MINISTÉRIO DA JUSTIÇA POLÍCIA JUDICIÁRIA

S.

R.

MINIST?RIO DA JUSTI?A

POL?CIA JUDICI?RIA

UNIDADE DE PLANEAMENTO, ASSESSORIA T?CNICA E DOCUMENTA??O

Tradu??o

BOLETIM INFORMATIVO

Vers?o 2 | Maio de 2019

O que ¨¦ o RAMSES?

O RAMSES ¨¦ um projeto financiado pelo Horizonte 2020, coordenado pelo POLIMI.

Onze parceiros t¨¦cnicos, cient¨ªficos e policiais de toda a Europa est?o a desenvolver uma

Plataforma forense da Internet para

rastrear o fluxo monet¨¢rio de

software malicioso financeiramente

motivado

plataforma hol¨ªstica, inteligente, expans¨ªvel e

modular

para as autoridades respons¨¢veis pela aplica??o da lei,

visando facilitar as investiga??es forenses digitais. O

sistema extrai, analisa e interpreta informa??es extra¨ªdas da Internet, relacionadas com

software malicioso financeiramente motivado.

Um conjunto de ferramentas forenses na Internet

O RAMSES re¨²ne as tecnologias mais recentes numa plataforma de software que integra

sete servi?os:

?

Servi?o OSINT

?

Servi?o Internet obscura

?

Classificador de software de sequestro

?

Servi?o de rastreio de bitcoin

?

Servi?o de an¨¢lise de troianos banc¨¢rios

?

Servi?o forense multim¨¦dia

?

Servi?o de informa??es em mat¨¦ria de software malicioso

Alguns servi?os incluem mais do que uma ferramenta. A maioria destas encontra-se em

linha. Os resultados das ferramentas fora de linha s?o carregados na plataforma do

1/5

S.

R.

MINIST?RIO DA JUSTI?A

POL?CIA JUDICI?RIA

UNIDADE DE PLANEAMENTO, ASSESSORIA T?CNICA E DOCUMENTA??O

Tradu??o

RAMSES e s?o igualmente integrados.

Funcionalidades

Pesquisar grandes volumes de dados j¨¢ objeto de tratamento: endere?os IP, nomes

alternativos, tecnologias, nomes dos RAT ou qualquer outra palavra-chave de interesse

para o investigador.

Visualizar os resultados da an¨¢lise do software maligno, dos agrupamentos e da atividade

forense.

Explorar as rela??es entre diferentes entidades, tais como endere?os IP, nomes de

utilizador, nomes de programas maliciosos, dom¨ªnios.

Alertas podem ser definidos pelas autoridades de aplica??o da lei de modo a detetar

eventos importantes, tais como a revela??o de um servi?o oculto an¨®nimo que vende

software malicioso.

O RAMSES pesquisa,

explora, visualiza e alerta

Servi?o OSINT

O servi?o OSINT (open-source intelligence ou informa??es de fontes abertas) integra

dados na plataforma do RAMSES de fontes como o Twitter, Pastebin, HackForums e

Reddit. As informa??es recolhidas pelos rob?s de pesquisa s¨® s?o armazenadas,

processadas e analisadas quando relacionadas com software malicioso.

Servi?o Internet obscura

O servi?o Internet obscura (darknet service) ¨¦ um motor de pesquisa que permite ao

utilizador procurar os nomes de um software de sequestro e troianos espec¨ªficos ou fazer

2/5

S.

R.

MINIST?RIO DA JUSTI?A

POL?CIA JUDICI?RIA

UNIDADE DE PLANEAMENTO, ASSESSORIA T?CNICA E DOCUMENTA??O

Tradu??o

pedidos mais gen¨¦ricos e encontrar servi?os ocultos na Internet obscura. Os resultados da

pesquisa mostram uma lista de servi?os no Tor relacionados com a(s) palavra(s)-chave.

O utilizador pode filtrar a lista atrav¨¦s de diferentes categorias, por exemplo, ?software

malicioso detetado? e ?software malicioso n?o detetado?.

Al¨¦m disso, o servi?o Internet obscura descarrega informa??es sobre o s¨ªtio Web, recolhe

as impress?es digitais do servidor e correlaciona as mesmas a fim de detetar rela??es entre

s¨ªtios Web.

Classificador de software

de sequestro

O classificador de software de sequestro inclui duas fun??es: an¨¢lise de uma nova captura

de ecr? de software de sequestro (ransomware) e verifica??o de carregamentos anteriores

e dos seus resultados.

As capturas de ecr? do computador infetado da v¨ªtima podem ser carregadas na

plataforma do RAMSES para identificar, classificar e extrair informa??es pertinentes

sobre o software de sequestro.

Servi?o de rastreio de

bitcoin

O servi?o de rastreio de bitcoin analisa a cadeia de blocos, agrupa endere?os, classifica

os utilizadores e atribui-lhes uma etiqueta e, por ¨²ltimo, visualiza informa??es complexas

extra¨ªdas da rede de bitcoin.

Cada n¨® da rede bitcoin deve conservar toda a hist¨®ria de cada transa??o (a chamada

?cadeia de blocos?). O servi?o de rastreio de bitcoin utiliza dados da cadeia de blocos

como entrada e permite ao utilizador pesquisar informa??es relativas a um endere?o de

bitcoin espec¨ªfico.

Exemplo de sa¨ªda de resultados do

servi?o de rastreio de bitcoin do

RAMSES

3/5

S.

R.

MINIST?RIO DA JUSTI?A

POL?CIA JUDICI?RIA

UNIDADE DE PLANEAMENTO, ASSESSORIA T?CNICA E DOCUMENTA??O

Tradu??o

Servi?o forense

multim¨¦dia

O servi?o forense multim¨¦dia ¨¦ um conjunto de ferramentas que consiste em dois

instrumentos: o primeiro instrumento ¨¦ capaz de extrair e processar metadados

pormenorizados de imagens e v¨ªdeos, tais como a localiza??o GPS ou caracter¨ªsticas

t¨¦cnicas. Estas informa??es podem ser utilizadas para identificar a fonte (por exemplo,

c?mara digital, telem¨®vel) de uma imagem/v¨ªdeo quando existe um conjunto de fontes

poss¨ªveis. No caso de n?o existir uma variedade de fontes, pode ser utilizado para agrupar

imagens/v¨ªdeos em conjuntos em que todos os ficheiros sejam provenientes do mesmo

dispositivo.

O segundo instrumento analisa imagens e v¨ªdeos a n¨ªvel dos bytes, do formato do ficheiro

e dos p¨ªxeis, para detetar altera??es e concluir falsifica??es. Os resultados das an¨¢lises

s?o carregados na plataforma do RAMSES.

Geoposicionamento do RAMSES a

um conjunto de imagens no

Google Maps

Servi?o de informa??es

em mat¨¦ria de software

malicioso

O servi?o de informa??es em mat¨¦ria de software malicioso recolhe e correlaciona

atividades de intervenientes mal-intencionados. O servi?o oferece informa??es como os

endere?os IP e uma fam¨ªlia de software malicioso. Fornece informa??es adicionais sobre

intervenientes mal-intencionados ligados a campanhas de software de sequestro e/ou de

troianos banc¨¢rios. A informa??o recolhida n?o se limita a estas campanhas, mas constitui

uma amostra representativa das atividades maliciosas e fornece provas juridicamente

relevantes para a atribui??o de outras atividades criminosas a um interveniente malicioso.

4/5

S.

R.

MINIST?RIO DA JUSTI?A

POL?CIA JUDICI?RIA

UNIDADE DE PLANEAMENTO, ASSESSORIA T?CNICA E DOCUMENTA??O

Tradu??o

Servi?o de an¨¢lise de

troianos banc¨¢rios

O servi?o de an¨¢lise de troianos banc¨¢rios consiste numa vers?o em linha e noutra fora

de linha: a vers?o em linha encontra-se integrada na plataforma do RAMSES. Utiliza

ficheiros bin¨¢rios de troianos banc¨¢rios como entrada e efetua tanto uma an¨¢lise

diferencial como uma an¨¢lise forense em mem¨®ria.

A vers?o fora de linha utiliza um dep¨®sito de mem¨®ria (completo ou parcial) como

entrada, que ¨¦ obtido a partir de uma m¨¢quina infetada. Efetua uma an¨¢lise forense em

mem¨®ria. Os resultados das an¨¢lises s?o carregados na plataforma do RAMSES.

Pr¨®ximos passos...

A plataforma Web do RAMSES est¨¢ a funcionar com a integra??o das ferramentas (em

linha) em graus vari¨¢veis. J¨¢ podem ser obtidos resultados significativos nos dom¨ªnios da

localiza??o financeira de bitcoin associada ¨¤ cibercriminalidade, da caracteriza??o do

software malicioso, da an¨¢lise de imagens e de material v¨ªdeo, do scraping dos meios de

comunica??o social / f¨®runs e da modeliza??o econ¨®mica de software de sequestro. Est?o

atualmente a ser realizados projetos-piloto para avaliar as necessidades das autoridades

de aplica??o da lei enquanto utilizadoras finais do produto. Os resultados s?o utilizados

para melhorar o software do RAMSES e a experi¨ºncia do utilizador.

Para mais informa??es, visite-nos em

ramses2020.eu

siga-nos no Twitter

#RamsesEU

ou contacte-nos por correio eletr¨®nico

info@ramses2020.eu

ou pessoalmente para

Stefano Zanero

Politecnico di Milano

Dip. Elettronica, Informazione e Bioingegneria

Via Ponzio, 34/5

2013 Milano

Este projeto recebeu apoio financeiro do programa de investiga??o e inova??o da Uni?o Europeia ¡ª Horizonte 2020, ao abrigo da

conven??o de subven??o n.? 700326.

5/5

 ................
................

In order to avoid copyright disputes, this page is only a partial summary.

Google Online Preview   Download