-
FACULDADE DE TECNOLOGIA DE
SO JOS DO RIO PRETO
ANLISE DE TCNICAS FORENSES EM SISTEMAS
COMPUTACIONAIS UTILIZANDO SOFTWARES
LIVRES
CAMILA DE LIMA LOPES
CHARLES RAINIER GONALEZ BELLINTANI DUARTE
Orientador
Prof. Francisco Antonio Almeida
Co-orientador
Prof. Antonio Afonso Cortezi
So Jos do Rio Preto
2010
-
FACULDADE DE TECNOLOGIA DE
SO JOS DO RIO PRETO
ANLISE DE TCNICAS FORENSES EM SISTEMAS
COMPUTACIONAIS UTILIZANDO SOFTWARES
LIVRES
CAMILA DE LIMA LOPES
CHARLES RAINIER GONALEZ BELLINTANI DUARTE
Projeto de Graduao apresentado Faculdade
de Tecnologia de So Jos do Rio Preto para
obteno do grau de Tecnlogo em Informtica
para a Gesto de Negcios, sob a orientao do
Prof. Francisco Antonio Almeida e co-orientao
do Prof. Dr. Antnio Afonso Cortezi.
So Jos do Rio Preto
2010
-
Lopes, Camila de Lima
Anlise de tcnicas forenses em sistemas computacionais
utilizando softwares livres / Camila de Lima Lopes; Charles
Rainier Gonalez Bellintani Duarte So Jos do Rio Preto: FATEC, 2010.
Nmero de pginas f.: 63
Orientador: Prof. Francisco Antonio Almeida
Projeto de Graduao (Curso de Tecnologia em Informtica
para a Gesto de Negcios) Faculdade de Tecnologia de So Jos do Rio Preto FATEC, 2010.
1. Forense Computacional 2. Perito Forense 3.Crimes Virtuais Duarte, Charles Rainier Gonalez Bellintani. II. Ttulo.
CDD: XXX.YY
-
DEDICATRIA
Esse trabalho dedicado as nossas famlias, professores e amigos que de muitas
formas nos incentivaram e ajudaram para que fosse possvel a concretizao deste.
-
AGRADECIMENTOS
A Deus, pela vida.
Aos Professores Francisco Antonio Almeida e Antnio Afonso Cortezi, por terem
aceitado a proposta de serem nossos mentores e disponibilizado auxlio, tempo e material.
A todos os colegas de sala, pois nesses trs anos de curso superamos muitos
obstculos tanto a nvel escolar, quanto a nvel pessoal e profissional. Em especial
agradecemos aos colegas: Gisele Numer, Lucas Marques, rika Shigaki, Johny Oliveira, Igor
Rozani, Fernando Andrade, Felipe Bueno, Danilo Domiciano e Afonso Amaro, pois, de modo
especial, eles contriburam no nosso objetivo de concluir o curso de maneira honrada.
Por ltimo, e no menos importante, as nossas famlias, pais e irmos, a quem
devemos nossa educao e carter, pela perseverana com que sempre acreditaram e
incentivaram nossos sonhos que agora se realizam.
-
RESUMO
H alguns anos o crescimento da tecnologia exponencial e indiscutvel. Em
paralelo a esse crescimento, crescem os crimes digitais. A rea que investiga tais crimes
denominada Forense Computacional, Investigao Eletrnica, ou mesmo Percia Eletrnica.
O profissional desta rea o Perito Forense Computacional, e dentre as caracterstica deste
profissional esto: conhecimentos tcnicos e processuais em redes de computadores,
hardwares, metodologia de anlise e ferramentas forenses. No Brasil, o campo de Forense
Computacional ainda novo e no h uma legislao em vigor que seja especfica para tais
crimes, portanto, algumas leis/artigos so adaptadas para julgar os crimes digitais. Entretanto,
j est em discusso o Projeto de Lei Brasileira 84/99, proposto pelo deputado Nelson
Pellegrino (PT/BA) na tentativa de tipificar crimes cometidos pela Internet. Neste trabalho, h
um estudo sobre a Legislao aplicada a Crimes Virtuais e utilizao das Tcnicas Forenses
Computacionais, a fim de identific-las, compreend-las e document-las para que sejam
comprobatrias na atividade criminal. Este trabalho ainda prope uma distribuio Linux de
um Sistema Operacional LIVE, com ferramentas forenses para coleta de evidncias.
Palavras chave: Forense Computacional, Perito Forense, Crimes Virtuais
-
ABSTRACT
For some years the growth of technology is exponential and undisputed. In parallel
with this growth, grow the digital crime. The area that investigates such crimes is called
Computer Forensics, Electronic Research, or even Electronic Forensic. The professional in
this area is the computer forensics expert, and among the feature of this work are: technical
and procedural knowledge in computer networks, hardware, methodology, analysis and
forensic tools. In Brazil, Computer Forensics is still new and there is no legislation that
specifically target these crimes, so some laws / articles are adapted to prosecute computer
crimes. However, already in discussion the Brazilian Law 84/99, proposed by Rep. Nelson
Pellegrino (PT / BA) in an attempt to classify the crimes committed over the Internet. In this
work, a study on the legislation applied to Virtual Crimes and use of Computational Forensic
Techniques in order to identify them, understand them and document them so that they are
corroborative in criminal activity. This paper also proposes a Linux distribution of an
Operating System LIVE, forensic tools for evidence collection.
Key Words: Computer Forensics, computer forensics expert, virtual crimes
-
SUMRIO
CAPTULO 1. INTRODUO .......................................................................................... 1 1.1 Objetivo Geral .......................................................................................................... 3
1.2 Objetivos Especficos ............................................................................................... 3 CAPTULO 2. FUNDAMENTAO TERICA .............................................................. 4
2.1 Conceitos Importantes da rea de Segurana da Informao e Forense Computacional ................................................................................................................... 4
2.2 Importncia do Processo de Anlise Forense Computacional nas Organizaes ...... 12 Motivadores Por Planejamento ..................................................................................... 13
Motivadores por Eventos .............................................................................................. 14 2.3 Etapas do processo de Percia Forense Computacional ........................................... 14
Primeira Etapa: Identificao da Situao ..................................................................... 15 Segunda Etapa: Coleta de evidncias ............................................................................ 15
Terceira Etapa: Preservao das Evidncias.................................................................. 16 Quarta Etapa: Anlise dos Dados.................................................................................. 16
Quinta Etapa: Apresentao dos Resultados ................................................................. 17 2.4 Cadeia de Custdia ................................................................................................. 17
2.5 Impacto Financeiro ................................................................................................. 19 2.6 Abrangncia dos Crimes Digitais............................................................................ 20
2.7 Conscientizao e Anlise de Riscos ...................................................................... 21 2.8 Carncia de Padronizao e Procedimentos Formais ............................................... 22
2.9 Anlise de Evidncias em Sistemas Computacionais Windows e Linux .................. 23 2.10 Extenso dos Crimes Digitais de Hoje................................................................ 24
2.11 Explorando o Conceito de Cybercimes ............................................................... 24 2.12 Projeto de Lei Brasileira n. 84/99 ....................................................................... 25
2.13 Diferenas e Semelhanas Entre Forense Computacional e Auditoria................. 27 CAPTULO 3. METODOLOGIA ..................................................................................... 28
3.1 Tipo do trabalho ..................................................................................................... 28 3.2 Coleta de dados ...................................................................................................... 28
3.3 Desenvolvimento.................................................................................................... 28 CAPTULO 4. DESENVOLVIMENTO ........................................................................... 30
4.1 Anlise de Hardware .............................................................................................. 30 4.2 Verificao e Remoo de Vrus............................................................................. 32
4.3 Editores Hexadecimais ........................................................................................... 33 4.4 Geradores de Hash ................................................................................................. 36
4.5 Documentao das Evidncias e Estudo de Casos Autopsy ..................................... 38 4.6 Anlise de Pacotes e Rede - Tcnica Package Sniffer ............................................. 47
4.7 Personalizao e Gerao da Distribuio Live ....................................................... 48 4.8 Requisitos Mnimos ................................................................................................ 48
4.9 Requisitos Recomendados ...................................................................................... 49 4.10 rea de Trabalho da Distribuio Live ............................................................... 49
CAPTULO 5. CONCLUSO.......................................................................................... 50
-
iii
LISTA DE FIGURAS
Figura 1 Resumo do processo da extenso EWF ................................................................ 12 Figura 2 - Etapas de uma investigao.................................................................................. 15 Figura 3 - Modelo de Formulrio de Cadeia de Custdia ...................................................... 19
Figura 4 - Relatrio Gerado para Impresso em HTML ........................................................ 31 Figura 5 - Sumrio na Tela Principal .................................................................................... 31
Figura 6 - Tela Principal, destacando a memria .................................................................. 32 Figura 7 - Interface para o Clamav ....................................................................................... 33
Figura 8 - Tela principal: destaque para as cores diferenciais e opes ................................. 34 Figura 9 - Exportao em texto ............................................................................................ 35
Figura 10 - Exportao em HTML ....................................................................................... 35 Figura 11 - Tela Principal ..................................................................................................... 36
Figura 12 - Tela principal padro com os dois algoritmos bsicos ........................................ 37 Figura 13 - Tela de preferncias, escolha dos algoritmos disponveis ................................... 37
Figura 14 Criao de um novo Caso ................................................................................... 38 Figura 15 - Adio de uma nova mquina ............................................................................ 39
Figura 16 - Tela de adio de imagens ................................................................................. 40 Figura 17 - Dados necessrios para adicionar uma nova imagem .......................................... 40
Figura 18 - Seletor de imagens analisadas ............................................................................ 41 Figura 19 - Tela de anlise de arquivos contendo trs arquivos deletados e recuperados ....... 42
Figura 20 - Tela de anlise dos metadados ........................................................................... 43 Figura 21 - Tela de visualizao dos setores ......................................................................... 44
Figura 22 - Tela de processo de classificao de arquivos .................................................... 45 Figura 23 - Tela de busca em espaos alocados ou no alocados .......................................... 46
Figura 24 - Tela de visualizao do fragmento anteriormente pesquisado ............................. 46 Figura 25 - Tela Principal ..................................................................................................... 47
Figura 26 rea de Trabalho da Distribuio Live, com diversas funes de monitorao .. 49
-
iv
LISTA DE GRFICOS
Grfico 1 Problemas que geraram perdas financeiras ......................................................... 20 Grfico 2 - O principal obstculo para a implementao da segurana .................................. 21 Grfico 3 - Empresas que realizam anlise de riscos na rea de TI e sua freqncia .............. 22
Grfico 4 - Empresas que utilizam procedimentos formalizados para anlise de riscos ......... 23
-
1
CAPTULO 1. INTRODUO
Nos ltimos anos, o avano da tecnologia latente e a demanda por reas internas de
resposta a incidentes, antifraudes, corregedoria e auditoria, est em constante crescimento nas
organizaes. Para tais assuntos surgiu um novo campo de atuao denominado Forense
Computacional, Investigao Eletrnica ou mesmo Percia Eletrnica que consiste em
investigar crimes e fraudes virtuais atravs de identificao de evidncias, como, por exemplo
log1 de acesso ao Sistema Operacional com data e hora do login, produzindo provas
contundentes de uma violao digital. O profissional desta rea o Perito Forense
Computacional.
De acordo com Casey (2006), embora haja uma crescente preocupao da
necessidade da forense computacional quando se trata de vulnerabilidade na segurana da
informao, somente alguns profissionais responsveis esto preparados do ponto de vista
forense.
Ao perfil do Perito Forense Computacional, preciso salientar:
Este novo profissional deve ter uma srie de conhecimentos tcnicos e processuais, que envolvem redes de computadores e seus protocolos,
configuraes de dispositivos, hardware, software, linguagens de
programao, ferramentas forenses e metodologia de anlise. (NG, 2007, p.
03).
Houve necessidade de um perito especfico para a investigao eletrnica, pois as
invases de redes de computadores esto entre os crimes mais complexos de se investigar,
especialmente quando se est lidando com agentes sofisticados e altamente motivados,
freqentemente dotados de tcnicas de ocultao de identidade.
O perfil do criminoso de informtica, baseado em pesquisa emprica,
indica que os criminosos so jovens, educados, com idade entre 16 e 32 anos, do sexo masculino, magros, caucasianos, audaciosos e aventureiros,
com inteligncia bem acima da mdia e movidos pelo desafio da superao
do conhecimento, alm do sentimento de anonimato, que bloqueia seus
parmetros de entendimento para avaliar sua conduta como ilegal, sempre
alegando ignorncia do crime e, alegando ser apenas, uma brincadeira
(SILVA, 2000)
A informtica est presente nas grandes organizaes desde a dcada de 60, e, desde
aquela poca os crimes virtuais j ocorriam, mas em menor escala, pois o uso dos
computadores era restrito a uma pequena parcela da sociedade devido ao seu alto custo e a
falta de informao sobre a sua utilizao. Com o rompimento das fronteiras entre as cidades,
1 Registro das transaes ou atividades realizadas em um sistema de computador.
-
2
estados, pases e continentes, ocasionado pelo avano da Internet, um grande problema para
as instituies de combate ao crime foi gerado: o grau de reincidncia de crimes eletrnicos
onde a vtima e o criminoso no tm um contato direto aumentou consideravelmente,
dificultando a identificao do agente criminoso.
Parker (1976) descreve o primeiro caso que se tem registrado nos EUA, no estado de
Minnesota, noticiado pelo Minneapolis Tribune no dia 18 de outubro de 1966 com a seguinte
manchete: Perito de computador acusado de falsificar seu saldo bancrio.
No Brasil, o campo de pesquisa Forense Computacional ainda novo, e a legislao
especfica para os crimes praticados virtualmente carece de leis que abranjam casos isolados,
os quais so julgados pelas leis/artigos genricos, dentre elas convm citar dois artigos do
Cdigo de Processo Penal:
- Art. 170. Nas percias de laboratrio, os peritos guardaro material suficiente
para a eventualidade de nova percia. Sempre que conveniente, os laudos sero ilustrados
com provas fotogrficas, ou microfotogrficas, desenhos ou esquemas.
- Art. 171. Nos crimes cometidos com destruio ou rompimento de obstculo a
subtrao da coisa, ou por meio de escalada, os peritos, alm de descrever os vestgios,
indicaro com que instrumentos, por que meios e em que poca presumem ter sido o fato
praticado.
Os artigos citados acima so exemplos de leis que tratam das percias forenses de
uma maneira geral, e so adaptados quando se trata de uma investigao computacional.
Nota-se que no so suficientes tais adaptaes de leis, pois na rea de forense computacional
h diversas particularidades no levantamento de evidncias e julgamento do agente.
Atualmente, um modelo de padronizao no tratamento de evidncias eletrnicas foi
definido e aplicado de forma experimental pelo SWGDE (Scientific Working Group on
Digital Evidence) e apresentados na IHCFC (Internacional Hi-Tech Crime and Forensics
Conference) [realizada em Londres, de 4 a 7 de outubro de 1999], apud Adams (2000).
Entretanto, esse modelo no aplicado internacionalmente: as legislaes so especficas para
cada nao e, em muitas naes, leis referentes ao Cybercrime ainda no foram incorporadas.
-
3
1.1 Objetivo Geral
O objetivo geral deste trabalho analisar as tcnicas forenses, propondo uma
distribuio livre de um Sistema Operacional Linux com ferramentas Forenses testadas e
analisadas, padronizando a investigao das evidncias digitais do profissional do campo de
Forense Computacional.
1.2 Objetivos Especficos
Compreender a metodologia de investigao Forense Computacional e seus
objetivos, atravs de pesquisas realizadas com livros, revistas, artigos e trabalhos
sobre o assunto;
Escolher, atravs de analogias e variveis de eficincia, eficcia e simplicidade,
uma metodologia de implementao das tcnicas de percia eletrnica;
Testar e comparar os resultados de diferentes ferramentas que existem no mercado
atualmente, a fim de definir as que possuem melhores funcionalidades
implementadas, agrupando-as em uma distribuio livre Linux;
Analisar a viabilidade de uma padronizao no kit de ferramentas que um perito em
investigao eletrnica precisa ter;
Conhecer a legislao aplicvel a crimes digitais e suas penalidades, de acordo com
as evidncias, provas e agravantes sustentados e comprovados pela percia
eletrnica.
Este trabalho tem como foco de estudo a Legislao aplicada a Crimes Virtuais e as
Tcnicas Forenses Computacionais, a fim de identificar evidncias, compreend-las e
document-las para que sejam comprobatrias na atividade criminal.
-
4
CAPTULO 2. FUNDAMENTAO TERICA
Este captulo limita-se apresentao dos principais conceitos tericos necessrios
ao desenvolvimento deste trabalho. Inicia-se com a definio de conceitos importantes da rea
de segurana da informao e forense computacional. Como segundo tpico, aponta a
importncia do processo de anlise forense computacional nas organizaes e quais os
motivadores por planejamento e por evento. Ainda neste captulo, encontram-se quais os
impactos financeiros que um ataque bem sucedido pode ocasionar, a abrangncia dos crimes
digitais, conscientizao e anlise dos riscos na organizao, carncia de padronizao e
procedimentos formais, anlise de evidncias em sistemas computacionais Windows e Linux,
correo gramatical, extenso dos crimes digitais de hoje, conceito de cybercrimes.
Alm de conceitos e discusso sobre a importncia e impactos na rea de forense
computacional, neste captulo sero discutidos o Projeto de Lei Brasileira n. 84/99, e
diferenas e semelhanas entre forense computacional e auditoria.
2.1 Conceitos Importantes da rea de Segurana da Informao e Forense Computacional
Neste tpico so descritos os principais conceitos das reas de segurana da
informao e forense computacional.
Segurana da Informao: est relacionada com a proteo de um conjunto de
dados, preservando o valor desses dados para o indivduo ou a organizao e evitando o
acesso no autorizado. A Segurana da Informao no se aplica somente em ambientes
computacionais, como os meios de armazenamento de memria secundria. Ela tambm
abrange os prprios sistemas.
As caractersticas bsicas da Segurana da Informao so sustentadas pelos seus trs
principais atributos: confidencialidade, integridade e disponibilidade.
Atributo Confidencialidade: a propriedade da informao que garante a
indisponibilidade, ou seja, garante que a informao no seja divulgada a indivduos no
autorizados. Est intimamente relacionado com autorizao.
Atributo Integridade: a propriedade da informao que garante a integridade, sem
violaes parciais ou totais do contedo dos dados. Est relacionado com alterao ou
modificao.
-
5
Atributo Disponibilidade: a propriedade da informao que garante que todos os
meios proporcionem adequadamente o acesso aos dados pelas pessoas autorizadas. Est
relacionada ao acesso legtimo, ou seja, da pessoa autorizada.
Engenharia Social: uma prtica de persuaso, eficiente proporcionalmente
ingenuidade do usurio de um sistema de informao, utilizada para obter informaes
relevantes para realizar organizar um ataque. freqentemente usado para obter informaes
como senhas e nmeros de cartes de crdito.
Vulnerabilidade: a fragilidade de um sistema de informao, ou seja, falhas no
projeto do Software que so mais propcias a invases ou ataques.
Ataque: uma tentativa de acesso no autorizado a um sistema computacional ou um
conjunto de dados.
Incidente: o ataque bem sucedido, ocasionando conseqncias danosas e impactos
que variam proporcionalmente ao valor daquela informao acessada.
Cdigos Maliciosos (Malwares): so todos os aplicativos, softwares ou cdigos
procedimentais que executam alguma ao maliciosa em um computador. Seus objetivos so
extremamente extensos, assim como so os cybercrimes (discutido nesse trabalho
posteriormente).
Negao de Servio (Denial Of Service): esses tipos de ataques tm como nico
objetivo tornar indisponvel um servio, servidor ou computador conectado Internet,
geralmente com o intuito de ganhar tempo para planejar ou efetuar uma invaso
redirecionando o meio de comunicao somente para o atacante. conhecido tambm como
ataque DoS. Alguns exemplos desses ataques so:
[...] Gerar uma grande sobrecarga de dados de um computador, de modo
que o usurio no consiga acess-lo; gerar um grande trfego de dados para
uma rede, ocupando toda a banda disponvel, de modo que qualquer
computador desta rede fique indisponvel e tirar servios importantes de um
provedor do ar, impossibilitando o acesso dos usurios a suas caixas de
correio no servidor de e-mail ou ao servidor Web (CGI.BR, 2006).
DDoS (Distributed Denial Of Service): tem os mesmos objetivos que o DoS, porm
com maior eficincia, uma vez que nesses tipos de ataques so utilizados uma grande
quantidade de mquinas (geralmente computadores zumbis).
Computadores Zumbis: so computadores geralmente utilizados para enviar spam e
atacar sites, sem que o dono do computador perceba tais atividades. Um computador pode se
-
6
tornar zumbi por vrios meios: mediante instalao de um programa no computador-alvo,
que, por exemplo, pode ocorrer por email, links e redes ponto-a-ponto.
Ponto-a-ponto (Peer-to-peer): uma arquitetura de sistemas distribudos
caracterizada pela descentralizao das funes de rede, onde cada ponto realiza tanto funes
de servidor quanto de cliente.
Criptografia: a cincia e arte de escrever mensagens em foram cifradas ou em
cdigo. A Criptografia trata das comunicaes secretas, usadas geralmente para: autenticar a
identidade de usurios, autenticar e proteger o sigilo de comunicaes pessoais e de
transaes comerciais e bancrias e proteger a integridade de transferncias eletrnicas de
fundos.
Criptografia de Chave nica: utiliza a mesma chave tanto para codificar quanto para
decodificar uma mensagem. A vantagem a velocidade no tempo de processamento e a
desvantagem a necessidade de utilizao de um meio seguro para que a chave possa ser
compartilhada entre pessoas ou entidades que desejam trocar informaes criptografadas.
Criptografia de Chave Pblica e Privada: utiliza duas chaves distintas: uma para
codificar e outra para decodificar. Nesse mtodo cada pessoa ou entidade tem duas chaves:
uma pblica e uma privada, e esta deve ser mantida em segredo pelo seu dono. As mensagens
codificadas com a chave pblica s podem ser decodificadas com a chave privada
correspondente. Apesar desse mtodo ter como principal desvantagem o tempo de
processamento, no necessrio um meio seguro para comunicao, pois as chaves pblicas
podem ser distribudas livremente. amplamente utilizado na gerao de assinaturas digitais.
Assinatura Digital: refere-se identificao de uma entidade com sua respectiva
chave privada, atravs da criao de um cdigo. A pessoa ou entidade que receber uma
mensagem contendo esse cdigo verificar se o remetente mesmo quem diz ser e
identificar qualquer mensagem que possa ter sido modificada. necessrio salientar que
uma mensagem assinada digitalmente no significa que sigilosa.
Certificado Digital: um arquivo eletrnico que contm dados de uma pessoa ou
instituio, utilizados para comprovar sua identidade. Este arquivo pode estar armazenado em
um computador ou em outra mdia.
Autoridade Certificadora (AC): responsvel por emitir certificados digitais. Os
certificados digitais possuem uma foram de assinatura eletrnica da AC que o emitiu. Graas
-
7
sua idoneidade, a AC normalmente reconhecida por todos como confivel, fazendo o
papel de Cartrio Eletrnico.
Scam: O scam (ou golpe) qualquer esquema ou ao enganosa e/ou fraudulenta
que, normalmente, tem como finalidade obter vantagens financeiras. Exemplo: O Golpe da
Nigria (Nigerian 4-1-9 Scam):
Voc recebe um e-mail em nome de uma instituio governamental da
Nigria (por exemplo, o Banco Central), onde solicitado que voc atue
como intermedirio em uma transferncia internacional de fundos. O valor
mencionado na mensagem normalmente corresponde a dezenas ou centenas
de milhes de dlares. Como recompensa, voc ter direito de ficar com uma
porcentagem (que normalmente alta) do valor mencionado na mensagem.
Para completar a transao solicitado que voc pague antecipadamente uma quantia, normalmente bem elevada, para arcar com taxas de
transferncia de fundos, custos com advogados, entre outros. Este tipo de
golpe tambm conhecido como Advance Fee Fraud, ou a fraude de antecipao de pagamentos, e j foram registrados casos originados ou que mencionavam a frica do Sul, Angola, Etipia, Libria, Marrocos, Serra
Leoa, Tanznia, Zaire, Zimbbue, Holanda, Iugoslvia, Austrlia, Japo,
Malsia e Taiwan, entre outros. No nome dado a este tipo de fraude,
Nigerian 4-1-9 Scam, o nmero 419 refere-se seo do cdigo penal da Nigria que violada por este golpe. equivalente ao artigo 171 do cdigo
penal brasileiro, ou seja, estelionato. (CGI.BR,2006)
Phishing: um tipo de fraude gerada atravs do envio de mensagens no solicitadas,
se passando por uma instituio conhecida, como um banco, empresa ou site popular,
procurando induzir o acesso s pginas fraudulentas (falsificadas), geralmente projetadas para
furtar dados pessoais e financeiros dos usurios.
Spam: o termo usado para se referir aos e-mails indesejados e no solicitados,
geralmente enviados para um grande nmero de pessoas com o intuito de divulgao,
phishing ou disponibilizao de cdigos maliciosos disfarados de instituies populares.
Poltica de Segurana: refere-se conscientizao e implementao de boas prticas,
direitos e deveres, em todo o mbito organizacional, ou pelo menos s pessoas que lidam com
os recursos computacionais. Uma poltica de segurana deve prever o que pode ser feito na
rede ou instituio e o que ser considerado inaceitvel. Tudo o que descumprir a poltica de
segurana pode ser considerado um incidente de segurana.
Poltica de Uso Aceitvel (AUP, Acceptable Use Policy): um documento que define
a maneira de utilizao de todos os recursos computacionais de uma organizao.
-
8
Logs: so registros de atividades e eventos gerados por programas de computador, ou
at mesmo sistemas operacionais. No caso de logs relativos aos incidentes de segurana, eles
normalmente so gerados por firewalls ou por sistemas de deteco de intruso.
Firewall: tem como objetivo aplicar uma poltica de segurana a um determinado
ponto de controle de rede, regulando o trfego de dados entre redes distintas e impedindo a
transmisso de acessos nocivos ou no autorizados.
Sistema de Deteco de Intruso: (IDS): um programa ou aplicao que utiliza que
tem a funo de detectar atividades maliciosas ou anmalas em um sistema computacional ou
uma rede de computadores.
Falso Positivo: deteco errnea de uma ameaa ou evento nocivo a um sistema
computacional.
Vrus: um programa ou parte de um programa, normalmente malicioso, que se
propaga infectando, ou seja, inserindo cpias de si mesmo, podendo se tornar parte de outros
programas e arquivos de um computador. O vrus sempre depende da execuo do programa
ou arquivo hospedeiro para que possa se tornar ativo e continuar o processo de infeco.
Cavalos de Tria (Trojan Horses):
Conta a mitologia grega que o Cavalo de Tria foi uma grande esttua, utilizada como instrumento de guerra pelos gregos para obter acesso a
cidade de Tria. A esttua do cavalo foi recheada com soldados que, durante
a noite, abriram os portes da cidade possibilitando a entrada dos gregos e a
de Tria. Da surgiu os termos Presente de Grego e Cavalo de Tria (CGI.BR, 2006).
Na informtica, um Cavalo de Tria um programa normalmente recebido em forma
de cartes virtuais, lbum de fotos, protetor de tela, jogos, entre outros. Alm de executar
funes para as quais foi visivelmente projetado, executa outras funes maliciosas e sem
conhecimento do usurio. Algumas das suas funes maliciosas podem ser: instalar um
keylogger ou screenlogger; furtar senhas e ouras informaes sensveis; alterar ou destruir
arquivos e incluir backdoors, permitindo que um atacante tenha total controle sobre o
computador.
Backdoor: ou Porta dos Fundos, uma falha de segurana que pode existir em um
programa de computador ou sistema operacional, que pode permitir a invaso do sistema por
-
9
um cracker2 para que ele possa obter total controle da mquina. O termo Backdoor bastante
utilizado referindo-se a uma falha de segurana que pode ser explorada pela Internet.
Keylogger: um programa capaz de capturar e armazenar as teclas digitadas pelo
usurio no teclado de um computador. Normalmente, a ativao do keylogger condicionada
a uma ao prvia do usurio, como por exemplo, aps o acesso a um site de comrcio
eletrnico ou Internet Banking, para a captura de senhas bancrias ou nmeros de cartes de
crdito.
Screenlogger: uma forma avanada de keylogger, capaz de armazenar a posio do
cursor e a tela apresentada no monitor, nos momentos em que o mouse clicado, ou
armazenar a regio que circunda a posio onde o mouse clicado. Pode ser programvel: tira
fotos da tela de acordo com uma seqncia de tempo ou acionado por eventos, conforme
descrito anteriormente.
Cavalo de Tria, Vrus e Worm: um Cavalo de Tria consiste em um nico arquivo
que necessita ser explicitamente executado e, ao contrrio do Vrus e do Worm, no infecta
outros arquivos e no propaga cpias de si mesmo automaticamente. Existem casos em que
um Vrus ou Worm esteja embutido em um Cavalo de Tria, porm ainda assim no difcil
identific-lo devido ao comportamento na execuo.
Worm: programa capaz de se propagar automaticamente atravs de redes, enviando
cpias de si mesmo de computador para computador. Diferente do vrus, o worm no embute
cpias de si mesmo em outros programas ou arquivos e no necessita ser explicitamente
executado para se propagar. Sua propagao se d atravs da explorao de vulnerabilidades
existentes ou falhas na configurao de softwares instalados em computadores.
Adware (Advertising Software): software projetado especificamente para projetar
propagandas, faixas publicitrias, a fim de divulgar produtos, servios e promoes e ganhar
algum tipo de apoio financeiro a cada click em um anncio, por exemplo. Esse software
constitui um tipo de retorno financeiro para aqueles que desenvolvem software livre ou
prestam servios gratuitos. Pode ser considerado um tipo de spyware, caso monitore os
hbitos do usurio, por exemplo, durante a navegao na Internet para direcionar as
propagandas que sero apresentadas.
2 Quem pratica a quebra (ou cracking) de um sistema de segurana, de forma ilegal ou sem tica.
-
10
Spyware: categoria de software que tem como objetivo monitorar atividades de um
sistema e enviar as informaes coletadas a terceiros, freqentemente sem prvia autorizao.
muito rara a utilizao desses programas de maneira legtima, pois, na maioria das vezes,
so utilizados de forma dissimulada, no autorizada e maliciosa.
Imagem de disco: uma cpia de uma unidade de armazenamento digital de dados,
podendo ser um HD, CD, DVD, SSD ou outra, que consiste em um nico arquivo contendo
toda a estrutura e contedo da unidade, desde a tabela de parties, tabelas de alocao de
arquivos e parties de dados. Geralmente ela criada a partir da cpia setor-a-setor da
unidade origem, pois ela ignora o sistema de arquivos do sistema operacional. Em uma
anlise forense, h diversas razes para se criar uma imagem de disco, dentre elas esto:
1. Assegurar que as informaes do disco no so inadvertidamente mudadas
durante a anlise;
2. Ao realizar uma imagem do disco original e armazenamento do disco original,
possvel reproduzir os resultados dos testes forenses com uma reproduo
exata de mtodos de anlise sobre os dados originais.
3. A imagem de disco ir capturar informaes invisveis ao sistema operacional
em uso (por exemplo, parties ocultas)
Disco Rgido: ou HD (Hard Disk), o dispositivo de armazenamento de dados
secundrio mais usado nos computadores. Ele permite armazenar de forma no-voltil alm
de arquivos, todos os dados do seu sistema operacional, sem o qual no seria possvel utilizar
o computador.
Memria RAM: a sigla "RAM" significa "Random Access Memory" [memria de
acesso aleatrio"], ou seja, permite o acesso direto a qualquer um dos endereos disponveis e
de forma gil. Ao carregar um programa armazenado, por exemplo, no HD, antes de ser
executado pelo processador ele transferido para a memria RAM que oferecer tempos de
acesso brutalmente mais baixos que o HD e trabalhar com taxas de transferncia bem mais
elevadas. Entretanto, a desvantagem na utilizao da RAM que na ausncia de energia, os
dados so perdidos, pois outra caracterstica da RAM a volatilidade.
DUMP" de memria: consiste em um descarrego ou expurgo de arquivo
corrompido. Erros de DUMP de memria podem ocorrer quando o gerenciador de memria
do sistema operacional no consegue executar a paginao de memria.
-
11
Paginao da memria: um processo de virtualizao da memria que consiste na
subdiviso da memria fsica em pequenas parties (frames), para permitir uma utilizao
mais eficiente da mesma.
Arquivo Hash: uma seqencia de letras/nmeros geradas por um algoritmo de
hashing que busca identificar um arquivo ou informao unicamente. Desta forma cada
arquivo diferente possui um hash especfico. Entretanto, como a seqencia do hash limitada
(dificilmente passa dos 512 bytes), existem diversas colises (seqencias iguais para dados
diferentes). Quanto maior for a dificuldade de se criar colises intencionais, melhor o
algoritmo. Uma alterao do contedo do arquivo, por menor que seja, gera um identificador
totalmente diferente do arquivo original.
Advanced Forensics Format (AFF): um formato aberto e extensvel para o
armazenamento de imagens de disco e forenses relacionadas metadados. Foi desenvolvido
por Simson Garfinkel e Tecnologia de Base que tem como objetivo fornecer ao perito um
padro aberto de formato de arquivo sem se prender a um formato proprietrio que pode
limitar a forma como ele ir analis-lo. Para a flexibilidade, existem trs variaes de
arquivos AFF - AFF, AFD e AFM - livre e ferramentas disponveis para converter facilmente
entre as variaes. O formato AFF original um arquivo nico que contm segmentos com
dados do disco e metadados. AFF suporta dois algoritmos de compresso: zlib, que rpido e
razoavelmente eficiente, e LZMA, que mais lento, mas muito mais eficiente.
Enhanced Write Filter (EWF): uma extenso que fornece um mecanismo de
proteo a um determinado volume de gravaes, pois o sistema operacional ir inicializar a
partir da mdia de somente leitura, como CD-ROMs, protegido contra gravao os discos
rgidos ou mdia flash. Todas as gravaes para um volume EWF protegidas so
redirecionados para uma sobreposio. Essas gravaes so armazenadas em cache na
sobreposio e disponibilizadas como parte do volume. Para o usurio que estar efetuando as
alteraes, dar a impresso de que o volume pode ser escrito. A sobreposio pode existir
tanto em disco ou memria de acesso aleatrio (RAM). Segue abaixo uma ilustrao de como
trabalha a extenso EWF:
-
12
Figura 1 Resumo do processo da extenso EWF
Fonte: Microsoft Corporation, 2003
Principais caractersticas da EWF:
1. Normalmente precisa ser apoiada por alguns de armazenamento persistente;
2. S suportam a quantidade de espao livre relatada pelo volume protegido;
3. Iniciar a partir de um volume EWF Protegido por uma sobreposio de disco
baseado Requer o NTLDR EWF;
4. Suporta apenas discos Basic, portanto no funcionar em discos dinmicos.
2.2 Importncia do Processo de Anlise Forense Computacional nas Organizaes
Como base de fundamento terico deste trabalho, a obra do autor Ng (2007),
Forense Computacional Corporativa, foi utilizada como principal agente motivador,
apresentando um posicionamento estratgico para os gestores e profissionais da rea e
quebrando todos os paradigmas elaborados anteriormente sobre forense digital.
Atravs desta obra, foi possvel analisar os principais agentes motivadores dos
gestores de empresas em ter uma equipe especializada em Forense Computacional. Esses
agentes motivadores podem ser divididos em dois grandes grupos: motivadores por
planejamento e motivadores por eventos.
-
13
Motivadores Por Planejamento
Os motivadores influenciados pelo planejamento o que toda organizao deveria
utilizar para iniciar qualquer tipo de trabalho, principalmente no mbito forense, pois, alm de
estar vinculado com o sucesso da investigao digital, indica que a organizao est madura
e possui um conhecimento de seus processos, criticidade de informaes, criticidade do
negcio e riscos associados (NG, 2007).
Os fatores que contribuem para o planejamento da implementao de um processo de
anlise forense computacional so: imagem, compliance, leis e regulamentaes, proteo
adequada, criticidade das informaes e impactos financeiros.
As organizaes que possuem viso de risco so capazes de mensurar os
prejuzos financeiros caso um determinado risco mapeado anteriormente se concretize. Esses
riscos tambm ferem a imagem da empresa e so concretizados quando, por exemplo,
informaes sobre a sade financeira ou sensveis organizao vazam em decorrncia de
alguma ao interna.
Compliance, ou aderncia, refere-se integrao de novas tecnologias e padres
diferentes de sistemas, que as empresas necessitam aderir para manter a competitividade. Esse
processo de aderncia trouxe consigo ameaas externas e uma srie de pontos de falha. Junto
com estas ameaas, surgiram as metodologias e boas prticas (Best Practices), como ITIL,
COBIT, COSO e ISO 27001 (ISO 17799:2005 ou BS 7799), possibilitando uma viso de
gerenciamento de riscos que antes no existia. Dessa maneira, pontos crticos do processo,
pontos de falha, responsveis, tecnologias e procedimento com os quais se devem ter maior
cuidado, alm de itens que devem ser priorizados, so documentados.
Outro motivador relevante para o planejamento da implementao processual da
anlise forense computacional a adequao s leis e regulamentao, como a resoluo
3380, do Banco Central do Brasil, publicada em 29 de junho de 2006, obrigando os bancos a
implantar uma estrutura de gerenciamento de risco operacional at 31 de dezembro de 2007.
Fraudes internas e externas, falhas em sistemas, erros de processos e procedimentos devem
ser tratados de forma efetiva.
As organizaes que no conseguem mensurar os riscos s perdas, na prtica,
acabam focando em atividades reativas e pontuais [a aplicao de patches de correes de
vulnerabilidades um exemplo real na maioria das empresas atualmente]. Quanto aos
-
14
aspectos motivadores de criticidade e proteo adequada da informao, necessrio salientar
que a prtica forense pode entrar em ao de forma focada, podendo ser executada avaliando
apenas as informaes que realmente importam e se so crticas, auxiliando e melhorando a
proteo dos ativos de informao.
Planejar a prtica forense como parte integrante de um sistema de gesto de
segurana auxilia no somente na identificao de pontos de melhorias dos processos, como
tambm em um maior controle dos mesmos, diminuindo o tempo de indisponibilidade de
servios, e, conseqentemente, perdas financeiras para a organizao, garantindo a
continuidade do negcio.
Motivadores por Eventos
A implantao de um processo de anlise forense computacional, no Brasil, est
intimamente ligada motivao influenciada por eventos ocorridos ou que ocorrem com
grande freqncia na organizao. Embora esses motivadores sejam realidades em grande
escala nas organizaes brasileiras, eles so resultados, geralmente, do mau planejamento dos
processos organizacionais. [...] O ideal que as organizaes tenham uma viso clara de
processos versus riscos versus impactos. Enquanto isso no ocorrer, os motivadores por
ocorrncia sero sempre os principais fatores do incio dos processos de anlise forense (NG,
2007).
Os motivadores por ocorrncia, na maioria das vezes, so mais impactantes
dependendo da importncia financeira que a empresa perdeu devido a um acontecimento ou
fato que deveria ser tratado anteriormente atravs dos processos de forense computacional e
segurana da informao. Alguns exemplos desses motivadores por ocorrncia so: quebra de
confiana por parte de um funcionrio, envio de e-mails com contedo confidencial, acessos
indevidos a sites de Internet, roubo de informaes e acessos indevidos a informaes
sigilosas.
2.3 Etapas do processo de Percia Forense Computacional
Para ter validade probatria os peritos devem utilizar mtodos cientficos, ou seja,
que possam ser reproduzidos por outra pessoa. Abaixo segue um roteiro de etapas a serem
seguidas na coleta das evidncias:
-
15
Figura 2 - Etapas de uma investigao
Fonte: http://www.sbseg2007.nce.ufrj.br/documentos/Minicursos/minicurso_forense.pdf
Primeira Etapa: Identificao da Situao
Antes de comear um processo investigatrio, necessrio notificar os tomadores de
deciso, ou seja, os contratantes do servio dos peritos forense que pode ser tanto uma
empresa quanto o sistema judicirio. Em seguida ser ou no, expedida uma autorizao
judicial para prosseguir com a percia, pois como se trata de um processo investigatrio de
crimes, necessrio trabalhar de acordo com a legislao vigente e respeitar os padres,
diretivas e decises.
Lembrar sempre que toda e qualquer ao que o perito tenha, deve ser documentada
no processo investigatrio. Essa documentao, juntamente com os equipamentos
apreendidos e evidncias coletadas, devem ser armazenadas em locais seguros e inacessveis,
sempre adotando o procedimento de cadeia de custdia.
Nessa etapa tambm contempla as entrevistas com as pessoas envolvidas no
processo, inventrio dos equipamentos e softwares, diagrama da topologia da rede, lista de
usurios e suas permisses, estimativas dos impactos causados pelo incidente em investigao
e seleo das evidncias que sero periciadas, a fim de otimizar o tempo da investigao.
Segunda Etapa: Coleta de evidncias
Ao concluir a primeira etapa, com as autorizaes e documentaes necessrias para
prosseguir o processo investigatrio, o prximo passo coletar as evidncias a partir de um
kit de ferramentas confiveis.
-
16
Para definir as ferramentas que iro compor o kit de ferramentas necessrio decidir
com antecedncias quais sero utilizadas durante a investigao. Est deciso deve ser
criteriosa, pois caso uma das ferramentas utilizadas no tiver total confiabilidade, no
momento da apresentao das evidncias, essas podero ser questionadas e anuladas
prejudicando a resoluo da investigao.
A coleta das evidncias pode ser tanto local como por acesso remoto ou mesmo em
uma rede. Mas sempre tem que ser analisado a viabilidade da coleta, o grau de sigilo das
informaes envolvidas e se o prazo ser cumprido. Tambm no pode ser esquecido que o
modo como ser coletado essas evidncias deve permitir gerar uma documentao contendo:
Autor da ao
Objetivo da ao
As ferramentas e mtodos utilizados para atingir o objetivo
Data e hora da ao
Resultados conseguidos
Depois de coletada as evidncias, deve-se preocupar com o armazenamento para
garantir sua segurana e integridade e nos locais de armazenamento, deve ser aplicada a
cadeia de custdia. Quando se trata de armazenamento de uma mdia, equipamento deve-se
atentar ao modo de armazenamento e o local para que no seja danificado o material com
aes externas do ambiente, como por exemplo, energia esttica.
Terceira Etapa: Preservao das Evidncias
Nesta etapa devem-se realizar cpias dos dados coletados, pois no se deve trabalhar
em cima dos dados originais. Pois em qualquer dvida, na hora da entrega das evidncias
adquiridas, sobre a integridade das informaes coletadas, possvel demonstrar a
conformidade dos dados, comparando os dados da cpia usada para o trabalho do perito, e a
mdia original devidamente lacrada.
Quarta Etapa: Anlise dos Dados
Aps a extrao dos dados considerados relevantes, o perito deve concentrar suas
habilidades e conhecimentos na etapa de anlise e interpretao das informaes. A finalidade
desta etapa identificar pessoas, locais e eventos; determinar como esses elementos esto
-
17
inter-relacionados. Alm de localizar, filtrar e extrair somente as informaes relevantes
investigao. Pois normalmente somente uma parte de todos os dados coletados realmente
relevante para o processo investigatrio.
necessrio examinar os dados do Sistema Operacional, como por exemplo,
informaes de descompasso de relgio, e todos os dados carregados na memria do
computador hot, para poder determinar se algum aplicativo com cdigo malicioso est em
execuo ou programado para ser executado. Tambm necessrio examinar aplicativos e
processos em execuo, conexes de redes ativas.
Todas as evidncias digitais encontradas preciso ser obrigatoriamente legtimas para
ter validade jurdica. Todas as evidncias digitais encontradas precisam estar em
conformidade com a lei, alm de serem autnticas, exatas e completas. (FREITAS, 2006)
Depois de analisados todas as evidncias coletadas, inicia-se o processo conclusivo
da investigao. Entretanto, indispensvel que o perito tenha total convico sobre os
resultados obtidos da investigao, para que s depois possa ser iniciado o processo de
apresentao dos resultados.
Quinta Etapa: Apresentao dos Resultados
Essa a fase que ir finalizar todo o processo investigatrio e consiste em organizar
todas as informaes, documentos coletados nas fases anteriores. Deve-se tambm, ponderar
quais informaes so relevantes para redigir o relatrio final e ser apresentada como
evidncia.
Deve-se sempre ter em mente que ao redigir o relatrio final, o destinatrio uma
pessoa leiga, portanto necessrio ter uma linguagem clara e traduzir os termos tcnicos para
que todos possam compreender o que foi feito.
Por meio de um exame, investigao, que resulta em um parecer, laudo pericial, ou
relatrio, devidamente fundamentados, mostrando a verdade de forma imparcial e merecedora
de f, a fim de orientar uma autoridade formal, no julgamento de um fato. (FREITAS, 2006 p.
1)
2.4 Cadeia de Custdia
Consiste um procedimento que surgiu nas investigaes no-digitais, e tem por
objetivo preservar a fonte de evidncias (as mdias, no caso da investigao eletrnica)
-
18
atravs do registro de todos que tiveram contato com o material. O processo pode ser
exemplificado assim:
O investigador realiza a aquisio da imagem forense, lacra o HD, inicia a lista da
cadeia de custdia indicando a data/hora em que o HD foi lacrado, e o hash/algoritmo
(md5/sha-1, etc) da mdia. O tabelio registra tudo na Ata Notarial3.
Qualquer pessoa que precisar, obviamente por motivo justificado, acessar novamente o
HD, o lacre dever ser rompido, e antes da mdia ser usada, sua integridade deve ser
conferida, analisando seu hash atual com o registrado na cadeia de custdia. Aps o
uso, o HD volta a ser lacrado, a data/hora de retirada e devoluo do HD so
registrados na cadeia de custdia, e tacitamente essa pessoa est aceitando que o hash
confirmou a integridade. Esse procedimento deve ser acompanhado tambm para a
Ata Notarial.
Se, em algum momento, a mdia for acessada e a integridade tiver sido violada, o
responsvel o ultimo registro na cadeia de custdia.
A seguir apresentada a figura 3 Um modelo de formulrio para o registro da
Cadeia de Custdia.
3 Instrumento pblico atravs do qual o tabelio ou seu preposto autentica em forma narrativa os fatos, se
estado, e tudo aquilo que atesta por seus prprios sentidos sem a emisso de opinio, juzo de valor ou
concluso.
-
19
Figura 3 - Modelo de Formulrio de Cadeia de Custdia
Fonte: http://www.dsc.ufcg.edu.br/~pet/atividades/ciclo_seminarios/tecnicos/2007/Forense_Computacional.pdf
2.5 Impacto Financeiro
As conseqncias de um ataque bem sucedido, em um evento intitulado crime
digital, so as principais formas de se despertar a conscientizao nas organizaes vtimas.
Quanto maior o dano na importncia financeira da organizao ocasionado por um incidente,
maior o impacto na imagem, na estrutura, no relacionamento com os clientes, fornecedores,
prazos de entrega e conscientizao dos empresrios. Segundo uma pesquisa realizada pela
IBM (2006), 71% dos empresrios brasileiros acreditam que o crime digital traz mais danos
do que o crime fsico. Para 80% das empresas nacionais, a perda de clientes o principal
prejuzo causado pelos crackers, seguido de depreciao da imagem (77%) e a perda de
receita (66%). importante salientar que 86% dessas empresas afirmam que os ataques aos
sistemas de segurana surgem dentro da prpria organizao.
Em instituies financeiras, as fraudes eletrnicas geram prejuzo de R$ 900 milhes
por ano, valor que engloba golpes pela Internet, centrais de atendimento telefnico e
terminais de auto-atendimento. Somente os crimes pela Internet representam 30% do total
-
20
(GUTIERREZ, 2009). No Grfico 1 esto destacados os problemas relacionados aos crimes
digitais que geraram maiores perdas financeiras, segundo a Mdulo (2006):
Grfico 1 Problemas que geraram perdas financeiras Fonte: Mdulo, 2006
Observe que 8% dos impactos financeiros so causados por fraudes, 7% por
vazamento de informaes e 6% por acesso remoto indevido. Todos esses impactos poderiam
ser minimizados se existisse algum controle de riscos nessas organizaes e departamentos de
segurana especializada na anlise forense computacional.
2.6 Abrangncia dos Crimes Digitais
Segundo um estudo conduzido pela Symantec (2010), foi constatado que dois teros
dos internautas de todo o mundo j foram vtimas de crimes digitais. O mais preocupante
que o Brasil est em segundo lugar, empatado com a ndia [o estudo Norton Cybercrime
Report: The Human Impact foi conduzido em 14 pases].
-
21
Embora essa posio indique diversas vulnerabilidades nos sistemas de segurana
das organizaes nacionais, 72% dos executivos de TI no Brasil acreditam estar protegidos
contra o crime digital organizado (ALENCAR, 2006). Esse nmero caiu ao longo dos anos
inversamente proporcional ao crescimento do cybercrime.
2.7 Conscientizao e Anlise de Riscos
Os gestores organizacionais justificam a ausncia da implantao da Segurana
Computacional no ambiente corporativo devido, principalmente, a conscientizao dos
executivos e funcionrios, considerando ela o principal obstculo, como possvel observar
no Grfico 2, segundo pesquisa da Mdulo (2006):
Grfico 2 - O principal obstculo para a implementao da segurana
Fonte: Mdulo, 2006
Embora a Anlise Forense Computacional esteja intimamente ligada com a
Segurana da Informao e, entre seus inmeros benefcios, destaca-se um maior controle dos
riscos na rea de TI, so poucas as empresas que realizam algum tipo de anlise de riscos,
conforme uma pesquisa realizada pela Mdulo (2006). No Grfico 3 destaca a pesquisa da
Mdulo (2006), analisando os riscos na rea de TI e sua freqncia.
-
22
Grfico 3 - Empresas que realizam anlise de riscos na rea de TI e sua freqncia
Fonte: Mdulo, 2006
2.8 Carncia de Padronizao e Procedimentos Formais
Um dos principais motivadores para a elaborao deste trabalho est na falta de
procedimentos formais para uma anlise de riscos nas organizaes. A proposta um modelo
padronizado de ferramentas e metodologias forense computacional para que seja possvel
documentar as evidncias de um crime digital e auxiliar no processo de controle de riscos.
Segundo a Mdulo (2006) 65% das organizaes ainda no apresentam uma metodologia
formalizada para anlise de riscos. No Grfico 4 h uma viso das empresas que utilizam
procedimentos formalizados para anlise de riscos.
-
23
Grfico 4 - Empresas que utilizam procedimentos formalizados para anlise de riscos
Fonte: Mdulo, 2006
2.9 Anlise de Evidncias em Sistemas Computacionais Windows e Linux
Para os testes das ferramentas, anlise de evidncias em sistemas computacionais
Windows e Linux, desenvolvimento do kit de ferramentas padronizado para o perito, alm de
todas as analogias feitas com essas tcnicas e ferramentas, foram utilizadas as obras literrias
de Freitas (2006) e Farmer e Venema (2007), Percia Forense Aplicada informtica, e
Percia Forense Computacional, Teoria e Prtica Aplicada, respectivamente.
A obra de Farmer e Venema (2007) Percia Forense Computacional, Teoria e
Prtica Aplicada, foi escolhida como base para anlise de evidncias em sistemas
computacionais Linux, pois os dois autores tm em suas bagagens, experincias ao longo de
uma dcada. Portanto, os exemplos de invases, experimentos, so realsticos, deixando de
ser apenas exemplos tericos, facilitando a compreenso do leitor. Alm dos exemplos, os
autores tambm descrevem orientaes prticas para que o leitor possa escrever suas prprias
ferramentas forenses. Saber o que aconteceu far com que voc esteja mais bem preparado
para a prxima vez que algo ruim estiver em vias de acontecer (FARMER; VENEMA 2007).
J Freitas (2006), contribui, em sua obra, para o desenvolvimento de um kit com
ferramentas confiveis, mostrando os processos aplicados para investigao de evidncias em
ambientes com sistema operacional Windows, analisando arquivos de logs, registro e
recuperao de arquivos excludos, alm de identificar a origem de taques.
-
24
2.10 Extenso dos Crimes Digitais de Hoje
O artigo escrito por Silva (2000) relata bem os impactos que um ataque criminoso no
mundo digital pode ocasionar na sociedade e a necessidade de uma equipe especializada em
combate a tais crimes digitais.
O estelionato, em todas as suas formas, lavagem de dinheiro, os crimes do colarinho branco, roubo, furto, o "salami slicing" (fatias de salame) -
ladro que regularmente faz transferncias eletrnicas de pequenas quantias
de milhares de contas bancrias para a sua prpria - servios roubados, o
contrabando, o terrorismo, a pornografia infantil, parafilia, invases de
privacidade, violao a propriedade intelectual, propriedade industrial, a lei
do Software, o vandalismo, a sabotagem, espionagem, o vrus de
computador, a pirataria, o trfico internacional de armas, as leses a
direitos humanos (terrorismo, crimes de dio, etc.), danos nas destruies de informaes, jogos ilegais, dentre outros apenas para explicitar a
complexidade da matria tratada. (SILVA, 2000)
Alm de o artigo ter uma viso interessante na extenso que os crimes digitais esto
alcanando atualmente, o autor prope treinamentos especficos de crimes digitais aos
policiais, conforme citado: impe-se a criao da cultura de formao de policiais visando o
"policiamento futuro", ou seja, formar, adequar, equipar e treinar os policiais, sendo que a
palavra antecipar (SILVA, 2000).
2.11 Explorando o Conceito de Cybercimes
O termo a cibercrime utilizado para denominar uma prtica que consiste em fraudar
a segurana de computadores ou redes empresariais. O surgimento deste termo ocorreu no
final da dcada de 90, depois de uma reunio de um subgrupo das naes do G8 em Lyon, na
Frana, para o estudo dos problemas da criminalidade ento surgidos e promovidos via
Internet ou pela migrao de informaes para esse meio. Este grupo de Lyon usava o
termo para descrever, de forma muito ampla, todos os tipos de crime perpetrados na Internet
ou nas novas redes de telecomunicaes, que estavam cada vez mais acessveis em termos de
custo.
Devido ao amplo leque de cybercriminalidade, dividiu-se em duas categorias gerais,
para que possa ser mais bem analisada a investigao: Tipo I e Tipo II.
Cybercrime Tipo I em geral, um acontecimento nico a partir da perspectiva da
vtima. Muitas vezes, facilitado pela crimeware programas como keystroke madeireiros,
vrus, cavalos de Tria ou rootkits. Exemplos deste tipo de cybercrimes incluem, todavia no
-
25
esto limitados a phishing, roubo ou manipulao de dados ou servios atravs hacking ou
vrus, roubo de identidade, e de banco.
J o cybercrime Tipo II, trata-se geralmente em uma srie de eventos, envolvendo
repetidas interaes com o alvo. Por exemplo, a vtima contatada em uma sala de chat pelo
criminoso que, ao longo do tempo, tenta estabelecer um relacionamento. O criminoso, a partir
do relacionamento criado com a vtima, abstrai informaes pessoais da vtima que podem ser
utilizadas para cometer crimes do tipo cyberstalking e assdio, extorso, chantagem,
complexa espionagem empresarial, ou mesmo atividades terroristas. Em geral, facilitado por
programas que no se enquadram no mbito da classificao crimeware. Por exemplo, pode
ter lugar usando conversas IM (mensagens instantneas) clientes ou arquivos podem ser
transferidos atravs de FTP.
De acordo com uma pesquisa feita pela empresa de segurana virtual Kaspersky Lab
mostra que, em 2009, o Brasil foi o alvo predileto das ameaas virtuais cujo principal objetivo
roubar dados e senhas bancrias. A empresa detectou e analisou cerca que de 35 mil
ameaas dirias ocorridas em dez pases, os computadores brasileiros foram o endereo de
36% dos ataques. Em seguida vm China, com 21%, e Espanha, com 8%.
2.12 Projeto de Lei Brasileira n. 84/99
Como citado anteriormente, o Brasil ainda no possui um cdigo de leis especficas
para julgar os cybercrimes. Entretanto, em 26 de novembro de 2002, o deputado Nelson
Pellegrino (PT/BA), relator da Comisso de Segurana Pblica e Combate ao Crime
Organizado, Violncia e Narcotrfico da Cmara dos Deputados apresentou parecer pela
aprovao do projeto de lei n. 84/99 (tentativa de tipificar crimes cometidos pela Internet). No
mesmo ensejo, o relator, na referida comisso, apresentou substitutivo ao PL n. 84/99, para
que as alteraes preconizadas na legislao brasileira, em torno dos delitos informticos,
sejam introduzidas no prprio Cdigo Penal, e no em lei extravagante, como pretende o
deputado Luiz Piauhylino Filho, autor da proposta original.
Dentre os artigos que compem o PL n. 84/99 esto:
Art. 1 - O acesso, o processamento e a disseminao de informaes atravs das redes
de computadores devem estar a servio do cidado e da sociedade, respeitados os critrios de
garantia dos direitos individuais e coletivos e de privacidade e segurana de pessoas fsicas e
jurdicas e da garantia de acesso s informaes disseminadas pelos servios da rede.
-
26
Art. 5 - A coleta, o processamento e a distribuio, com finalidades comerciais, de
informaes privadas ficam sujeitas prvia aquiescncia da pessoa a que se referem, que
poder ser tomada sem efeito a qualquer momento, ressalvando-se o pagamento de
indenizaes a terceiros, quando couberem.
1. A toda pessoa cadastrada dar-se- conhecimento das informaes
privadas armazenadas e das respectivas fontes.
2. Fica assegurado o direito retificao de qualquer informao privada
incorreta.
3. Salvo por disposio legal ou determinao judicial em contrrio,
nenhuma informao privada ser mantida revelia da pessoa a que se refere ou alm
do tempo previsto para a sua validade.
4. Qualquer pessoa, fsica ou jurdica, tem o direito de interpelar o
proprietrio de rede de computadores ou provedor de servio para saber se mantm
informaes a seu respeito, e o respectivo teor.
Art. 8 - Apagar, destruir, modificar ou de qualquer forma inutilizar, total ou
parcialmente, dado ou programa de computador, de forma indevida ou no autorizada.
Pena: deteno de um a trs anos e multa
Pargrafo nico. Se o crime cometido:
I. contra o interesse da Unio, Estado, Distrito Federal, Municpio, rgo ou entidade da
administrao direta ou indireta ou de empresa concessionria de servios pblicos;
II. com considervel prejuzo para a vtima;
III. com intuito de lucro ou vantagem de qualquer espcie, prpria ou de terceiro;
IV. com abuso de confiana;
V. por motivo ftil;
VI. com o uso indevido de senha ou processo de identificao de terceiro, ou
VII. com a utilizao de qualquer outro meio fraudulento.
Pena: deteno, de dois a quatro anos e multa.
-
27
2.13 Diferenas e Semelhanas Entre Forense Computacional e Auditoria
Enquanto Forense Computacional uma tcnica cientfica, aplicada dentro de um
processo legal que busca evidncias e responsabilizao de envolvidos em incidentes que
usem os meios computacionais para execuo de crimes ou burlar regras estabelecidas, a
auditoria em um exame cuidadoso, sistemtico e independente das atividades desenvolvidas
em determinada empresa ou setor, cujo objetivo averiguar se elas esto de acordo com as
disposies planejadas e/ou estabelecidas previamente, se foram implementadas com eficcia
e se esto adequadas (em conformidade) consecuo dos objetivos.
Portanto, pode-se concluir que a tcnica de forense computacional trata-se de uma
auditoria, atravs de levantamento de evidncias para fins judiciais, e a auditoria apenas ir
certificar se os processos que foram ou sero implementados na organizao, esto de acordo
com os objetivos da empresa.
-
28
CAPTULO 3. METODOLOGIA
Neste captulo esto dispostos os mtodos adotados e materiais utilizados na
execuo do trabalho. Em seguida, h um cronograma onde esto apresentadas as previses
das atividades.
3.1 Tipo do trabalho
O trabalho seguir uma abordagem de pesquisa qualitativa com a realizao de
experimentao com intuito descritivo e no explanatrio, e ser dividido em duas partes:
1. Conter a fundamentao terica relativa ao surgimento das investigaes
computacionais, a falta de uma legislao especfica no Brasil para os crimes
digitais at o estudo detalhado da Anlise Forense Computacional;
2. Conter a parte prtica, com a escolha de um kit de ferramentas que ser
instalado em um ambiente controlado, a definio do projeto, a realizao da
anlise e a apresentao e discusso dos resultados.
3.2 Coleta de dados
Os dados sero coletados em fontes secundrias, tendo como instrumentos utilizados
livros, bibliografias, consulta complementar a documentos. Tambm sero utilizadas vrias
ferramentas existentes no mbito forense, a fim de desenvolver um kit de ferramentas para o
perito de crimes digitais.
3.3 Desenvolvimento
A base terica para a elaborao do presente projeto ser utilizada na compreenso e
conhecimento dos objetivos do campo de Forense Computacional, a fim de analisar a
viabilidade de uma padronizao nas ferramentas auxiliares de percia eletrnica. O trabalho
tambm englobar a criao de uma distribuio Linux, baseada no sistema operacional
Ubuntu 10.04 LTS, o qual tem seu suporte estendido por um tempo mais longo comparado
com as demais verses (10.10 ou 9.04, por exemplo). Esta distribuio ser personalizada
desde configuraes GUI (Guide User Interface), adaptando as configuraes grficas e
disposies de menus, cones e outros fatores visveis, a fim de proporcionar uma melhor
usabilidade e visibilidade ao perito, at modificaes nas instalaes dos pacotes e
configuraes dos mesmos, formando um menu com aplicaes grficas e outro com
-
29
aplicaes executadas via Terminal (Console). O software, utilizado para a customizao da
distribuio Linux e tambm para a gerao da verso Live (executada a partir de uma mdia
DVD), foi o remastersys, tambm uma ferramenta Open Source. No Captulo 4
Desenvolvimento h maiores detalhes sobre a utilizao desse software como tambm outros
aspectos do desenvolvimento.
-
30
CAPTULO 4. DESENVOLVIMENTO
Neste captulo esto documentados os processos de desenvolvimento, testes,
parmetros de comparaes e mtodos utilizados para definir as ferramentas mais eficientes,
eficazes e simples, considerando a eficcia como aspecto mais relevante para a deciso e, em
segundo lugar, a simplicidade (facilidade com que as ferramentas podem ser executadas em
relao s diversas funcionalidades embutidas). So dispostos, tambm, os procedimentos de
personalizao e gerao da distribuio Live Linux para execuo em qualquer mquina,
sendo necessrio somente observar os requisitos mnimos.
4.1 Anlise de Hardware
de extrema importncia para a percia computacional identificar e documentar as
capacidades fsicas da mquina a ser periciada. Alm das informaes de hardware, de igual
importncia a identificao de sistemas de arquivos e informaes lgicas do sistema
operacional. O programa que se destacou quanto aos testes efetuados foi o Hardinfo:
ferramenta publicada dentro da GNU GPL (General Public License), por oferecer mais
funcionalidades e ter xito em todas as informaes identificadas do Hardware e Software. O
destaque a gerao de relatrios: a ferramenta gera tanto em modo texto quanto em html: e
ainda filtra os resultados, gerando o relatrio de acordo com as necessidades do caso.
Outras ferramentas testadas foram: dmidecode (trazendo informaes somente do
Hardware listado na BIOS do sistema em execuo no modo texto), sysinfo (retornando
informaes bsicas do Hardware e do Sistema Operacional em modo grfico e, apesar da
simplicidade de uso, o programa no capaz de exportar em html nem detalhar os resultados),
e lshw. Esta ltima retornou detalhadamente e exatamente as configuraes de Hardware.
Entretanto, falhou em obter informaes do Sistema Operacional e exportao (ferramenta em
modo texto).
A ferramenta Hardinfo, portanto, foi escolhida como primordial para a anlise
computacional forense e indispensvel para a distribuio Live. Alm de obter informaes
detalhadas e especficas das capacidades fsicas da mquina e do Sistema Operacional e gerar
relatrios filtrados em html e texto plano, ela efetua benchmarks, ou seja, avalia o
desempenho relativo de um objeto a partir da execuo de uma srie de testes padres e
ensaios nele. Essa funcionalidade bastante til quando, por exemplo, existir a necessidade
-
31
de avaliar qual item de hardware est sendo mais utilizado em relao carga mxima da
CPU.
Na figura 4 mostrado um modelo de relatrio gerado pelo Hardinfo, em HTML.
Figura 4 - Relatrio Gerado para Impresso em HTML
Fonte: Software Hardinfo
Na figura 5 apresentado o sumrio da tela principal do Hardinfo.
Figura 5 - Sumrio na Tela Principal
Fonte: Software Hardinfo
-
32
J na figura 6 mostrada a tela principal do Sysinfo, com destaque para a memria.
Figura 6 - Tela Principal, destacando a memria
Fonte: Software Sysinfo
4.2 Verificao e Remoo de Vrus
Atualmente, existem vrus e malwares tanto para sistemas operacionais Windows
como Linux. O simples fato de abrir uma pasta pode estar relacionado com outra ao que
corrompe o sistema de arquivo atual automaticamente. Dependendo dos casos, vrus ou
qualquer outro tipo de malware pode ser descartado de preservao, exceto nos casos em que
investigada a origem dos mesmos, ou at mesmo a autoria: para estes casos, o perito deve
ter um cuidado maior e observar permisses de acesso mdia, alm de considerar cpias de
somente leitura. Para os demais casos, a preservao de vrus e malwares de todo prejudicial
ao processo de percia, invalidando as evidncias coletadas pelo fato de terem sido
modificadas, danificadas ou acessadas remotamente ou localmente pelos softwares
maliciosos. Portanto, antes do processo de coleta de evidncias, o uso de um aplicativo
Antivrus eficiente e universal deve ser considerado. A confiabilidade desse aplicativo
tambm deve ser alta e ele deve ter funes que removam somente os vrus, no os
documentos infectados (no caso de vrus alojados em documentos que podem conter
evidncias).
-
33
necessrio salientar que h certa carncia de softwares Antivrus de cdigo aberto
nos repositrios oficiais do Ubuntu. Na realidade, existe apenas um aplicativo antivrus nos
repositrios Universais: o Clamav. Este foi escolhido por ser confivel e proporcionar
atualizaes regulares, como tambm apresentar um processo de verificao rpido e
eficiente. Simplicidade tambm foi o seu ponto forte, em relao s alternativas. Duas
interfaces grficas e uma em modo texto com o mesmo motor antivrus tambm foram
testadas: clamtk, klamav e clamscan, respectivamente. As demais ferramentas testadas foram:
Xfprot e Qtfprot.
Foi feito uma cpia de uma mdia infectada com dez tipos de vrus atuais. Nessa
mdia tambm havia arquivos zip, rar, documentos de textos, planilhas eletrnicas e
apresentaes de slides. O aplicativo que foi mais eficiente em remover os vrus sem danificar
documentos foi o Clamtk, que, apesar do maior tempo de escaneamento em relao aos
outros, efetuou mais remoes. Essa ferramenta corrigida regularmente em mbito mundial,
suportando atualizaes automticas de definies de vrus e motor do sistema (engine),
apesar de ser uma interface grfica do gnome (conjunto de aplicaes visuais do sistema
operacional Linux), do clamav. Na figura 7 mostrada a interface do Clamtk.
Figura 7 - Interface para o Clamav
Fonte: Software Clamtk
4.3 Editores Hexadecimais
Os editores hexadecimais so ferramentas indispensveis para a percia forense, pois
recuperam dados de praticamente qualquer formato de arquivo (mesmo que esses dados
estejam, a princpio, inteligveis), sem a necessidade de ter o programa de criao desses
arquivos. A funcionalidade de um aplicativo desses ainda mais visvel quando observamos
-
34
dados de arquivos com senha de abertura sendo facilmente lidos sem nenhum tipo de senha.
Dependendo da aplicao que gerou a senha do arquivo (por exemplo, Office 97, 2000 ou
2003) a mesma senha pode ser observada sem abrir o arquivo, somente analisando os
metadados, ou seja, dados sobre dados. uma falha de segurana terrvel que s foi corrigida
parcialmente nas verses atuais do Microsoft Office (2007 e 2010), lembrando que possvel
visualizar informaes no somente dos aplicativos do Office, como tambm qualquer
arquivo. Por exemplo, uma imagem: ser visvel a assinatura do formato de arquivo (mesmo
que no tenha o formato especificado) e todas as posies dos bits que compe a imagem. A
anlise hexadecimal uma tcnica pericial bastante interessante que necessita de um perodo
de prtica e experincia para que os dados hexadecimais tenham mais sentido.
Alguns programas testados por funcionalidades foram: Bless Hex Editor e Gnome
Hexadecimal. O primeiro foi escolhido por ter maiores funcionalidades do que o Ghex.
Dentre suas principais caractersticas, destacam-se: eficiente edio de grandes arquivos de
dados e dispositivos de bloco, desfazer multinvel - refazer operaes, visualizaes
customizadas de dados, rpido processamento de dados na tela, mltiplas abas, localizar e
substituir operaes rapidamente, uma tabela de converso de dados, funes avanadas de
copiar e colar (substituir tudo), arquitetura baseada em plug-in, exportao de dados para
texto e html (com outros plugins), operaes bit a bit de dados e manual completo de
utilizao.
Nas figuras 8, 9 e 10 so apresentadas as telas de interface do Bless.
Figura 8 - Tela principal: destaque para as cores diferenciais e opes
Fonte: Software Bless
-
35
Figura 9 - Exportao em texto
Fonte: Software Bless
Figura 10 - Exportao em HTML
Fonte: Software Bless
A seguir na figura 11 apresentado a tela principal do Ghex.
-
36
Figura 11 - Tela Principal
Fonte: Software Ghrex
4.4 Geradores de Hash
O hash a prova mais elementar e indispensvel para permitir a amostragem das
demais evidncias. Sem ele todas as evidncias so contestveis: se o hash gerado da mdia
antes da percia for diferente do gerado posteriormente, todo o processo pericial se torna
invlido. Alm disso, o hash tambm utilizado para verificar se algum byte de um arquivo
ou mdia foi corrompido ou est ilegvel, verificando tambm a integridade e disponibilidade
dos arquivos. A importncia de uma ferramenta eficiente, rpida, funcional e simples de
utilizar de comum senso entre os peritos computacionais. Por isso, vrias ferramentas foram
testadas: gtkhash, md5deep, ssdeep, hashalot, bsign e jacksum em quesitos funcionais e
facilidades de uso.
O aplicativo com mais algoritmos para a gerao dos hash codes (nmero que
gerado a partir da leitura de todos os bytes de um arquivo ou conjunto de arquivos) foi o
jacksum, com 58 algoritmos para escolha da gerao do hash (Adler32, BSD sum, Bzip2's
CRC-32, POSIX cksum, CRC-8, CRC-16, CRC-24, CRC-32 (FCS-32), CRC-64, ELF-32,
eMule/eDonkey, FCS-16, GOST R 34.11-94, HAS-160, HAVAL (3/4/5 passos,
128/160/192/224/256 bits), MD2, MD4, MD5, MPEG-2's CRC-32, RIPEMD-128, RIPEMD-
-
37
160, RIPEMD-256, RIPEMD-320, SHA-0, SHA-1, SHA-224, SHA-256, SHA-384, SHA-512,
Tiger-128, Tiger-160, Tiger, Tiger2, Tiger Tree Hash, Tiger2 Tree Hash, Unix System V sum,
sum8, sum16, sum24, sum32, Whirlpool-0, Whirlpool-1, Whirlpool e xor8). Porm, esse
aplicativo possui uma interface grfica no muito atraente e o modo texto no simples de
usar sem estudar o manual dos parmetros. Portanto, em se tratando de velocidade, eficincia
e simplicidade de uso, o gtkhash foi escolhido como padro para a distribuio Live de
Forense Computacional, suportando os algoritmos MD5, SHA1, SHA256, SHA512,
RIPEMD, HAVAL, TIGER e WHIRLPOOL.
Nas figuras 12 e 13 mostra as telas principal e de preferncias do software Gtkhash.
Figura 12 - Tela principal padro com os dois algoritmos bsicos
Fonte: Software Gtkhash
Figura 13 - Tela de preferncias, escolha dos algoritmos disponveis
Fonte: Software Gtkhash
-
38
4.5 Documentao das Evidncias e Estudo de Casos Autopsy
O programa escolhido para documentar evidncias como tambm estudar ou
trabalhar em equipe analisando uma mesma mdia, foi o Autopsy Forensic Browser, que
consiste em uma aplicao grfica que faz uso de um conjunto de ferramentas em linha de
comando, como as providas pelo Sleuth Kit e, de forma mais intuitiva e automatizada, permite
atividades periciais em vrios sistemas de arquivo.
A aplicao funciona como um servidor web, podendo assim ser acessada atravs de
um conjunto de mquinas em rede, via navegador (http). O mais interessante dessa ferramenta
que ela e orientada a Casos, ou seja, um investigador deve iniciar o processo de investigao
criando um novo Caso. Para isso, um investigador deve informar o nome do caso, a descrio
do caso e os peritos envolvidos. Aps esse procedimento, o investigador guiado atravs de
uma srie de passos, onde sero cadastradas as mquinas sob investigao e suas respectivas
mdias (imagens extradas destas).
Nas figuras 14 e 15 so mostradas as telas de criao de um novo caso e adio de
uma nova mquina do software Autopsy.
Figura 14 Criao de um novo Caso Fonte: Software Autopsy
-
39
Figura 15 - Adio de uma nova mquina
Fonte: Software Autopsy
Nessa etapa possvel definir uma base de dados de assinaturas (hashes) de arquivos
j conhecidos, sejam eles arquivos a serem ignorados ou arquivos reconhecidos como
maliciosos. Estas bases de dados so de grande utilidade para acelerar o processo de anlise
forense.
Para cada host cadastrado, o perito poder adicionar ainda um conjunto de arquivos
contendo imagens extradas das mquinas apreendidas. Estas imagens podem ter sido
extradas de discos rgidos do sistema. Concluda a incluso das imagens, o host est pronto
para ser analisado e o perito pode ento iniciar o processo de anlise dos dados contidos nas
imagens.
Nas figuras 16, 17 e 18 seguem algumas telas de adio de imagem, dados
necessrios para adicionar uma nova imagem e o seletor de imagens analisadas.
-
40
Figura 16 - Tela de adio de imagens
Fonte: Software Autopsy
Figura 17 - Dados necessrios para adicionar uma nova imagem
Fonte: Software Autopsy
-
41
Figura 18 - Seletor de imagens analisadas
Fonte: Software Autopsy
No processo de anlise dos dados, a aplicao mostrar a estrutura de diretrios e os
respectivos arquivos contidos nas imagens. Ela mostrar ainda os arquivos removidos do
dispositivo. Neste modo de operao possvel tambm mostrar arquivos deletados: sero
mostrados todos os arquivos removidos do dispositivo cujos metadados ainda encontrem-se
intactos. H dois tipos distintos de arquivos removidos, representados por cores diferentes.
Arquivos em vermelho so arquivos cuja rea de memria que estava sendo ocupada ainda
no foi realocada, o que permite ao perito confiar na visualizao mostrada na parte inferior
da tela. Se o arquivo estiver em bord, a rea que costumava ser ocupada pelo arquivo j foi
realocada e o contedo pode no representar mais total ou parcialmente o arquivo removido; e
busca por padro de nome: esta busca muito til em casos onde se deseja buscar por
arquivos de nomes conhecidos ou mesmo de determinados tipos (extenso), uma vez que a
busca suporta expresses regulares. Na figura 19 demonstrada uma anlise de arquivos
contendo trs arquivos deletados e recuperados.
-
42
Figura 19 - Tela de anlise de arquivos contendo trs arquivos deletados e recuperados
Fonte: Software Autopsy
Na anlise de metadados, um perito ter acesso a detalhes da estrutura em que se
baseia o sistema de arquivos. Os dados em um disco rgido nem sempre esto alocados em
uma rea contgua de memria. O sistema de arquivos divide assim o disco fsico em setores
e, para organizar, gerenciar e facilitar a busca por arquivos mantm um conjunto de dados que
funcionam como um ndice e contm ponteiros para estes arquivos, alm de dados como o
instante em que o mesmo foi criado, nome, entre outros.
A anlise dos metadados o ponto de partida para outro tipo de anlise, a das
Unidades de Dados, os chamados setores ou clusters. Atravs da busca por metadados, o
perito ter um conjunto de setores relacionado com determinado arquivo e, analisando-os
separadamente, poder visualizar o contedo de cada setor separadamente. Segue abaixo uma
demonstrao de anlise de metadados, conforme figura 20.
-
43
Figura 20 - Tela de anlise dos metadados
Fonte: Software Autopsy
O sistema permite ainda a extrao do contedo do arquivo envolvido, para anlise
externa, bem como a adio de notas e gerao de relatrios acerca do contedo analisado.
Com a visualizao dos setores possvel analisar seu contedo em diferentes formatos, como
ASCII, Hexadecimal ou mesmo imprimindo apenas os textos visveis. Na figura 21 segue
uma demonstrao de anlise de setores.
-
44
Figura 21 - Tela de visualizao dos setores
Fonte: Software Autopsy
Classificar as informaes objeto da anlise fundamental na anlise pericial. Para
dar suporte a este processo, a ferramenta Autopsy fornece uma forma de separar estes arquivos
de acordo com seus tipos. Esta classificao pode ser baseada em anlise de contedo ou
extenso de arquivo. Por padro, as duas formas de sortir os arquivos encontrados so
efetuadas. Tanto o espao alocado quanto o no alocado so vasculhados, o que permite ao
perito revelar contedos ocultos em uma busca convencional. Os arquivos so classificados
dentre as seguintes categorias:
Conjunto de arquivos de dados
udio
Arquivo comprimido
Arquivo criptografado
Dados
Arquivo de imagem (de CD ou DVD, por exemplo)
Documentos, executveis (aplicaes)
Imagens (JPEG ou PNG, por exemplo)
-
45
Arquivos de sistema
Texto
Arquivos no reconhecidos pela aplicao e vdeos
Na figura 22 segue a tela de processo de classificao de arquivos do software
Autopsy.
Figura 22 - Tela de processo de classificao de arquivos
Fonte: Software Autopsy
Aps a classificao dos arquivos, o perito pode desprezar aquele que no desperta
interesse, cruzar os hashes dos arquivos de interesse com as bases de hashes e ainda analisar
um a um os arquivos de maior relevncia.
Alm desse tipo de classificao (segundo o Tipo dos arquivos), o programa tem
uma funcionalidade de busca por palavras chave, onde possvel examinar o contedo de
arquivos em busca de um determinado texto. A ferramenta permite a definio de expresses
regulares (como *palavra-chave*) como forma de ampliar e generalizar o domnio de busca.
-
46
Nas figuras 23 e 24 seguem exemplos de busca em espaos alocados ou no alocados
e visualizao do fragmento anteriormente fragmentado do software Autopsy.
Figura 23 - Tela de busca em espaos alocados ou no alocados
Fonte: Software Autopsy
Figura 24 - Tela de visualizao do fragmento anteriormente pesquisado
Fonte: Software Autopsy
Podemos concluir que a busca permite que tanto o espao alocado quanto o espao
livre sejam varridos, em busca do padro desejado. H ainda um conjunto de buscas
-
47
predefinidas, como busca por endereo IP, por datas, entre outros. O sistema armazena
tambm um histrico com as ltimas buscas e o nmero de resultados gerados a partir dela.
Atravs da funo Extract Strings possvel extrair os strings da imagem, tornando a busca
mais eficiente.
4.6 Anlise de Pacotes e Rede - Tcnica Package Sniffer
O programa escolhido para monitorar a rede, capturando pacotes e detectando
incidentes ou tentativas de ataques foi o Wireshark, sucessor do