móveis e e-

mails de phishing. Permite realizar uma análise profunda dos dados e
extrair informações pertinentes para a investigação.

________________________________________________________________________________
SEGNA4 9
__________________________________________________________________________________

o Wireshark: Utilizado para análise de tráfego de rede, ajudando a

identificar possíveis comunicações suspeitas relacionadas ao
incidente.

Este conjunto de métodos, equipes e ferramentas assegurou que a

investigação fosse conduzida de maneira sistemática, rigorosa e em conformidade
com as melhores práticas internacionais para a análise forense digital.

________________________________________________________________________________
SEGNA4 10
__________________________________________________________________________________

3. COLETA

Atraves de um email envido pelo celular roubado do diretor, houve um acesso

do servidor através de uma url por Onenote que trouxe um arquivo invasor de app
HTML.

Após uma consulta pelo site que foi acessado por um repositório de urls
suspeitas, descobrimos que foi instalado o trojan Qakbit.
https://www.phishtank.com/

Distribuição do Qakbot via OneNote usando arquivo de aplicativo HTML (.hta)

Visão geral

No final de janeiro de 2023, os operadores QakBot começaram a

experimentar este novo tipo de método de distribuição. É semelhante às formas
anteriores, exceto que o anexo do OneNote contém um arquivo HTA incorporado.

________________________________________________________________________________
SEGNA4 11
__________________________________________________________________________________

Anexo de uma nota

Quando um usuário clica em “Abrir” no anexo do OneNote, ele descarta um

arquivo HTA incorporado que é executado usando “mshta.exe” em segundo plano.

Script de arquivo HTA

O script no arquivo HTA usa um aplicativo legítimo “curl.exe” para baixar

arquivos com extensões .png ou .gif, mas na verdade são QakBot DLL. Ele salva o
arquivo DLL na pasta “ C:\ProgramData ” que é posteriormente executado via
rundll32.exe usando a função “wind”.

________________________________________________________________________________
SEGNA4 12
__________________________________________________________________________________

Código

Para ocultar sua presença, a carga útil do QakBot se injeta no Gerenciador de

Tecnologia Assistiva do Windows “ AtBroker.exe ” (o Gerenciador de Tecnologia
Assistiva do Windows foi projetado para ajudar os produtos de Tecnologia Assistiva
(AT) a interagir com elementos de interface de usuário (IU) padrão e personalizados
e para gerenciar elementos assistivos, dispositivos adaptativos e de reabilitação
para pessoas com deficiência.).

Árvore de Processo

Se tentarmos clicar com o botão direito e salvar os gráficos do anexo do

OneNote, a caixa de diálogo salvar como será preenchida previamente com um
nome de arquivo que foi atribuído à imagem no momento da incorporação no
documento. Neste caso, é “Безымянный рисунок” (bezymyanny risunok, russo para
“desenho anônimo”).

Após a identificação do arquivo foi constatado o trojan original e suas cópias feitas
através do numero de hash e de arquivos de mesmo nome em outras pastas e
arquivos.;

________________________________________________________________________________
SEGNA4 13
__________________________________________________________________________________

 Usado o comando certutil para calcular o hash. Por exemplo, para calcular o
SHA-256 de um arquivo:

cmd
certutil -hashfile caminho_do_arquivo SHA256

Fizemos a copia desse arquivo para isolamento e analisa-lo.

Amostra
(ec674e92a9d108d67d2cc0f1f2d20579a8ca8ba6e32af1fe0ed8a1067a426586):
qbot.one

script Powershell: script.ps1

DLL de carga útil Qbot (476e834197ac6cd3080059d86a8a2a49e31212ed75e0d6

8e4e21fcc3bc6b1d8b): 187737.dat

Garantir a Integridade das Evidências

1. Identificação: Cada evidência foi claramente identificada e documentada.

o Celular: Identificado como "Celular do Diretor", com número de série

TA8891XK23.

o Backup: Identificado como "Backup do Celular", com número de série

TA8891XK23.

2. Embalar: As evidências foram embaladas adequadamente para evitar danos

durante o transporte e armazenamento.

o Celular: Embalado em um envelope antiestático, lacrado e etiquetado.

o Backup: Embalado em um envelope antiestático, lacrado e etiquetado.

3. Etiquetar: Cada item foi etiquetado com detalhes sobre a coleta e

identificação.

________________________________________________________________________________
SEGNA4 14
__________________________________________________________________________________

o Celular: Etiqueta com identificação, data/hora da coleta, e nome do

responsável (Carlos Mendes).

o Backup: Etiqueta com identificação, data/hora da coleta, e nome do

responsável (Fernanda Lopes).

4. Cadeia de Custódia: Implementação de um registro detalhado para rastrear

o acesso e movimentação das evidências.

Mídia Eletrônica ou Detalhes do Equipamento

Item Descrição
Celular Celular do diretor
Fabricant Modelo Número de Série
e Edge TA8891XK23
Motorola
Detalhes da Imagem
Data| Responsá Método Nome da Imagem Partes
Hora vel Câmera Celular,
Celular_Diretor_123
2024- Carlos Digital Backup
05-10 Mendes
14:30
Drive HASH
C: f2ca1bb6c7e907d06dafe4687e579fce499dbbc4a580d4bfb9
bf2f3f93c15b75
CADEIA DE CUSTÓDIA
Local Data| Origem Destino Motivo
Hora
Sala 2024-05- Sala Forense Laboratória Forense Coleta de
Forense 10 14:30 Evidências
/ / Carlos Fernanda Lopes
Mendes
XX:XX

XX:XX assinatura assinatura

________________________________________________________________________________
SEGNA4 15
__________________________________________________________________________________

4. EXAME

Extrair informações das cópias;

Apresentar os números de HASH das cópias em ordem de cópia e nomear e

identificar os responsáveis pela ação de análise (pode ser apresentado por meio de
tabelas).

Item Descriçã Fabricant Modelo Número de Condição Responsável

o e Série

Celular Celular Motorola Edge TA8891XK23 Íntegro Carlos

do diretor Mendes

Backup Backup Motorola Edge TA8891XK23 Íntegro Fernanda

do celular Lopes

As evidências foram analisadas para identificar dados relevantes e filtrar

informações que não são pertinentes à investigação. Documentar os dados
encontrados.

5. ANÁLISE

Metodologia da Investigação

A investigação seguiu uma metodologia estruturada para analisar e avaliar

cada item das evidências coletadas, com foco em identificar pessoas, perfis, locais

________________________________________________________________________________
SEGNA4 16
__________________________________________________________________________________

de acesso, correlacionar essas informações, reconstruir a cena do incidente e

documentar os dados relevantes.

Identificação das Pessoas, Perfis e Locais de Acesso

Pessoas Identificadas:

 Diretor da Call Forever: Proprietário do celular roubado, responsável por

comunicações estratégicas e acesso a dados confidenciais.

 Colegas do Diretor: Vários colegas de trabalho que receberam

comunicações do diretor antes do incidente.

Perfis Identificados:

 Diretor: Perfil de alto nível com acesso a informações confidenciais,

credenciais de sistemas internos e comunicações estratégicas.

 Colegas: Perfis variados com diferentes níveis de acesso a dados

corporativos.

Locais de Acesso:

 Restaurante em São Paulo: Local do incidente onde o celular foi roubado.

 Sistemas Internos da Empresa: Locais digitais onde o diretor acessava

informações confidenciais e sistemas internos.

Correlação das Pessoas e Ambientes

A correlação das pessoas e ambientes foi realizada para entender as

interações e acessos antes, durante e após o incidente.

Interações do Diretor:

 O diretor participou de uma reunião no restaurante onde o incidente ocorreu.

 Durante a reunião, o diretor acessou e-mails e documentos corporativos.

________________________________________________________________________________
SEGNA4 17
__________________________________________________________________________________

 Após o incidente, tentativas de acesso aos sistemas internos foram

registradas a partir de dispositivos não autorizados.

Interações dos Colegas:

 Receberam comunicações do diretor antes do incidente.

 Alguns colegas relataram e-mails suspeitos e tentativas de phishing após o

incidente.

Reconstrução da Cena do Incidente

A reconstrução da cena do incidente foi feita utilizando as evidências

coletadas e analisadas.

Noite do Incidente:

 O diretor chegou ao restaurante por volta das 19:00 para uma reunião.

 Durante o jantar, o diretor utilizou seu celular para verificar e-mails e acessar
documentos.

 Por volta das 21:00, o celular foi roubado enquanto o diretor estava distraído.

 O ladrão saiu rapidamente do restaurante e não foi identificado pelas câmeras

de segurança devido a pontos cegos.

Após o Incidente:

 O diretor relatou o roubo às autoridades e à equipe de segurança da

empresa.

 A equipe de segurança iniciou a investigação e coleta de evidências.

Documentação dos Dados e Informações Relevantes

Os dados e informações relevantes foram documentados detalhadamente

para apoiar a investigação e futuras ações corretivas.

Dados de Acesso:
________________________________________________________________________________
SEGNA4 18
__________________________________________________________________________________

 Registros de tentativas de login não autorizadas nos sistemas internos da

empresa.

 Logs de atividades do celular do diretor antes do roubo.

Informações de Comunicação:

 Análise das comunicações do diretor com colegas e clientes.

 Identificação de e-mails de phishing enviados após o incidente.

Dados de Dispositivos:

 Detalhes técnicos do celular do diretor e dos backups analisados.

 Números de hash das imagens forenses para garantir a integridade dos

dados.

Exemplos de Dados Documentados

Aplicativos Instalados: Lista de aplicativos encontrados no celular do diretor,

incluindo aplicativos de e-mail, comunicação corporativa, armazenamento em nuvem
e gerenciamento de projetos.

Histórico de Navegação: Registros de sites visitados pelo diretor, incluindo

acessos a sites corporativos, portais de clientes e redes sociais.

Mensagens e E-mails: Comunicações encontradas no dispositivo, incluindo

e-mails e mensagens com clientes e colegas, com informações confidenciais sobre
projetos em andamento e negociações comerciais.

Arquivos e Documentos: Documentos armazenados no dispositivo, como

planilhas financeiras, apresentações de projetos, documentos estratégicos e
contratos.

Logs de Sistema: Registros de atividades do sistema operacional e

aplicativos, incluindo logs de acesso, alterações de configuração, tentativas de login
e instalação de novos aplicativos.

________________________________________________________________________________
SEGNA4 19
__________________________________________________________________________________

6. RESULTADOS OBTIDOS

A investigação forense revelou vários aspectos críticos relacionados ao roubo

do celular do diretor da Call Forever e as implicações de segurança decorrentes do
incidente. As principais análises foram conduzidas para identificar e possíveis riscos
à segurança da empresa.

1. Análise dos Aplicativos Instalados:

o Foram identificados diversos aplicativos instalados no celular do

diretor, incluindo aplicativos de comunicação, e-mail corporativo,
armazenamento em nuvem e gerenciamento de projetos. Estes
aplicativos continham dados sensíveis que poderiam ser explorados se
acessados por terceiros.

2. Histórico de Navegação:

o O histórico de navegação revelou acessos frequentes a sites

corporativos, portais de clientes e redes sociais, indicando que o
dispositivo era amplamente utilizado para fins profissionais.

3. Mensagens e E-mails:

o Foram analisadas comunicações sensíveis entre o diretor e colegas de

trabalho, clientes e parceiros de negócios. Estas mensagens
continham informações confidenciais sobre projetos em andamento e
negociações comerciais.

4. Arquivos e Documentos:

o A análise dos documentos armazenados no dispositivo revelou a

presença de planilhas financeiras, apresentações de projetos,
documentos estratégicos e contratos, todos contendo informações
críticas para a empresa.

5. Logs de Sistema:

________________________________________________________________________________
SEGNA4 20
__________________________________________________________________________________

o Os logs de sistema forneciam registros detalhados de atividades no

dispositivo, incluindo acessos, alterações de configuração, tentativas
de login e instalação de novos aplicativos. Estes logs foram
fundamentais para rastrear atividades suspeitas após o roubo.

6. Tentativas de Acesso Não Autorizadas:

o Foram identificadas tentativas de login não autorizadas nos sistemas

internos da empresa a partir de dispositivos desconhecidos, indicando
um possível uso indevido das credenciais do diretor.

Hashes das Cópias Forenses

Os hashes das cópias forenses foram gerados para garantir a integridade dos
dados extraídos e analisados. Os hashes fornecem uma maneira de verificar que as
cópias não foram alteradas durante a investigação.

 Celular:

o Nome da Imagem: Celular_Diretor_123

o Hash(SHA-256):
f2ca1bb6c7e907d06dafe4687e579fce499dbbc4a580d4bfb9bf2f3f93c15
b75

o Responsável: Carlos Mendes

 Backup:

o Nome da Imagem: Backup_Celular_123

o Hash(SHA-256):
4a44dc15364204a80fe80e9039455cc1b3b20ab65f603c2f5b9e3f4a635
708d0

o Responsável: Fernanda Lopes

________________________________________________________________________________
SEGNA4 21
__________________________________________________________________________________

7. CONCLUSÃO

A investigação forense sobre o roubo do celular do diretor da Call Forever

revelou várias vulnerabilidades críticas e forneceu uma visão detalhada das
implicações de segurança decorrentes do incidente. As principais avaliações e
definições expostas no relatório técnico incluem:

Principais Avaliações

1. Comprometimento de Informações Sensíveis:

o O celular do diretor continha uma vasta quantidade de informações

sensíveis, incluindo e-mails confidenciais, documentos estratégicos,
planilhas financeiras e comunicações comerciais. A exposição desses
dados poderia resultar em sérios danos à empresa, incluindo perdas
financeiras, comprometimento de projetos em andamento e danos à
reputação.

2. Riscos de Acesso Não Autorizado:

o Foram identificadas várias tentativas de acesso não autorizado aos

sistemas internos da empresa a partir de dispositivos desconhecidos.
Isso indica que as credenciais do diretor podem ter sido
comprometidas, aumentando o risco de uso indevido dessas
informações.

3. Potencial para Ataques de Phishing:

o Após o incidente, foram relatados e-mails de phishing direcionados a

colegas do diretor. Isso sugere que os atacantes podem estar tentando
explorar a situação para obter ainda mais informações confidenciais.

Medidas Recomendadas

1. Implementação de Autenticação Multifator (MFA):

________________________________________________________________________________
SEGNA4 22
__________________________________________________________________________________

o Recomendou-se a implementação de autenticação multifator para

todos os acessos a sistemas críticos da empresa. Essa medida ajudará
a prevenir acessos não autorizados, mesmo que as credenciais sejam
comprometidas.

2. Treinamentos de Conscientização em Segurança da Informação:

o A realização de treinamentos regulares para todos os funcionários

sobre práticas de segurança da informação é essencial. Isso inclui a
conscientização sobre os riscos de phishing, a importância de manter
as credenciais seguras e as melhores práticas para o uso de
dispositivos móveis.

3. Revisão e Fortalecimento das Políticas de Segurança para Dispositivos

Móveis:

o As políticas de segurança para dispositivos móveis precisam ser

revisadas e fortalecidas. Isso inclui a implementação de medidas de
segurança adicionais, como criptografia de dados, bloqueio remoto e
backup regular de informações.

Definições Finais

1. Integridade dos Dados Garantida:

o A integridade dos dados analisados foi garantida através da geração

de hashes SHA-256 para todas as cópias forenses. Isso assegurou
que os dados não foram alterados durante a investigação.

2. Documentação Completa das Evidências:

o Todas as evidências foram devidamente identificadas, embaladas,

etiquetadas e registradas na cadeia de custódia. Isso garante a
validade e confiabilidade das evidências apresentadas.

3. Ações Imediatas e Futuras:

________________________________________________________________________________
SEGNA4 23
__________________________________________________________________________________

o Foram identificadas e implementadas ações imediatas para mitigar os

riscos identificados. Além disso, foram feitas recomendações para
medidas futuras que ajudarão a fortalecer a segurança da informação e
prevenir incidentes semelhantes.

1.1.1 Conclusão Final

A investigação forneceu uma compreensão abrangente das implicações do

roubo do celular do diretor e das vulnerabilidades de segurança associadas. A
análise detalhada e as recomendações fornecidas servirão como base para a
empresa melhorar suas práticas de segurança da informação, proteger seus dados
confidenciais e mitigar riscos futuros. A documentação completa e rigorosa da
investigação assegura que todas as medidas recomendadas sejam baseadas em
evidências sólidas e análises detalhadas.

8. PARECER

O presente parecer foi elaborado conforme as diretrizes estabelecidas pela

norma ABNT NBR ISO/IEC 27037, que trata das técnicas de segurança para a
identificação, coleta, aquisição e preservação de evidência digital. A análise seguiu
rigorosamente os procedimentos recomendados para assegurar a integridade e a
validade das evidências digitais, conforme descrito abaixo.

Identificação das Evidências

A identificação das evidências digitais foi realizada de maneira meticulosa,

garantindo que cada item fosse claramente identificado e documentado. Foram
utilizadas etiquetas detalhadas com informações específicas sobre cada evidência,
incluindo data, hora, local de coleta, número de série e responsável pela coleta. Este
procedimento assegurou que todas as evidências fossem facilmente rastreáveis e
verificáveis.

Coleta das Evidências

A coleta das evidências digitais foi conduzida seguindo os procedimentos

padrão da ISO/IEC 27037. Foram utilizados métodos apropriados para evitar a
alteração ou contaminação das evidências durante o processo de coleta. Cada
evidência foi embalada em materiais antiestáticos e lacrada para manter sua
integridade.

________________________________________________________________________________
SEGNA4 24
__________________________________________________________________________________

Aquisição das Evidências

A aquisição das evidências foi realizada utilizando ferramentas forenses

confiáveis, Autopsy, para criar cópias exatas dos dados originais. Fizemos a
instalação e a varredura no celular para a confirmação de malware que foi
detectado.

Durante a aquisição, foram gerados números de hash (SHA-256) para cada

cópia forense, garantindo que os dados não fossem alterados durante o processo.
Os números de hash foram documentados e comparados com os originais para
verificar a integridade.

________________________________________________________________________________
SEGNA4 25
__________________________________________________________________________________

Preservação das Evidências

As evidências digitais foram preservadas de acordo com as diretrizes da

ISO/IEC 27037. Todas as evidências foram armazenadas em condições seguras,
protegidas contra acesso não autorizado e danos físicos. A cadeia de custódia foi
rigorosamente mantida, com registros detalhados de cada movimentação das
evidências, incluindo transferências entre responsáveis e locais de armazenamento.

Análise e Resultados

A análise das evidências digitais foi realizada de forma sistemática e

detalhada. Os dados extraídos foram cuidadosamente examinados para identificar
informações relevantes, correlacionar eventos e reconstruir a cena do incidente. As
principais descobertas e números de hash das cópias forenses foram documentados
para garantir a transparência e a confiabilidade dos resultados.

 Celular do Diretor:
o Nome da Imagem: Celular_Diretor_123
o Hash (SHA-256):
f2ca1bb6c7e907d06dafe4687e579fce499dbbc4a580d4bfb9bf2f3f93c15
b75

 Backup do Celular:
o Nome da Imagem: Backup_Celular_123
o Hash (SHA-256):
4a44dc15364204a80fe80e9039455cc1b3b20ab65f603c2f5b9e3f4a635
708d0

Conclusão do Parecer

Para a verificação que não havia mais nenhuma comjunicação suspeita do

celular ou do computador teste identificado, foi usado o wireshark para a analise.

________________________________________________________________________________
SEGNA4 26
__________________________________________________________________________________

A investigação foi conduzida em conformidade com a norma ABNT NBR

ISO/IEC 27037, assegurando que todas as etapas de identificação, coleta, aquisição
e preservação das evidências digitais seguissem as melhores práticas
internacionais. A integridade das evidências foi garantida ao longo de todo o
processo, e os resultados obtidos fornecem uma base sólida para as ações
corretivas e preventivas recomendadas.

O relatório final documenta de forma completa e detalhada todos os

procedimentos realizados e os dados analisados, proporcionando uma visão clara e
precisa do incidente e das vulnerabilidades de segurança identificadas. As medidas
recomendadas contribuirão significativamente para melhorar a segurança da
informação da empresa e prevenir futuros incidentes semelhantes.

________________________________________________________________________________
SEGNA4 27
__________________________________________________________________________________

9. REFERÊNCIAS

Para a elaboração deste relatório técnico, foram consultadas as seguintes

referências:

 ABNT – Associação Brasileira de Normas Técnicas.

o Norma: NBR ISO/IEC 27037
o Título: Tecnologia da informação — Técnicas de segurança —
Diretrizes para identificação, coleta, aquisição e preservação de
evidência digital.
o Publicação: ABNT: Rio de Janeiro, 2013.
 Pereira, A. (2014).
o Título: Introdução à Perícia Forense.
o Editora: Forense Digital.
 Carrier, B. (2005).
o Título: File System Forensic Analysis.
o Editora: Addison-Wesley Professional.
 Casey, E. (2011).
o Título: Digital Evidence and Computer Crime: Forensic Science,
Computers and the Internet.
o Editora: Academic Press.
 Nelson, B., Phillips, A., & Steuart, C. (2014).
o Título: Guide to Computer Forensics and Investigations.
o Editora: Cengage Learning.
 Altheide, C., & Carvey, H. (2011).
o Título: Digital Forensics with Open Source Tools.
o Editora: Syngress.
 Reith, M., Carr, C., & Gunsch, G. (2002).
o Título: An Examination of Digital Forensic Models.
o Publicação: International Journal of Digital Evidence, Volume 1, Issue
3.

Estas referências foram utilizadas para fundamentar a investigação forense,

garantindo a conformidade com as melhores práticas e normas técnicas aplicáveis.
A consulta a estas fontes permitiu uma análise detalhada e a formulação de
recomendações baseadas em evidências sólidas e conhecimentos especializados
no campo da perícia forense digital.

________________________________________________________________________________
SEGNA4 28
__________________________________________________________________________________

________________________________________________________________________________
SEGNA4 29
__________________________________________________________________________________

10. ANEXO 1

Documentação Visual das Evidências

A seguir, estão as imagens coletadas durante a investigação, que
documentam as evidências analisadas.
A. Celular do Diretor
Imagem do celular do diretor, um Motorola Edge, que continha dados
sensíveis da empresa. O celular foi devidamente documentado e analisado.
B. Backup do Celular
Imagem do dispositivo utilizado para o backup dos dados do celular do diretor.
O backup foi essencial para a recuperação e análise das informações.
Números de Hash das Evidências
Para garantir a integridade dos dados analisados, foram gerados números de
hash (SHA-256) das cópias forenses das evidências. Os hashes são apresentados a
seguir:
 Celular do Diretor
o Nome da Imagem: Celular_Diretor_123
o Hash(SHA-256):
f2ca1bb6c7e907d06dafe4687e579fce499dbbc4a580d4bfb9bf2f3f93c15
b75
o Responsável: Carlos Mendes
 Backup do Celular
o Nome da Imagem: Backup_Celular_123
o Hash(SHA-256):
4a44dc15364204a80fe80e9039455cc1b3b20ab65f603c2f5b9e3f4a635
708d0
o Responsável: Fernanda Lopes
Detalhes do Procedimento de Coleta e Análise
Os procedimentos de coleta e análise seguiram rigorosamente as
diretrizes da ISO/IEC 27037 para assegurar a integridade e validade das
evidências:
1. Identificação e Embalagem:

________________________________________________________________________________
SEGNA4 30
__________________________________________________________________________________

o Cada item foi identificado com etiquetas detalhadas e embalado em

materiais antiestáticos para evitar danos e contaminação.
2. Aquisição de Dados:
o Utilizou-se o FTK Imager para criar imagens forenses dos dispositivos,
garantindo que as cópias fossem exatas e inalteradas.
o Os números de hash foram gerados e documentados para verificar a
integridade das cópias.
3. Preservação e Cadeia de Custódia:
o Todas as evidências foram armazenadas em locais seguros e
protegidas contra acesso não autorizado.
o A cadeia de custódia foi rigorosamente mantida, com registros
detalhados de cada movimentação das evidências.
Este anexo fornece uma visão abrangente das etapas visuais e documentais
envolvidas na investigação, reforçando a transparência e a integridade do processo
forense.

11.APENDICE

A. Documentação das Evidências

A.1. Detalhes das Evidências Coletadas
 Celular do Diretor
o Descrição: Celular do diretor da Call Forever.
o Fabricante: Motorola
o Modelo: Edge
o Número de Série: TA8891XK23
o Condição: Íntegro, numerado e identificado.
o Data/Hora da Coleta: 2024-05-10 14:30
o Responsável pela Coleta: Carlos Mendes
o Método de Coleta: Câmera Digital
o Nome da Imagem: Celular_Diretor_123

________________________________________________________________________________
SEGNA4 31
__________________________________________________________________________________

o Hash(SHA-256):
f2ca1bb6c7e907d06dafe4687e579fce499dbbc4a580d4bfb9bf2f3f93c15
b75
 Backup do Celular
o Descrição: Backup dos dados do celular do diretor.
o Fabricante: Motorola
o Modelo: Edge
o Número de Série: TA8891XK23
o Condição: Íntegro, numerado e identificado.
o Data/Hora da Coleta: 2024-05-10 15:00
o Responsável pela Coleta: Fernanda Lopes
o Método de Coleta: Câmera Digital
o Nome da Imagem: Backup_Celular_123
o Hash(SHA-256):
4a44dc15364204a80fe80e9039455cc1b3b20ab65f603c2f5b9e3f4a635
708d0
B. Ferramentas Utilizadas
B.1. FTK Imager
 Descrição: Ferramenta utilizada para criação de imagens forenses e
extração de dados.
 Uso na Investigação: Criação de cópias forenses dos dados do celular e do
backup, geração de hashes para verificação de integridade.
B.2. EnCase
 Descrição: Software de análise forense utilizado para exame detalhado de
dados e recuperação de informações.
 Uso na Investigação: Análise dos dados extraídos das imagens forenses,
incluindo comunicações, documentos e logs de sistema.
C. Procedimentos de Cadeia de Custódia
C.1. Registro de Cadeia de Custódia
 Local: Sala Forense
o Data/Hora: 2024-05-10 14:30
o Origem: Local do Incidente

________________________________________________________________________________
SEGNA4 32
__________________________________________________________________________________

o Destino: Sala Forense

o Motivo: Coleta de Evidências
o Responsável Origem: Carlos Mendes
o Responsável Destino: Fernanda Lopes
o Assinatura Origem: Carlos Mendes
o Assinatura Destino: Fernanda Lopes
 Local: Sala Forense
o Data/Hora: 2024-05-10 15:00
o Origem: Sala Forense
o Destino: Laboratório Forense
o Motivo: Análise de Backup
o Responsável Origem: Fernanda Lopes
o Responsável Destino: Lucas Ribeiro
o Assinatura Origem: Fernanda Lopes
o Assinatura Destino: Lucas Ribeiro
D. Exemplos de Dados Documentados
D.1. Aplicativos Instalados
 Descrição: Lista de aplicativos encontrados no celular do diretor.
 Detalhes Relevantes: Aplicativos de e-mail, comunicação corporativa,
armazenamento em nuvem e gerenciamento de projetos.
D.2. Histórico de Navegação
 Descrição: Registros de sites visitados pelo diretor.
 Detalhes Relevantes: Acessos a sites corporativos, portais de clientes e
redes sociais.
D.3. Mensagens e E-mails
 Descrição: Comunicações encontradas no dispositivo.
 Detalhes Relevantes: E-mails e mensagens com clientes e colegas,
incluindo informações confidenciais sobre projetos em andamento e
negociações comerciais.
D.4. Arquivos e Documentos
 Descrição: Documentos armazenados no dispositivo.
________________________________________________________________________________
SEGNA4 33
__________________________________________________________________________________

 Detalhes Relevantes: Planilhas financeiras, apresentações de projetos,

documentos estratégicos e contratos.
D.5. Logs de Sistema
 Descrição: Registros de atividades do sistema operacional e aplicativos.
 Detalhes Relevantes: Logs de acesso, alterações de configuração, tentativas
de login e instalação de novos aplicativos.
E. Referências Normativas
E.1. ABNT – Associação Brasileira de Normas Técnicas.
 Norma: NBR ISO/IEC 27037
 Título: Tecnologia da informação — Técnicas de segurança — Diretrizes
para identificação, coleta, aquisição e preservação de evidência digital.
 Publicação: ABNT: Rio de Janeiro, 2013.

________________________________________________________________________________
SEGNA4 34