Como Trabalhar e Ensinar Forense Computacional ?

[psergiom]

Nós como profissionais de Informática ou melhor das Tecnologias da Informação, como devemos abordar a Forense Computacional ?

Que tal pra começarmos discorrer sobre o assunto, observassemos esta Proposta de Ensino Sobre Forense Computacional.

O que já usamos hoje, como ferramentas e métodos segue alguma padronização?
Ou ainda estamos trabalhando artesanalmente, agindo com os conhecimentos que conseguimos juntar ao longo dos imprevistos, dos incidentes e dos causos comentados?

Aprosa esta franqueada.

[E.Lima]

A proposta é interessante.
Alguns pontos que gostaria de comentar (para variar :) )

Aos estudantes devem ser apresentadas, de forma sistematizada,
técnicas e ferramentas utilizadas para
comprometer sistemas computacionais e, também,
técnicas e ferramentas utilizadas para proteger esses
mesmos sistemas.

Sei lá, acho que isso devia ser pré-requisito. O que devia-se aprender é como usar estas ferramentas para a análise forense, ou como se "transpassar" alguns sistemas de segurança para obter informações (ex. arquivos criptografados )

É comum, em universidades estrangeiras, para disciplinas
com esse tipo de conteúdo, a assinatura obrigatoria de documentos nos quais os alunos assumem o compromisso legal de nao utilizarem esses
conhecimentos para fins inadequados. Por diversas
razoes, essa pratica ainda nao é adotada no Brasil.

Gostaria de saber quais são "as diversas razões". Se vou ensinar um auditor contabil como se fraude um balanço (e como se descobre) claro que gostaria de ter a certeza que ele não vai sair por aí fraudando.

A disciplina está estruturada para ser apresentada em 60 (sessenta) horas/aula, correspondentes a 04 (quatro) creditos, com duas sessoes semanais de 02 (duas) horas/aula cada. Essa carga horaria está distribuidda ao longo de 15 (quinze) semanas.

Achei pouco para análise forense, quanto mais olhando o conteúdo.
conteúdo das 6 primeiras semanas

- introdução (1 semana)
- revisão de TCP/IP (2 semanas)
- detecção de intrusos, resposta à incidentes, logs, NTP (3 semanas)
- aulas práticas:
- Utilizacao de ferramentas para coleta e analise de trafego de rede;
- Implementacao de sistemas de deteccao de intrusos e analise dos respectivos logs;
- Implementacao de um firewall e analise dos logs correspondentes;
- Implementacao de um sistema centralizado de coleta de logs, e
- Implementacao de uma hierarquia NTP.

as 3 primeiras são totalmente desnecessárias; análise forence pressupõe (creio eu) conhecimentos de redes, ataque e defesa.
As 3 seguintes são interessantes.
As aulas práticas devem ser centradas em coleta de evidências, já que espero que o aluno já saiba o que é um log, um sniffer, um IDS/NIDS, etc. Sei lá porque vai se aprender a implantar um NTP.
as próximas 5 semanas

aquisição de evidências
autenticação de evidências
análise das evidências

Sem comentários. gostei. mas já devia ter começado antes.
Talvez devesse ser um curso com pré-requisito em "ataque e defesa", análise de vulnerabilidades, administração de segurança (Gandalf dá uma idéia aí).
Não creio que dá pra ensinar tudo isso em um curso só.

[Dirty Vader]

Acho importante abordar aspectos legais de uma análise forense: em quais circunstâncias fazer? Quem pode e quem não pode fazer? O que é aceito como evidência? Como as evidências devem ser reportadas? Como devem ser preservadas? O que é considerado como violação de privacidade (do "infrator")?
Um conhecimento mínimo destes detalhes podem ser o diferencial entre tomar a ação legal necessária totalmente amparado ou pegar todo o trabalho e jogar no lixo por conta de uma "tecnicalidade".

[]s,

Dirty Vader

[psergiom]

Acho importante abordar aspectos legais de uma análise forense: em quais circunstâncias fazer? Quem pode e quem não pode fazer? O que é aceito como evidência? Como as evidências devem ser reportadas? Como devem ser preservadas? O que é considerado como violação de privacidade (do "infrator")?

Então vejamos se este é um bom começo. Forense Computacional: Aspectos Legais e Padronização.

[psergiom]

Então vejamos se este é um bom começo. Forense Computacional: Aspectos Legais e Padronização.

...Ou quem sabe investigando mais de perto os conceitos para o que venha a ser:
A Nova Ciência Forense.

Técnicas inovadoras de investigação, perícia e formação de prova. Sociologia Forense no Século XXI. Estatística forense. Novo perfil das forças policiais. Psicanálise institucional judiciária. Inteligência institucional nas atividades policiais e forenses. Informática forense. Soluções alternativas de disputas (mediação, arbitragem, conciliação e negociação). Justiça digital e digitalização dos processos, procedimentos e documentos públicos. Administração forense e institucional no Terceiro Milênio. Fluxo de trabalho em processos administrativos e judiciais.

http://www.ijuris.org/projetos/projetos.asp