Forense Computacional

Mauro Notarnicola Madeira

Crditos
Universidade do Sul de Santa Catarina | Campus UnisulVirtual | Educao Superior a Distncia
Reitor Ailton Nazareno Soares Vice-Reitor Sebastio Salsio Heerdt Chefe de Gabinete da Reitoria Willian Corra Mximo Pr-Reitor de Ensino e Pr-Reitor de Pesquisa, Ps-Graduao e Inovao Mauri Luiz Heerdt Pr-Reitora de Administrao Acadmica Miriam de Ftima Bora Rosa Pr-Reitor de Desenvolvimento e Inovao Institucional Valter Alves Schmitz Neto Diretora do Campus Universitrio de Tubaro Milene Pacheco Kindermann Diretor do Campus Universitrio da Grande Florianpolis Hrcules Nunes de Arajo Secretria-Geral de Ensino Solange Antunes de Souza Diretora do Campus Universitrio UnisulVirtual Jucimara Roesler Equipe UnisulVirtual Diretor Adjunto
Moacir Heerdt Avenida dos Lagos, 41 Cidade Universitria Pedra Branca | Palhoa SC | 88137-900 | Fone/fax: (48) 3279-1242 e 3279-1271 | E-mail: [email protected] | Site: www.unisul.br/unisulvirtual

Coordenadores Graduao

Alosio Jos Rodrigues Ana Lusa Mlbert Ana Paula R.Pacheco Artur Beck Neto Bernardino Jos da Silva Charles Odair Cesconetto da Silva Dilsa Mondardo Diva Marlia Flemming Horcio Dutra Mello Itamar Pedro Bevilaqua Jairo Afonso Henkes Janana Baeta Neves Jorge Alexandre Nogared Cardoso Jos Carlos da Silva Junior Jos Gabriel da Silva Jos Humberto Dias de Toledo Joseane Borges de Miranda Luiz G. Buchmann Figueiredo Marciel Evangelista Catneo Maria Cristina Schweitzer Veit Maria da Graa Poyer Mauro Faccioni Filho Moacir Fogaa Nlio Herzmann Onei Tadeu Dutra Patrcia Fontanella Roberto Iunskovski Rose Clr Estivalete Beche

Marilene de Ftima Capeleto Patricia A. Pereira de Carvalho Paulo Lisboa Cordeiro Paulo Mauricio Silveira Bubalo Rosngela Mara Siegel Simone Torres de Oliveira Vanessa Pereira Santos Metzker Vanilda Liordina Heerdt

Patrcia de Souza Amorim Poliana Simao Schenon Souza Preto

Gerncia de Desenho e Desenvolvimento de Materiais Didticos

Mrcia Loch (Gerente)

Karine Augusta Zanoni Marcia Luz de Oliveira Mayara Pereira Rosa Luciana Tomado Borguetti

Assuntos Jurdicos

Bruno Lucion Roso Sheila Cristina Martins

Gesto Documental

Lamuni Souza (Coord.) Clair Maria Cardoso Daniel Lucas de Medeiros Jaliza Thizon de Bona Guilherme Henrique Koerich Josiane Leal Marlia Locks Fernandes

Desenho Educacional

Marketing Estratgico Portal e Comunicao

Gerncia Administrativa e Financeira

Renato Andr Luz (Gerente) Ana Luise Wehrle Anderson Zandr Prudncio Daniel Contessa Lisboa Naiara Jeremias da Rocha Rafael Bourdot Back Thais Helena Bonetti Valmir Vencio Incio

Vice-Coordenadores Graduao
Adriana Santos Ramm Bernardino Jos da Silva Catia Melissa Silveira Rodrigues Horcio Dutra Mello Jardel Mendes Vieira Joel Irineu Lohn Jos Carlos Noronha de Oliveira Jos Gabriel da Silva Jos Humberto Dias de Toledo Luciana Manfroi Rogrio Santos da Costa Rosa Beatriz Madruga Pinheiro Sergio Sell Tatiana Lee Marques Valnei Carlos Denardin Smia Mnica Fortunato (Adjunta)

Gerncia de Ensino, Pesquisa e Extenso

Janana Baeta Neves (Gerente) Aracelli Araldi

Elaborao de Projeto

Carolina Hoeller da Silva Boing Vanderlei Brasil Francielle Arruda Rampelotte

Cristina Klipp de Oliveira (Coord. Grad./DAD) Roseli A. Rocha Moterle (Coord. Ps/Ext.) Aline Cassol Daga Aline Pimentel Carmelita Schulze Daniela Siqueira de Menezes Delma Cristiane Morari Eliete de Oliveira Costa Elosa Machado Seemann Flavia Lumi Matuzawa Geovania Japiassu Martins Isabel Zoldan da Veiga Rambo Joo Marcos de Souza Alves Leandro Roman Bamberg Lygia Pereira Lis Air Fogolari Luiz Henrique Milani Queriquelli Marcelo Tavares de Souza Campos Mariana Aparecida dos Santos Marina Melhado Gomes da Silva Marina Cabeda Egger Moellwald Mirian Elizabet Hahmeyer Collares Elpo Pmella Rocha Flores da Silva Rafael da Cunha Lara Roberta de Ftima Martins Roseli Aparecida Rocha Moterle Sabrina Bleicher Vernica Ribas Crcio Vanessa de Andrade Manoel (Coord.) Letcia Regiane Da Silva Tobal Mariella Gloria Rodrigues Vanesa Montagna

Rafael Bavaresco Bongiolo Catia Melissa Silveira Rodrigues Andreia Drewes Luiz Felipe Buchmann Figueiredo Rafael Pessi

Gerncia de Produo Design Visual

Arthur Emmanuel F. Silveira (Gerente) Francini Ferreira Dias Pedro Paulo Alves Teixeira (Coord.) Alberto Regis Elias Alex Sandro Xavier Anne Cristyne Pereira Cristiano Neri Gonalves Ribeiro Daiana Ferreira Cassanego Davi Pieper Diogo Rafael da Silva Edison Rodrigo Valim Fernanda Fernandes Frederico Trilha Jordana Paula Schulka Marcelo Neri da Silva Nelson Rosa Noemia Souza Mesquita Oberdan Porto Leal Piantino

Reconhecimento de Curso
Maria de Ftima Martins

Acessibilidade

Multimdia

Secretaria Executiva e Cerimonial

Jackson Schuelter Wiggers (Coord.) Marcelo Fraiberg Machado Tenille Catarina

Extenso Pesquisa

Maria Cristina Veit (Coord.) Daniela E. M. Will (Coord. PUIP, PUIC, PIBIC) Mauro Faccioni Filho (Coord. Nuvem)

Avaliao da aprendizagem

Srgio Giron (Coord.) Dandara Lemos Reynaldo Cleber Magri Fernando Gustav Soares Lima Josu Lange

Assessoria de Assuntos Internacionais

Murilo Matos Mendona

Coordenadores Ps-Graduao

Ps-Graduao Biblioteca

Assessoria de Relao com Poder Pblico e Foras Armadas

Adenir Siqueira Viana Walter Flix Cardoso Junior

Assessoria DAD - Disciplinas a Distncia

Patrcia da Silva Meneghel (Coord.) Carlos Alberto Areias Cludia Berh V. da Silva Conceio Aparecida Kindermann Luiz Fernando Meneghel Renata Souza de A. Subtil

Alosio Jos Rodrigues Anelise Leal Vieira Cubas Bernardino Jos da Silva Carmen Maria Cipriani Pandini Daniela Ernani Monteiro Will Giovani de Paula Karla Leonora Dayse Nunes Letcia Cristina Bizarro Barbosa Luiz Otvio Botelho Lento Roberto Iunskovski Rodrigo Nunes Lunardelli Rogrio Santos da Costa Thiago Coelho Soares Vera Rejane Niedersberg Schuhmacher Acadmica Angelita Maral Flores (Gerente) Fernanda Farias

Anelise Leal Vieira Cubas (Coord.) Salete Ceclia e Souza (Coord.) Paula Sanhudo da Silva Marlia Ignacio de Espndola Renan Felipe Cascaes

Claudia Gabriela Dreher Jaqueline Cardozo Polla Ngila Cristina Hinckel Sabrina Paula Soares Scaranto Thayanny Aparecida B. da Conceio

Conferncia (e-OLA)

Carla Fabiana Feltrin Raimundo (Coord.) Bruno Augusto Zunino Gabriel Barbosa

Gerncia de Logstica Logsitca de Materiais

Produo Industrial

Marcelo Bittencourt (Coord.)

Jeferson Cassiano A. da Costa (Gerente) Carlos Eduardo D. da Silva (Coord.) Abraao do Nascimento Germano Bruna Maciel Fernando Sardo da Silva Fylippy Margino dos Santos Guilherme Lentz Marlon Eliseu Pereira Pablo Varela da Silveira Rubens Amorim Yslann David Melo Cordeiro

Gerncia Servio de Ateno Integral ao Acadmico

Maria Isabel Aragon (Gerente) Ana Paula Batista Detni Andr Luiz Portes Carolina Dias Damasceno Cleide Incio Goulart Seeman Denise Fernandes Francielle Fernandes Holdrin Milet Brando Jenniffer Camargo Jessica da Silva Bruchado Jonatas Collao de Souza Juliana Cardoso da Silva Juliana Elen Tizian Kamilla Rosa Mariana Souza Marilene Ftima Capeleto Maurcio dos Santos Augusto Maycon de Sousa Candido Monique Napoli Ribeiro Priscilla Geovana Pagani Sabrina Mari Kawano Gonalves Scheila Cristina Martins Taize Muller Tatiane Crestani Trentin

Gesto Docente e Discente

Enzo de Oliveira Moreira (Coord.)

Capacitao e Assessoria ao Docente

Assessoria de Inovao e Qualidade de EAD

Gerncia Administrao

Denia Falco de Bittencourt (Coord.) Andrea Ouriques Balbinot Carmen Maria Cipriani Pandini

Assessoria de Tecnologia

Secretaria de Ensino a Distncia

Samara Josten Flores (Secretria de Ensino) Giane dos Passos (Secretria Acadmica) Adenir Soares Jnior Alessandro Alves da Silva Andra Luci Mandira Cristina Mara Schauffert Djeime Sammer Bortolotti Douglas Silveira Evilym Melo Livramento Fabiano Silva Michels Fabricio Botelho Espndola Felipe Wronski Henrique Gisele Terezinha Cardoso Ferreira Indyanara Ramos Janaina Conceio Jorge Luiz Vilhar Malaquias Juliana Broering Martins Luana Borges da Silva Luana Tarsila Hellmann Luza Koing Zumblick Maria Jos Rossetti

Osmar de Oliveira Braz Jnior (Coord.) Felipe Fernandes Felipe Jacson de Freitas Jefferson Amorin Oliveira Phelipe Luiz Winter da Silva Priscila da Silva Rodrigo Battistotti Pimpo Tamara Bruna Ferreira da Silva

Alessandra de Oliveira (Assessoria) Adriana Silveira Alexandre Wagner da Rocha Elaine Cristiane Surian (Capacitao) Elizete De Marco Fabiana Pereira Iris de Souza Barros Juliana Cardoso Esmeraldino Maria Lina Moratelli Prado Simone Zigunovas Anderson da Silveira (Ncleo Comunicao) Claudia N. Nascimento (Ncleo NorteMaria Eugnia F. Celeghin (Ncleo Plos) Andreza Talles Cascais Daniela Cassol Peres Dbora Cristina Silveira Ednia Araujo Alberto (Ncleo Sudeste) Francine Cardoso da Silva Janaina Conceio (Ncleo Sul) Joice de Castro Peres Karla F. Wisniewski Desengrini Kelin Buss Liana Ferreira Luiz Antnio Pires Maria Aparecida Teixeira Mayara de Oliveira Bastos Michael Mattar

Avaliaes Presenciais

Tutoria e Suporte

Nordeste)

Coordenao Cursos Coordenadores de UNA

Diva Marlia Flemming Marciel Evangelista Catneo Roberto Iunskovski

Graciele M. Lindenmayr (Coord.) Ana Paula de Andrade Angelica Cristina Gollo Cristilaine Medeiros Daiana Cristina Bortolotti Delano Pinheiro Gomes Edson Martins Rosa Junior Fernando Steimbach Fernando Oliveira Santos Lisdeise Nunes Felipe Marcelo Ramos Marcio Ventura Osni Jose Seidler Junior Thais Bortolotti

Gerncia de Marketing

Eliza B. Dallanhol Locks (Gerente)

Auxiliares de Coordenao

Ana Denise Goularte de Souza Camile Martinelli Silveira Fabiana Lange Patricio Tnia Regina Goularte Waltemann

Relacionamento com o Mercado Alvaro Jos Souto Relacionamento com Polos Presenciais
Alex Fabiano Wehrle (Coord.) Jeferson Pandolfo

Universidade do Sul de Santa Catarina

Forense Computacional
Livro Digital

Palhoa UnisulVirtual 2012

Copyright UnisulVirtual 2012 Nenhuma parte desta publicao pode ser reproduzida por qualquer meio sem a prvia autorizao desta instituio. Edio Livro Digital Professor Conteudista
Mauro Notarnicola Madeira

Coordenao de Curso
Luiz Otvio Botelho Lento

Design Instrucional
Delma Cristiane Morari

Projeto Grfico e Capa

Equipe Design Visual

Diagramao
Noemia Mesquita

Reviso
Contextuar

341.4639 M15 Madeira, Mauro Notarnicola Forense computacional : livro digital / Mauro Notarnicola Madeira; design instrucional Delma Cristiane Morari. Palhoa : UnisulVirtual, 2012. 148p. : il. ; 28 cm. Inclui bibliografia. 1. Prtica forense Recursos de redes de computadores. 2. Proteo de dados. I. Morari, Delma Cristiane. II. Ttulo.

Ficha catalogrfica elaborada pela Biblioteca Universitria da Unisul

Mauro Notarnicola Madeira

Forense Computacional
Livro Digital

Designer instrucional Delma Cristiane Morari

Palhoa UnisulVirtual 2012

Sumrio

7 9 11 13 51 86 119

Apresentao Palavras do professor Plano de estudo Unidade 1

Computao forense

Unidade 2
Aquisio e preservao dos dados

Unidade 3
Anlise de dados e outras fontes de vestgio e a antiforense

Unidade 4
Antiforense computacional

132 Para concluir os estudos 134 Minicurrculo 136 Respostas e comentrios das atividades de autoaprendizagem
e colaborativas

141

Referncias

145 Anexo

Apresentao

Caro/a estudante, O livro digital desta disciplina foi organizado didaticamente, de modo a oferecer a voc, em um nico arquivo pdf, elementos essenciais para o desenvolvimento dos seus estudos. Constituem o livro digital: Palavras do professor (texto de abertura); Plano de estudo (com ementa, objetivos e contedo programtico da disciplina); Objetivos, Introduo, Sntese e Saiba mais de cada unidade; Leituras de autoria do professor conteudista; Atividades de autoaprendizagem e gabaritos; Enunciados das atividades colaborativas; Para concluir estudos (texto de encerramento); Minicurrculo do professor conteudista; e Referncias. Lembramos, no entanto, que o livro digital no constitui a totalidade do material didtico da disciplina. Dessa forma, integram o conjunto de materiais de estudo: webaulas, objetos multimdia, leituras complementares (selecionadas pelo professor conteudista) e atividades de avaliao (obrigatrias e complementares), que voc acessa pelo Espao UnisulVirtual de Aprendizagem. Tais materiais didticos foram construdos especialmente para este curso, levando em considerao as necessidades da sua formao e aperfeioamento profissional. Atenciosamente, Equipe UnisulVirtual

Palavras do professor

Prezado (a) aluno (a), Espero que voc goste do como foram organizadas as leituras desse livro. Como uma disciplina que aumenta de contedo em profundidade e abrangncia a cada dia, no houve a pretenso de esgotar o assunto, mas apresentar os conceitos fundamentais, de tal forma que novos conhecimentos possam ser melhor assimilados. Quando estudamos os fundamentos de algo, fica bem mais fcil e rpido entender assuntos mais aprofundados ou novos avanos na rea. A Computao Forense tem aumentado de importncia em todo o mundo e j uma matria com relativo amadurecimento em alguns lugares, onde j existem inclusive cursos de graduao. No Brasil tambm j comeam a amadurecer algumas iniciativas nesse sentido. O campo de trabalho tambm tem aumentado e h procura por peritos judiciais. Embora uma formao especfica no seja requerida, aqueles que incluem em seu currculo que possuem conhecimentos em Computao Forense levam vantagem. Nos tpicos do livro, h uma tentativa de apresentar um pouco de legislao. No entanto, os aspectos legais no foram detalhados, uma vez que tiraria espao da parte tcnica, que o foco da disciplina. Prof. Mauro Notarnicola Madeira

Plano de estudo

O plano de estudo visa a orient-lo/a no desenvolvimento da disciplina. Possui elementos que o/a ajudaro a conhecer o contexto da disciplina e a organizar o seu tempo de estudos. O processo de ensino e aprendizagem na UnisulVirtual leva em conta instrumentos que se articulam e se complementam, portanto a construo de competncias se d sobre a articulao de metodologias e por meio das diversas formas de ao/mediao. So elementos desse processo: o livro digital; o Espao UnisulVirtual de Aprendizagem (EVA); as atividades de avaliao (a distncia, presenciais e de autoaprendizagem); o Sistema Tutorial.

Objetivo geral
Compreender as principais estratgias da forense computacional e desenvolver habilidades para a sua execuo em ambientes corporativos.

Ementa
Fundamentos sobre forense computacional. Viso estratgica da forense. Levantamento de informaes, coleta e tratamento de evidncias. Anlise de resultados. Pr-requisitos para realizao da forense computacional.

Contedo programtico/objetivos
A seguir, as unidades que compem o livro digital desta disciplina e os seus respectivos objetivos. Estes se referem aos resultados que voc dever alcanar ao final de uma etapa de estudo. Os objetivos de cada unidade definem o conjunto de conhecimentos que voc dever possuir para o desenvolvimento de habilidades e competncias necessrias a este nvel de estudo.

Unidades de estudo: 4

Unidade 1 Computao forense

So apresentados os principais conceitos do que a Computao Forense e sua comparao com a investigao forense. So apresentados conceitos bsicos por trs da terminologia, detalhes de como a computao evoluiu, conectou-se internet e serve atualmente como um mundo virtual, onde prticas criminosas conseguiram se infiltrar. Tambm so apresentadas informaes sobre a profisso e os contedos que precisam ser estudados para exerc-la.

Unidade 2 Aquisio e preservao dos dados

Nesta unidade, duas leituras apresentam as tcnicas e ferramentas para a busca e apreenso, o preparo para o trabalho em campo, a aquisio de dados, como eles so preservados, como so transportados, a constituio da cadeia de custdia e o armazenamento adequado do material.

Unidade 3 Anlise de dados e outras fontes de vestgio

Nesta unidade, so analisados aspectos mais prticos da investigao, com uma anlise de ferramentas de dados, de aspectos relevantes sobre sistemas de arquivos, mdias e ferramentas envolvidas.

Unidade 4 Antiforense computacional

So apresentados o que significa a antiforense computacional e as principais tcnicas utilizadas.

Carga horria: 30 horas

Ps-graduao

Unidade 1

Computao forense

Objetivos de aprendizagem
Compreender o que a Computao Forense e sua importncia no mbito da empresa. Entender a preocupao com a segurana e o que a preveno na Computao Forense. Relacionar o nascimento do computador e da internet com a segurana dos sistemas. Entender o interesse financeiro por trs de uma invaso e que o ataque tem abrangncia muito alm da local. Entender o que a proatividade na Computao Forense. Conhecer as etapas da investigao forense digital e onde atua o investigador forense. Compreender o ambiente de trabalho forense. Relacionar o mtodo cientfico conduo da investigao forense.

Introduo
A cincia forense ou criminalstica o processo de usar o conhecimento cientfico na coleta, anlise e apresentao de vestgios para que estas se constituam provas em um processo judicial. A palavra forense significa de foro judicial ou dos tribunais ou a ele relativos, segundo o Dicionrio Priberam da Lngua Portuguesa (2011). A cincia forense trabalha primariamente com a recuperao e anlise de vestgios latentes. O vestgio latente pode ser de vrios tipos, como impresses digitais, vestgios de plvora, DNA presente em uma gota de sangue etc. A cincia forense combina conhecimentos e mtodos cientficos com procedimentos legais com o propsito de levantar e apresentar ao sistema jurdico provas relacionadas a um crime.

14

O campo da cincia forense se desenvolveu durante muitos sculos. Os registros mais antigos remontam ao ano de 1248, quando o mdico chins Hi Duan Yo escreveu um livro sobre o conhecimento da anatomia e medicina da poca em relao lei, que inclua diferenas entre morte por afogamento, estrangulamento e causas naturais. Embora a cincia forense tenha se desenvolvido em um campo bem documentado e disciplinado com muitos nveis de verificao, ela est sempre em movimento. Assim como o conhecimento cientfico e tcnicas so criadas continuamente, tambm os processos forenses evoluem. Aos poucos, descobertas e tcnicas cientficas vo se incorporando ao conjunto de recursos disponveis para as investigaes. Mesmo assim, ela est sempre atrs dos avanos cientficos. Um exemplo o uso do DNA como prova. Desde a dcada de 1980, a anlise do DNA j era conhecida na Nova Zelndia, mas apenas em 1996 ela foi utilizada em uma corte.

Ps-graduao

15

O que a computao forense e sua importncia no mbito empresarial

Mauro Notarnicola Madeira

O computador e as tecnologias de telecomunicao atuais tm causado uma mudana radical de como a sociedade funciona. Tanto no mbito profissional como no pessoal, nossa vida depende de vrios servios que se apoiam em computadores e redes de comunicao. Qualquer comprometimento no suporte ou em servios importa prejuzos cada vez maiores. Um dos desafios da tecnologia como tratar de ameaas e ataques a esses sistemas, que vo das simples invases exibicionistas a roubos e terrorismo. Grande parte de nossas vidas hoje se passa no cyberspace, assim como, cada vez mais, as atividades criminosas (TRCEK et al., 2010). Com isso, tambm a polcia tem sido chamada a atuar nesse meio e a investig-lo. E essa mudana de meio significa que o que antes era vestgio fsico e testemunhal, agora se apresenta na forma de informaes digitais, armazenadas em memrias e discos. Portanto, o elemento crtico da investigao criminal e manuteno da lei, vestgio fsico, est sendo substitudo pela informao na forma digital, o vestgio digital. Vestgio digital a informao ou dado que possui valor em uma investigao, armazenado, recebido ou transmitido por um dispositivo eletrnico. O vestgio adquirido quando dados ou dispositivos eletrnicos so apreendidos e guardados para exame. Segundo National Institute of Justice (2001), o vestgio se caracteriza por: poder ser latente, como impresses digitais e amostras de DNA; poder cruzar jurisdies fcil e rapidamente; ser facilmente alterado, danificado ou destrudo; ser sensvel passagem do tempo. Do ponto de vista dos vestgios, existem vrias formas de classific-los por tipos, mas, de um modo geral, eles podem ser (NEW YORK Computer Forensic Services, 2011): dados ativos so aqueles que podem ser prontamente vistos, como arquivos de texto e imagens, programas e arquivos usados pelos sistema operacional. So os tipos de dados mais fceis de serem extrados. dados arquivados so aqueles que foram alvo de backup. Podem ser CD-ROM, DVD, fitas magnticas, discos rgidos. dados latentes so aqueles que geralmente necessitam de ferramentas especializadas para permitir seu acesso, como dados deletados, parcialmente sobrescritos, cifrados etc.

Computao forense

16

Uma investigao pode envolver o exame de todos esses tipos de dados, dependendo das circunstncias. Obter os dados latentes de longe o que requer mais recursos e tempo.
Os termos evidncia, prova e vestgio trazem algum problema em seu uso na Computao Forense. Na literatura sobre a Computao Forense em Lngua Portuguesa, o termo evidncia muito utilizado em lugar de vestgio e muitas vezes tambm como sinnimo para prova. No entanto, para evitar incorrees, neste trabalho optamos por no utilizar o termo evidncia, uma vez que um falso cognato. Por sua vez, a palavra prova uma forma de caracterizar o vestgio. Logo, um vestgio pode ser uma prova, mas nem todo vestgio pode ou deve ser utilizado como prova. Portanto, salvo algum descuido no texto, vamos sempre optar pelo termo vestgio, designando a informao ou dado objeto da investigao forense.

H poucos anos, a preocupao da Computao Forense se resumia a contedos de mdias magnticas ou pticas, e o trabalho do investigador forense era fazer cpias dessas mdias e procurar por cadeias de caracteres com examinadores hexadecimais. Atualmente, com a computao presente nos mais variados dispositivos, incluindo os mveis como tablets e smartphones, e a capacidade de se comunicar em rede, essa realidade mudou. Muitos equipamentos no se resumem mais a armazenar seus dados em mdias locais, e surge a importncia de analisar o que est na memria principal do dispositivo bem como o que ele depositou em sistemas de armazenamentos distantes, como em servidores e na nova cloud computing, em que servios e armazenamentos de dados podem estar em qualquer lugar, longe das fronteiras fsicas de uma empresa e mesmo em outros pases. Tambm o ato de desligar uma mquina e lev-la para anlise em laboratrio deixou de ser o procedimento padro, uma vez que, de uma forma geral, se elas esto ligadas, o contedo da memria principal deve ser examinado. Com a proliferao da internet, as empresas nunca estiveram to expostas, justamente quando a informao o bem de maior valor em uma organizao. No so somente as grandes empresas que esto em risco. Qualquer organizao, mesmo as pequenas, de qualquer tipo de ramo, um potencial alvo. Da mesma forma, tambm no sempre um hacker habilidoso que se aproveita das falhas de segurana de um sistema, mas muitas vezes um funcionrio recm-despedido ou insatisfeito, ou algum simplesmente querendo deixar sua marca.

Ps-graduao

17

A importncia em proteger a informao cada vez mais reconhecida. Alm de ser um alvo direto de um ataque, uma empresa pode ser, indiretamente, base para ataques, o que significa implicaes legais de responsabilidade. Tanto agentes externos quanto empregados sem preparo ou mal-intencionados podem utilizar servidores de uma empresa para conduzir ataques a outras organizaes ou pessoas.

Preocupao com a segurana

No comeo da computao comercial, os computadores de grande porte, os mainframes, eram instalados em salas ou em prdios construdos especialmente para eles, denominados de Central de Processamento de Dados (CPD) ou Ncleo de Processamento de Dados (NPD), onde apenas pessoas autorizadas tinham permisso para entrar. De forma geral, no incio da computao comercial, um CPD no era conectado a outro e o acesso pelos usurios era feito por meio de terminais burros, ou seja, sem processamento, instalados em prdios prximos ao mainframe. Basicamente, a preocupao era com o ataque interno e o eventual vazamento de informaes causado por funcionrios da empresa que tinham acesso ao computador. Para garantir a segurana, era preciso definir quem tinha acesso ao que em um sistema, especialmente porque, em um CPD, um ou mais computadores so compartilhados por todos os departamentos de uma organizao, quando no por vrias organizaes ou empresas. Devido a esse uso compartilhado, sistemas especficos de controle de acesso foram desenvolvidos. Um exemplo o Resource Access Control Facility, criado pela IBM em 1976 (IBM, 2008). Nesse sistema, podem ser definidos: identificao e verificao de usurios do sistema; identificao, classificao e proteo dos recursos do sistema; autorizao de usurios ao acesso a recursos; controle das formas de acesso aos recursos; registro de tentativas no autorizadas de acesso ao sistema e aos recursos protegidos; administrao de recursos para atingir os objetivos de segurana da instalao.

Computao forense

18

Os mainframes eram e so a escolha para empresas grandes, bancos e governo. Ou seja, uma eventual falha de segurana pode gerar perdas enormes, tanto em dinheiro, tempo para recompor um servio ou com a perda de documentos sigilosos, como patentes, frmulas de produtos industriais, cadastro de clientes, nmeros de carto de crdito etc., assim, o ambiente de mainframe j incorpora itens de segurana h muito estabelecidos para evitar esses perigos. O que mostra isso? Que a preocupao com a segurana vem de longe, e que, alm do isolamento fsico do computador, o seu acesso lgico era restrito e controlado. Vale lembrar que as redes de comunicao ligando usurios aos computadores e estes entre si eram praticamente inexistentes at a dcada de 1990 e as regras e os mecanismos de proteo forneciam um ambiente relativamente seguro. Embora a pesquisa e o desenvolvimento de uma rede de computadores j estivesse em curso desde a dcada de 1960, com o projeto Advanced Projects Research Agency (ARPA), financiado pelo departamento de defesa dos Estados Unidos, somente na dcada de 1980 que o protocolo TCP/IP foi publicado (BARBARA, 2007) e somente na dcada de 1990 que a internet expandiu o efeito potencial da exposio de mquinas a qualquer usurio. Sem contar que somente nessa poca que o enlace last mile, ou seja, o elo de conexo final com um usurio domstico, foi solucionado, conectando o usurio de um computador pessoal e redes locais a redes distantes. Portanto, h muito existem as redes. Porm, estas no eram como a internet, conectando uma vasta quantidade de usurios, e utilizavam padres incompatveis entre fabricantes. (CERUZZI, 1998). Existiam ainda instalaes em que a segurana empregava cuidados especiais. Em um bunker da poca da Guerra Fria, temia-se que emisses eletromagnticas dos computadores pudessem ser interceptadas e Experimente deixar um rdio receptor AM fosse possvel ler os dados sendo processados. Para prximo a um computador voc ouvir uma interferncia muito forte. Curiosamente, os eliminar esse risco, os computadores eram imersos primeiros microcomputadores destinados em salas com as paredes recobertas de metal ou de a amadores se comunicavam com o mundo externo por meios-chave para a entrada de uma tela de arame, denominadas gaiolas de Faraday, dados e leds para a sada causando muito que impedem a emisso ou recebimento de ondas pouco interesse para quem no era iniciado. Para impressionar amigos, um programador eletromagnticas.
desenvolveu um software que emitia padres em forma de msica que podiam ser captados por um rdio AM.

Ps-graduao

19

Entretanto, os computadores passaram a ser utilizados em um nmero de atividades muito alm do que existia e se imaginava at a dcada de 1980, e a criao do comrcio eletrnico na dcada de 1990 foi um marco. Hoje em dia, um computador sem acesso externo de uso restrito a atividades muito especficas. Por meio da internet, qualquer computador est eletronicamente conectado a outro, e as barreiras de proteo se utilizam de ajustes em dispositivos, como routers, switches e mesmo outros computadores que servem de canal para a conexo externa.

O computador pessoal e a internet

O mundo seguro quase ideal do mainframe descrito anteriormente foi destrudo, em parte, com o surgimento do computador pessoal e, posteriormente, com o advento da internet. Nas dcadas de 1970 e 1980, a disponibilidade de circuitos eletrnicos integrados e o seu barateamento permitiram o surgimento de mquinas de pequeno porte que podiam ser adquiridas por pessoas fsicas, j que, no mundo do mainframe e de minicomputadores, os custos eram proibitivos e s grandes empresas tinham acesso. Do uso pessoal at o empresarial foi um pulo. Bastou a inveno da planilha de dados e do editor de textos para o computador pessoal (Personal Computer, em ingls), ou PC, tornar-se atrativo para os mais variados tipos de atividades. O uso do PC foi importantssimo para todo o mundo das pequenas e mdias empresas, trazendo para elas recursos computacionais que criaram toda uma nova gama de negcios. A cada evoluo nos computadores pessoais, tanto em hardware quanto em software, mais tarefas eram possveis de ser automatizadas, indo alm daquilo para o qual os mainframes eram utilizados. Esse movimento para trazer para o microcomputador tarefas que antes eram realizadas por mainframes ganhou o nome de Downsizing, e, na prpria definio, no havia muito compromisso com integridade dos sistemas, segurana e controle (Business Dictionary, 2011). Logicamente, o prprio conjunto software/hardware, por sua simplicidade, no comportava essas caractersticas. Na era da exploso dos microcomputadores, na dcada de 1980, estvamos ainda no incio da conexo em rede, geralmente restrita conexo de computadores prximos (Local Area Networking LAN), utilizando-se das famosas placas Ethernet.

Computao forense

20

A ideia de uma internet conectando todos a todos e a tudo mal existia na fico cientfica poca da inveno dos primeiros microcomputadores. Tambm no havia uma preocupao grande com a segurana nos dados mantidos por esses primeiros computadores pessoais. Era extremamente fcil copiar informaes importantes de uma empresa para a um disquete e transferir esses dados para outro computador. Portanto, o ataque aos dados tinha de ser realizado internamente, j que era necessrio o acesso fsico ao computador. O computador pessoal no nasceu para ser usado em ambientes nos quais a segurana era um item importante. E essa fragilidade veio tona de forma explosiva quando a internet se tornou acessvel, no comeo da dcada de 1990. A partir desse ponto, as ameaas de invaso de um sistema para expor seus dados passaram a ter dois caminhos: o ataque interno, que conta com a ajuda intencional ou no, quando um empregado se apodera de dados ou acessa de forma no autorizada ou ainda fornece suas credenciais de acesso; e o ataque externo, perpetrado por agentes que invadem um sistema computacional utilizando-se de acessos pela rede. Nota-se tambm que o papel do computador central, representado pela arquitetura dos mainframes, tambm deixou de existir nos dias atuais. O mainframe passou a ser mais um servidor na rede. (SHELDON; BIG SUR MULTIMEDIA, 2001). Desde ento, tem sido uma guerra entre invasores e invadidos. A cada invaso, os sistemas se protegem mais, e esse talvez seja o papel mais nobre da Computao Forense: examinar o que houve de errado, ajudando a implantar medidas para que o sistema seja melhor protegido no futuro.

A computao forense como preveno

Existem vrias medidas de segurana que uma empresa pode empregar para preservar seu ambiente computacional ao acesso indevido. No entanto, mesmo quando bem empregadas, difcil que em algum momento uma brecha no seja explorada. Quando isso acontece, o incidente tem de ser analisado para que contramedidas sejam empregadas, ou seja, a partir da anlise do incidente, criar uma ambiente mais seguro. Se, por um lado, a Computao Forense tem como base a coleta de informaes e sua formatao para ser apresentada ao mundo legal; por outro lado, ela promove a melhora da segurana quando interpreta uma falha e entende as fragilidades de um sistema, sejam elas nos sistemas em si, como tambm na forma como manuseado.

Ps-graduao

21

Essa segunda utilizao da Computao Forense no to bvia para as empresas. Embora elas se esforcem em aumentar sua segurana, normalmente no so reservados recursos internos para que se estudem as causas e consequncias dos ataques. O componente de Computao Forense pode ter seu lugar junto ao time de resposta a incidente, contando com a face tcnica e jurdica. Existe um consenso de que as descobertas de uma empresa podem ser utilizadas para aumentar a segurana de outra, mas tambm existe certeza que a maioria das empresas no relata seus casos de quebra de segurana e invases, pois temem que isso possa prejudicar sua imagem e sua marca em relao aos seus clientes e ao mercado de um modo geral. Em alguns pases, j existem discusses sobre a obrigatoriedade das empresas relatarem seus incidentes. Por agora, existem alguns organismos e algumas empresas que compilam e publicam relatrios ou dados sobre as invases e fraudes, como a Global Information Security Survey, da Ernst and Young, e, no Brasil, o Centro de Atendimento a Incidentes de Segurana, mantido pela Rede Nacional de Ensino e Pesquisa (RNP). O relatrio de segurana da Symantec oferece uma amostra de que, por mais protegidas que sejam as redes, ameaas conseguem furar o bloqueio. Isso acontece, por exemplo, pelo uso de pen drives e dispositivos mveis, os quais eventualmente so conectados a uma estao de trabalho, e nos quais arquivos maliciosos so armazenados e transferidos, aproveitando-se de falhas no detectadas ainda pelos desenvolvedores de softwares. (SYMANTEC, 2011a).

Incentivo financeiro
At pouco tempo atrs, hackers invadiam sistemas pelo puro prazer de demonstrar suas habilidades computacionais, mostrando que podiam se esquivar das camadas de proteo levantadas pelos administradores dos sistemas e instalar um worm que iria, na pior das hipteses, apenas se replicar, invadir novos sistemas e tornar a rede lenta. No havia Um worm um vrus que se espalha sem a interveno humana. Eles podem nenhuma recompensa financeira para isso. Quando se espalhar para vrios computadores, muito, algum conseguia um emprego em uma consumindo memria e banda de rede, empresa invadida, como ainda tem acontecido com a fazendo com que estes fiquem lentos. comum a existncia de worms com a tarefa Microsoft, Nintendo, Google e Facebook. (YIN, 2011).
de permitir o acesso remoto indevido.

Computao forense

22

Porm, isso no impediu que sistemas construdos ao redor de microprocessadores no tivessem sido alvo de ataques para obteno de dinheiro. Em seu livro The Art of Intrusion, o famoso hacker Kevin Mitinick relata o caso de quatro programadores que compraram um modelo de mquina caa-nqueis igual ao que era utilizado em praticamente todos os cassinos de Las Vegas, leram seu programa gravado em ROM e conseguiram decifrar como eram gerados os nmeros aleatrios, responsveis pelo sorteio das cartas. Como sabemos, um algoritmo computacional no gera verdadeiramente nmeros aleatrios, mas conseguir calcular a sequncia gerada pode ser muito complexo, dependendo do tamanho em bits utilizado para representar o nmero sorteado. De qualquer forma, o gerador de nmeros aleatrios dessas mquinas era mal construdo, e eles foram capazes de descobrir como prever as sequncias de cartas. Com isso, conseguiram desviar centenas de milhares de dlares at um deles ser pego, o que fez com que os cassinos exigissem dos fabricantes maior segurana para suas mquinas. (MITNICK; SIMON, 2005)

As coisas mudaram quando a rede comeou a ser usado para o comrcio eletrnico e os criminosos cibernticos comearam a ter como prioridade roubar nmeros de carto de crdito, informaes de acesso a internet banking e at segredos industriais. Nasceu a engenharia social, utilizando a informtica e o phishing como o seus maiores instrumentos. O phishing um tipo de ataque baseado em engenharia social na qual os criminosos usam e-mails para levar pessoas a revelar informaes pessoais ou instalar software malicioso em seu computador. As vtimas tomam essas mensagens por verdadeiras, quando na realidade elas so o trabalho de golpistas. Em lugar de direcionar o ataque diretamente a um sistema, o ataque dirigido a pessoas que usam o sistema. O phishing consegue de forma inteligente contornar a maioria das medidas de segurana empresariais e individuais. No importa quantos firewalls, softwares de criptografia, certificados ou mecanismos de autenticao a empresa tenha se a pessoa atrs do teclado cai no truque. (HONG, 2012). Alm de e-mail, o phishing tem se utilizado de uma variedade grande de meios, que incluem VOIP, SMS, mensagens instantneas, redes sociais e at jogos massivos. O advento das redes sociais trouxe munio adicional. A criao de perfis em comunidades, como Facebook, Orkut e LinkedIn, tem favorecido o sucesso dos ataques, pois dados pessoais postados pelos usurios so utilizados para dar maior veracidade a mensagens enviadas por e-mail.

Ps-graduao

23

Esse tipo de ataque consegue vencer as barreiras da empresa e chegar a um empregado, pois o contedo se faz passar por algo legtimo ou vem de um endereo que parece ou , no caso de contas invadidas, de algum conhecido. Para evitar esse tipo de ataque, muitas instituies chegam a bloquear o acesso do empregado internet para endereos alm daqueles permitidos para realizar seu trabalho, evitando que o ciclo do ataque seja completado. Contudo, h outras formas de fechar o ciclo. Por exemplo: o que faz um empregado que encontrar um pen drive em um banheiro de seu local de trabalho? A maioria com certeza verifica o contedo dele no computador mais prximo que tem acesso. O ato de inserir o pen drive, em certas circunstncias, j seria suficiente para infectar uma mquina com um worm, como veremos no caso do Stuxnet em um momento posterior da leitura. A invaso da rede Playstation para roubar informaes de clientes e depois tentar utilizar em outros lugares exemplar. Por volta de 20 de abril de 2011, os servidores da rede Playstation da Sony foram invadidos e, segundo estimativas, 70 milhes de contas dos usurios tiveram suas informaes lidas (WILLIAMS, 2011). De acordo com a empresa, nenhuma informao de carto de crdito foi desviada, mas, nos dias seguintes, vrias pessoas receberam comunicados, at por telefone, pedindo detalhes de seus cartes de crdito para completar operaes de compra. Segundo relatos, o ataque inicial se disfarou de uma compra normal, por isso no alertou os sistemas de segurana. Ele se aproveitou de uma falha ainda no descoberta na aplicao de um servidor utilizado para acesso ao servidor de banco de dados que estava por trs de um terceiro firewall. Ou seja, as informaes dos usurios ficaram disponveis para todo o tipo de phishing e a falha se originou em um sistema corporativo, e no da m utilizao de usurios finais. Observe que, nesse caso, os nmeros no foram descobertos, mas sabia-se que determinado usurio tinha uma conta no sistema e possua um carto de crdito de determinada bandeira, bem como dados como nmero de telefone e endereo de e-mail. Prever como ser o prximo ataque uma tarefa difcil, uma vez que a evoluo das tcnicas constante. O importante assegurar que a segurana da informao no seja apenas uma ao reativa, mas que, de maneira proativa, continuamente procure desenvolver controles, prticas e polticas que auxiliem na identificao e preveno de ataques.

Computao forense

24

Outro fator que deve ser levado em considerao que nem todas as aes classificadas como sendo crime ciberntico, ou seja, aquele crime cujo alvo um sistema de informao, tm o prprio sistema como alvo. Muitas vezes ele utilizado como o meio de uma atividade criminosa. Aes como fraude, chantagem, lavagem de dinheiro, venda de produtos ilegais, pornografia e pedofilia podem fazer uso dos sistemas ou us-los como meio facilitador. Por esse ponto de vista, uma empresa pode ser envolvida em um crime de forma passiva, muitas vezes entrando para listas negras de acesso a endereos da internet. Todos os dias, vemos pginas forjadas de bancos sendo armazenadas em servidores de outras empresas. Tambm o computador pode servir para auxiliar uma investigao. Um exemplo o caso de Chaundra Levy, relatado em Prosise, Mandia e Pepe (2003). Ela foi tida como desaparecida em maio de 2001 e encontrada em maio de 2002. Informaes em seu computador levaram a polcia a procurar por ela no parque Creek Park, em Washington, onde foi encontrado seu corpo. Nesse caso, o computador no estava envolvido em nenhum crime, ao contrrio, o computador forneceu pistas da localizao e atividades de Chaundra, como a ltima vez que ela usou o sistema e o fato de ela ter olhado o mapa do parque. Interessante nesse caso o fato de as pistas presentes no computador terem sido apagadas pela tentativa incorreta de sua extrao feita por um tcnico sem treino em Computao Forense. Aps um ms de trabalho, investigadores treinados conseguiram recuperar os dados. Segundo um documento recente do Centro de Resposta a Incidentes da Universidade Carnegie Mellon, de 2010 a 2011, houve um aumento exponencial na complexidade e sofisticao dos ataques cibernticos. Agora, eles refletem aes de organizaes e mesmo naes muito bem financiadas Muitos computadores invadidos e conectadas globalmente, cujas motivaes incluem atuando em conjunto. fraudes financeiras, manipulao de mercado, espionagem internacional e sabotagem de instalaes fsicas. Esses agentes controlam e administram milhes de bot-nets com a capacidade de causar danos a companhias multinacionais e mesmo a pequenos pases, com aes como desligamento de redes de suprimento de energia eltrica, embaralhamento de trfego areo e at prejudicando operaes militares.

Implicaes em escala maior

Questionrios submetidos a empresas mostram que 68% dos incidentes que comprometem dados das empresas so causados por agentes internos (LIU; VARSALONE, 2009). Isso quer dizer que menos do que 40% vm de fora e que o pior inimigo est dentro da empresa. Aes de funcionrios ou mesmo descuido na segurana podem abrir as portas para comprometimentos do sistema.

Ps-graduao

25

Alm da atividade tcnica em encontrar informaes de delitos nos equipamentos de uma empresa em um mbito local, a Computao Forense pode ter implicaes em uma escala maior, como no caso da Enron, um escndalo tornado pblico em 2001. A Enron era uma empresa gigante que atuava na gerao e distribuio de eletricidade, mas tambm diversificava sua atuao em setores como comunicao, gs natural e produo de papel. Possua mais de 22 mil funcionrios, com uma receita declarada de 101 bilhes de dlares no fim de 2000. Ocorria que nem todas as atividades da empresa resultavam em saltos positivos em termos financeiros. A prtica da empresa para esconder seus problemas era manter seus relatrios de ganhos e fluxo de caixa supervalorizados, eliminando da contabilidade seus prejuzos, em quantidade e frequncia to grandes que fez essa fraude contbil ser considerada a maior de todos os tempos. A revelao dessa fraude tambm ps em cheque a atuao de muitas outras empresas, culminando em novas regulamentaes de mercado. Junto com a Enron, tambm caiu a Arthur Andersen, uma das maiores firmas de contabilidade dos Estados Unidos, cmplice das prticas fraudulentas da Enron. Do ponto de vista da forense computacional, o caso da Enron ilustra alguns aspectos da evoluo da tecnologia. Ao ficar insustentvel sua situao, diretores da empresa, principalmente relacionados auditoria interna, passaram a destruir documentos comprometedores em papel, alm de apagar dos computadores documentos eletrnicos e e-mails que continham vestgios da fraude. No entanto, eliminar um documento em papel bem mais simples do que apagar um documento eletrnico, principalmente para quem no tem conhecimento tcnico. Durante a investigao que se seguiu, peritos em Computao Forense foram chamados para levantar documentos ainda presentes nos computadores, dados parcialmente apagados, mas tambm, e o que se tornou importante no caso, a tentativa de apag-los. (FESTA, 2002). Esse caso foi uma espcie de marco para a profisso, pois havia uma curiosidade no pblico em geral do que seria capaz de realizar um investigador forense. Quando um documento incinerado ou destrudo em uma mquina que o corta em tiras bem finas, a informao de delito materialmente destruda, e isso facilmente compreendido pelo pblico. Apagar um arquivo de um computador parecia, para a maioria das pessoas, uma ao equivalente, entre H relatos de casos em que as quais no havia diferena para o senso comum. E a investigadores colam as tiras de uma mquina fragmentadora de papel na curiosidade sobre o caso partiu desse fato. O quanto poderia ter feito os diretores da empresa se tivessem maior conhecimento de computao?

tentativa de recuperar um documento.

Computao forense

26

Estudo de caso
Ainda que pesem os detalhes tcnicos de um ataque, h muito mais envolvido. O caso do Stuxnet um bom exemplo da amplitude que a deteco de um vrus de computador, mais especificamente um worm, pode representar. Leia o caso relatado a seguir, traduzido e adaptado de vrios artigos sobre o assunto.

O caso Stuxnet
Em 2009 para 2010, houve um ataque digital que ficou famoso, por envolver espionagem da mais sofisticada forma (Schneier, 2010; Symantec, 2010; GROSS, 2011; ZETTER, 2011). No Ir, existe uma fbrica de purificao de urnio com cerca de 8700 centrfugas. Em um ano, o normal que 10% delas se quebrem, ou seja, algo em torno de 800 centrfugas. Em janeiro de 2010, durante uma inspeo da Agncia Internacional de Energia Atmica, os tcnicos se surpreenderam com uma taxa muito acima de 10% algo entre 1000 e 2000 teriam se quebrado em cerca de meses. O que estaria acontecendo? O que os inspetores no sabiam, naquele momento, era que a causa da quebra das centrfugas residia nos discos rgidos dos computadores que controlavam as centrfugas. Meses antes, em junho de 2009, algum sorrateiramente instalou um worm nos computadores iranianos com um nico objetivo: sabotar o programa de enriquecimento de urnio do pas, atrapalhando os planos para que futuramente esse material seja utilizado para a construo de uma bomba atmica. Demoraria mais de um ano para que os inspetores soubessem disso. A resposta s apareceria aps dezenas de pesquisadores de segurana computacional ao redor do mundo gastassem meses desvendando o que se tornaria conhecido como o mais complexo vrus de computador jamais escrito. Ele se tornou a primeira arma ciberntica mundial. Entretanto, at chegar a essa descoberta, a histria deu muitas voltas. Em 17 de junho de 2010, o tcnico responsvel por uma pequena empresa de segurana em Minsk, denominada VirusBlokAda, recebeu um relatrio sobre uma mquina de um cliente no Ir que estava reiniciando repetidamente sem que fosse possvel seu controle.

Ps-graduao

27

Aparentemente, o problema era causado por um vrus. Eles detectaram um vrus e descobriram que ele se aproveitava de uma falha no Windows Explorer, que copiava o contedo de um arquivo parcialmente criptografado de um pen drive para dentro do computador assim que era inserido na porta USB. O impressionante era que a falha no Windows Explorer era conhecida e j havia sido utilizada anteriormente. A VirusBlokAda entrou em contato com a Microsoft e, em 12 de julho, enquanto preparava um conserto no Explorer, a falha foi tornada pblica em um frum de segurana. Empresas de segurana ao redor do mundo se empenharam em coletar amostras do vrus, que foi batizado como Stuxnet pela Microsoft. Enquanto as empresas estudavam seu cdigo, mais detalhes surgiram. Havia trs verses do vrus, que foi liberado para ataque um ano antes, junho de 2009. Duas verses se utilizavam de certificados roubados para poder se passar por cdigo seguro. Por curiosidade, um dos certificados era da RealTek e outro da JMicron Technology, duas empresas situadas em um mesmo centro empresarial. Teriam os criadores do vrus invadido fisicamente os prdios das empresas para roubar os certificados? Ou teriam invadido suas redes? Isso ainda mistrio. Umas das empresas de segurana que descobriu o vrus com um dos certificados relatou nunca ter visto um esquema to profissional. Quem estava por trs certamente tinha muitos recursos. Por outro lado, o objetivo do Stuxnet era simples de descobrir: atacar o Simatic WinCC Step7, um sistema de controle industrial desenvolvido pela Siemens. Ele empregado para controlar vlvulas, motores e chaves em qualquer tipo de indstria. Embora isso fosse novo em si, pois, aparentemente, no h retorno financeiro em atacar sistemas de controle, o que o vrus fazia era roubar detalhes da configurao e projeto do sistema invadido, permitindo que um competidor copiasse detalhes de um processo de fabricao, por exemplo. Nesse incio de pesquisa sobre o vrus, o ataque se parecia mais com um caso de espionagem industrial. As empresas de antivrus adicionaram a identidade do worm aos seus sistemas e se esqueceram do assunto.

Computao forense

28

Uma das empresas que produziram proteo para o Stuxnet foi a Symantec. Aps produzir o antivrus, o caso passou para o gerente da equipe de resposta em segurana, responsvel em verificar se as ameaas devem ser estudadas mais a fundo. A Symantec recebe mais de um milho de arquivos maliciosos por ms, a maioria variaes de vrus e worms j bem conhecidos. Esses so processados sem a interveno humana. Contudo, os malwares que exploram vulnerabilidades ainda no detectadas so um caso parte. Estes devem ser examinados mo. E no foi a surpresa em perceber que o Stuxnet era muito mais complexo do que parecia. Vrias camadas de software escondiam o cdigo que explorava a falha no Explorer. Alm disso, o tamanho do worm era de 500 KB, muito maior do que os comuns, que vo de 5 a 10 KBytes. Geralmente, malwares com esse tamanho contm imagens, como as que so partes de uma pgina de banco, destinadas a enganar clientes e roubar seus dados de acesso. Entretanto, no havia imagens no Stuxnet. O cdigo parecia ser um conjunto eficiente de comandos e dados. Esse fato atraiu o tcnico mais experiente que, pessoalmente, passou a analisar o cdigo. Essa equipe, com a experincia que tem, consegue rapidamente identificar a funo de cada vrus e se tem um cdigo bem-feito ou no. Stuxnet era o caso de um cdigo bem-feito, construdo ao redor de blocos, tornando-o fcil de ser atualizado e configurado. Alm disso, sua capacidade de interceptar as chamadas da API do Windows e responder com seu prprio cdigo sem este estar armazenado em arquivos tornava-o dificlimo de ser encontrado. Com toda a experincia de anos trabalhando nessa rea, os tcnicos da Symantec nunca tinham se deparado com algo to sofisticado. Vrias pistas levavam a acreditar que este worm era produto de um trabalho extremamente profissional. E apenas os primeiros 5 KBytes dos 500 disponveis haviam sido examinados. Tudo levava a crer que, para continuar o exame, seria necessria que a equipe trabalhasse intensamente. Mas eles deveriam fazer isso?

Ps-graduao

29

O trabalho das empresas de antivrus detectar e eliminar o vrus, tambm impedindo que ele invada novos sistemas. O que o vrus faz fica em segundo plano. No entanto, a Symantec achou que era seu dever investigar mais a fundo esse worm. Parecia que o cdigo era muito mais sofisticado do que os empregados para espionagem industrial. Era um desafio tentar desvendar seus mistrios. No momento em que a equipe do Estados Unidos acabou seus exames iniciais, eles despacharam uma atualizao para o repositrio de dados da empresa. A Symantec possui laboratrios nos Estados Unidos, Europa e no Japo. Com isso, h sempre uma equipe em horrio de trabalho a postos para que pesquisadores de diferentes partes do mundo ameaas crticas. Alm disso, o trabalho iniciado por um time continua sendo feito pelo outro, num trabalho que no se interrompe com a chegada da noite em um dos laboratrios. O time do Japo pegou o cdigo e o estudou no fim de semana. Na segunda-feira, a equipe dos Estados Unidos continuou a anlise. Uma das coisas que descobriram foi que o worm, toda vez que infectava um sistema, entrava em contato com um servidor em www.mypremierfutbol.com ou www.todaysfutbol.com, hospedados na Malsia e na Dinamarca. Eram enviados detalhes da mquina, como endereos de IP externo e interno, o nome do computador, sua verso de sistema operacional e se o sistema Simatic WinCC Step7 estava instalado. A partir desse momento, o worm conseguia receber informaes externas, incluindo comandos para adicionar novas funcionalidades ou mesmo novos arquivos maliciosos. Os servidores desses endereos j tinham bloqueado o acesso, mas a Symantec solicitou que contatos vindos do worm fossem direcionados para servidores seus. Na tera-feira tarde, informaes provenientes dos computadores atacados j estavam sendo recebidos e compartilhados com outras empresas de segurana. Dentro de uma semana, 38.000 computadores reportaram terem sido invadidos. Em pouco tempo, eram mais de 100 mil mquinas infectadas. Mesmo com os bloqueios dos antivrus j atualizados para combater o worm, a praga estava se espalhando rapidamente.

Computao forense

30

Um estranho padro comeava a surgir: das 38 mil mquinas infectadas, 22 mil eram do Ir; em um distante segundo lugar, a Indonsia, com 6.700 mquinas; em terceiro, a ndia, com 3.700 mquinas; e os Estados Unidos com menos de 400. Apenas uma quantidade pequena de mquinas tinha o software da Siemens instalado: 217 no Ir e 16 mquinas nos Estados Unidos. Em todos os padres anteriores de infeco por um vrus, nunca o Ir tinha sido o alvo principal. Claramente este ataque era direcionado quele pas. Veja figura 1.

Percentage of Hits from W32.Stuxnet by Countr y

70.00 60.00 50.00 40.00 30.00 20.00 10.00 0.00 IRAN INDONESIA INDIA
18.22 8.31 2.57 1.56 1.28 9.20 58.85

AZERBAUAN

USA

PAKISTAN

OTHERS

Figura 1 - Distribuio do ataque do Stuxnet no mundo Fonte: Symantec (2010).

A sofisticao do cdigo, o uso de certificados roubados e o Ir como alvo, apontavam para um ataque entre governos. Podia ser at que os Estados Unidos estivessem envolvidos. Isto causou alguma preocupao, mas a Symantec estava interessada em proteger sistemas no mundo inteiro, uma empresa particular e possui operaes em muitos pases. O worm estava causando efeitos colaterais em todo lugar, e isso era uma preocupao da empresa. Em agosto, uma nova surpresa, um pesquisador avisou que poderia haver mais falhas no documentadas que poderiam ser aproveitadas pelo Stuxnet. Uma delas residia no sistema de impresso compartilhada do Windows, uma outra, em arquivos relacionados ao teclado e a terceira, no gerenciador de tarefas. Alm disso, o Stuxnet se aproveitava de uma senha-padro do fabricante do Step 7, que era utilizada para acessar e infectar uma base de dados armazenadas em um servidor utilizado por este software e, a partir da, infectar outras mquinas conectadas ao servidor.

Ps-graduao

31

O worm tambm tinha caractersticas ainda no vistas. Uma delas era o fato de ele se alastrar apenas dentro de redes locais. Para alcanar outras redes, era necessrio que um pen drive fosse utilizado. Aparentemente, o alvo inicial eram redes no conectadas internet. Outro detalhe interessante era o fato de que cada amostra do worm continha todo um histrico de mquinas infectadas, permitindo descobrir a mquina que primeiro foi infectada. Isto permitiu descobrir que os ataques se concentraram em computadores de cinco organizaes iranianas. Elas foram atingidas repetidamente em junho e julho de 2009 e em maro, abril e maio de 2010. Entretanto, devido forma com que invadiam as mquinas, ele infectou muito mais computadores, bem alm dessas organizaes. Todas as vulnerabilidades descobertas j eram de conhecimento das empresas de anti-vrus, mas a Microsoft ainda no havia consertado os problemas. Ser que os autores do Stuxnet tinham contato com essas empresas para descobrir essas falhas e esperavam que a Microsoft nunca as consertassem? Ou ser que eles compraram de hackers criminosos, que vendem essas informaes no mercado negro? Uma falha dessas vale entre 50 mil a 500 mil dlares. Tambm possvel que eles mesmos tenham descoberto as falhas. At esse momento, nas primeiras semanas de teste, ainda no era conhecido o motivo da criao do worm ou o que ele tenha feito alm de se espalhar. Outro pesquisador da Symantec, especialista em engenharia reversa, comeou a descascar o worm. Ele descobriu que o Stuxnet continha 15 componentes, todos embrulhados em camadas criptografadas. O Stuxnet decodifica e extrai cada componente de acordo com sua necessidade, dependendo das condies que ele encontra na mquina infectada. Tambm o Stuxnet continha uma data limite de atuao: 24 de junho de 2012. Cada vez que executado, ele checa a data da mquina. Se for maior do que este limite, a execuo do cdigo suspensa. A parte mais importante do Stuxnet quando ele encontra o software Step 7 da Siemens. Ele ento descarrega um arquivo DLL na mquina, denominado s7otbx. dll, que serve de depsito de funes utilizadas por diferentes partes do Step 7. Ao ser utilizado o sistema, novas funes comprometidas so ento utilizadas. O Step 7 empregado para programar controladores lgicos programveis (PLC) utilizados em mquinas industriais. E era exatamente o que o worm fazia: sabotagem industrial.

Computao forense

32

O problema era que o pessoal da Symantec no entendia de PLCs. Um PLC usa uma linguagem de programao denominada Statement List Programming Language (STL). Tentando achar algum que pudesse ajudar, a Symantec publicou em seu site da internet um pedido de ajuda. No houve resposta imediata. Duas semanas depois, a comunicao entre as mquinas infectadas no Ir e os endereos desviados que a Symantec criou para receber relatrios foi interrompida. Algum no Ir no gostou da descoberta. Do outro lado do planeta, um alemo de 52 anos chamado Ralph Langner leu o post sobre o pedido de ajuda com o Step 7. Ralph sabia que milhares de clientes da Siemens tinham um assassino potencial em seus sistemas. A Symantec j havia avisado Siemens, mas, incrivelmente, no obteve nenhuma resposta concreta da empresa, alm de que montaria um time para analisar o worm. Aps trs semanas de pesquisa, Ralph e seus colegas chegaram concluso de que o Stuxnet era uma arma para atacar uma configurao especfica de equipamento com preciso. Qualquer configurao diferente fazia com que o Stuxnet se desativasse e apenas tentasse se replicar. Estava claro para Ralph que o Stuxnet era produto de um governo com muitos recursos, com o conhecimento interno de seu alvo. Ralph esperava encontrar algo simples, como um ataque DoS, e no um sistema complexo como encontrou. Para ele, claramente o ataque era endereado a Bushehr, uma fbrica de enriquecimento nuclear no Ir, que estava para comear operao em agosto de 2010, mas que se atrasou.

Denial-of-Sevice (DoS): significa acessar repetidamente um endereo na web at que um servidor ou servio no possa mais responder ou torne a resposta muito lenta para clientes legtimos.

Ao questionar um colega em uma fbrica de centrfugas de enriquecimento sobre a possibilidade de danific-las apenas manipulando o cdigo de controle, este se recusou responder, dizendo que era uma informao classificada. Frank Rieger, chefe de tecnologia da GSMK, concordou com Ralph, mas concluiu que o ataque era direcionado a outra fbrica, Natanz. Esta j estava produzindo e apresentava maior risco de produzir material para armas nucleares. Ele tambm se lembrou de que o Wikileaks j tinha anunciado, em julho de 2009, que um srio incidente havia recentemente ocorrido em Natanz e que o chefe da Organizao de Energia Atmica do Ir havia renunciado por razes desconhecidas.

Ps-graduao

33

Mais algum tempo de pesquisa, descobriu-se que o Stuxnet era diferente de tudo que j havia aparecido em termos de malware. Era uma revoluo. Nunca se havia deparado com um worm que se propagava sorrateiramente por meio de redes procura de um nico alvo. Por volta de novembro do mesmo ano, chegou-se a mais uma resposta do quebra-cabea. Descobriu-se que o Stuxnet tentava comandar um equipamento denominado conversor de frequncia. Cada fabricante tem um cdigo prprio, o que torna fcil identificar o equipamento. Um deles era o conversor fabricado na Finlndia, com cdigo 9500h; o outro fabricado no Ir, com cdigo 7050h. Conversores de frequncia controlam a velocidade de motores em equipamentos, como em furadeiras industriais. Aumentando-se a frequncia, aumenta-se a velocidade do motor. O Stuxnet foi projetado para controlar exatamente isso. E mais, ele se concentrava em uma instalao com 33 ou mais conversores, operando em frequncias entre 807Hz e 1210Hz. O worm fica parado por duas semanas, realizando reconhecimento do equipamento. Ento, lana um ataque silencioso, aumentado a frequncia dos conversores para 1410Hz por 15 minutos. Depois disso, retorna para a frequncia normal. Um novo ataque s acontece aps 27 dias, quando o Stuxnet ataca novamente e depois baixa a frequncia para 2Hz por 50 minutos. O ataque ento dorme por 27 dias, quando a mesma sequncia recomea. Fazer o sistema operar com tamanhas diferenas de frequncias sugere que o Stuxnet estava tentando destruir o que estivesse ligado aos conversores. A equipe da Symantec fez uma pesquisa e descobriu que conversores que operam em frequncias superiores a 600Hz tm exportao regulada nos Estados Unidos pela Comisso de Controle Nuclear. Todas as pistas levavam realmente para um ataque s centrfugas de enriquecimento nuclear. Em todo o processo de investigao, nenhum rgo ou empresa tentou censurar qualquer trabalho ou divulgao dos achados. At hoje, no se conseguiu descobrir os criadores do worm, mas h suspeitas de que os governos dos E stados Unidos e de Israel possam estar por trs da faanha, uma vez que so os maiores interessados em destruir a capacidade nuclear do Ir. Uma declarao do presidente do Ir, em novembro de 2010, confirmou que as instalaes de Natanz realmente foram sabotadas e que um nmero pequeno de centrfugas foram danificadas. Alm disso, confirmou-se posteriormente que as centrfugas realmente trabalhavam com a frequncia de 1064Hz.

Computao forense

34

Em fevereiro de 2011, o worm j contava com 3.280 variaes, que provavelmente geraram cerca de 12 mil infeces (SCHWARTZ, 2011). No entanto, a histria do Stuxnet no acaba aqui. Em outubro de 2011, a Symantec foi alertada pela Universidade de Tecnologia de Budapeste da existncia de uma nova ameaa, denominada Duqu. Supe-se que foi Duqu: projetado para coletar informaes de vrios setores industriais. criada para preparar o terreno para um prximo ataque Stuxnet. Ele usa uma arquitetura muito similar do Stuxnet, e tudo indica que foi criado pelos mesmos autores. Para sua infeco inicial, ele se utiliza de um documento .doc recebido por e-mail que, ao ser aberto no MS Word, explora uma falha no sistema e consegue injetar um instalador no sistema operacional que decripta componentes adicionais (veja Figura 2). O funcionamento detalhar do Duqu pode ser encontrado em Symantec (2011b).

Document opened, triggers exploit

Legitimate Document
Exploit
Exploit loads shellcode
Decryption

Shellcode decrypts driver and installer Shellcode executes driver Driver le(.sys)

Shellcode
Driver le(.sys)

Installer (.dll)

Installation Code
Duqu main DLL

Installer decrypts three les and passes execution to the main component

Driver injects installer into services.exe

Services.exe

Load point driver Con g le

Figura 2 - Processo de instalao do Duqu Fonte: Symantec (2011b).

Ps-graduao

35

Observe nesse relato que h implicaes em todos os sentidos. Uma ameaa pode extrapolar em muito os muros de uma empresa, sejam eles fsicos ou computacionais. Um firewall pode proteger uma instalao do mundo externo, mas pouco pode fazer de um ataque interno. No exemplo anterior, uma rede local poderia ter sido considerada segura, mas uma brecha explorada pela insero de um simples pen drive foi negligenciada. No caso do Duqu, a invaso se d pela abertura de um documento do Word, algo que explora a curiosidade de quem recebe um e-mail com um documento anexado. A apresentao desse caso, que se parece com uma investigao de uma estria de Sherlock Holmes, tem o intuito de mostrar, como veremos mais adiante, que os temas segurana e criao de antivrus tem muitos dos elementos presentes em uma investigao forense. Na verdade, mais um ramo da Computao Forense, denominada Forensic Programming, que tem como atividade desvendar o funcionamento, inteno e autoria de um software. (SLADE, 2004, p. 5).

Referncias
BARBARA, J. J. Handbook of digital and multimedia forensic evidence. 1. ed. [S.l.]: Humana Press, 2007. BUSINESS Dictionary. Downsizing. 2011. Disponvel em: <http://www.businessdictionary. com/definition/downsizing.html>. Acesso em: 12 dez. 2011. CERUZZI, P. E. A history of modern computing. Cambridge, MA: MIT Press, 1998. FESTA, P. Can PC sleuths undo Enron shredding? 2002. Disponvel em: <http://www.zdnet. com/news/can-pc-sleuths-undo-enron-shredding/120514>. Acesso em: 22 nov. 2011. GROSS, M. J. A Ddclaration of cyber-war. 2011. Disponvel em: <http://www.vanityfair. com/culture/features/2011/04/stuxnet-201104?printable=true>. Acesso em: 3 jan. 2012. IBM. Resource access control facility. 2008. Disponvel em: <http://www-03.ibm.com/ systems/z/os/zos/features/racf/>. Acesso em: 13 nov. 2011. HONG, J. The state of phishing attacks: looking past the systems people use, they target the people using the systems. Communications of the ACM, v. 55, n. 1, p. 7481, jan. 2012. LIU, D.; VARSALONE, J. Cisco router and switch forensics: investigating and analyzing malicious network activity. Burlington: Elsevier, 2009. MITNICK, K. D.; SIMON, W. L. The art of intrusion: the real stories behind the exploits of hackers. Intruders and Deceivers. [S.l.]: Wiley, 2005.

Computao forense

36

NATIONAL INSTITUTE OF JUSTICE. Electronic crime scene investigation: a guide for first responders. U.S. Dept. of Justice, Office of Justice Programs, National Institute of Justice. Estados Unidos, 2001. (NIJ guide). Disponvel em: <http://books.google.ca/ books?id=MozcgnfZL7UC>. Acesso em: 3 jan. 2012. NEW YORK COMPUTER FORENSIC SERVICES. The computer forensic examination process. 2011. Disponvel em: <http://www.newyorkcomputerforensics.com/learn/forensics_ process.php>. Acesso em: 10 jan. 2012. PROSISE, C.; MANDIA, K.; PEPE, M. Incident response and computer forensics. 2. ed. [S.l.]: McGraw-Hill/Osborne, 2003. SCHNEIER, B. The story behind the stuxnet virus. 2010. Disponvel em: <http://www.

forbes.com/2010/10/06/iran-nuclear-computer-technology-security-stuxnet-worm. html>. Acesso em: 12 dez. 2011.

SCHWARTZ, M. J. Stuxnet Iran attack launched from 10 machines. 2011. Disponvel em: <http://www.informationweek.com/news/security/229218562>. Acesso em: 6 dez. 2011. SHELDON, Tom; BIG SUR MULTIMEDIA. SNA: Systems Network Architecture. 2001. Disponvel em: <http://www.linktionary.com/s/sna.html>. Acesso em: 25 nov. 2011. SYMANTEC. W32. Stuxnet. 2010. Disponvel em: <http://www.symantec.com/security_ response/writeup.jsp?docid=2010-071400-3123-99>. Acesso em: 4 jan. 2012. ______. Symantec internet security threat report: trends for 2010. 2011. Disponvel em: <https://www4.symantec.com/mktginfo/downloads/21182883_GA_REPORT_ISTR_ Main-Report_04-11_HI-RES.pdf>. Acesso em: 27 nov. 2011. ______. W32. Duqu: the precursor to the next Stuxnet. 2011. Disponvel em: <http://www.

symantec.com/content/en/us/enterprise/media/security_response/whitepapers/ w32_duqu_the_precursor_to_the_next_stuxnet.pdf>. Acesso em: 4 jan. 2012.

TRCEK, D. et al. Advanced framework for digital forensic technologies and procedures. Journal of Forensic Sciences, Blackwell Publishing Ltd, v. 55, n. 6, p. 1471-1480, 2010. Disponvel em: <http://dx.doi.org/10.1111/j.1556-4029.2010.01528.x>. Acesso em: 12 jan. 2012. WILLIAMS, M. Sony apologizes, details PlayStation Network attack. 2011. Disponvel em: <http://www.computerworld.com/s/article/9216311/Sony_apologizes_details_ PlayStation_Network_attack>. Acesso em: 27 nov. 2011. YIN, S. 7 hackers who got legit jobs from their exploits. 2011. Disponvel em: <http://www. linktionary.com/s/sna.html>. Acesso em: 27 nov. 2011. ZETTER, K. How digital detectives deciphered Stuxnet: the most menacing malware in history. 2011. Disponvel em: <http://www.wired.com/threatlevel/2011/07/how-digitaldetectives-deciphered-stuxnet/all/1>. Acesso em: 6 dez. 2011.

Ps-graduao

37

A proatividade, a formao, a mo de obra e a profisso

Mauro Notarnicola Madeira

A Computao Forense funciona de maneira similar forma clssica de levantamento de vestgios. Na investigao forense fsica, peritos coletam resduos que podem colaborar para desvendar os acontecimentos, sendo usados ento como provas para incriminar ou inocentar o acusado de um crime. Exemplos comuns que podemos considerar como vestgios fsicosso impresses digitais, cabelos, gotas de sangue, bilhetes, documentos em papel, gravaes de udio e vdeo, pegadas, armas etc. J na Computao Forense, os resduos deixados so os digitais, ou seja, aqueles que podem ser armazenados em forma eletrnica em computadores ou em outros dispositivos eletrnicos digitais. Podemos ento dizer que temos um vestgio digital. Essa mudana na natureza da prova do crime implica procedimentos prprios e a caracterizao da atividade da computao forense.

Proatividade e a formao da mo de obra

A proatividade em termos da forense computacional significa a preparao e instalao de uma equipe com a incumbncia de reagir prontamente a um ataque. No uma tarefa simples, pois, se a equipe no estiver A proatividade significa estar de bem preparada, o vestgio digital pode se perder. prontido para dar uma resposta a uma Como em toda atividade, a prtica deve ser constante. Ensaios devem ser conduzidos para treinar a equipe antes que um ataque real seja detectado.
ameaa e no quer dizer prever que ela v ocorrer.

Um dos contedos do treinamento como adquirir e analisar vestgios nos tipos de mquinas (incluindo dispositivos mveis, como celulares, tablets e smartphones, e tambm redes) e sistemas operacionais em uso na empresa, bem como na infraestrutura digital da empresa. Com certeza, um investigador forense tem de ter, associados, um bom conhecimento de computao e dos processos e equipamentos para ser capaz de conduzir uma investigao digital. Porm, apenas os conhecimentos na rea computacional no so suficientes. Seja atuando como perito, seja trabalhando internamente, uma hora ou outra o profissional forense tem de lidar com detalhes que se ligam a dimenses ticas e legais.

Computao forense

38

Existe crtica em nosso pas de no haver clareza entre a sociedade sobre a funo de investigador forense ligado informtica. Muitas vezes, pessoas com pouco conhecimento de computao so chamadas a atuar como peritos forenses na presuno de que apenas a competncia tcnica computacional, sem os conhecimentos legais e os detalhes do procedimento forense, seja suficiente. Segundo Milagre (2010),
Ainda temos casos em que o dono da loja de informtica da cidade o perito, economistas e contadores nomeados como peritos digitais, e isto um risco para a efetividade da tutela jurisdicional, considerando que comum os juzes confiarem na palavra do especialista.

Em termos gerais, ainda h muito pouco formalismo de como deve ser conduzido o treinamento na rea em nosso pas. Alguns pases j tm relativa tradio, como os Estados Unidos, contando com American Association of Forensic Science (AAFA), que desenvolveu um padro para reconhecimento de cursos de cincia forense digital. Em abrangncia internacional, a International Association of Computer Investigative Specialists (IACIS) fornece programas de treinamento e certificao. Alm desses, temos alguns exemplos de certificao internacional, com Certified Computer Forensic Technical (CCFT), Certified Ethical Hacker (CEH), Certified Hacker Forensic Investigator (CHFI) e American College of Forensic Examiners Institute (ACFEI). No Brasil, existem cursos destinados a formar mo de obra para a rea, mas ainda no temos nenhuma diretriz educacional relacionando quais contedos mnimos devem ser estudados. Segundo o Computer Emergency Response Team (CERT), da Universidade Carnegie Mellon (HAMMERSTEIN; MAY, 2010), a Computao Forense um processo fortemente baseado na capacidade da mo de obra, requerendo especialistas altamente treinados, com conhecimentos especficos sobre sistemas operacionais e ferramentas de coleta e anlise forense. Isso significa muito gasto em recrutamento, treinamento inicial e retreinamento constante, pois os sistemas operacionais, sistemas de arquivos e equipamentos so constantemente atualizados.

Ps-graduao

39

No processo de exame de um sistema, h alguns aspectos que se ligam a diferentes reas da tecnologia, incluindo um treinamento bsico em eletrnica, pois a equipe deve contar com a habilidade de realizar algumas intervenes no hardware, como remover discos rgidos, configurar placas, instalar e entender dos padres de interfaceamento, usar proteo antiesttica etc. O conhecimento das ferramentas que automatizam a coleta de dados e vrios exames essencial, pois elas poupam muito tempo, j que as unidades de armazenamento compreendem gigabytes de espao. As ferramentas aceleram os procedimentos, mas necessrio conhecimento para saber exatamente o que procurar e como interpretar os resultados. Alm disso, o exame manual muitas vezes necessrio, ou seja, usar comandos do sistema operacional, o que significa uma grande intimidade com a arquitetura de software e hardware de cada mquina em uso papel de administrador de sistemas. Segundo o guia produzido pela 7Safe e Metropolitan Police Service UK, em 2011, considerado em todo o mundo como referncia na investigao do crime eletrnico, para a formao de um profissional para a rea de investigao forense digital deve ser considerado como padro mnimo: 1. conhecimento intermedirio de arquitetura de computadores; 2. conhecimento intermedirio do uso e da metodologia de dispositivos relacionados; 3. conhecimento intermedirio de uso e metodologia de software, particularmente aos utilizados na internet, contas de e-mail, compartilhamento de dados, aplicaes de bancos de dados e processamento de texto; 4. conhecimento intermedirio da legislao relevante; 5. boa capacidade de comunicao; 6. capacidade de gerenciar carga de trabalho e prioridade de tarefas; 7. capacidade de trabalhar efetivamente como parte de uma equipe. Cooper, Finley e Kaskenpalo (2010) detalharam mais um pouco o tema, tendo levantado o grau de pertinncia para a rea dos contedos estudados nos cursos de Cincia da Computao, Sistemas de Informao, Engenharia da Computao, Engenharia de Software e Tecnologia da Informao.

Computao forense

40

Entre as disciplinas presentes nesses cursos e a necessidade para a formao de um investigador forense digital, destacam-se: Redes: o investigador forense deve ter conhecimento terico e prtico de redes, sendo capaz de realizar identificao, coleta e anlise de vestgios. Segurana da Informao: o tema de maior aprofundamento entre os comuns aos outros cursos. necessrio um extenso conhecimento tanto da teoria como da prtica da Segurana da Informao, mas sem o aprofundamento terico que visto em Cincia da Computao. Administrao de Sistemas: a capacidade de administrar sistemas a base para coletar vestgios e reconstruir a cena do crime na profisso de investigador forense na rea da computao. Enquanto se espera que o investigador tenha domnio sobre o uso de ferramentas forenses, ele tambm precisa entender muito bem o sistema operacional investigado. Eletrnica: no requer conhecimento terico de como projetar circuitos eletrnicos, mas um nvel de eletrnica aplicada que inclui a reconstruo de dispositivos danificados para extrair dados, a capacidade de avaliar as limitaes das leis da fsica sobre os vestgios e, mais particularmente, que o investigador tenha conhecimento das prprias capacidades e limitaes ao se deparar com um problema de hardware. Entre os temas no relacionados computao, destacam-se: Matemtica e estatstica: a Forense Digital requer a aplicao de anlise estatstica e da matemtica discreta na anlise de dados, esteganografia, criptologia, reconhecimento de padres e na deteco de malwares. comparvel ao nvel de matemtica bsico (de apoio) esperado para as outras disciplinas na cincia da computao. tica: o investigador forense confrontado com situaes morais desafiadoras. Embora as outras reas tambm possam comportar situaes de escolhas morais, elas no esto sujeitas a exame pblico como esto na Computao Forense. Criminologia: entender as causas e motivaes para o crime ajuda em uma anlise de caso, bem como na habilidade de prever o comportamento de um suspeito durante uma investigao. Cincia Forense: a Forense Digital faz parte da Cincia Forense ou Criminalstica. Tpicos comuns a todas as linhas da Cincia Forense devem ser includos na formao de um investigador forense digital. Direito: o investigador forense deve ter conhecimento de regras e leis que governam seu trabalho, o que logicamente, varia de nao para nao.

Ps-graduao

41

A abrangncia dos sistemas tem extrapolado em muito o ambiente local de uma empresa. comum atualmente fazer parte do ambiente de trabalho tambm os dispositivos mveis e suas conexes via rede aos servidores da empresa. Cada vez mais um conhecimento de redes e seus protocolos tm feito parte da investigao. H pouco tempo, no existiam iPhones, Android e tablets. Uma equipe deve conter profissionais capazes de analisar esses dispositivos ou, no mnimo, entender como eles podem ser relevantes para a investigao e, se necessrio, solicitar um levantamento de vestgios por peritos externos.

Ambiente computacional
A abrangncia do treinamento tambm influenciada pela quantidade de sistemas operacionais existentes na empresa. Quanto mais diversificados os sistemas, mais treinamento necessrio. Nesse aspecto, faria sentido manter um conjunto pequeno de fornecedores de software, mas essa no uma realidade possvel para qualquer empresa, uma vez que h a necessidade de obter o melhor custo/benefcio e de tirar melhor proveito do que existe disponvel. Logicamente que para um perito conhecer vrios sistemas operacionais facilita seu trabalho, mas o ideal que uma equipe seja formada e atue em conjunto. Alm do preparo tcnico, o profissional forense tem de ter um mente talhada para a natureza do servio, o que inclui muita pacincia. O vestgio pode estar armazenado em um disco, mas simplesmente procurar por todo ele pode demorar muito. A experincia e habilidade que vo determinar como evitar partes e se concentrar onde h maior probabilidade de encontrar um vestgio. Pensar toda a infraestrutura da empresa pode ajudar a minimizar o impacto de uma anlise, caso um incidente ocorra. Isso significa que muitos componentes tm de ter redundncia, como em servidores de dados, redes etc., para que o sistema permanea operacional enquanto uma incidncia analisada. Basicamente, o processo da Computao Forense de um tipo reativo, que visa a encontrar um uso no autorizado de um sistema. Ele se baseia em pistas, pois verificar constantemente os sistemas utilizados por uma empresa impossvel. Entre pistas comuns, podemos relacionar: processos rodando na mquina que no so conhecidos ou no comuns: lembrando que um processo ou programa pode ser criado e executado fazendo-se passar por algum legtimo, mas que no deveria estar em execuo em determinado momento;

Computao forense

42

sistema operando com carga acima do normal: um sistema que, por exemplo, carrega um processador em 40% e que esteja operando em 80%; alarmes e assinaturas configurados em sistema de deteco de intruso pela rede, como o SNORT (Figura 1), ou assinatura de vrus e outras ameaas detectadas por sistema anti-vrus; trnsito elevado na rede: muito comum que sistemas sejam invadidos para armazenar scripts, e estes passem a ser acessados exageradamente, aumentando o trfego da rede; usurios que relatam comportamento anormal de suas estaes de trabalho.

Figura 1 - Exemplo de regra no SNORT Fonte: SNORT (2011).

O estabelecimento do que normal em um sistema uma arma valiosa para quem vai analisar se e/ou como um sistema foi invadido.

Etapas da investigao forense

Existe muita literatura sobre quais so as etapas do processo da investigao forense, mas no existe uma metodologia estabelecida. Sem contar que a evoluo da tecnologia aponta constantemente para novas necessidades. De uma forma geral, a equipe deve estar preparada para conduzir as seguintes etapas: Aquisio: refere-se coleta de vestgios digitais. Dependendo do tipo de investigao, podem ser discos rgidos, mdia ptica (CD, DVD), cartes de memria de cmeras digitais, pen drives, celulares, smartphones, tablets, dumps de memria, e-mails, arquivos, gravao de uma troca de dados etc. Em qualquer caso, quando envolve o exame de uma mdia, esta tem de ser tratada com muito cuidado. Preservao: essa etapa de grande importncia, pois os dados originais tm de ser mantidos intactos. O processo de preservao tem de no mnimo criar uma duplicata do original a cpia de trabalho. O investigador sempre trabalha com a cpia, de tal forma que, havendo algum procedimento que danifique os dados durante uma anlise, o original est preservado e nova cpia de trabalho pode ser feita. Lembrando que os vestgios so como os do mundo fsico: guardados para que, no futuro, em caso de contestao, possam ser novamente examinados.

Ps-graduao

43

Como veremos em outras leituras da disciplina, existem mtodos para validar as cpias, de tal forma que possvel verificar se a cpia representa fielmente o material original. Certamente que algumas fontes, por sua natureza dinmica, so difceis de se manterem intactas por muito tempo, como o estado da memria de um equipamento no momento de sua aquisio. Em funo disso, alguns dados so considerados mais relevantes do que outros. imperativo que o material original seja identificado e preservado integralmente. Para isso, criada a cadeia de custdia. A cadeia de custdia a atividade da investigao forense que tem a funo de documentar o material coletado e relacionar todo o manuseio que sofreu durante sua retirada do ambiente da investigao, transporte, manuseio e armazenamento. Deve constar quem recebeu o material, datas e assinaturas dos envolvidos. Segundo Wiles, Cardwell e Reyes (2007), essa documentao deve ser includa no relatrio final.Veja um exemplo no anexo. Extrao: Tendo em mos a mdia de trabalho ou invlucro forense, os arquivos que mantm sua integridade fsica, suspeitos de conter vestgios ou estar relacionados ao caso, so copiados para a etapa de anlise. Recuperao: quando so necessrias tcnicas para extrair informaes de dados pertencentes a arquivos parcialmente apagados, mdias defeituosas, dados escondidos intencionalmente etc. Anlise: a parte mais demorada e que demanda maior conhecimento por parte do perito, pois a informao pode estar escondida em gigabytes de dados. Aqui, a experincia do profissional fundamental, pois ele pode direcionar as ferramentas para alvos que sabe haver maior probabilidade de acerto, interpretando os resultados baseado no seu treino e percia. Apresentao: uma parte importantssima, pois o resultado de todo o procedimento deve ser claramente exposto, evitando ao mximo imprecises que possam invalidar o trabalho. processo pelo qual o examinador compartilha os resultados com as partes interessadas. Consiste em gerar um relatrio sobre as operaes realizadas pelo perito, vestgios encontrados e o significado destes. Pode tambm incluir uma defesa do trabalho em pblico. Segundo Altheide, Carvey e Davidson (2011), os achados podem levar a novas aquisies, que podem, por sua vez, gerar anlises adicionais etc. Esse ciclo pode se repetir muitas vezes em funo de uma cadeia de comprometimento de um sistema ou de uma investigao criminal demorada.

Computao forense

44

Uma observao importante. Durante um curso como Cincia da Computao, Sistemas de Informao, Engenharia e outros ligados s reas tcnicas, muitos alunos negligenciam as disciplinas de Lngua Portuguesa, achando que no so importantes para sua futura atividade profissional, j que ela lida com frmulas, programas etc. Infelizmente isso est longe de ser uma verdade. Em um relatrio ou qualquer apresentao de resultados, o emprego mal feito da lngua indica geralmente falta de leitura. Quando somos bons e frequentes leitores, ao escrever, notamos instintivamente quando h algo errado e temos a tendncia de melhorar o que est escrito. Sem contar a capacidade de expresso lgica que evolui com a leitura. Obviamente que ningum perfeito e, por mais que tenhamos certeza de como escrevemos, no momento de emitir um relatrio, de bom alvitre, dependendo de sua importncia, passar o texto para um profissional com conhecimentos da Lngua Portuguesa. Tambm recorrer ao dicionrio com frequncia para ter certeza do significado e de como usar determinadas palavras salutar. Lembre-se, dominar uma lngua requer exerccio, seja ela falada ou escrita. Leia bastante, e no se atenha apenas a livros tcnicos. Muitas vezes, a forma com que nos comunicamos mais importante que o prprio contedo, pois no somos mquinas. Uma sugesto de leitura Machado de Assis. Alm do uso da Lngua Portuguesa de uma forma genial, ele tem uma maneira nica de expressar pensamentos. Ler Machado de Assis depois de adulto bem diferente do que no tempo de escola. Fuja de livros de autoajuda e existenciais, pois h muitos mal escritos, inclusive por autores que tm assento na Academia Brasileira de Letras. No tenha preguia de experimentar os clssicos da Lngua Portuguesa e tenha certeza de que voc vai escrever melhor depois de aumentar a frequncia de suas leituras.

Todo esse processo tem de ser passvel de auditoria, ou seja, um segundo exame de um sistema ou parte dele, ou, ainda, dispositivos, tem de ser capaz de replicar todos os resultados obtidos. Se uma investigao no for cuidadosamente realizada, os resultados podem ser questionados, podendo ser necessria uma segunda avaliao, ou mesmo descartados em um possvel auxlio em uma deciso judicial. Vale ressaltar tambm que a computao forense uma atividade relativamente nova. Assim como novas formas de comprometimento dos sistemas so inventadas, novas formas de detectar e trabalhar a investigao tambm evoluem.

Ps-graduao

45

Ambiente do trabalho forense

Para realizar a anlise forense, na qual dispositivos de armazenamento de dados sero analisados, essencial contar com equipamento confivel, instalado em um ambiente seguro, o mais isolado possvel do mundo externo, tanto do ponto de vista do acesso fsico como eletrnico. O garimpo de dados um processo minucioso e toma tempo peneirar discos cada vez maiores em busca de cadeias de caracteres. Em uma investigao, devem ser utilizados bons equipamentos e garantir que estes no estejam comprometidos. Deve-se garantir ento que a mquina, ou mquinas utilizadas para anlises aquelas em que sero ligados HDs, pen drives, conectores a outros dispositivos etc. estejam conectadas em rede com um isolamento especial, acessando, se for o caso, o mnimo de servios externos que sejam essenciais ou, mesmo, nenhum. Ou seja, deve haver um cuidado especial para que o ambiente no esteja e no possa ser comprometido. Ao fim do trabalho, um relatrio bem-feito pode inclusive descrever o ambiente utilizado para a investigao. Uma boa parte da investigao ser procurar cadeias de caracteres (strings) com palavras-chave e arquivos com determinados formatos ou extenso. Analisar dispositivos com grande capacidade toma tempo, portanto importante que haja boa capacidade computacional para realizar o servio, alm de ferramental de software especfico para a investigao forense. Existe uma grande variedade de equipamentos para auxiliar a anlise.

O mtodo cientfico
Como dito anteriormente, o trabalho forense deve ser capaz de ser auditvel e reproduzvel. O uso do mtodo cientfico uma forma de chegar a esse resultado. A produo cientfica tem por base a aplicao do mtodo cientfico. Com ele, procura-se criar uma interpretao precisa do mundo e de seus fenmenos, de tal forma que gostos pessoais, culturais e religiosos no interfiram para distorcer os resultados de uma pesquisa. Segundo Wolfs (2007), o mtodo cientfico possui quatro etapas: 1. observao e descrio de um fenmeno ou grupo de fenmenos; 2. formulao de uma hiptese que explica o fenmeno; 3. experimentao ou teste da hiptese; 4. interpretao dos resultados.

Computao forense

46

Os passos indicados so um exemplo, pois h outras formas de abordar o assunto, mas o que deve ser levado em considerao que a investigao deve ser conduzida com um mtodo, e que os resultados tm de ser reproduzveis. Outro pesquisador, utilizando os mesmos procedimentos e parmetros, forosamente deve chegar s mesmas concluses. Entra aqui, novamente, a relevncia da experincia do investigador, pois ele ter maior condio de propor hipteses que levam a resultados produtivos. Aplicando o mtodo cientfico Computao Forense, o produto da investigao deve apresentar de forma documentada e clara as relaes de causa e efeito, eliminando dvidas e descartando concluses que no podem ser demostradas. Um dizer popular afirma que, na cincia, as teorias nunca podem ser realmente evidenciadas, apenas desacreditadas. Existe sempre a possibilidade de que uma nova observao ou um novo experimento entre em conflito com alguma teoria j longamente estabelecida (WOLFS, 2007). Em um embate jurdico, cada lado contar com seus peritos, que trabalham questionando um o trabalho do outro. Portanto, todo cuidado pouco, principalmente no momento de produzir um relatrio, uma vez que uma redao mal feita pode pr em dvida algum detalhe da investigao, desacreditando todo um trabalho confivel.

A profisso de investigador forense

H trs atuaes bsicas para um investigador forense: 1. fazer parte da equipe do Sistema de Gerenciamento de Segurana da Informao de uma empresa ou prestar servio como consultor; 2. trabalhar em algum rgo de polcia ligado a criminalstica; 3. trabalhar como perito judicial. As trs atividades possuem a mesma carga tecnolgica, mas o perito judicial envolve-se com questes legais especficas e tem maior responsabilidade, pois nem sempre trabalha em equipe, como no caso de um agente criminalstico envolvido em uma investigao. Um perito judicial um profissional com, no mnimo, formao em nvel superior nomeado por um juiz para analisar vestgios em matria especializada. O produto do trabalho um laudo pericial. Em alguns casos, o perito tambm pode ser chamado a depor, explicando para os jurados os detalhes tcnicos do caso.

Ps-graduao

47

Por lei, o perito no precisa de formao em Direito, mas interessante que ele procure estudar o tema, uma vez que a responsabilidade grande, principalmente em relao s atividades que envolvem o sigilo e a tica, a fidelidade no levantamento dos dados e a redao de laudos o mais claro possvel, evitando interpretaes que levantem dvidas sobre o trabalho realizado. Um laudo pode ajudar na deciso de um juiz, portanto, sempre haver a possibilidade de contestao. Observa-se que um perito tambm pode indicar um ou mais assistentes tcnicos, quando a percia envolver um assunto complexo e que abrange mais de uma rea de conhecimento. A documentao do levantamento tcnico um aspecto fundamental, uma vez que ela a base do processo, ou parte da base, e utilizada pelas duas partes em litgio. Outro perito, ou corpo de peritos, pode ser posteriormente indicado para trabalhar junto defesa, que se utiliza dessa documentao tcnica anexada ao processo. Vale por fim destacar que a Computao Forense uma atividade relativamente recente, bem como a velocidade com que as mudanas ocorrem tambm altera o que considerado procedimento-padro, e, assim, evolui o que possvel de ser realizado pelos profissionais da rea. H pouco tempo, as ferramentas utilizadas por um investigador forense eram editores hexadecimais capazes de mostrar arquivos em seus bits, bytes e caracteres ASCII individuais e o investigador tinha de conhecer profundamente como os sistemas de arquivos funcionavam. Hoje, as ferramentas so muito mais poderosas, capazes de realizar operaes como: file carving, que se utiliza de vrias tcnicas avanadas para reconstruir arquivos apagados a partir de fragmentos presentes na mdia sob anlise; geradores de linha de tempo, que renem vrios arquivos de log para gerar uma viso no tempo do que foi modificado em um sistema; ferramentas para anlise de memria voltil e outras. A evoluo das ferramentas no indica que o investigador no mais precise de um grande conhecimento dos sistemas, mas sim que sua abrangncia aumentou. Com o auxlio de novas ferramentas, ele consegue ser mais produtivo, mas precisa saber para onde apontar essas novas armas. E o fato de o computador no estar mais isolado tambm faz com que a tarefa se expanda para redes e seus dispositivos e, mais recentemente, para a computao mvel.

Computao forense

48

Nos modernos ambientes de redes, os equipamentos em uma LAN (Local Area Network) fornecem capacidade de auditoria, proteo e criptografia. Esses servios so ajustados de acordo com regras ditadas pelas polticas da empresa e devem ser habilitados de forma a serem capazes de registrar suas atividades em um syslog, facilitando o trabalho da investigao forense. A Computao Forense se beneficia de ambientes bem estruturados em termos de segurana, assim como beneficia a segurana quando consegue interpretar um evento e produzir relatrios que levam a mudanas de procedimentos visando a aumentar a segurana. Portanto, montar uma equipe de Computao Forense pode ser uma forma de aumentar a segurana em uma empresa, criando um ciclo virtuoso.

Referncias
ALTHEIDE, C.; CARVEY, H.; DAVIDSON, R. Digital forensics with open source tools: using open source platform tools for performing computer forensics on target systems: Windows, Mac, Linux, Unix, Etc. Elsevier Science, 2011. (Syngress Media). Disponvel em: <http://books.google.ca/books?id=J8h8VWUmDuYC>. Acesso em: 10 jan. 2012. COOPER, P.; FINLEY, G. T.; KASKENPALO, P. Towards standards in digital forensics education. In: CLEAR, A.; DAG, L. R. (eds.). ITiCSE-WGR 10: Proceedings of the 2010 ITiCSE working group reports. New York, NY: ACM, 2010. p. 87-95. Disponvel em: <http://doi.acm.org/10.1145/1971681.1971688>. Acesso em: 12 jan. 2012. HAMMERSTEIN, J.; MAY, C. The CERT approach to cybersecurity workforce development. Estados Unidos: Carnegie Mellon University, 2010. Disponvel em: <http://www.sei.cmu. edu>. Acesso em: 3 jan. 2012. MILAGRE, J. A. Percia digital e computao forense: carreira amadurece no Brasil. 2010. Disponvel em: <http://revistavisaojuridica.uol.com.br/ advogados-leisjurisprudencia/47/imprime170142.asp>. Acesso em: 3 jan. 2012. SNORT users manual. 2011. Disponvel em: <http://manual.snort.org/snort_manual. html>. Acesso em: 10 dez. 2011. WILES, J.; CARDWELL, K.; REYES, A. The best damn cybercrime and digital forensics book period. [S.l.]: Syngress, 2007. WOLFS, F. L. H. APPENDIX E: Introduction to the scientific method. 2007. Disponvel em: <http://teacher.pas.rochester.edu/phy_labs/appendixe/appendixe.html>. Acesso em: 3 jan. 2012.

Ps-graduao

49

Atividades de autoaprendizagem
1. Com base nos fundamentos da Computao Forense, relacione as colunas:
1 - Necessita de um ambiente seguro 2 - Extrao ( ) Quando efetuada a coleta do material. ( ) basicamente o que se procura na maioria das anlises forenses. ( ) O local da anlise forense onde o equipamento auxiliar instalado e operado. ( ) a parte mais demorada e que demanda maior conhecimento por parte do perito, pois a informao pode estar escondida em gigabytes de dados. Aqui, a experincia do profissional importante. ( ) Cpia dos dados na ntegra. ( ) Indcio de que um sistema pode ter sido invadido. ( ) Cpia de dados de um arquivo apagado que podem estar espalhados em reas diferentes de um disco rgido. ( ) Termo usado na investigao forense que documenta o manuseio do material sob investigao.

3 - Cadeias de caracteres (strings)

4 - Recuperao

5 - Cadeia de custdia 6 - Aquisio 7 - Elevada carga de processamento

8 - Anlise

2. Considerando os estudos dessa unidade, leia as afirmaes a seguir e assinale V nas verdadeiras e F nas falsas. ( ) O vestgio fsico o material de trabalho da computao forense. ( ) A computao forense visa a eliminar falhas de segurana. ( ) Uma empresa pode ser usada como base de um ataque sem ter conhecimento disso. ( ) Mais de 50% dos ataques s empresas so cometidos por terceiros, ou seja, pessoas que no trabalham na empresa. ( ) Um investigador forense tem de ser formado em Direito ou Cincia da Computao. ( ) O produto da investigao forense um relatrio que pode ser utilizado em processos legais. ( ) Antes da inveno da internet, a segurana em um ambiente computacional se baseava muito no acesso fsico ao computador.

Computao forense

50

( ) O computador pessoal no implementava as mesmas caractersticas de segurana que eram normais em ambientes dos computadores de grande porte. ( ) Uma invaso ajuda a melhorar a segurana de um sistema. ( ) Um ambiente computacional, por mais bem protegido que seja, sempre apresenta possibilidades de ser invadido.

Atividades colaborativas
1. Por que uma consultoria em segurana pode ser um negcio lucrativo? Apresente para a turma, por meio do Frum, como voc v a possibilidade de criar uma empresa para prestar servios de Computao Forense. 2. Ajude a criar um glossrio de termos relacionados Computao Forense. Comece com os temos carving e esteganografia. Publique sua lista na ferramenta Exposio.

Sntese
Nesta unidade, voc teve uma viso geral do que a Computao Forense, o papel do perito em relao ao aspecto jurdico, a evoluo da segurana e a sua mudana com a criao do computador pessoal e a internet. Viu como o interesse financeiro e a espionagem industrial so dois fatores que incentivam as invases.

Saiba mais
A maioria dos livros sobre Computao Forense so em ingls. H tambm vrios stios que contm boas leituras sobre o tema da Computao Forense. Dois exemplos no Brasil: Revista Evidncia Digital, disponvel em: <http://www.guiatecnico.com.br/ EvidenciaDigital/>. Crimes Cibernticos, disponvel em: <http://www.crimesciberneticos.com/>.

Ps-graduao

Unidade 2

Aquisio e preservao dos dados

Objetivos de aprendizagem
Compreender o papel da aquisio e da preservao dos dados e estudar a importncia do procedimento preparatrio para a busca e apreenso. Entender alguns procedimentos para o planejamento e ferramentas para trabalho em campo. Estudar formas de como proteger os dados e dilema do desligamento. Estudar a importncia da aquisio de dados com a mquina ligada. Enumerar os mtodos de preservao de dados. Conhecer mais sobre ferramentas de aquisio. Entender o que uma bancada de testes. Conhecer o que um invlucro forense e como verificar a integridade de uma cpia.

Introduo
Esta unidade se concentra nos procedimentos e nas ferramentas disponveis para coleta e preservao de dados do sistema computacional, abordando quais decises devem ser tomadas e como estas podem afetar a integridade dos dados e a validade da investigao. Na primeira leitura, o tema visto num sentido mais amplo, abordando aspectos prticos do ponto de vista da busca e apreenso, das ferramentas necessrias para o trabalho em campo, as motivaes para manter ligada ou desligar uma mquina, o comportamento do investigador e as diversas fontes de vestgio. Nas segunda leitura, abordamos o tema do ponto de vista mais tcnico em relao coleta de dados, ao cuidado com os tipos de dados a ser coletados, aos softwares disponveis para a coleta, criao de cpias e aos invlucros forenses.

52

A aquisio e preservao dos dados na forense computacional

Mauro Notarnicola Madeira

Embora as tcnicas de investigao da Computao Forense sejam usadas em contextos relacionados s investigaes criminais, os princpios e procedimentos so praticamente os mesmos quando utilizados para Um dado no computador , em sua base, desvendar qualquer tipo de ataque em uma empresa uma sequncia de 1s e 0s. Em ltima (ALTHEIDE; CARVEY; DAVIDSON, 2011). Enquanto o tipo instncia, essa cadeia que as buscas realizam. de investigao pode variar muito, as fontes dos vestgios geralmente so as mesmas: dados gerados e manipulados por computador. Por muito tempo, a investigao se concentrou em meios de armazenamento magnticos e pticos, o que aumenta a preocupao em coletar dumps de memria em um sistema em execuo e do trfego de dados em redes.
Em seu trabalho, o investigador digital pode trabalhar com outros dados e informaes que, em resultado ltimo, no se convertero em provas para um processo judicial. Nesse trabalho, utilizamos o termo vestgio livremente, porm, em uma redao, para uso legal essa distino pode ser necessria.

O objetivo da investigao forense encontrar fatos e, por meio deles, recriar a verdade sobre o acontecimento. O examinador descobre a verdade sobre um acontecimento descobrindo e expondo os vestgios que foram deixados no sistema. Esses vestgios podem ser transformados em provas.

A sequncia de passos e o que ser analisado dependem do tipo de incidente. Aps uma invaso de um sistema, por exemplo, necessrio analisar uma relativa quantidade de fontes de dados, incluindo conexes na rede, portas utilizadas nessas conexes, arquivos de log, instalao de malwares e programas, arquivos criados, apagados e alterados. No entanto, nem todos os casos envolvem uma anlise to abrangente. Por exemplo, um empregado pode ter acessado sem autorizao um diretrio contendo arquivos de grande interesse para a empresa em que trabalha. Nesse caso, uma avaliao da memria principal do computador no parece ser necessria. A cpia de um arquivo de log que guarda os acessos ao computador pode conter vestgios suficientes para estabelecer a autoria do delito. J em outros casos, o acesso pode vir acompanhado de substituio de programas do sistema por outros maliciosos, instalao de bibliotecas esprias e execuo de processos viciados. Nesse caso, uma anlise de como o sistema foi manipulado e uma foto dos processos em execuo podem ser necessrias, o que envolve a anlise do sistema ligado e ferramentas para dump de memria.

Ps-graduao

53

Em qualquer circunstncia, o processo a seguir depende do estabelecimento de uma hiptese e da realizao um trabalho minucioso e cuidadoso para ver se a suspeita se confirma ou no. Cada investigao deve comear com uma hiptese. Exemplos incluem esse computador foi invadido, ou a esposa de fulano est tendo um caso, ou este computador teve seu arquivo de lixo roubado. O papel do investigador no provar essas afirmaes, mas levantar os vestgios que indicam que essas hipteses so verdadeiras ou no (ALTHEIDE; CARVEY; DAVIDSON, 2011). O trabalho investigativo depende, em qualquer caso, de dois temas muito importantes na computao forense: a aquisio e a preservao dos dados. As duas atividades so interdependentes, principalmente pelo cuidado em tornar o processo auditvel e reproduzvel. De nada adianta coletar os dados se estes se perderem total ou parcialmente ou sofrerem modificaes, perdendo seu valor como prova, ou, ainda, o trabalho ser questionado. A Computao Forense trabalha com o fato de que qualquer ao em um sistema computacional deixa vestgios. Aes muito simples causam mudana de estado nos registradores da unidade central de processamento, bem como mudana de estado na memria principal. Aes mais complexas tm uma grande possibilidade de deixar impresses mais duradouras, como informaes armazenadas em um disco rgido. Segundo Altheide, Carvey e Davidson (2011), podemos fazer analogia com a investigao forense tradicional, quando tanto o arrombamento de uma porta como sua abertura com chave mestra deixam vestgios mais fortes e mais fracos. Mesmo o ato de limpar os vestgios pode levar criao de novos vestgios como o cheiro de gua sanitria em uma cena de crime que foi lavada. Comparado a muitos vestgios fsicos de que trata a forense tradicional, o contedo digital relativamente muito frgil. faclimo corromper dados gravados em discos e memrias permanentes, bem como, mais ainda, eliminar vestgios presentes na memria principal de Em recentes estudos, j existe capacidade computadores e outros meios volteis. Sem um tcnica de usar a unidade de processamento e memria das placas de vdeo mais modernas cuidado adequado, tanto o contedo pode se para uso em ataques, tornando o software perder como pode ser corrompido, causando malicioso muito difcil de ser localizado. impreciso no resultado de uma anlise. Durante a investigao, tambm no podem ser negligenciados detalhes como a manuteno de sigilo e invaso de privacidade. Numa investigao conduzida de forma ilegal, os vestgios encontrados podem ser recusados como provas em um processo.

Aquisio e preservao dos dados

54

Numa investigao forense, a forma com que o trabalho de coleta feito to importante quanto o vestgio em si. Tambm podemos dizer que a qualidade do resultado da investigao proporcional ao rigor e preciso com que o trabalho investigativo conduzido. Todo o procedimento deve ser documentado, com a descrio do ambiente onde se encontram os equipamentos, fotografias, esquema de ligao das mquinas e incluso de cada dispositivo coletado na cadeia de custdia. Existe o mandamento maior na Computao Forense que extrair os vestgios sem causar qualquer alterao no contedo original. Alm disso, esse contedo deve ter seu estado preservado durante toda a investigao: desde o momento que o vestgio encontrado at o momento em que a investigao se encerra e, talvez ainda, para alm, quando contestaes podem requerer novo exame de todo o material. O valor do vestgio depende do quanto ele foi preservado. Em certas circunstncias, a alterao de apenas alguns bits j destri o vestgio e prejudica drasticamente uma investigao (WRIGHT, 2010). Como j mencionado, uma ferramenta importante usada pelo investigador a de cadeia de custdia. Nela, so anotadas todas as operaes realizadas em um dispositivo ou uma mdia que contm o vestgio, bem como quem o manuseou, quando isso foi feito e o que foi feito. Nem todos os trabalhos realizados em um dispositivo so feitos por apenas uma pessoa. Imagine a necessidade de enviar um disco rgido para ser analisado em um laboratrio, seja por um problema de hardware seja por conter um sistema operacional no familiar equipe. Esse envio deve ser documentado na cadeia de custdia, dando equipe uma pronta informao de seu destino, datas, o que foi feito e por quem. No momento de apreenso de um dispositivo, uma etiqueta deve conter data e hora, o nome do coletor, de onde o item foi retirado e outros fatos relevantes ao caso, dependendo das polticas e dos procedimentos do time de investigadores (OPPENHEIMER, s.d.). Aps isso, o dispositivo deve ser transportado e bem guardado. Veja exemplo de uma embalagem especfica para a coleta de um dispositivo na Figura 1. Um exemplo de trabalho que expressa esse cuidado, utilizado como referncia ao redor do mundo, o guia de boas prticas para a pesquisa, apreenso e exame do vestgio eletrnico, o ACPO Good Practice Guide (7SAFE; METROPOLITAN POLICE SERVICE UK, 2011). Iniciado em 1997, no Reino Unido, o trabalho contou com a participao de agncias de investigao e unidades de cincia forense envolvendo vestgio digital, incluindo a Associao de Chefes de Polcia Computer Crime Working Group.

Ps-graduao

55

O guia ACPO estabelece quatro princpios essenciais para a abordagem no momento de apreenso e coleta de dados:
Princpio 1 - Nenhuma ao de algum agente encarregado de trabalhar na investigao pode modificar os dados contidos em um computador ou dispositivo a ser investigado. Princpio 2 - No momento em que uma pessoa tem a necessidade de acessar o contedo original mantido no dispositivo, computador ou mdia, essa pessoa deve ser competente para tal e ser capaz de explicar a relevncia e as implicaes de suas aes. Princpio 3 - Deve ser criado um registro de todos os passos da investigao. Um examinador independente deve ser capaz de usar esses passos e chegar aos mesmos resultados. Princpio 4 - A pessoa a cargo da investigao tem a responsabilidade geral de assegurar que esses princpios sejam condizentes com os preceitos legais aplicveis.

Esses quatros princpios indicam que o processo vai alm da coleta dos vestgios, em direes que implicam necessidade de rigor na coleta de dados e responsabilidades dos envolvidos. Na internet, podemos consultar outras organizaes que mantm guias como o anteriormente exemplificado.

Procedimento preparatrio para a busca e apreenso

O termo jurdico busca e apreenso (BRASIL, 1973) remete a uma ordem judicial para que coisas ou pessoas sejam localizadas, Recorremos a uma simplificao, pois analisados ou retirados do local para anlise caracterizar o procedimento de anlise posterior, no mbito judicial, pode ser posterior. Mesmo que o investigador forense bastante extenso. trabalhe internamente em uma equipe de resposta a incidentes, possvel que a empresa seja, em alguma poca, alvo de uma ordem de busca e apreenso em seus computadores. Casos como delitos causados por empregados, uma denncia, mesmo que infundada, de uso de software no licenciado, ou outros motivos fora de controle da empresa, no No caso de denncia, no h nenhum aviso podem ser totalmente descartados. normal prvio no sentido de a empresa apresentar seus que pessoal tcnico da empresa seja chamado a comprovantes de compra de licenas. A busca e apreenso feita e, posteriormente, a empresa acompanhar o procedimento e entender o que tem de se defender da acusao de compra de est acontecendo e muitas vezes at mesmo software no licenciado. auxiliando na busca de informaes.

Aquisio e preservao dos dados

56

Figura 1 Exemplo de embalagem Fonte: Adventures in security [20?].

Os passos a seguir so exemplos que uma equipe de peritos pode seguir, tanto em uma investigao em campo quanto em uma investigao interna, dando nfase em alguns pontos e suprimindo outros de acordo com Podemos usar o termo perito o ambiente e caso analisado. como sinnimo de especialista, e
no necessariamente como aquele profissional nomeado por um juiz para trabalhar em um processo judicial.

Ps-graduao

57

Planejamento
Qualquer trabalho de busca e apreenso deve ser bem planejado. Durante essa fase, importante juntar o mximo de informaes sobre o local onde o equipamento est instalado, sobre seus usurios e sobre as mquinas em si. Informaes como nmero de computadores, seus modelos, tipos de sistemas operacionais e conexes devem ser previamente conhecidas, para que o investigador ou a equipe de investigadores tenha as ferramentas adequadas em mos, inclusive, se necessrio, com peritos auxiliares contratados para casos em que os sistemas no sejam de domnio da equipe. Outro fator que pode pesar a existncia de um grande nmero de equipamentos. Pode ser que o tempo disponvel para o trabalho no permita analisar todos os computadores in loco. Se esse for o caso, e o tipo de anlise permitir, pode ser necessria a escolha de mquinas representativas ou mais importantes, como servidores, a retirada de equipamentos ou de dispositivos, como discos rgidos e unidades de backup para laboratrio.

Em um caso de percia sobre uso indevido de licenas, uma empresa de software alegou que uma fbrica estaria usando seu produto em um nmero maior de mquinas do que o estabelecido no contrato. Essa empresa acionou a justia. Para o processo, foram nomeados dois peritos que deveriam avaliar cinco fbricas em cinco cidades diferentes. Vale destacar que os honorrios dos peritos deveriam ser custeados pelos denunciantes, incluindo despesas de transporte, acomodao, alimentao etc. Devido natureza do negcio, essas mquinas no poderiam ser analisadas durante o perodo de trabalho, o que levou a operao para os fins de semana. Observe que dois peritos no dariam conta de estar em cinco lugares ao mesmo tempo, o que daria tempo para a empresa organizar algum tipo de maquiagem. Cada fbrica contava com mais de trinta computadores. Para analisar cada um, a estimativa era de no mnimo trinta minutos, em que uma avaliao do registro (eram mquinas Windows) e listagem de diretrios revelaria a presena da instalao das cpias do software. Porm, um estudo junto ao fabricante do software revelou que cada mquina contendo o aplicativo fazia chamadas a um servidor que mantinha um banco de dados centralizado para as cinco fbricas e que esse servidor continha um log de acesso com identificao de cada mquina. Isso pde reduzir a estimativa inicial para algo extremamente mais simples, incluindo apenas uma visita. Esse tipo de detalhe tcnico nem sempre consta dos laudos do processo. Com um procedimento preparatrio, a tarefa pode ser melhor estimada.

Aquisio e preservao dos dados

58

Dependendo do tipo de busca, a empresa investigada no pode liberar suas mquinas para anlise sem que seu trabalho ou processo fabril seja interrompido. Esse tipo de No caso de o perito estar trabalhando em um caso judicial, a nomeao situao varia de caso para caso, e o investigador de auxiliares deve ser comunicada forense deve estar preparado para agir de acordo com oficialmente. a situao, inclusive contratando auxiliares. Em uma empresa, a manuteno de equipamentos de reserva como backups minimiza muito os prejuzos causados por uma interrupo, alm de fornecer maior tempo para a investigao forense. Essa preocupao pode constar do Plano de Continuidade de Negcios da empresa.

Ferramentas para o trabalho em campo

No sempre que uma mquina invadida pode ser removida para um laboratrio a fim de ser examinada. At porque, em muitas investigaes, deve-se interromper minimamente as atividades do ambiente sob anlise, reduzindo os prejuzos causados. A equipe deve estar preparada para o trabalho em campo. Exemplos de ferramentas com as quais uma equipe deve contar: Ferramentas comuns - um kit contendo chaves Philips, de fenda e Torx; um alicate universal; um alicate de bico; um alicate de corte; e um pincel para limpar poeira so o mnimo necessrio. tambm aconselhvel a utilizao de proteo antiesttica, que uma tira que liga a caixa do equipamento ao brao do tcnico, neutralizando qualquer diferena de potencial de eletricidade esttica entre o aparelho e o corpo. A eletricidade esttica uma das maiores causas de destruio de circuitos eletrnicos. Tambm uma caixa de plstico para armazenar temporariamente parafusos retirados dos equipamentos facilita bastante o trabalho. Canetas marcadoras de vrias cores podem ajudar no momento de marcar cabos para lembrar local e posio ao serem religados posteriormente. Ferramentas de identificao - sacos plsticos antiestticos para armazenar discos rgidos, adesivos, etiquetas, canetas marcadoras. Documentao - formulrios para anotao de todos os detalhes da operao, bem como para a manuteno da cadeia de custdia. No anexo, apresentamos como exemplo a traduo de um formulrio disponvel em <http://technoid.net/uni/fit/single-form.pdf>.

Ps-graduao

59

Cmera fotogrfica com filmagem - pode auxiliar ao registrar programas rodando, procedimentos de desligamento de mquinas, para provar o correto shutdown, uma fotografia da mquina e de suas proximidades, configurao do equipamento, conexes eltricas etc. Recipientes - sacos plsticos antiestticos para embalar cada dispositivo a ser removido do local, contendo etiquetas amarradas ou coladas com identificao do item. Existem empresas que produzem embalagens especficas para uso em Criminalstica. Na figura 1, apresentamos um exemplo. No Brasil, temos fornecedores desse tipo de embalagens. Armazenamento de dados - discos gravveis (CDWR e DVD) ou, mais importante, discos ou pen drives USB para cpias de dados. Esses dispositivos devem vir totalmente vazios. Essa lista logicamente incompleta e varivel com o tempo, pois a tecnologia evolui muito. H pouco tempo, um disco de 1,44 MB estaria na relao, hoje pea de museu, mas nada impede que, em uma busca, sejam encontrados tipos antigos de mdia que, dependendo da natureza da investigao, devem ser coletados para anlise. O investigador tem de estar preparado para essa hiptese e deve se preparar para ter condies de realizar a leitura e produzir cpias de trabalho. possvel que um dispositivo de gravao de CDWR/DVD se torne obsoleto em pouco tempo. J existem computadores que sequer possuem unidades de disco, carregando seus softwares apenas pela rede.

O dilema do desligamento
Ao examinar um sistema computacional, o investigador forense est interessado em obter dados para sua investigao que podem estar em dois tipos de memria:

Voltil - aquela que perde seu contedo ao ser interrompida sua alimentao eltrica. Em um computador, temos a memria principal, os registradores da CPU e sua memria cache. Apenas a memria principal de interesse para o investigador forense. No voltil - No perde seu contedo com a interrupo da alimentao. Os discos rgidos so atualmente o mais comumente usados, mas os discos de memria flash comeam a se tornar comuns, tanto em dispositivos como pen drives, como tambm em substituio aos discos rgidos em notebooks, tablets, telefones celulares e tocadores de msica.

Aquisio e preservao dos dados

60

A experincia e conhecimento tcnico do examinador so de fundamental importncia, pois qualquer ao descuidada pode levar perda de informaes importantes. Atualmente, o investigador forense enfrenta a difcil tarefa de decidir se desligar um sistema o modo mais eficiente de coletar potenciais vestgios eletrnicos (WILES; CARDWELL; REYES, 2007). H poucos anos, o procedimento da Computao Forense se resumia a analisar um disco rgido, no havendo preocupao com o contedo de memria, processos em execuo e conexes de rede estabelecidas com outras mquinas. Tradicionalmente, os mais experientes investigadores forenses concordavam que a melhor prtica era desligar um computador para preservar vestgios e eliminar uma potencial mudana na informao. No treinamento padro, o desligue tudo e no modifique nada era a norma. Esse procedimento uma prtica que vem do mandamento da forense fsica de no se mexer na cena do crime, mas que no necessariamente se aplica forense digital, uma vez que a tecnologia de investigao da Computao Forense evolui muito mais rapidamente do que as tcnicas tradicionais da forense fsica. A evoluo da tecnologia nos fora a confrontar o fato de que algumas vezes mais vantajoso fazer uma anlise com o sistema ligado do que uma anlise post mortem. O problema que a anlise com o sistema ligado muitas vezes modifica o vestgio, mudando o contedo de um disco rgido. Data e hora da criao/modificao de arquivos, chaves de registro (Windows), arquivos de swap e contedo de memria so modificados quando se faz uma anlise de um sistema ligado. A deciso de desligar ou no a mquina baseada no conhecimento adquirido e na observao da mquina em si, o que depende muito do objetivo da investigao. Caso no seja feita a anlise com a mquina ligada, importante que os motivos da deciso faam parte do relatrio ou laudo da investigao. Por exemplo, ao se encerrar uma planilha de dados ou um navegador, os dados so gravados em disco, permitindo uma investigao posterior. J encerrar um programa, tal como um cliente de torrent, pe a Torrent: Tecnologia de compartilhamento perder todos os dados das conexes ativas com de arquivos P2P. outros servidores. O conhecimento do investigador que vai permitir esse discernimento.

Ps-graduao

61

Alm da mquina em si, temos o problema da rede. Como as redes so transportadoras, e no elementos armazenadores, todos os dados devem ser capturados e gravados em tempo real ou sero perdidos para sempre. Segundo Figg e Zhou (2007), isso apresenta uma oportunidade para mltiplos tipos de investigaes, que incluem anlise de logs, anlise de padres de trfego em servidores e na prpria rede. Esse tipo de investigao aponta para uma anlise em roteadores e ataques pela web, incluindo e-mails, esteganografia e dispositivos mveis. Segundo o National Institute of Justice (2010), rgo do governo dos Estados Unidos, a nfase do investigador forense, nos dias de hoje, capturar o mximo possvel de dados na cena do crime, enquanto os dispositivos ainda esto ligados. Quando lidando com vestgios digitais, os primeiros investigadores a chegar ao local devem ainda observar princpios forenses e princpios gerais, que incluem: o vestgio no deve ser modificado quando est sendo coletado, protegido e transportado; o vestgio digital s deve ser examinado por aqueles com treino especfico; tudo que feito durante a busca, transporte e armazenamento do vestgio digital deve ser totalmente documentado, preservado e tornado disponvel para ser revisto. Outro fator em jogo o tempo. Em uma investigao realizada dentro da empresa, onde o tempo teoricamente maior, uma anlise com a mquina ligada no um problema. No entanto, em aes efetuadas por peritos em instalaes de terceiros, pode ocorrer que o nmero de mquinas e o efeito surpresa no forneam o tempo necessrio para a anlise, mesmo que certos detalhes da investigao presentes na memria voltil da mquina possam ser muito relevantes para a investigao. Nestes casos, um dump de memria executado, copiando para um dispositivo no voltil todos os dados presentes na memria naquele momento. O problema com esse procedimento a impossibilidade de certificar a fidelidade do contedo adquirido. O contedo da memria de um computador, e aqui inclumos todos os aparelhos que possuem a mesma arquitetura de processador + memria, modifica-se o tempo todo. O resultado de uma aquisio no tempo t sempre ser diferente do resultado no tempo t + 1, o que torna uma comparao virtualmente impossvel. Logo, esse resultado pode ser classificado como um vestgio com menor validade como prova. Isto no ocorre com uma mdia em que h tcnicas de cpia que levam a um resultado reproduzvel e passvel de verificao.

Aquisio e preservao dos dados

62

Logicamente que cada tipo de busca e apreenso influi no tipo de trabalho a ser realizado. Estamos usando o termo de uma forma mais ampla, mas existem aes legais que objetivam a apreenso dos equipamentos e h aes que buscam apenas os vestgios, coletados no local. O planejamento da investigao depende desses fatores.

Fontes de vestgios
Em algumas circunstncias, alguns aparelhos podem no parecer importantes para a investigao forense, uma vez que cada vez mais a quantidade de armazenamento aumenta e torna-se mais barato instalar grande quantidade de memria nos dispositivos. Desktops, notebooks e tablets - esses so o alvo principal em um local sendo avaliado. Porm, os equipamentos ao seu redor tambm podem ser repositrios de dados importantes. possvel que a um computador estejam ligadas unidades de armazenamento auxiliares, como discos USB, gravadores de CD-ROM/DVD, hubs de USB com outros dispositivos nem sempre facilmente visveis. Dependendo do tipo de investigao, todos esses elementos podem requerer seu armazenamento, etiquetagem e transporte. Organizadores pessoais (PDA), celulares e smartphones - em um local de investigao, qualquer dispositivo dessa natureza pode ser fonte de vestgios. Um cuidado especial deve ser tomado para que suas baterias no se esgotem, o que pode fazer com que os dados se percam. Por este motivo, a apreenso de fontes importante em casos de busca e apreenso. Unidades de armazenamentos de todos os tipos, como disquetes, CDROMs, DVDs, pen drives, cartes de memria flash etc. Routers, estao WI-FI, servidores de rede etc. - hoje em dia, comum que dispositivos de redes com conexo wireless possuem unidades de armazenamento de dados, incluindo discos para backups ou compartilhamento de arquivos.tira o ou sem Deixa so wireless Consoles de jogos - os consoles de jogos atuais so mquinas muito avanadas, capazes de trabalhar com muitos tipos de tarefas e possuem tambm uma grande capacidade de armazenamento. Notcias recentes afirmam que os servios de inteligncia dos Estados Unidos vm tentando conseguir burlar as barreiras de proteo criptogrficas de consoles com a inteno de investigar possveis armazenamentos de informaes terroristas nessas mquinas, pois elas so muito mais protegidas do que os computadores pessoais.

Ps-graduao

63

E-mail - um dos meios mais utilizados para comunicao, fonte de vestgios importantes. No momento de coletar um e-mail, necessrio incluir o cabealho, capturando, assim, a data de envio, a fonte e todos os passos que ele tomou at chegar ao receptor. Existe muita discusso sobre a invaso de privacidade causada pela leitura de um e-mail de um funcionrio. Veja detalhes em leitura posterior e em Paiva (2002). Internet - a internet mais um meio em que dados podem ser armazenados, transmitidos e compartilhados. Embora complexa e imensa, ela nada mais do que uma grande rede de computadores. Em ltima instncia, a informao est gravada fisicamente em um ou mais computadores, o que permite que ela possa ser coletada ao serem examinados os dispositivos utilizados para seu armazenamento. Parte dessa informao pode ser voltil, como as mensagens instantneas (MSN, Yahoo Messenger etc.). Em investigaes especiais, um monitoramento pode ser utilizado para capturar mensagens. Redes sociais - contm diversas informaes sobre uma pessoa e seus relacionamentos. O phishing mostra que a manuteno de informaes pessoais e de trabalho serve de munio para crimes. Pginas na internet - o ideal utilizar uma ferramenta que puxe todo o contedo do site. A captura deve ser datada, uma vez que as mudanas so muito rpidas. Outra possibilidade a captura de telas. Tocadores de msica - esses dispositivos tm em seu interior grande capacidade de armazenamento, com potencial de serem utilizados para armazenar inclusive arquivos com formatos diferentes daqueles previstos para o aparelho. Qualquer dispositivo desconhecido. Essa lista apenas uma amostra. Novos aparelhos e novas formas de comunicao so inventados e alguns saem de uso. O PDA, por exemplo, tem dado lugar aos celulares sofisticados e tablets, e uma nova fonte de armazenamento pode se tornar importante para a lista em questo de meses.

Aquisio e preservao dos dados

64

Referncias
SAFE E METROPOLITAN POLICE SERVICE UK. E-Crime: good practice and advice guide for managers of e-crime investigations. 2011. Disponvel em: <http://www.acpo.police.uk/ documents/crime/2011/201103CRIECI14.pdf>. Acesso em: 9 jan. 2012. ALTHEIDE, C.; CARVEY, H.; DAVIDSON, R. Digital forensics with open source tools: using open source platform tools for performing computer forensics on target systems: Windows, Mac, Linux, Unix, Etc. Elsevier Science, 2011. (Syngress Media). Disponvel em: <http://books.google.ca/books?id=J8h8VWUmDuYC>. Acesso em: 10 jan. 2012. BRASIL. Cdigo de processo civil. L-005.869-1973. art. 839 a 843. 1973. Disponvel em: <http://www.dji.com.br/codigos/1973_lei_005869_cpc/cpc0839a0843.htm>. Acesso em: 9 jan. 2012. EVIDENCE bag. Adventures in security [20 ]. Disponvel em: <http://adventuresinsecurity. com/images/Evidence_Bag.jpg>. Acesso em: 23 mar. 2012. FIGG, W.; ZHOU, Z. A computer forensics minor curriculum proposal. J. Comput. Small Coll., Consortium for Computing Sciences in Colleges, USA, v. 22, p. 3238, abr. 2007. Disponvel em: <http://dl.acm.org/citation.cfm?id=1229637.1229642>. Acesso em: 10 jan. 2012. NATIONAL Institute of Justice. Digital evidence investigative tools. 2010. Disponvel em: <http://nij.gov/nij/topics/forensics/evidence/digital/investigative-tools/welcome.htm>. Acesso em: 10 jan. 2012. OPPENHEIMER, P. Computer forensics: seizing a computer. [20]. Disponvel em: <http:// www.priscilla.com/forensics/ComputerSeizure.html>. Acesso em: 10 jan. 2012. WILES, J.; CARDWELL, K.; REYES, A. The best damn cybercrime and digital forensics book period. [S.l.]: Syngress, 2007. WRIGHT, T. E. Field guide part one. 2010. Disponvel em: <http://www.symantec.com/ connect/articles/field-guide-part-one>. Acesso em: 1 dez. 2011.

Ps-graduao

65

Ferramentas e tcnicas para coleta na forense computacional

Mauro Notarnicola Madeira

Aquisio com o sistema ligado

As aes da primeira pessoa a ser chamada para atender suspeita de invaso de um sistema ou no momento da busca e apreenso so de fundamental importncia para a investigao forense. Se a mquina for desligada, como a reao da maioria das pessoas em um ambiente de trabalho, muitos dados, e com eles possveis vestgios, so perdidos definitivamente. Se o sistema estiver ligado, o investigador tem de decidir se desliga imediatamente ou se coleta as informaes volteis. A deciso de desligar pode estar ligada a uma suspeita de que algum dano pode estar sendo causado a outros sistemas ou na prpria mquina. Exemplos incluem comandos apagando arquivos ou formatando discos, um programa malicioso corrompendo dados ou a mquina sendo utilizada para atacar outra mquina ou sistema. A deciso de manter a mquina ligada pode evitar a perda de trs tipos principais de vestgios volteis (KORNBLUM, 2002): dados transientes; dados frgeis; dados temporrios. Dados transientes Muitas vezes, um programa mantm dados na memria para aumentar sua velocidade, em lugar de mant-los em um arquivo ou em um banco de dados. Outras vezes, o dado transiente pode incluir programas que esto rodando, mas no esto presentes no disco rgido, como num ataque executado pela rede e/ou que apague o arquivo da mquina assim que entra em execuo. O ataque pode, por exemplo, consistir em um interceptador de teclado (keylogger) ou de dados transportados pela rede. Outro exemplo de dados transientes so as conexes com a rede, que se perdem quando o tempo expira ou so fechadas, quando usurios de desconectam etc.

Aquisio e preservao dos dados

66

Dados frgeis
Os discos rgidos esto comeando a ser substitudos por unidades de estado slido flash, mantendo as mesmas caractersticas de uso. Neste caso, classificamos como o primeiro a cuidar da ocorrncia aquele que primeiro age para tentar entender o que est acontecendo com a mquina, que geralmente no algum com treino em investigao forense.

So aqueles guardados no disco rgido ou memria flash que podem ser facilmente alterveis, especialmente pela primeira pessoa presente ocorrncia. Entre os tipos de dados frgeis, podemos incluir arquivos temporrios e informaes sobre data de alterao de arquivos.

Podemos imaginar uma situao em que um invasor tenta esconder seus passos removendo entradas em um arquivo de log. Ao editar o arquivo, ele altera a data e hora em que o ltimo acesso foi feito, indicando quando agiu no sistema. Quando o primeiro a investigar o sistema acessa o arquivo de log tentando entender o que aconteceu, ele modifica a indicao novamente, eliminando o vestgio de quando o arquivo foi acessado pela ltima vez, que poderia ser utilizado para entender um ataque. Praticamente todos os sistemas operacionais utilizados atualmente mantm esse tipo de informao (Veja a figura 1).

Figura 1 Exemplo de atributos Windows 7 Fonte: Elaborao do autor (2012).

Ps-graduao

67

Dados temporrios So dados armazenados no disco rgido, mas que no so acessados constantemente. Exemplos so os arquivos ou as imagens de discos protegidos por criptografia. Para serem abertos, o usurio tem de fornecer uma senha ou outro tipo de verificao. Se a mquina desligada, pode tornar-se difcil ou impossvel obter acesso novamente a eles. Atualmente existem opes nos sistemas operacionais para criptografar totalmente um sistema de arquivos. O acesso sem uma senha pode tornar o trabalho investigativo extremamente demorado ou mesmo impossvel.

Mtodos de preservao
Para preservar dados volteis, preciso que eles sejam transportados o mais rapidamente possvel para um meio no voltil, sem que nenhuma parte do sistema seja perturbada. A mquina sob ataque no um local seguro para armazenar dados, pois deve-se evitar ao mximo sobrescrever reas marcadas para reutilizao presentes nos discos rgidos, pois podem conter informaes importantes para desvendar um ataque ou a manuteno de dados comprometedores. A forma mais segura de transferir dados da mquina sob investigao via rede. A primeira ao desconectar o computador investigado da rede e conect-lo, via um hub, mquina da bancada de testes no laboratrio. As configuraes de redes para essa conexo no so difceis, mas, como sempre, deve-se evitar mexer na configurao da mquina sob ataque, como seu IP, por exemplo. O primeiro conjunto de dados a ser transferido deve ser a imagem da memria principal. A tcnica utilizada transferir pequenos pacotes de dados para evitar sobrecarregar a mquina invadida, pois ela pode se sobrecarregar e sobrescrever o restante da memria ou mesmo causar um swapping, talvez escrevendo em espaos do disco que podem conter informaes apagadas. Uma vez que o contedo de memria tenha sido transferido, Swapping: arquivo criado em disco para outros dados podem ser trazidos com maior conter programas que no cabem na memria principal quando no esto sendo utilizados. velocidade. Observa-se o extremo cuidado e a dificuldade desse tipo de procedimento. No utilizando uma conexo por rede, a forma mais prtica de coletar relatrios e dados da mquina sob anlise utilizar uma mdia ligada a uma porta USB, Fire Wire etc.

Aquisio e preservao dos dados

68

Qualquer mtodo utilizado com a mquina em funcionamento causa uma perturbao, por menor que seja. Por exemplo, o uso de uma ferramenta para o dump de memria certamente far com que o sistema inclua o programa em execuo memria, acrescentando detalhes ao dumping. Entretanto, possvel determinar o que ser modificado. Por exemplo, o aplicativo winen.exe, distribudo no pacote forense EnCase (comercial), deixa um rastro na memria, como mostrado na figura 2. Alm disso, modifica o registro como: HKEY_LOCAL_MACHINE\SYSTEM\ \Enum\Root\ LEGACY_WINEN_ HKEY_LOCAL_MACHINE\SYSTEM\ \Services\ winen_

Figura 2 Alterao da memria com Winen Fonte: Forensiczone (2008).

Ps-graduao

69

Ferramentas forenses para aquisio

H diversas ferramentas disposio do investigador, desde aquelas em que ele est no comando de todo o processo, passando pelas baseadas em scripts, at as mais complexas, com interface grfica com o usurio. As mais automatizadas so pacotes comerciais e pertencem a uma classe de programas de custo relativamente alto. H algumas iniciativas em direo criao, manuteno e divulgao de ferramentas de cdigo aberto. Dois exemplos: http://www2.opensourceforensics. org/ e http://www.digital-forensic.org/. H ainda o projeto de um framework para ferramentas de cdigo aberto o Open Computer Forensics Architecture (OCFA): http://sourceforge.net/apps/trac/ocfa/wiki e Open Source Digital Investigation Framework: http://www.digital-forensic.org/. Dentro do mundo de cdigo aberto, os aplicativos Sleuth Kit e Autopsy so os mais completos e rodam em vrias plataformas. Podem ser baixados de: http://www.sleuthkit.org/. Vale notar que qualquer distribuio GNU/Linux potencialmente uma ferramenta para aquisio e anlise forense. Um exemplo a distribuio DEFT, especialmente produzida para esse fim: http://www.deftlinux.net/. Segundo Altheide, Carvey e Davidson (2011), muitos examinadores que conhecem e usam ferramentas comerciais no sabem que podem realmente realizar uma investigao forense completa usando apenas ferramentas de cdigo aberto. Na utilizao mais manual, a prtica o investigador forense montar um disco com suas ferramentas e evitar utilizar qualquer um dos programas presentes na mquina sob anlise. Esse procedimento tem por objetivo impedir que programas viciados instalados no computador possam impedir Anlise independente de uso de tcnicas ou distorcer a coleta e anlise de dados. Por exemplo, antiforenses. o prprio interpretador de comandos do Windows (cmd.exe) pode ter sido substitudo por uma verso que impede a resposta correta de comandos ou causa uma destruio no sistema. Nesse caso, o investigador verifica o tipo de sistema instalado na mquina e usa uma verso do interpretador de comandos compatvel com o sistema, copiado de uma instalao confivel. A quantidade de ferramentas utilizada depende do tipo de investigao e do tipo de sistema em anlise.

Aquisio e preservao dos dados

70

O que pode fazer um programa viciado?

Um interpretador de comandos pode ser modificado, por exemplo, para no listar determinados arquivos, como um vrus ou worm, ou executar algum cdigo que modifica o ambiente de comandos.

Na abordagem de uso de ferramentas isoladas, o investigador forense se utiliza de um interpretador de comandos do sistema operacional e na chamada de programas para fazer o servio de coleta, relatrios e exame de vestgios. H um arsenal muito grande dessas ferramentas disposio do investigador forense, com origens que vo do prprio sistema investigado, passando por ferramentas de cdigo aberto, freeware, at vrias proprietrias. Um exemplo de ferramenta o aplicativo dd, utilizado para cpias de regies de memria, tanto a principal como a secundria, bit-a-bit. O tamanho e nmero de blocos de memria a serem copiados totalmente configurvel. Esse aplicativo padro no mundo Unix e existem equivalentes para MS Windows, que funcionam em verses mais antigas. Para aquisio em verses mais novas do MS Windows, h verses gratuitas, como o disponvel em http://www.moonsols.com/products/. O Quadro 1 apresenta vrios comandos para mquinas MS Windows. A lista apenas ilustrativa. Devido rpida obsolescncia, muitas j deixaram de funcionar em verses mais modernas do Windows.
arp.exe cmdline.exe handle.exe iplist.exe mem.exe now.exe promiscdetect.exe psloggedon.exe pulist.exe sc.exe tlist.exe attrib.exe drivers.exe hfind.exe ipxroute.exe nbtstat.exe ntfsinfo.exe ps.exe psloglist.exe reg.exe servicelist.exe uname.exe auditpol.exe dumpel.exe hostname.exe listdlls.exe net.exe ntlast.exe psfile.exe psservice.exe regdmp.exe sniffer.exe uptime.exe autorunsc.exe efsinfo.exe hunt.exe mac.exe netstat.exe openports.exe psinfo.exe pstat.exe RootkitRevealer.exe streams.exe whoami.exe cmd.exe fport.exe ipconfig.exe mdmchk.exe netusers.exe pclip.exe pslist.exe psuptime.exe route.exe strings.exe

Quadro 1 Aplicativos diversos Fonte: Elaborao do autor (2012).

Ps-graduao

71

Alguns exemplos de uso das ferramentas anteriores e de outras:

Ferramenta
cmd.exe PsLoggedOn rasusers

Descrio
Linha de comando dos sistemas operacionais Windows. Mostra todos os usurios conectados local e remotamente. Mostra que usurios tm acesso remoto ao sistema. Ferramenta do sistema que lista todas as portas de escuta e todas as conexes ativas nessas portas. Utilitrio que enumera todos os processos que abrem qualquer porta para TCP/IP. Enumera todos os processos em execuo. Lista todos os processos em execuo, seus argumentos passados na chamada e todas as DLL utilizadas por ele. Apresenta todos as conexes NetBIOS recentes dentro de 10 minutos. Mostra os endereos MAC de sistemas esteja se comunicando desde um minute atrs. Mostra todos os dispositivos compartilhados Mostra arquivos abertos remotamente Lista informaes sobre processos e threahs em execuo. Mostra o histrico de comandos de todos as caixas de comando (cmd.exe) abertas.

Fonte
Embutido www.foundstone.com NT Resource Kit (NTRK)

netstat

Embutido

Fport PsList ListDLLs

www.foundstone.com www.foundstone.com www.foundstone.com

nbtstat arp rmtshare PsFile PsService doskey

Embutido Embutido NTRK www.foundstone.com

Embutido

Quadro 2 Exemplos de ferramentas e seus usos Fonte: Adaptado de Prosise, Mandia e Pepe (2003).

A segunda abordagem utilizar uma ferramenta baseada em script. Esse tipo de ferramenta projetado pra capturar tanto informaes volteis quanto permanentes, procurando no modificar nada no sistema sob investigao. Geralmente, essas ferramentas, ou kits de resposta a incidentes, executam vrios programas gratuitos ou que pertencem ao sistema operacional da mquina sob anlise. Em geral, tanto os dados coletados quanto os relatrios produzidos so armazenados na mdia onde est o script. Muito comum o emprego de um dispositivo USB, como uma memria flash. O uso de uma mdia ptica, como um CD ou DVD, tambm pode ser utilizada, com o cuidado de direcionar os relatrios para algum dispositivo de escrita que no pertena mquina sob anlise.

Aquisio e preservao dos dados

72

Um exemplo de ferramenta desse tipo o Helix e Windows Forensic Toolchest. Na terceira abordagem, temos as ferramentas comerciais mais completas, que so proporcionalmente mais caras, mas que possuem um grau de investigao e capacidade de gerao de relatrios muito mais sofisticados. O efeito produzido por essas ferramentas so complexas de obter utilizando ferramentas manuais. Exemplos de algumas tarefas que uma ferramenta de investigao forense capaz de realizar:
criao de clones e imagens de discos ou de outras mdias; exame da estrutura de arquivos de imagens; suporte a diversos sistemas de arquivos, como FAT, NTFS, Ext, CDFS, UDF, HFS, UFS, ReiserFS etc.; capacidade de interpretar sistemas de discos dinmicos e em RAID; visualizao dos contedos da memria principal (RAM) e virtual; vrias tcnicas de recuperao de dados e remontagem de arquivos utilizando fragmentos file carving; formatao de discos para uso em investigaes forenses (esterilizao); uma base de dados de assinatura de softwares, que permite descobrir, entre outras coisas, que programa gerou determinado arquivo; leitura de espaos no alocados e no totalmente utilizados em discos; recuperao de arquivos deletados; criao de catlogos de arquivos e diretrios para qualquer tipo de mdia; acesso a atributos e mecanismos especiais de sistemas de arquivos, como ADS em NTFS; capacidade de ler diferentes tipos de parties; visualizao de arquivos diversos (figuras, imagens, textos etc.); visualizao de e-mails extrados de arquivos produzidos por clientes de e-mail; identificao automtica de arquivos criptografados, como produzidos por MS Word, PDF etc.; identificao de arquivos de imagens, som, figuras etc. embutidos em documentos; visualizador de registro do Windows com gerao de relatrios; visualizador de logs; listagem de diretrios de forma recursvel.

Exemplos de ferramentas comerciais: Encase e FTK.

Ps-graduao

73

Bancada de testes
O preparo de uma bancada de testes depende muito do tipo de ferramentas de investigao forense a ser utilizado, que vai do mais manual, uso de comandos isolados ao mais automatizado, como os comerciais mais completos. Porm, de um modo geral, a anlise de dispositivos em laboratrio implica a preparao de uma bancada de testes. Os equipamentos utilizados na bancada devem conter sistemas operacionais compatveis com os utilizados nas mquinas e nos dispositivos a serem analisados. Utilizar o mesmo sistema operacional pode ajudar no momento da leitura de sistemas de arquivos e documentos, pois nem sempre um sistema operacional consegue ler e interpretar todos os dados armazenados em um sistema de arquivos de outro sistema operacional com preciso. Uma boa opo um servidor com mquinas virtuais. A mquina, ou as mquinas da bancada de testes, deve conter sistemas operacionais intactos. aconselhvel refazer a instalao do zero para cada nova atividade de coleta e anlise de dados. Uma imagem de um sistema bem preparado pode ser guardada e utilizada para cada nova investigao. Todas as ferramentas de anlise devem estar preparadas e serem de conhecimento do investigador, pois qualquer erro em sua operao pode causar alteraes ou perdas nas mdias originais. Entra aqui a necessidade de treinamento constante. Um projeto muito interessante para o investigador forense o SANS Investigative Forensic Toolkit (SIFT). Ele consiste na distribuio de imagens ISO e VMware que contm uma distribuio Ubuntu pr-configurada para uso forense. A imagem VMware auxilia o processo de clonar uma nova mquina para cada investigao. As imagens so gratuitas e contm apenas programas em cdigo aberto. Disponvel em: http://computer-forensics.sans.org. H duas formas de adquirir os dados contidos nas mquinas sob investigao, supondo que ela j tenha sido desligada aps a abordagem inicial ou encontrada desligada. A primeira consiste em estabelecer uma conexo via rede com a mquina. Neste caso, um disco de boot preparado, e um aplicativo como o LinEn, fornecido junto com o pacote comercial Encase, instalado no mesmo. Ao ser executado, a mquina sob investigao passa a ser um servidor. Um cliente instalado na mquina do laboratrio permite que os dados sejam transferidos dos dispositivos de armazenamento da mquina investigada para discos na mquina da bancada de teste. Existem aplicativos que compactam a imagem.

Aquisio e preservao dos dados

74

Infelizmente as solues para esse tipo de coleta de dados so comerciais. A remoo do(s) disco(s) rgido(s) da mquina sob investigao o segundo tipo de abordagem. O mtodo de conexo dos discos com a mquina da bancada vai depender do tipo de interface, ou seja, IDE, ATA, SATA, SCSI etc. Portanto, a mquina da bancada deve estar preparada para prever todos os tipos de interfaces existentes. imperativo que, ao ser conectado mquina, o disco rgido ou outra forma de armazenamento seja montado apenas com permisso de leitura. Para facilitar o procedimento do ponto de vista de hardware, existem interfaces especficas para o trabalho forense que facilitam a ligao dos dispositivos e que ao mesmo tempo bloqueiam a escrita nas mdias sob investigao. Na Figura 3, vemos a aparncia de uma interface capaz de receber dispositivos com interface eSATA, FireWire-A, FireWire-B, USB, IDE e Serial ATA. O bloqueio de escrita feito pela configurao de interruptores eltricos.

Figura 3 Exemplo de bloqueador de escrita Fonte: Digital intel [20].

Ps-graduao

75

Vale lembrar que o laboratrio tambm deve contar com leitores de memrias flash usadas como cartes de mquinas fotogrficas, armazenamento de celulares, e tantos outros tipos de aparelhos. Tambm leitores para dispositivos antigos no podem ser totalmente descartados, como floppies e cartuchos de fita magntica, uma vez que em uma investigao pode surgir a necessidade de coletar dados h tempos arquivados.

Protegendo os dados
Do ponto de vista da boa prtica forense, no se deve trabalhar na fase de anlise diretamente com a mdia original, portanto cpias devem ser feitas. Essa atividade considerada ainda como coleta de dados. No momento de efetuar a cpia em si, so possveis quatro tipos de aquisio, com crescente aumento de preciso na preservao de vestgios:
1. cpia - os arquivos so copiados, sem considerar a forma com que estavam na mdia original. Suficiente se os vestgios esto armazenados de forma explcita nos arquivos e estes ainda no foram apagados; 2. backup - arquivos copiados para uma eventual necessidade de restaurao. Tambm suficientes se os vestgios so explcitos; 3. imagem - um cpia completa de uma unidade de armazenamento, tambm independente da forma como estavam na mdia original, levando junto todos os arquivos da unidade; 4. imagem bit-a-bit - cpia de cada bit de uma mdia para a outra, exatamente como estavam na mdia original, incluindo os seguimentos do disco parcialmente alocados e no alocados.

A opo mais precisa, do ponto de vista forense, uma imagem bit-a-bit. Com ela, informaes latentes, aquelas que precisam de uma tcnica para se tornarem visveis, so repassadas com certeza para a mdia de trabalho. A mdia que ir receber a cpia deve ser previamente esterilizada, pois os dados apagados de um disco no so necessariamente removidos e possuem a potencialidade de contaminar a amostra, uma vez que o investigador forense poder tentar recuperar dados no alocados pelo sistema de arquivos. Vale lembrar que, ao apagar um arquivo ou formatar um disco, geralmente os espaos que contm os segmentos dos arquivos so marcados como liberados para utilizao pelo sistema de arquivos e o dado original s apagado quando novos dados so escritos nesses espaos. A esterilizao evita esse resduo, escrevendo dados aleatrios ou predeterminados em toda a mdia. O padro a escrita de zeros.

Aquisio e preservao dos dados

76

Imagine um criminoso que tenha guardado em sua casa uma lista de vrios cartes de crditos obtidos de maneira ilegal. Ao saber que est sendo procurado, ele simplesmente apaga o arquivo usando a opo de apagar da interface grfica de seu computador. No dia seguinte, em consequncia de uma ordem de busca e apreenso, esse computador, encontrado desligado, levado para um laboratrio da polcia criminalstica. A tarefa do investigador forense bem simples e pode conseguir levantar todo ou vrios pedaos do arquivo nos espaos marcados para reutilizao no sistema de arquivos da mquina. Observe que, para que essa tarefa obtenha o mximo de sucesso, o ideal que a mquina no seja religada, mas que seu disco rgido seja retirado, produzida uma cpia bit-a-bit e o levantamento de dados seja feito com a cpia. Se a mquina for religada, os pedaos marcados para reutilizao podem ser sobrescritos, diminuindo as chances de levantamento do vestgio.

Como norma de segurana, o descarte de discos deve sempre levar em considerao que informaes importantes podem ser lidas por pessoas no autorizadas. Imagine um disco descartado de uma empresa jogado no lixo sem essa preocupao.

Invlucro forense
Trabalhar com os dados contidos na memria secundria a principal tarefa do investigador forense. Embora coletar dados Em dispositivos como smartphones, onde o em mquinas ligadas seja um imperativo nos armazenamento secundrio tambm se d por meio dias de hoje, dependendo do propsito da eletrnico, com memrias flash, o conceito de mdia sofre um pouco, mas a separao na prtica entre investigao, o trabalho com o contedo memria primria, geralmente voltil, e secundria, das mdias ainda a fonte da maioria dos forosamente permanente, se mantm. vestgios. Um problema que o investigador forense tem encontrado o aumento de capacidade das mdias utilizadas para o armazenamento secundrio do computador. Na data de escrita deste texto, discos rgidos com tamanhos de 2TB estavam se tornando comuns, isso quando o sistema no possui mais de uma unidade.

Ps-graduao

77

Importante
Em sistemas que fazem uso de um arranjo RAID, Redundant Array of Inexpensive Disks, um nmero de discos so arranjados de forma a se apresentarem como apenas uma unidade lgica, trazem um desafio adicional investigao. Em regra, a melhor soluo at agora copiar individualmente os discos bit-a-bit e utilizar o hardware original para a anlise. Isto se deve ao fato de ser difcil recriar a forma como os discos esto organizados e que muitas vezes contm detalhes dependentes de firmware da mquina.

At pouco tempo, conseguir mdias para receber essa quantidade de dados era algo desafiador para o investigador, mas, com a queda dos preos dos discos, hoje em dia isso passou a ser secundrio. O desafio atual o tempo, pois, alm de transferir a informao, preciso criar mecanismos que possam validar a autenticidade da cpia e muitas vezes realizar compresso, e essas tarefas requerem processamento computacional adicional. Ao transferir os dados das mdias originais para mdias de trabalho, normalmente so empregadas duas tcnicas: criar e trabalhar com cpias de mdia com formato original (raw) ou criar um invlucro, denominado em ingls de forensic container. O trabalho de criar uma cpia no formato original, ou seja, uma cpia bit-a-bit, pequeno, mas deixa de lado problemas como o tamanho da mdia receptora, que tem de ser igual ou maior do que a original, e a falta de compresso e mecanismos de autenticao. A ideia do invlucro que uma imagem assim produzida tenha uma funcionalidade acima e alm do que se consegue com uma imagem bit-a-bit. A funcionalidade pode incluir verificao de consistncia, metadados (detalhes sobre a investigao, como identificao, autoria, datas etc.), compresso e criptografia. Essas atividades podem ser realizadas sobre uma imagem bit-a-bit, mas o invlucro mantm essas informaes junto imagem, facilitando coisas como assegurar que o registro de autenticidade e as notas sobre o caso acompanhem a imagem o tempo todo (ALTHEIDE; CARVEY; DAVIDSON, 2011). Dois padres de invlucros so os mais utilizados na Computao Forense:

Aquisio e preservao dos dados

78

Expert Witness Format (EWF) nativo do pacote de ferramentas forenses comercial Encase. No um formato-padro, pois varia de verso para verso da ferramenta Encase, mas pode ser manipulado pela biblioteca de cdigo aberto LibEWF, que se mantm atualizada. O EWF suporta compresso, diviso em arquivos menores e armazena metadados, incluindo verificao MD5 e SHA1. Essas informaes esto contidas em um cabealho no primeiro setor do arquivo de imagem. Advanced Forensics Format (AFF) um padro de cdigo aberto, que tambm inclui a imagem da mdia original e os metadados. A ferramenta de cdigo aberto Sleuth Kit tem suporte a esse formato. As imagens no AFF podem ser comprimidas, criptografadas e assinadas digitalmente. O AFF ainda pode ser armazenado em trs subformas: 1. AFF: formato-padro, com um arquivo nico contendo a imagem e os metadados; 2. AFD: distribui a imagem em volumes de tamanho constante, apropriado para transporte e armazenamento quando h pouco espao na mdia receptora. Tambm armazena cabealho com metadados; 3. AFM: armazena a imagem em apenas um arquivo e o metadado

externamente.

Integridade de uma cpia

imperativo que o contedo de uma mdia apreendida no seja alterado para no prejudicar a validade da investigao. Uma das maneiras de controlar isso utilizar uma forma de comparar se cpias so fiis ao original e se elas se mantm constantes durante todo o processo investigativo, grosso modo, coleta, exame e relatrio. Uma das tcnicas para alcanar esse objetivo , por meio de uma funo hash, calcular uma cadeia de caracteres que representa um conjunto de dados. Caso haja alguma modificao, ainda que mnima, no conjunto de dados, o clculo resulta em uma cadeia diferente, atestando que houve mudanas. Isso significa que, se o resultado calculado se mantm constante, podemos dizer que no houve alterao nos dados. Veja a ilustrao na Figura 4.

Teoricamente possvel haver colises, ou seja, dois conjuntos de dados produzirem um mesmo resultado, mas, na prtica, essa possibilidade desprezvel.

Ps-graduao

79

Arquivo Original

F( )

Nmero Hash

Arquivo Cpia

Cpias idnticas

Arquivo Original

Nmero Hash 1

F( )

Arquivo Cpia
Figura 4 Funo hash Fonte: Elaborao do autor (2012).

Cpias diferentes

Nmero Hash 2

Na Computao Forense, so normalmente utilizadas dois algoritmos para alcanar esse objetivo, o MD5, que produz um valor de 128 bit, e o SHA1, que produz um valor de 160 bit. Tambm podem ser usados maiores valores para o SHA, como 256 e 512. Um exemplo. Imaginemos que o seguinte trecho do livro Quincas Borba, de Machado de Assis, seja o contedo de um arquivo gravado como quincas.txt:
Mas j so muitas idias, so idias demais; em todo caso so idias de cachorro, poeira de idias, menos ainda que poeira, explicar o leitor. Mas a verdade que este olho que se abre de quando em quando para fixar o espao, to expressivamente, parece traduzir alguma cousa, que brilha l dentro, l muito ao fundo de outra cousa que no sei como diga, para exprimir uma parte canina, que no a cauda nem as orelhas. Pobre lngua humana! (ASSIS, 1994).

Ao executar, na linha de comando, em um sistema baseado em Unix:

md5 quincas.txt

Aquisio e preservao dos dados

80

Obtemos a seguinte resposta:

c90934e9aefd5c0e5b29377ccf58e949
Observe que o arquivo foi gravado utilizando UTF-8. Se o leitor quiser realizar a experincia, o valor calculado por md5 pode ser diferente, caso o arquivo seja gravado com outra codificao. Vamos agora alterar o texto de tal forma que da primeira grafia de idias seja suprimido o acento agudo, como manda a nova ortografia:
Mas j so muitas ideias, - so ideias demais; em todo caso so ideias de cachorro, poeira de ideias, - menos ainda que poeira, explicar o leitor. Mas a verdade que este olho que se abre de quando em quando para fixar o espao, to expressivamente, parece traduzir alguma cousa, que brilha l dentro, l muito ao fundo de outra cousa que no sei como diga, para exprimir uma parte canina, que no a cauda nem as orelhas. Pobre lngua humana! (ASSIS, 1994).

A resposta de md5 passa a ser:

556781406f831e3079b5eebf4a24f08c
Esse tipo de teste pode ser feito tanto para arquivos como para imagens completas de discos, o que muito interessante para a investigao forense. O programa md5 nativo para verses Linux e Mac Os. Para Windows, caso o leitor queira testar, baixe o programa winmd5sum disponvel em: <http://www. nullriver.com>. Nas funes hash utilizadas na Computao Forense, a simples mudana de um bit nos dados de entrada produz um valor de sada totalmente diferente. Com isso, temos a possibilidade de verificar se a integridade da amostra original foi mantida no processo de cpia ou em uma manipulao incorreta das cpias de trabalho. A conferncia importante no fim de cada etapa de anlise de uma amostra, pois determina se o trabalho foi realizado corretamente, no invalidando a prxima etapa numa sequncia de buscas de vestgios sobre uma mesma mdia. Uma utilizao til das funes hash verificar se arquivos foram alterados, renomeados (dois arquivos com diferentes nomes, mas contedos idnticos).

Ps-graduao

81

Programas mais sofisticados podem criar catlogos de hashs para vrios arquivos em diretrios de forma recursiva. Existem vrias ferramentas disponveis. Um exemplo do mundo do cdigo aberto o aplicativo md5deep, que tem verses para vrias plataformas, incluindo Windows, Mac OS e Linux. O programa est disponvel em http://md5deep.sourceforge.net/. Algumas funes adicionais desse programa: operao recursiva capaz de examinar de forma recursiva cada subdiretrio, computando o hash para cada arquivo encontrado; comparaes aceita uma lista de hashs conhecidos e compara cada arquivo examinado. O programa pode ento apresentar quais arquivos possuem e quais no possuem o hash da lista; estimativa de tempo o programa gera uma estimativa de tempo para verificar uma grande quantidade de arquivos; opera com funes MD5, SHA-1, SHA-256, Tiger e Whirlpool. Existem organizaes que armazenam hashs de arquivos conhecidos, como a National Software Reference Library http://www.nsrl.nist.gov/. Atualmente, os hashs esto contidos em 4 CDs disponibilizados gratuitamente.

Referncias
ALTHEIDE, C.; CARVEY, H.; DAVIDSON, R. Digital forensics with open source tools: using open source platform tools for performing computer forensics on target systems: Windows, Mac, Linux, Unix, Etc. Elsevier Science, 2011. (Syngress Media). Disponvel em: <http://books.google.ca/books?id=J8h8VWUmDuYC>. Acesso em: 10 jan. 2012. ASSIS, Machado de. Quincas Borba. Obra Completa. vol. I, Rio de Janeiro: Nova Aguilar, 1994. DIGITAL INTELLIGENCE. Mastering the science of digital forensics. Ultrablock. [20]. Disponvel em: <http://www.digitalintelligence.com/products/ultrablock_esata_idesata_ro>. Acesso em: 23 mar. 2012. FORENSICZONE. FootPrint. 2008. Disponvel em: <http://forensiczone.blogspot. com/2008/06/winenexe-ram-imaging-tool-included-in.html>. Acesso em 23 mar. 2012. KORNBLUM, J. D. Preservation of fragile digital evidence by first responders. In: Proceedings of the Digital Forensic Workshop. [s.n.] 8 ago. 2002. Disponvel em: <http://dfrws.org/2002/papers/Papers/Jesse_Kornblum.pdf>. Acesso em: 10 jan. 2012. PROSISE, C.; MANDIA, K.; PEPE, M. Incident response and computer forensics. 2. ed. [S.l.]: McGraw-Hill/Osborne, 2003.

Aquisio e preservao dos dados

82

Atividades de autoaprendizagem
1. Considerando os estudos sobre as ferramentas e tcnicas para coleta na Forense Computacional, relacione as colunas:
1 Phishing 2 - Memria flash 3 - Cadeia de custdia 4 - No momento em que uma pessoa tem a necessidade de acessar o contedo original mantido no dispositivo, computador ou mdia, essa pessoa deve ser competente para tal e ser capaz de explicar a relevncia e as implicaes de suas aes. 5 - Documento PDF. 6 - Capturar o mximo de dados possvel na cena do crime. 7 - Depende de quanto ele foi preservado. 8 - Permisso necessria para uma busca e apreenso. ( ) Princpio do guia ACPO. ( ) Exemplo de vestgio no voltil. ( ) As informaes de uma rede social tendem a aumentar seu perigo.

( ) Preocupao atual do investigador forense, segundo o National Institute of Justice EUA.

( ) Armazena o nome de todos que manipularam um dispositivo que contm vestgios. ( ) O valor do vestgio. ( ) Ordem judicial. ( ) Tem sido cada vez mais empregada como memria secundria.

2. Leia as informaes a seguir sobre a aquisio e preservao dos dados na Forense Computacional e preencha V nas verdadeiras e F nas falsas. ( ) As tcnicas da Computao Forense aplicadas s empresas diferem muito daquelas aplicadas em atividades de investigao policial. ( ) Os discos rgidos so a nica fonte confivel de dados para obteno de vestgios. ( ) Nem sempre o vestgio digital se transforma em prova. ( ) Um log de rede um bom local para investigar vestgios. ( ) Independentemente do tipo de investigao, os procedimentos so sempre os mesmos na Computao Forense.

Ps-graduao

83

( ) Para preservar o estado da memria de um computador, feito um dump de memria. ( ) O papel do investigador forense levantar uma hiptese e provar que ela verdadeira. ( ) A documentao de uma investigao to importante quanto os achados, pois, com ela, uma auditoria pode reproduzir os passos documentados e verificar se os achados so os mesmos, validando a investigao. 3. Leia as informaes referentes s ferramentas e tcnicas para coleta na Forense Computacional e assinale V nas verdadeiras e F nas falsas. ( ) Um disco que recebe uma cpia de uma mdia no precisa de preparo, pois seu contedo reescrito no processo de gravao. ( ) So trs os tipos de dados que se tenta evitar ao manter um sistema ligado: dados transientes, frgeis e da memria secundria. ( ) Um keylogger um exemplo de dado frgil. ( ) Um arquivo imagem que se abre ao ser fornecida uma senha um exemplo de dado temporrio. ( ) Ao efetuar uma cpia, a mdia original deve ser protegida contra escrita. ( ) O equipamento de trabalho na bancada do laboratrio deve ter exatamente o mesmo sistema operacional da mquina sob investigao de onde saiu o disco rgido para coleta de dados. ( ) possvel garantir que a mquina sob investigao mantenha seus dados volteis intocveis no momento de coleta. ( ) O contedo da memria principal o primeiro item a ser coletado com um mquina ligada.

Aquisio e preservao dos dados

84

4. A partir do contedo estudado, relacione as colunas:

1 - Primeira reao de uma pessoa ao se deparar com um sistema invadido. 2 - Produz uma cpia fiel de um disco rgido. ( ) Jamais deve ser trabalhada diretamente pelo investigador forense. ( ) No muito indicado na coleta de dados, pois no trazem dados latentes. ( ) Conexo P2P com um servidor. ( ) Permite verificar fidelidade de cpia. ( ) Desligar o sistema. ( ) Cpia bit-a-bit. ( ) Coleta de dados com o sistema ligado. ( ) Pode ser alterado pela primeira pessoa que atende a uma ocorrncia. ( ) Esterilizao de mdias. ( ) Contm a imagem de um disco e metadados.

3 Invlucro forense. 4 - Evita que dados no pertencentes investigao atrapalhem a anlise. 5 Dado frgil. 6- Mdia original. 7 - Cada vez mais importante na investigao forense. 8 Backup.

9 md5. 10 - Exemplo de vestgio voltil.

Atividades colaborativas
1. O que um GPU-Assisted Malware? Publique sua resposta na ferramenta Exposio. 2. Um empregado suspeito de repassar informaes confidenciais da empresa para um concorrente. A empresa pode vasculhar o contedo de um e-mail de um empregado e usar vestgios da suspeita como provas para despedi-lo de forma justa? Consulte o artigo de Valverde e Rossetti (2006), disponvel em: <http://jus.com.br/revista/texto/9053> e na midiateca dessa disciplina. Publique seu comentrio na ferramenta Exposio. 3. Ao ser encerrado normalmente, certos programas gravam no disco informaes que podem conter vestgios. Discuta com os colegas no Frum se o MS Word representativo dessa afirmao. 4. Leia o exemplo de vestgio na internet, disponvel em: <http://www.conjur.com. br/2012-jan-24/conjurcondenada-resultado-busca-nome-google> e na midiateca. A seguir responda: como um investigador forense poderia coletar os vestgios para confirmar a hiptese lanada pela denncia? Publique sua resposta na ferramenta Frum e comente as postagens efetuadas pelos seus colegas.

Ps-graduao

85

Sntese
Como vimos nas duas unidades, o investigador forense tem de se preocupar como uma grande quantidade de detalhes na coleta de dados, desde aspectos legais que envolvem a busca e apreenso, at a coleta de elementos que vo alm do computador em si, mas de muitos equipamentos instalados na cena do crime. Vimos tambm a preocupao com manter o estado da mquina preservado, coletando, quando possvel e necessrio, dados da mquina ligada. Fizemos uma reviso tambm das ferramentas, tanto de hardware quanto de software necessrias para a coleta, como tratar os tipos de dados em relao sua fragilidade, como efetuar cpias e como armazen-las do ponto de vista da prtica forense. Por fim, vimos as tcnicas existentes para conferir a integridade dos dados.

Saiba mais
Em relao funo de investigador forense, leia uma crtica sobre sua formao em: Percia digital e computao forense: carreira amadurece no Brasil; entenda como atuar com percia em informtica na rea do Direito. Disponvel em: <http://revistavisaojuridica.uol.com.br/advogados-leis-jurisprudencia/47/ artigo170142-4.asp>. Acesso em: 23 mar. 2012.

Aquisio e preservao dos dados

Unidade 3

Anlise de dados e outras fontes de vestgio e a antiforense

Objetivos de aprendizagem
Estudar como interpretar o produto da aquisio. Conhecer as ferramentas de anlise de dados. Conhecer as fases da investigao e os tipos de pesquisa. Estudar os tipos de sistemas de arquivos e sistemas operacionais. Entender a importncia do sistema operacional Windows na Computao Forense.

Introduo
As leituras anteriores mostraram aspectos mais tericos, relacionados ao processo da investigao forense computacional e sua aplicao, educao na rea, manuteno de mdias, aos processos de cpia etc. Nesta unidade, o foco se direciona a aspectos mais tcnicos, mostrando a necessidade de conhecer de forma detalhada os sistemas que devem ser analisados. Em funo da extenso necessria e do grau de preparo do leitor, os tpicos no contm material aprofundado, pois fugiria ao foco da disciplina, requerendo pr-requisitos para curs-la e tambm muito mais espao. interessante observar que o trabalho feito utilizando cpias das mdias originais sempre que possvel. Em certos momentos da leitura, quando estamos investigando um computador aps o seu desligamento na cena do crime, qualquer subsequente anlise feita com a montagem da(s) cpia(s) das mdias. Isso enfatizado novamente na primeira leitura.

87

Tcnicas e ferramentas de anlise dos dados

Mauro Notarnicola Madeira

Grande parte da investigao forense digital envolve o trabalho com contedos de memria secundria, onde so lidos e recuperados arquivos intactos e apagados. Como no importa muito o meio com que originalmente a fonte de dados se encontra antes da cpia forense, vamos tratar o objeto de anlise como imagem. Isso se deve ao fato de que a origem dos dados pode ser um disco rgido, uma memria flash de um smartphone, um pen drive etc., mas que foi gravado em forma de uma imagem bit-a-bit ou em um container forense. O processo de anlise forense de uma imagem varia de acordo com o objetivo da investigao. Investigar um sistema em funo de uma invaso para a instalao de um keylogger diferente de procurar por vestgios que indicam o armazenamento de pornografia infantil com o intuito de ser distribuda pela internet. O investigador pode analisar a imagem com ferramentas mais simples ou mais complexas. As mais simples requerem um bom conhecimento sobre a organizao do sistema de arquivos da imagem. As mais complexas requerem menos esforo, pois conseguem detectar automaticamente tipos de arquivos e possuem ferramentas visuais mais elaboradas. Alm de apresentar o contedo de imagens, diretrios e arquivos, as ferramentas tambm apresentam os metadados. Na Figura 1, apresentado um exemplo de relatrio gerado pela ferramenta de cdigo aberto Autopsy para um arquivo texto1.txt presente em um disco FAT. Sistema de arquivos criado para microcomputadores na dcada de 1970, o FAT ainda muito utilizado, principalmente em mdias destinadas a serem usadas por diferentes sistemas operacionais, j que a maioria fornece capacidade de escrita e leitura nesse formato. Um exemplo so as memrias flash utilizadas em mquinas fotogrficas. Alm dos contedos dos dados, itens contidos nos metadados, como data de criao, data de modificao e do ltimo acesso, podem ser teis em uma investigao. Outra funo importante dessas ferramentas a capacidade de identificar e tentar recuperar arquivos e diretrios apagados. Porm, o quanto possvel recuperar depende de alguns fatores. Exemplos:

Anlise de dados e outras fontes de vestgio e a antiforense

88

1. o sistema de arquivos ainda mantm todos os metadados e dados do arquivo; 2. o sistema de arquivos ainda mantm os metadados, mas os dados j no existem; 3. o sistema de arquivos no contm mais os metadados, mas os dados do arquivo ainda encontram-se na imagem; 4. o sistema de arquivos no contm mais os metadados, mas partes do arquivo ainda esto presentes na imagem.

Usamos pedaos para indicar a menor unidade de armazenamento utilizada para armazenar dados de arquivos de um modo genrico, evitando entrar em detalhes de cada sistema de arquivos.

No primeiro caso, a recuperao do arquivo relativamente simples, uma vez que os metadados, alm de conter os detalhes de identificao do arquivo, possuem informaes que conseguem indicar na imagem todos os pedaos que fazem parte do arquivo. Essa situao acontece, por exemplo, quando um arquivo foi apagado pelo sistema operacional e espaos destinados a ele no disco ainda no foram reaproveitados pelo sistema.

...

10

11

12

13

14

15

16

...
Figura 1 Tela com metadados de um arquivo Fonte: Elaborao do autor (2012).

No segundo caso, os lugares do disco que possuam os pedaos do arquivo j foram sobrescritos, no sendo mais possvel resgatar o arquivo. No entanto, os metadados ainda esto intactos.

Ps-graduao

89

Na Figura 2, vemos um exemplo que usa a ferramenta Autopsy para o arquivo Arquivo1.txt. Esse arquivo foi apagado, mas os metadados ainda esto presentes no disco. O item se apresenta em vermelho, indicando, na tela do Autopsy, que ele est apagado. Na Figura 3, vemos os metadados do arquivo, os setores que ele ocupava e, mais abaixo, a tentativa do Autopsy de mostrar o contedo do mesmo. No entanto, o que est presente nesses setores so partes de uma arquivo de uma foto, provenientes do arquivo casa com neve.JPG que reutilizou os espaos que tinham sido liberados pelo sistema ao apagar o arquivo Arquivo1.txt.

Figura 2 Arquivo apagado (deletado) Fonte: Elaborao do autor (2012).

No terceiro e quarto casos, os pedaos podem ser recuperados com tcnicas mais sofisticadas, como a procura por cadeias de caracteres e o file carving em toda a mdia. Esses tipos de procedimentos so na verdade a montagem de um quebra-cabea, uma vez que, sem os metadados, no existe uma indicao da sequncia dos pedaos do arquivo e onde eles esto no disco. Felizmente existem ferramentas que ajudam nesse tipo de extrao de dados.

Anlise de dados e outras fontes de vestgio e a antiforense

90

Figura 3 Metadados do arquivo apagado Arquivo1.txt Fonte: Elaborao do autor (2012).

Ps-graduao

91

Pesquisa de vestgios em imagens

Existem vrios tipos de sistemas de arquivos em vrias famlias de sistemas operacionais. Embora muitas ferramentas consigam fornecer ao investigador um nvel razovel de abstrao, conhecer a estrutura de cada um deles pode fazer a diferena entre encontrar ou no um vestgio. Cada sistema de arquivos tem suas caractersticas. No MS Windows, por exemplo, ao apagar um arquivo, a maioria dos usurios pensa que a informao foi retirada do disco, o que no verdade. Ele simplesmente foi marcado, dizendo para o sistema operacional que aquele espao pode ser reutilizado. Se o investigador tem acesso a uma imagem bit-a-bit ou a um container forense, ele pode se utilizar de tcnicas de extrao de dados que se aproveitam de fatos como esses. Em outros tipos de cpias, como um backup ou uma cpia de arquivos e diretrios, somente so copiados para a mdia receptora os espaos alocados, e toda a estrutura de dados reorganizada, gerando novos metadados. Com isso, perdem-se muitos dados que podem ser importantes para a investigao forense. Uma tcnica simples de investigao pode envolver a procura de cadeias de caracteres utilizando uma ferramenta de procura disponvel no sistema operacional, comeando pela pasta que geralmente se destina aos documentos e no desktop, j que so os lugares mais bvios para usurios comuns. Depois disso, supondo ainda que o usurio no tem um nvel de conhecimento maior, a lixeira uma fonte de vestgios interessante. Uma ferramenta simples disposio do investigador a capacidade de procurar por palavras-chave ou tipos de arquivos. Por exemplo, pode-se pedir ao computador para listar todos os arquivos com extenso .gif. J um usurio um pouco mais sofisticado pode tentar esconder vestgios apagando ou mudando a extenso de um arquivo, j que ele no vai ser listado como um arquivo associado a um aplicativo para sua abertura em determinados sistema operacionais. Utilizando uma ferramenta de investigao, o arquivo facilmente detectado, principalmente porque, na maioria dos arquivos, existe um cabealho que indica o tipo de arquivo. Essa denominada a assinatura do arquivo. Disponveis em sites da internet, existem listagens com essas assinaturas para uso na investigao forense.

Anlise de dados e outras fontes de vestgio e a antiforense

92

Como exemplo, veja na Figura 4 os primeiros valores armazenados em hexadecimal que identificam um arquivo de imagem do tipo EXIF Exchangeable Image File Format , utilizado em arquivos JPEG. Nesse arquivo, foi retirada a extenso .JPG. O aplicativo de cdigo aberto Autopsy foi capaz de apresentar j diretamente a imagem, alm de todos os metadados do arquivo. Veja ainda, para esse arquivo, na Figura 5, a visualizao em forma de texto, em que h indicao inclusive do dispositivo que gerou a imagem e quando ela foi gerada.

Figura 4 Assinatura de um arquivo JPEG sem extenso Fonte: Elaborao do autor (2012).

Figura 5 Assinatura de um arquivo JPEG sem extenso Fonte: Elaborao do autor (2012).

Ps-graduao

93

Por curiosidade, os nmeros hexadecimais FF D8 indicam que o arquivo comprimido, o que padro para imagens JPEG, e FF E1 indicam o formato EXIF (JEITA, 2002). Procurar por determinado tipo de arquivo em todo um disco rgido tarefa relativamente simples, pois precisamos utilizar apenas a assinatura como padro de busca, usando uma ferramenta que permita essa flexibilidade. Uma vez que um nvel bsico de anlise tenha sido concludo, e todos os lugares bvios j tenham sido pesquisados, o investigador pode ampliar sua procura para detalhes menos bvios. Um deles examinar arquivos temporrios que so criados por vrios tipos de aplicaes. Se o objetivo da investigao o acesso ilegal a um banco de dados, um arquivo de log pode revelar como esse acesso se deu. Outros tipos de logs interessantes so aqueles produzidos por navegadores WEB, aplicativos de mensagens instantneas, pacotes de escritrio e gerenciadores de e-mail. Em cada aplicativo desses, arquivos temporrios ou logs de atividades possuem um formato prprio. Para realizar um exame, o investigador tem de entender como o documento formatado. Em geral, no difcil conseguir informaes sobre a estrutura do formato, e as ferramentas de investigao geralmente j trazem embutido o reconhecimento de vrios deles, permitindo a apresentao j decodificada de seu contedo (visualizador). No entanto, deve-se ter em mente que essa facilidade pode no existir para determinado formato, o que vai requerer um estudo mais trabalhoso sobre um arquivo. Para isso, existem ferramentas isoladas e embutidas nos aplicativos de investigao forense que apresentam o contedo de um arquivo qualquer em forma de texto, valores decimais, binrios e hexadecimais. Vale notar que a experincia do investigador que vai determinar o que procurar. Se ele no tiver alguma hiptese, as ferramentas e tcnicas de nada adiantam.

Anlise de dados e outras fontes de vestgio e a antiforense

94

RAM slack e file slack

Dois termos muito utilizados na literatura sobre Computao Forense so o RAM Slack e o File Slack. Um disco ou outra unidade de armazenamento geralmente se utiliza de uma estrutura em que os arquivos so gravados em blocos de armazenamento, no necessariamente subsequentes fisicamente. Vamos imaginar que o tamanho do bloco de um determinado sistema de arquivos seja de 4096 Bytes. Para armazenar um arquivo de 64KB = 65536 Bytes, vamos precisar de 16 blocos (Figura 6). Em nosso exemplo, o arquivo exatamente um mltiplo de 4096. Isso significa que todos os Bytes dos blocos alocados so utilizados pelo arquivo. Porm, imagine que o arquivo seja de 64000 Bytes. Nesse caso, o ultimo bloco no ser preenchido totalmente (Figura 7). Pelas contas, vemos que a diferena resulta em 1536 Bytes desperdiados. Poderia haver ali algum dado armazenado anteriormente de interesse ao investigador forense?

...

10

11

12

13

14

15

16

...
Figura 6 Blocos em um sistema de arquivos Fonte: Elaborao do autor ( 2012).

Ps-graduao

95

...

10

11

12

13

14

15

16

...
Figura 7 Bloco no totalmente utilizado Fonte: Elaborao do autor (2012).

Atualmente no, pois esse espao geralmente preenchido com zeros no momento de escrita do arquivo. Entretanto, no passado, j foi um possvel problema de segurana nos sistemas MS DOS e Windows, que preenchiam esse espao com valores retirados da memria RAM, que poderiam conter inclusive senhas. Em funo dessa falha de segurana, a Microsoft Em portugus, slack significa folga. modificou as rotinas de gravao em verses do Windows 98B em diante. Por esse motivo, esse tipo de resto denominado RAM Slack e ainda muito presente na literatura forense, mas apenas como uma amostra de como lugares inesperados podem ser capazes de conter vestgios. Agora vamos imaginar que esse arquivo seja apagado. Como sabemos, os contedos permanecem em cada bloco, e apenas esses blocos esto liberados para reutilizao pelo sistema de arquivos para a gravao de novos arquivos. Contudo, o que aconteceria se outro arquivo menor do que o anterior fosse gravado na mesma regio? Os blocos entre o fim desse novo arquivo (arq 1 na Figura 8) e uma nova rea utilizada por outro arquivo (arq2) mantm dados que ficaro sem reutilizao at que uma nova reorganizao acontea. Agora temos 5 4096 Bytes de dados (azuis) que podem conter algum vestgio. Esse tipo de situao denominado File Slack, em ingls, e ainda uma fonte poderosa de vestgios.

Anlise de dados e outras fontes de vestgio e a antiforense

96

...

10

11

10

11

12

13

14

15

16

17

...
Figura 8 Os blocos azuis possuem contedos de um arquivo anterior Fonte: Elaborao do autor (2012).

Essa explicao no entra em detalhes de um determinado sistema operacional e nem da organizao de um disco, com seus setores, trilhas e blocos, pois h variaes de como isso pode acontecer, mas d uma ideia de como dados podem estar preservados sem que um usurio tenha conhecimento. Observe que, nesse exemplo, utilizamos blocos em sequncia para armazenar um arquivo. Quando o disco recm-formatado, as chances de que isso ocorra quase de 100%. No entanto, medida que o disco vai sendo utilizado, aumentam as chances de que blocos em diferentes partes do disco tenham de ser utilizados, pois pode no haver a quantidade necessria de blocos contguos no alocados. A estratgia de como isso feito varia de um sistema de arquivos para outro e uma das propriedades mais trabalhadas em seu desenvolvimento. Quando as partes de um arquivo esto armazenadas em espaos no contguos, dizemos que o arquivo est fragmentado. Aquela sobra de espao no utilizado pelo arquivo no exemplo (file slack blocos azuis) no foi algo premeditado pelo usurio, mas h situaes em que um usurio muito avanado ou malware pode marcar esses blocos como defeituosos e esconder intencionalmente dados nesses espaos. Um bloco defeituoso passa a ser ignorado pelos aplicativos de um sistema operacional. Como exposto anteriormente, esses espaos podem conter dados interessantes para uma investigao. Usando tcnicas de extrao, um investigador forense pode utilizar esses espaos como fonte de vestgios. Essa tcnica denominada File carving.

Ps-graduao

97

File carving
As tcnicas de extrao so tanto coleta de informaes como anlise de informaes. Porm, como a extrao de dados se d geralmente em uma imagem de trabalho, podemos consider-la mais uma tarefa de anlise. Quando no se tem mais a estrutura de identificao de um arquivo presente em um disco, como acontece quando ele formatado, onde apenas a estrutura do sistema de arquivos e seus metadados so apagados, ou quando a estrutura de dados do sistema de arquivos corrompida, a alternativa tentar analisar bloco a bloco do disco para tentar remontar um arquivo. Vemos que esse tratamento diferente de quando um arquivo apagado. Na maioria dos sistemas operacionais, quando um arquivo apagado, apenas uma mnima informao modificada, indicando que os espaos ocupados pelo arquivo podem ser reutilizados pelo sistema operacional para conter novos dados. No FAT, por exemplo, apenas o primeiro caractere do nome do arquivo modificado, tornando-o invisvel para as funes do sistema operacional. Por esse tipo de detalhe, importante que o investigador forense estude a organizao de cada sistema de arquivo. No carving, o disco analisado procura de blocos que possam fazer parte de um arquivo, utilizando como pista a estrutura interna do tipo de documento procurado, e no a organizao do sistema de arquivos. O termo carving, em ingls, significa uma escultura feita de um bloco de madeira, pedra ou gelo, onde material extrado at que a forma da escultura seja atingida. A analogia existe porque, nesse processo, dados so extrados at que o resultado seja alcanado. Um bom exemplo um arquivo de imagem que analisamos anteriormente. Vimos que, logo no incio, h uma sequncia de dados que indicam que o arquivo uma imagem do tipo EXIF. Dados subsequentes apresentam mais informaes sobre o arquivo. Dependendo do formato, possvel saber o tamanho do arquivo, se ele comprimido e muitos outros dados.

Anlise de dados e outras fontes de vestgio e a antiforense

98

Para esse tipo de recuperao de dados, o melhor procedimento usar um utilitrio especfico para o carving ao invsde tentar manualmente o processo. Com a exploso do tamanho dos discos rgidos, levaria anos a tentativa de analisar um disco sem o auxlio de uma ferramenta especfica. Alguns exemplos de ferramentas so o Acess Datas do pacote FTK, produto comercial, e o Scalpel, soluo de cdigo aberto. Outra soluo em cdigo aberto o Foremost. Nessa ferramenta, blocos de dados extrados da imagem da mdia sob anlise so lidos na procura de cabealhos de tipos de arquivos conhecidos armazenados na configurao do programa. Se um cabealho conhecido detectado, o Foremost tenta encontrar o fim do arquivo, que possui tambm um marcador. Ele procura esse fim do arquivo at que um tamanho limite de dados predeterminado seja alcanado. Se o fim encontrado, o arquivo resultante extrado e gravado separadamente. Caso contrrio, o arquivo criado ir conter um nmero mximo de dados a partir do cabealho. Esse limite ajustvel no Foremost e evita que o tamanho do arquivo fique muito grande. Mais uma vez, a experincia do investigador importante, pois ele pode configurar esses valores mximos de acordo com aquilo que est procurando. Veja exemplos de cabealho e fim de arquivo para alguns tipos de documentos no Quadro1.
Extenso
jpg htm avi

Tamanho Mx
20000000 50000 4000000

Comeo
\xff\xd8\xff\xeO\xOO\xlO <html RIFF????AVI

Fim
\xff\xd9 </html>

Quadro 1 Exemplos de marcas de comeo/fim de documentos configurados no Foremost Fonte: Mikus (2005).

Ps-graduao

99

Ainda para um arquivo EXIF, observe a estrutura de um arquivo nesse formato na Figura 9.

Figura 9 - Formato EXIF Fonte: Kloet (2010).

Problemas com o carving: consome muito tempo; muitos resultados parciais e negativos; muitos dados invlidos no resultado. Um problema que afeta muito a qualidade do resultado a fragmentao do disco, uma vez que a ideia ir pegando blocos subsequentes depois de identificado o cabealho.

Anlise de dados e outras fontes de vestgio e a antiforense

100

Segundo Philipp, Cowen e Davis (2009), quando o investigador forense tem de utilizar o carving, importante ter em mente que tipo de arquivo ele est procurando e como esse tipo de arquivo vai reagir ao processo. Na prtica dos autores, o sucesso em encontrar arquivos contendo imagens como JPG, GIF etc. muito maior, pois esses tipos de arquivos possuem cabealhos com bastante informao. Entretanto, arquivos como os produzidos pelo MS Office e base de dados de e-mails no formato PST, usado pelo Outlook, por falta de um bom cabealho de descrio, so mais difceis, inclusive pela caracterstica de ficarem muito fragmentados no disco. A rea de file carving muito estudada e existem outras formas mais avanadas de pesquisa, que envolvem o contedo dos blocos alm da informao de comeo e fim do arquivo.

Linha do tempo
Um instrumento de anlise que ajuda a entender o que aconteceu a linha do tempo do ataque. Segundo Philipp, Cowen e Davis (2009), h pouco tempo, uma linha do tempo consistia apenas de informaes de criao, modificao e acesso de arquivos. Mais recentemente, a importncia em adicionar outras fontes de dados tem aumentado e os investigadores esto descobrindo a utilidade dessa abrangncia. Entre outras fontes que enriquecem a linha do tempo, est um usurio se logando num sistema, acessando a internet com um navegador etc. So atividades que ocorrem ao redor do tempo mostrado nas atividades de criar, acessar e modificar um arquivo. No caso do sistema MS Windows, muito fcil mudar os valores de criao, modificao e acesso de um arquivo. H ataques efetuados por softwares maliciosos e mesmo por acesso no autorizado que se utilizam dessa caracterstica para encobrir seus passos. Nesse caso, ao criar uma linha do tempo do ataque, um arquivo modificado poderia ficar de fora da anlise. J o Registro do Windows no to fcil de ser manipulado e pode conter informaes complementares de mudanas efetuadas no sistema que so ali armazenadas. O registro mantm datas de quando mudanas foram realizadas, que podem fazer parte da linha do tempo.

Ps-graduao

101

Por exemplo, quando o usurio executa um comando pelo prompt prximo ao menu Iniciar, a chave: HKCU\Software\Microsoft\Windows\CurrentVersion\ Explorer\RunMRU armazena o ltimo comando executado no campo Executar do menu Iniciar do Windows. Na verso mais nova do Windows, preciso apertar a tecla com o smbolo do Windows + r para surgir a linha de comandos. Para praticamente quase todos os programas, no Windows, existe um arquivo contendo a lista dos ltimos documentos abertos por eles, o que tambm uma boa fonte de dados para a linha do tempo do sistema. Alm de eventos da prpria mquina, podem ser includas fontes externas, como logs criados em servidores que foram acessados pela mquina. Juntando informaes sobre a mquina e todas aquelas que tiveram acesso a ela, ou que ela tenha acessado, ajudam a montar a histria de como a mquina foi invadida e que recursos foram alterados ao redor da data e dos horrios do comprometimento. Tambm til para descobrir qual foi a primeira mquina comprometida, indicando por onde houve a invaso. O processo de montar uma linha do tempo ainda muito manual, mas existe uma ferramenta de cdigo aberta, Log2Timeline, disponvel em: <http://log2timeline. net>, que ajuda no processo, montando uma linha do tempo com informaes provenientes das seguintes fontes, atualizada de: <http://log2timeline.net/#visual>: Apache2 Access logs Apache2 Error logs Google Chrome history Encase dirlisting Windows Event Log files (EVT) Windows Event Log files (EVTX) EXIF Extracts exif information or metadata from various media files Firefox bookmarks Firefox 2 history Firefox 3 history FTK Imager Dirlisting CSV file Generic Linux log file Internet Explorer history files, parsing index.dat files Windows IIS W3C log files

Anlise de dados e outras fontes de vestgio e a antiforense

102

ISA server text export. Copy query results to clipboard and into a text file Mactime body files (to provide an easy method to modify from mactime format to some other) McAfee AntiVirus Log files MS-SQL Error log Opera Global and Direct browser history OpenXML metadata, for metadata extraction from Office 2007 documents PCAP files, parsing network dump files created by tool such as Wireshark and tcpdump (PCAP) PDF. Parse the basic PDF metadata to capture creation dates etc. from PDF documents Windows Prefetch directory Windows Recycle Bin (INFO2 or I$) Windows Restore Points Safari Browser history files Windows XP SetupAPI.log file Adobe Local Shared Object files (SOL/LSO), aka Flash Cookies Squid Access Logs (httpd_emulate off) TLN (timeline) body files UserAssist key of the Windows registry - well really NTUSER.DAT parser since there are other keys parsed as well Volatility. The output file from the psscan and psscan2 modules from volatility Windows Shortcut files (LNK) Windows WMIProv log file Windows XP Firewall Log files (W3C format) O Log2Timeline produz seus resultados no formato XML e existem visualizadores que ajudam a entender a relatividade dos eventos em funo do tempo em forma grfica. O Timeline Web Widget for Visualizing Temporal Data um projeto tambm de cdigo aberto que tem essa funcionalidade.

Ps-graduao

103

Veja o exemplo na Figura 10, produzido pelo Timeline Web Widget:

Figura 10 Exemplo de linha do tempo Fonte: Log2timeline... (2009).

Seja de forma mais automtica ou manual, o interesse do investigador deve se voltar para aqueles eventos de interesse, portanto um filtro deve ser criado, isolando os eventos que interessam ou que parecem estar relacionados cadeia de aes sendo levantada para o caso. Nesse processo, a hiptese da investigao vai sendo confirmada ou refutada, e outros elementos vo entrando e saindo da linha do tempo, bem como esta vai se alterando, caminhando para frente ou para trs. Cada entrada de uma linha do tempo inclui data e hora, com resoluo de segundos. Alm disso, tambm inclui o fuso horrio, j que pode incluir eventos guardados em servidores localizados em outros fusos. Segundo Philipp, Cowen e Davis (2009), preciso ter em mente o que as entradas representam quando um determinado evento teve incio. Programas, por exemplo, comeam a ser executados em um ponto no tempo, continuam a ser executados e, por fim, so encerrados. Isso significa um cuidado extra e a necessidade de tratar cada evento em relao a outros. Qualquer ponto na linha do tempo pode ser descrito como tendo ocorrido antes ou depois de outro evento. Imagine que um evento B dependa de um evento A, como a instalao de um aplicativo e os documentos produzidos por este. Se um arquivo encontrado com data de criao anterior instalao do aplicativo, podemos suspeitar de que as datas do arquivo foram alteradas, ou que esse arquivo no foi criado utilizando o sistema. Mais uma vez, a experincia e o objetivo da investigao que vo dar sentido ao que foi encontrado e ao que procurar. A preocupao em determinar o perodo de comprometimento de um sistema eliminar a necessidade de investigar muito material irrelevante.

Anlise de dados e outras fontes de vestgio e a antiforense

104

Exemplo
Se o objetivo da investigao de um sistema relativo a um determinado usurio, que, para usar o sistema, tem de se autenticar nele, arquivos e aes produzidas fora desse prazo podem ser descartados, ou pelo menos no serem alvo da anlise inicial.

Outra fonte importante de dados para a linha do tempo so datas contidas em arquivos, que permanecem mesmo quando no existem mais metadados no sistema de arquivos. So vrias as possveis origens para compor a linha do tempo. Com tempo e experincia, o investigador forense pode se utilizar dessa ferramenta para solucionar casos mais complicados.

Sleuth kit e autopsy browser

Como j expomos, os custos das ferramentas comerciais proibitivo e difcil conseguir uma cpia, mesmo que seja para avaliao. Por outro lado, trabalhar com utilitrios isolados demorado e demanda muito conhecimento, tanto das ferramentas como da estrutura de cada sistema de arquivo. Uma soluo intermediria so as ferramentas Sleuth Kit e Autopsy Browser. O Sleuth Kit um conjunto de ferramentas e biblioteca escrita na linguagem C utilizado em linha de comando. O Autopsy Browser uma apresentao grfica, baseada num servidor que acessado por um navegador WEB. Ele aciona essas ferramentas e funes da biblioteca C de uma maneira mais automtica e visual. Essas ferramentas podem ser baixadas gratuitamente de http://www.sleuthkit.org/ e rodam em Linux, OS X, Windows, FreeBSD, OpenBSD e Solaris. Para instalar em um sistema tipo Unix, como Mac Os, Linux e BSD, basta baixar os pacotes, descompactar e executar dentro de seus diretrios os comandos que so descritos dentro do arquivo install.txt. Como pr-requisitos, so necessrios ser instalados o compilador C e Gmake. Tambm aconselhado instalar previamente as bibliotecas: AFFLIB que permite trabalhar com imagens de discos no formato AFF; LibEWF que permite trabalhar com imagens no formato produzido pela ferramenta comercial EnCase.

Ps-graduao

105

Ambas so tambm cdigo aberto. Para usar essas ferramentas no MS Windows, necessrio instalar o CGWIN, disponvel em <http://cygwin.com/install.html>. O processo exemplificado foi testado pelo autor e as ferramentas funcionaram com xito. Vale ressaltar que essas ferramentas so bem-feitas e muito utilizadas ao redor do mundo.

Referncias
JEITA. Exchangeable image file format for digital still cameras: exif version 2.2. 2002. Disponvel em: <http://www.exif.org/Exif2-2.PDF>. Acesso em: 3 jan. 2012. KLOET, B. Advanced file carving: how much evidence are you ignoring. 2010. Disponvel em: <http://computer-forensics.sans.org/summit-archives/2010/files/eu-digitalforensics-incident-response-summit-bas-kloet-advanced-file-carving.pdf>. Acesso em: 15 nov. 2011. LOG2TIMELINE smile visual timeline. 2009. Disponvel em: <http://log2timeline.net/visual. html>. Acesso em: 23 mar. 2012. MIKUS, N. An analysis of disc carving techniques. 2005. Disponvel em: <http://handle. dtic.mil/100.2/ADA432468>. Acesso em: 2 jan. 2012. PHILIPP, A.; COWEN, D.; DAVIS, C. Hacking exposed computer forensics. 2. ed. [S.l.]: McGraw-Hill Osborne Media, 2009.

Anlise de dados e outras fontes de vestgio e a antiforense

106

Outras fontes de vestgio

Mauro Notarnicola Madeira

O artigo 10 da Lei de Interceptao Telefnica dispe que constitui crime realizar interceptao de comunicaes telefnicas, de informtica ou de telemtica [...] sem autorizao judicial. (BRASIL, 1996). Isso significa que, embora o investigador forense atuando como perito possua um ferramental tcnico bem grande sua disposio, ele no pode atirar para todo lado: tem de se ater ao que determina a justia. No caso empresarial, h separao entre o uso pessoal e o uso em trabalho. Muitas empresas tm includo em suas polticas que seus equipamentos e rede so de uso exclusivo para assuntos relacionados ao desenvolvimento do trabalho do empregado. Em Moraes (2011), h um resumo interessante sobre a violao de e-mails. Segundo a autora, com base no entendimento majoritrio do Tribunal Superior do Trabalho, est o empregador, pois, legitimado a proceder tal vigilncia, que decorre do seu poder diretivo e disciplinar. Mas ela levanta algumas ressalvas: O e-mail sujeito vigilncia o corporativo e deve ser fornecido pela empresa para fins estritamente profissionais; O e-mail pessoal do empregado, mesmo que acessado nas dependncias da empresa, mantm-se inviolvel e garantido o seu sigilo, no podendo o empregador monitor-lo sob qualquer pretexto ou forma, assim como MSN e Skype, cujo histrico no pode ser acessado pela empresa; Faz-se necessria insero de clusula do contrato de trabalho ou documento especfico que certifique o funcionrio de que o e-mail fornecido pela empresa deve ser utilizado exclusivamente como ferramenta de trabalho e de que est sujeito a monitoramento pela empresa. As tecnologias atuais permitem um grande nmero de novas formas de comunicao, mas as leis ainda no so to detalhadas para determinar o que legal ou no em termos de aceitao como prova. Antes da Lei de Interceptao Telefnica, nenhum vestgio colhido por esse meio podia ser utilizado como prova. Mesmo com atraso, novas interpretaes e leis vo surgindo para se adaptar evoluo da tecnologia.

Ps-graduao

107

Atualmente, difcil imaginar um computador isolado. A maior parte da interao de um usurio com seu computador, mesmo em muitos ambientes empresariais, d-se por meio de redes, quando no, utilizando diretamente as ferramentas baseadas na internet como meio de comunicao. Com isso, cresce a importncia da interao com a internet como fonte de vestgios.

Sistema operacional
A literatura sobre Forense Computacional se baseia muito na investigao de vestgios presentes em mdias. Porm, sabemos que sistemas como Windows e baseados em Unix possuem em si mecanismos de log que guardam diversos detalhes de funcionamento da mquina e resultantes da interao com o usurio. Cada sistema operacional tem seus meios de guardar histricos do que se passa no sistema. Em mquinas baseadas em Unix, esses logs ficam armazenados geralmente no diretrio /var/log e, em mquinas Windows, geralmente em C:\ Windows\System32\winevt\Logs. Essas informaes so empregadas em vrias situaes, como acontece quando um sistema tem uma pane e necessrio que ele seja recuperado para seu ltimo conjunto de ajustes funcionais. Nos sistemas Windows, nota-se um movimento de tornar o sistema mais seguro e auditvel. Windows Dois exemplos para esse tipo de anlise so de interesse para o investigador forense no sistema operacional Windows: os arquivos de log e o Registro. Duas ferramentas embutidas no sistema so o primeiro recurso do investigador forense para examinar esses dois tipos de arquivos, respectivamente: o Visualizador de Eventos e o Editor de Registro.

Importante!
Devemos nos lembrar de que trabalhamos sempre com uma imagem bit-a-bit. Uma tcnica interessante usar uma mquina virtual para rodar o sistema presente na imagem.

Anlise de dados e outras fontes de vestgio e a antiforense

108

Exemplos de itens que podem guardar vestgios para uma investigao em arquivos de log e examinados manualmente: C:\Users\<nome do usurio>\AppData\Local\Temp Um programa bem comportado ir armazenar seus dados temporrios em arquivos dentro dessa pasta. Uma mquina que tenha sido desligada s pressas pode conter vestgios de interesse armazenados em arquivos temporrios. C:\Windows\System32\winevt\Logs Possuem vrios arquivos de log. O Visualizador de Eventos capaz de mostrar em detalhes cada entrada desses arquivos. C:\Users\<nome do usurio>\AppData\Roaming\Microsoft\Windows\Itens Recentes Arquivos recentemente abertos. So apresentados em forma de atalhos. O Registro uma base de dados hierrquica que guarda suas informaes em modo binrio. So armazenadas informaes de configurao do sistema operacional e de suas aplicaes. Outra de suas tarefas registrar as atividades de interao do usurio com o sistema. Junto com cada cpia do Windows segue o editor de registro RegEdit. Com esse editor, possvel ler e, para usurios avanados, ajustar valores. Na lista a seguir, temos alguns exemplos com descrio de algumas chaves do Registro interessantes ao investigador forense. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Applets\Regedit ltima chave alterada pelo aplicativo RegEdit. til para saber se houve edio manual da base de dados. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\ComDlg32\OpenSavePidlMRU Guarda os ltimos arquivos abertos e salvos com a caixa de dilogo dos aplicativos. Para cada tipo de arquivo, classificado pela extenso, so gravados seus nomes em hexadecimal. Para ver os nomes, clique no boto da direita no RegEdit para editar a entrada. O editor tornar visvel o contedo em hexadecimal e ASCII (Figura 1). HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\ComDlg32\LastVisitedPidlMRU

Ps-graduao

109

Mostra as pastas onde foram abertos e gravados arquivos.

Figura 1 Examinando o contedo da chave OpenSavePidlMRU Fonte: Elaborao do autor (2012).

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\RecentDocs Arquivos abertos recentemente. Apresentar as possibilidades de investigao forense em sistema Windows demandaria muito espao, fora do escopo dessa disciplina. Entretanto, vale lembrar que, pela sua ubiquidade, o sistema que mais deve ser estudado por uma equipe de investigao. Felizmente, h muitas ferramentas que facilitam o trabalho de examinar arquivos, que, a exemplo dos registros de log e do prprio Registro, possuem formatos especficos e necessitam de ferramentas especficas pra sua leitura. Sistemas padro unix Em sistemas que seguem a linha Unix, como Linux, BSD, Mac Os X, o diretrio /var/ log guarda os arquivos de log, na sua maioria, em forma de texto, facilmente legvel. Veja, na Figura 2, a listagem do diretrio /var/log para uma distribuio Ubuntu.

Anlise de dados e outras fontes de vestgio e a antiforense

110

Por exemplo, o arquivo auth.log guarda informaes sobre as tentativas, os erros e os sucessos de usurios, se logados no sistema. A linha a seguir, extrada do arquivo auth.log, apresenta a tentativa e a falha de login pelo usurio madeira. Observe que a data e horrio esto indicados:
Feb 07 20:56:30 ubuntu lightdm: pam_unix(lightdm:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= user=madeira

Figura 2 Arquivos de log de um sistema Linux Fonte: Elaborao do autor (2012).

Outro diretrio interessante o /etc/. Nesse diretrio, residem os arquivos de configurao da mquina, configurao de diversos programas e senhas. Em passwd, por exemplo, so listados todos os usurios da mquina. fcil verificar se algum usurio no autorizado foi includo nessa lista. A maioria dos arquivos tambm est no formato de texto, facilitando leitura e modificao.

Ps-graduao

111

Assim como o Windows, os sistemas que seguem a linha Unix so importantes para a investigao forense, principalmente em ataques que envolvem a internet, pois so muito utilizados como servidores no meio empresarial. Para o investigador forense, tambm importante conhecer como esses sistemas manipulam autorizaes de arquivos. Em sistemas baseados em Unix, e agora tambm nos sistemas Windows, podem ser ajustados atributos que controlam quem pode ler, executar e alterar cada arquivo, sem contar a possibilidade de manter arquivos ocultos.

Internet
Uma fronteira relativamente nova aberta para a Computao Forense a sua aplicao aos crimes que so cometidos utilizando a internet como meio de armazenamento e comunicao. Com a enorme expanso da rede, o foco dos ataques, que antes se direcionavam para a mquina individual, est mudando para a internet como um todo. O problema que o desafio de identificar uma atividade criminosa se torna imensa. Um golpista na Rssia pode usar um servidor WEB no Brasil, para roubar o nmero do carto de crdito de uma vtima na Espanha. Mais uma vez, o fato de uma tecnologia ser usada muito alm do que ela foi imaginada causa esse problema. Assim como aconteceu com o computador pessoal, a internet no nasceu para ser usada em meios comerciais, dessa forma, ela no possui mecanismos de segurana nativos para proteger dados e meio de transporte para diferentes tipos de informaes legtimas, que podem ser interceptadas, bem como as indesejadas, como malware e mensagens forjadas. Para um usurio comum, quase impossvel verificar a autenticidade de um e-mail ou pgina WEB. Vejamos algumas fontes de vestgios comuns a esse meio. Manipulao de DNS um ataque sofisticado, pois requer passar por cima de muitas protees at conseguir alterar a tabela de DNS. A ideia desviar o trfego de um stio oficial para um forjado. Esse tipo de ataque denominado, em ingls, DNS Poisining. Em julho de 2011, o banco Santander do Brasil foi vtima de um ataque desse tipo. Os servidores de DNS invadidos estavam traduzindo erroneamente o endereo santander.com.br para 200.252.58.134. O certo deveria ser apontar para 200.220.178.3 ou 200.220.186.3. Neste endereo, estava uma cpia de pginas do banco. Ao tentar se logar, o usurio fornecia suas credenciais aos falsrios.

Anlise de dados e outras fontes de vestgio e a antiforense

112

Vale observar que esse tipo de ataque necessita de grande capacidade tcnica e geralmente se aproveita de falhas de servidores e aplicaes. O termo Pharming designa um grande nmero de tcnicas de manipulao de registros de DNS. Em lugar de atacar um servidor de DNS diretamente, o falsrio tenta trapacear uma entidade de registro de domnio para que um endereo aponte para seu stio falso. Em um ataque simples de engenharia social, o falsrio se passa por um cliente legtimo pedindo para que o registro de seu stio seja alterado. Outra forma de ataque se aproveita do fato de muitos sistemas operacionais possurem um arquivo local de mapeamento de DNS que consultado em primeiro lugar, antes de tentar um servidor externo mquina. Se nesse arquivo existe o nome da pgina que se tenta alcanar, o sistema utiliza o endereo IP associado a ele. O vrus Banker Trojan, alm de ser um keylogger, adiciona linhas ao arquivo local de mapeamento DNS em sistemas Windows, direcionando o usurio a pginas falsas de bancos. Um bom conhecimento de um sistema operacional fundamental para realizar investigaes com o fim de desvendar ataques desses tipos. Navegadores possvel que em breve os computadores venham a ser apenas mquinas que rodam somente um navegador, e todo o restante fique armazenado em servidores na WEB. A maioria dos aplicativos que um usurio comum utiliza hoje em dia j est na internet, como editores, planilhas, clientes de e-mail, mensageiros instantneos e mais. Nesse tipo de modelo, todas as informaes de comportamento do usurio tambm ficaro armazenadas na WEB, o que implica grande responsabilidade de sigilo. Igualmente, no ser necessrio armazenar dados contendo informaes como histricos, marcadores e configuraes para cada usurio, pois sua identificao em uma conta tornar disponvel todos os seus dados. No modelo que temos hoje, o navegador ainda guarda suas informaes localmente, como histricos de navegao, marcadores de pginas e cookies, que so pequenos blocos de dados que armazenam localmente o estado do usurio em determinado stio. Esse tipo de informao, logicamente dependendo do tipo de investigao conduzida, de grande importncia para a Computao Forense. Como incio de investigao, supondo que o usurio no tenha conhecimento tcnico, o estudo de histricos apresenta uma grande fonte de informao para investigaes que incluam a comunicao pela WEB.

Ps-graduao

113

Os navegadores no possuem um padro de como esses dados so armazenados, mas essa uma informao relativamente fcil de ser conseguida. Estudar de antemo como cada um realiza o armazenamento importante para o investigador forense, pois o prepara para rapidamente coletar informaes que podem ser importantes para criar a linha de tempo de um caso. Vemos que vrios golpes tm a internet como seu elo de fechamento, principalmente no phishing, em que o usurio conduzido a baixar da WEB alguma coisa que comprometa seu sistema. A investigao de como um ataque realizado pela internet, utilizando navegadores como vetores, todo um novo ramo da investigao forense. Comunicadores P2P A transferncia de arquivos via P2P tem como maior preocupao o potencial de incluir dois crimes: a transferncia ilegal de arquivos P2P ou Peer to Peer a forma de com direitos autorais e a difuso de pornografia infantil ou transferir dados de um computador a explorao sexual de menor, que o termo mais abrangente. outro sem a interveno de um servidor. Uma forma de o investigador obter vestgios observar os dados transportados por uma rede. Os programas que fazem esse monitoramento so denominados analisadores de pacotes ou sniffers. Os sniffers operam na camada de enlace ou ligao de dados. Como uma camada bem bsica, prxima camada fsica, os analisadores esto mais livres para atuar sobre dados que circulam em uma rede, configurando uma placa de rede para capturar tudo o que passa por ela (modo permissivo). O sniffer armazena os dados capturados para uma anlise posterior. Segundo Wiles, Cardwell e Reyes (2007), um dos melhores programas para essa funo o Wireshark, ferramentas de cdigo aberto com verses para Windows, GNU/Linux, BSD, Mac OS etc. O programa e os manuais de uso esto disponveis em <http://www.wireshark.org/>. Tambm possvel realizar uma investigao utilizando as prprias ferramentas de trocas de arquivos. O primeiro passo para conduzir uma investigao P2P identificar o arquivo de interesse. Esse arquivo pode ser descoberto por buscas na internet, nas prprias ferramentas de P2P ou encontradas em mdias apreendidas em um mandado de busca e apreenso. Um arquivo pode ser identificado tambm pelo seu valor hash, porm qualquer retoque em uma imagem ou filme, que o tpico formato desse tipo de crime, invalida o resultado.

Anlise de dados e outras fontes de vestgio e a antiforense

114

O segundo passo utilizar um ferramenta de troca de arquivos para identificar os possveis distribuidores desse tipo de arquivo, os quais so visveis pelos endereos IP que a ferramenta apresenta como aqueles que esto fazendo download e upload dos arquivos. A experincia do investigador que vai determinar quais IPs so de provveis disseminadores. Esse tipo de investigao geralmente conduzida por investigadores criminalistas e envolvem polcias de diversos lugares. Logicamente que a identificao da localizao da mquina tem de envolver uma colaborao dos provedores de acesso, o que implica uma quebra de sigilo que conseguida por autorizaes judiciais. Aps a identificao, um mandado de busca e apreenso permite polcia recolher o computador ou os computadores e caracterizar o crime. comum recebermos notcias desse tipo de ao, envolvendo polcias de diferentes partes do mundo agindo em sincronismo para prender vrios acusados. Temos de lembrar tambm que o P2P envolve as comunicaes entre usurios, empregado em ferramentas de voz e mensagens eletrnicas. As mensagens eletrnicas so um captulo interessante na investigao forense criminal. Em todo o mundo, existem agentes policiais que entram em contato com potenciais criminosos e os levam a situaes de flagrante. No caso da explorao sexual de menor, o agente policial se passa por um menor de idade e marca um encontro com um suspeito, caracterizando um flagrante e a consequente priso do suspeito. Esse tipo de armadilha tem sido empregado por polcias de muitos pases.

Referncias
BRASIL. Lei n 9.296, de 24 de julho de 1996. Regulamenta o inciso XII, parte final, do art. 5 da Constituio Federal. Disponvel em: <http://www.planalto.gov.br/ccivil_03/Leis/ L9296.htm> Acesso em: 24 jan. 2012. MORAES, F. S. A legalidade do monitoramento pelo empregador dos e-mails de seus empregados. 2 ago. 2011. Disponvel em: <http://www.cka.com.br/artigos/texto/14>. Acesso em: 25 jan. 2012. WILES, J.; CARDWELL, K.; REYES, A. The best damn cybercrime and digital forensics book period. [S.l.]: Syngress, 2007.

Ps-graduao

115

Atividades de autoaprendizagem
1. Relacione as colunas de acordo com o texto:
1 - Registro do Windows 2 - Metadado ( ) </html> ( ) O sistema de arquivos ainda pode manter todos os metadados e dados do arquivo. ( ) Ferramenta de File Carving.

3 - Nessa tcnica, um disco analisado procura de blocos que possam fazer parte de um arquivo. 4 - File Slack

( ) Dificulta o processo de extrao de um arquivo. ( ) Pode fazer parte da linha do tempo de invaso de um sistema. ( ) Podem conter itens teis a serem includos na linha do tempo. ( ) Pode conter dados de arquivos apagados. ( ) File Carving ( ) Pode ser modificado na tentativa de ocult-lo. ( ) Contm informaes que descrevem um dado.

5 - Extenso de um arquivo.

6 - Arquivo apagado com o comando delete do sistema operacional. 7 - Fragmentao 8 - Log de um navegador WEB. 9 Indica o fim de um arquivo web. 10 - Scalpel

2. Assinale com V (verdadeiro) ou F (falso) as afirmaes a seguir referente s tcnicas e ferramentas de anlise dos dados das outras fontes de vestgio: ( ) O processo de anlise de uma imagem de disco forense independe do tipo de Investigao. ( ) Os metadados de um arquivo mostram a localizao de suas partes em um disco. ( ) Uma vez apagado um arquivo de um disco, seus metadados se perdem. (Falso apagar um disco no necessariamente apagar os seus dados.) ( ) Uma esterilizao de um disco elimina blocos no alocados, impedindo a extrao de dados. ( ) A fragmentao de um disco prejudica a extrao de dados.

Anlise de dados e outras fontes de vestgio e a antiforense

116

( ) O File Carving um sistema de procura por cadeias de caracteres em todos os espaos no alocados de um disco. ( ) No existindo os metadados de um arquivo, podemos tentar achar o comeo e o fim de um arquivo apagado no disco, sabendo que tipo de arquivo procuramos. ( ) Um usurio que queira apagar um arquivo de forma a no ser possvel sua extrao posterior, tem de forosamente utilizar uma ferramenta que escreva sobre os blocos alocados para o arquivo. ( ) O File Carving um processo fcil de ser utilizado com ferramentas do sistema operacional. ( ) Um disco novo e com poucos arquivos possui menos chance de conter dados possveis de extrao por File Carving.

Atividades colaborativas
Discuta no Frum as seguintes questes: 1. Descubra qual foi o ltimo comando executado em um computador Windows pelo comando executar (run). Para isso, rode RegEdit e procure pela chave RunMRU. Observao: na verso Windows 7, o comando executar no fica mais no menu Iniciar ou Start, mas pode ser aberto apertando a tecla com o smbolo do Windows + r). 2. Faa uma pesquisa sobre o que a formatao rpida em um sistema Windows e responda se uma formatao completa esteriliza os setores de um disco. 3. O que so hidden files? Eles podem ser usados para esconder informaes de um sistema? 4. Pelo que voc viu na disciplina e na sua experincia, voc diria que o sistema GNU/Linux uma importante ferramenta para a investigao forense?

Ps-graduao

117

Sntese
Na leitura sobre as tcnicas e ferramentas de anlise dos dados, fizemos uma apresentao dos itens mais importantes relacionados leitura e extrao de dados em imagens produzidas a partir de mdias de armazenamento secundrio, como discos rgidos e memrias flash. Foram apresentados aspectos-chave do armazenamento de arquivos e o que so os metadados; falamos sobre como deletar um arquivo no necessariamente elimina seus dados do disco; sobre como o investigador forense tira proveito disso; sobre que tipos de resduos de arquivos apagados podem estar contidos em uma imagem; e sobre como a assinatura de um arquivo auxilia a recuperao de seus dados. Vimos como realizar pesquisas em alguns lugares de um sistema; como usurios mais simples e mais avanados escondem dados; como, com tcnicas simples, um investigador forense consegue levantar vestgios; e como arquivos de log podem ajudar na investigao. Foram apresentados o que a extrao de dados; os tipos de restos deixados pelo apagamento e pela reutilizao de espaos em um disco, denominados RAM Slack e File Slack. Foi apresentada a tcnica file carving, e como ela empregada na extrao de dados, bem como os cabealhos e fins dos arquivos ajudam a encontrar dados. Vimos o que a linha do tempo; como ela pode ser montada com informaes provenientes de arquivos e de outras informaes do sistema; como ela ajuda a refinar uma hiptese e contribuir para a investigao forense. Por fim, foi apresentada uma breve descrio das ferramentas Sleuth kit e Autopsy. Na segunda leitura, que abordou as outras fontes de vestgio, o objetivo foi apresentar outras possibilidades da investigao forense computacional. Foram vistos fontes de vestgios armazenados em funo de caractersticas dos sistemas operacionais em criar logs. O texto oferece apenas uma pequena amostra de como os sistemas operacionais e diversos aplicativos podem esconder dados importantes para uma investigao forense.

Anlise de dados e outras fontes de vestgio e a antiforense

118

Uma lista de sistemas e aplicativos nunca ser completa e estar desatualizada no momento de sua divulgao. O que foi apresentado tambm apresenta softwares de uso comum, mas existem sistemas e softwares no to populares que vo requerer um bom estudo, principalmente tentando encontrar brechas que possam ser exploradas. A investigao, nesse sentido, comea antes do ataque, pois, ao se defrontar com um sistema desconhecido, certamente o investigador gastar muito mais tempo, pois ter de estudar o sistema e s depois partir para a investigao propriamente dita. O fato que um investigador forense tem de estar continuamente se autoeducando para melhorar e aprofundar suas tcnicas. Com isso, ele consegue ser proativo, tentando, se no estar um passo na frente do ataque, pelo menos rapidamente examinar locais em que comumente seus vestgios so encontrados.

Saiba mais
Faa uma visita a este endereo que possui bastantes informaes sobre esteganografia: <http://www.garykessler.net/library/fsc_stego.html>. (Acesso em: 15 mar. 2012).

Ps-graduao

Unidade 4

Antiforense computacional

Objetivos de aprendizagem
Estudar o que so tcnicas antiforenses e compreender que podem ser utilizadas de formas legtimas e ilegtimas. Conhecer quem usualmente utiliza as tcnicas antiforense de forma ilegtima. Estudar o que a antiforense na destruio de dados. Compreender o que apagar um arquivo ou disco de forma segura. Estudar como a criptografia influi na investigao antiforense. Entender a importncia dos sistemas operacional Windows na Computao Forense. Conhecer as tcnicas de esteganografia.

Introduo
Nas unidades anteriores foram introduzidas tcnicas e analisadas circunstncias envolvendo a Computao Forense. Notamos que em certas situaes, como, por exemplo, as pesquisas envolvendo mdias muito grandes, a camada de Giga Bytes pode tornar o processo de busca de dados uma tarefa muito demorada. E isso vale tambm para quando um computador est conectado, e a linha do tempo do ataque pode envolver vrias mquinas, situadas no local e remotamente. Outro fator de dificuldade se relaciona recuperao de dados, que, dependendo do grau de deteriorao, pode demandar tcnicas como o file carving, que requer ferramentas elaboradas e muita experincia e pacincia do investigador. Na leitura a seguir, vemos outras dimenses do problema. Algumas legtimas, como o uso de tcnicas para dificultar a leitura de dados intencionalmente, utilizando tcnicas de criptografia para proteger informaes de acesso no autorizado. Porm, outras ilegtimas, mas que usam essas mesmas tcnicas. Esse um aspecto que tende a se tornar cada vez mais preocupante para a Cincia Forense, pois uma luta contra a prpria evoluo da computao.

120

Tcnicas antiforenses
Mauro Notarnicola Madeira

chamada tcnica antiforense aquilo que impede ou dificulta a investigao forense, ocultando os vestgios de um crime. As tcnicas antiforenses podem ser, na verdade, aes legtimas que visam a aumentar a segurana de um sistema, apagando ou sobrescrevendo dados de tal forma que no possam ser lidos por pessoas no autorizadas. Essas tcnicas podem, no entanto, serem utilizadas de forma criminosa com o objetivo de esconder aes mal intencionadas, ligadas ao ato de um usurio remover vestgios de suas atividades criminosas. De forma negativa, elas so empregadas por hackers, pedfilos, falsificadores, espies, terroristas e outros criminosos. Tambm podem ser empregadas por funcionrios desonestos que, de uma forma ou de outra, usam informaes a eles confiadas para cometer extorses contra a empresa ou vend-las para concorrentes. Exemplos de aes locais incluem apagar histricos diversos, alterar logs, manipular atributos de arquivos, impedir que uma linha do tempo seja estabelecida, proteger arquivos com criptografia, ocultar mensagens com esteganografia etc. Outros exemplos mais abrangentes envolvem aspectos ligados comunicao e a transferncia de dados, que empregam tambm criptografia, anonimato, rotao de endereos da internet etc.

Ps-graduao

121

O anonimato na internet sempre foi muito preocupante, pois ele contribui para a enxurrada de e-mails indesejados, os spams, que tanto trazem prejuzo. No caso do spam, vrias tcnicas so empregadas para invadir e transformar uma mquina em servidor de e-mails. Isso feito de tal forma que descobrir a origem do ataque impossvel, pois h manipulao de todo tipo de endereos, como rotao de nomes de stios que rapidamente apontam para diferentes nmeros de IPs; desaparecimento de IP, quando um URL deixa rapidamente de apontar para um nmero de IP vlido; uso de vrios endereos IPs que apontam para o mesmo nome; ou ainda fazer com que o stio original do spam fique por trs de outros stios menos valiosos, protegendo o stio original para reuso contnuo. Por outro lado, h o uso menos nocivo do anonimato com a compra de um servio de tnel (VPN) que esconde para o restante da internet a origem das comunicaes. Esse tipo de servio no ilegal, at porque o vendedor do servio tem como identificar o cliente. Entretanto, ele serve para tornar a mquina do usurio invisvel para o restante do mundo, pois o endereo original escondido e o que aparece na ponta da comunicao pode vir de muitos lugares diferentes, dependendo da mquina usada pela empresa que presta o servio. Alm disso, a empresa que vende o servio conta com diversos tipos de filtros para a proteo do cliente. Exemplo desse tipo de servio o OpenDns (http://www.opendns.com).

Destruio de dados
Uma das primeiras aes de quem quer esconder o rastro de suas atividades em um computador apagar arquivos que foram instalados e manipulados durante a conduo do delito e que possam deixar vestgios em dispositivos de armazenamento de leitura e escrita. Os comandos presentes em um sistema operacional geralmente deixam latentes no sistema uma porcentagem, que varia entre 0 a 100, do contedo dos arquivos apagados pelo usurio que se utiliza apenas dos mtodos mais simples de eliminao de um arquivo. No entanto, como medida legtima de proteo, existem programas que realizam a tarefa de apagar completamente os dados de um arquivo de forma a no ser mais possvel sua recuperao e estes podem ser utilizados por usurios mais avanados, dificultando ou impedindo a ao de um investigador forense.

Antiforense computacional

122

Os programas destinados a apagar com segurana arquivos geralmente sobrescrevem os espaos ocupados por um arquivo marcado como deletado com padres que podem ser zeros, valores especficos, valores aleatrios ou combinao desses. Existem alguns algoritmos para esse processo e tambm normas determinadas por pases preocupados com a leitura de documentos sigilosos por pessoas no autorizadas. Alguns exemplos de programas para esse fim: Windows - BCWipe, Sure Delete, Active@ Kill, Disk Hard Drive Eraser, File Shredder PC Edition. GNU/Linux - shred, ferramenta que acompanha as distribuies Linux. Mac Os X - trazem como padro o Utilitrio de Discos, com a possibilidade de esterilizar mdias ou esvaziar a lixeira com segurana, com 3 opes de apagamento. Exemplo de uso do shred para escrever zeros em todo o disco rgido presente em / dev/hda em 10 passadas.

shred -vfz -n 10 /dev/hda

Outro aplicativo interessante e gratuito o DBAN - http://www.dban.org. Distribudo em forma de imagem ISO, contm um disco de boot com um programa que apaga qualquer disco presente na mquina. Ele tambm pode ser instalado em mdias pticas e em dispositivos USB.

Criptografia
O uso de criptografia em vrias situaes impedem a leitura e consequente investigao de arquivos, mensagens, sistemas e mesmo computadores completos. Os sistemas criptografados esto muito seguros e causando impasses interessantes na justia. Nos Estados Unidos, entre 2010 e 2011, houve um caso envolvendo um computador porttil e criptografia. Ramona Fricosu foi acusada e presa em funo de fraude contra o sistema de financiamento residencial. Durante sua priso, seu computador foi apreendido, mas os investigadores forenses no conseguiram acessar o computador por esse conter um sistema operacional protegido por criptografia. A justia resolveu pedir a avaliao do contedo do computador depois que a acusada teve gravada uma conversa com outra prisioneira na qual fazia meno de haver contedos armazenadas em seu laptop que a incriminariam mais ainda.

Ps-graduao

123

O problema que uma pessoa, de acordo com a constituio americana, e tambm a brasileira, no pode ser obrigada a produzir provas contra si mesma. Houve um debate intenso da legitimidade do juiz em ordenar que a acusada fornecesse a senha. Por outro lado, no fornecendo a senha, a acusada seria processada por obstruo da justia. Alguns advogados achavam que ela deveria fornecer a senha e depois entrar com recurso contra a inconstitucionalidade do uso do que l fosse achado. No fim, o marido da acusada forneceu algumas senhas possveis e entre elas constava a que destravava o acesso. Esse caso pode ser lido em mais detalhes no endereo http: //www.wired.com/threatlevel/2012/02/laptop-decryptionunconstitutional/?utm_source=Contextly&utm_medium=RelatedLinks&utm_ campaign=MoreRecently. O uso de criptografia para proteger dados mantidos em computadores pessoais e servidores est aumentando e faz com que o trabalho forense se torne bem mais complicado. Hoje em dia, sistemas operacionais permitem a criptografia de todo o contedo dos discos rgidos ou equivalentes. E, dentro desses discos, um usurio pode querer proteger ainda mais alguns itens. A soluo para contornar esse problema encontrar a senha utilizada como chave. Existem alguns programas que ajudam a encontrar palavras-chave, como John the Ripper, Cain and Abel, SAMInside, Ophcrack e outros. Todos esses programas tentam encurtar o tempo que levaria para achar uma chave por meio da fora bruta, que tentar todas as combinaes possveis de chaves. Cain e Abel, por exemplo, tambm possui analisadores de pacotes para tentar interceptar senhas transportadas pela rede, uso de dicionrio para tentar chaves bvias, fora bruta e outras tcnicas mais sofisticadas.

Importante
Em casos extremos, uma tcnica disponvel instalar um keylogger por software ou hardware e coletar a senha no momento em que ela fornecida pelo usurio. Logicamente que isso envolve questes legais srias e autorizaes judiciais.

Para a investigao forense, o melhor momento para ler sistemas criptografados quando a anlise feita com o sistema ligado, pois assim as aplicaes e a prpria leitura de discos, que dependem de chave, esto operacionais. Com isso, mesmo sendo ainda difcil, pode-se tentar encontrar a chave armazenada no prprio sistema. Alm de ser uma ferramenta de proteo legtima, indicada por polticas de segurana, a criptografia tambm uma ferramenta que ajuda o criminoso a esconder dados.

Antiforense computacional

124

Existem worms que tm seu contedo criptografado e, ao se instalarem em uma mquina, extraem os programas que ficam residentes na memria principal e apagam seu contedo no disco. Outro impacto da criptografia se faz sentir nas comunicaes e transferncias de dados feitas pela internet. Interceptar uma comunicao a fim de decodificar seus pacotes na tentativa de levantar evidncias, alm de esbarrar nas questes legais, tambm implica em obstculos quando os dados esto criptografados. Um exemplo interessante o caso do Skype. Toda troca de informao feita por meio de criptografia utilizando uma chave de 256 bits (SKYPE, 2012). Do ponto de vista da segurana empresarial, o Skype uma pea de software de difcil deteco e bloqueio, tanto pelo uso da criptografia quanto pela forma com que consegue burlar camadas de firewall (LEUNG; CHAN, 2007). Com o passar do tempo, ser mais e mais comum que sistemas como P2P e outros se tornem mais sofisticados ainda, impedindo que sejam detectados e coletados vestgios produzidos por estas ferramentas. Resta esperar que as tcnicas forenses consigam tambm acompanhar essa evoluo.

Esteganografia
A esteganografia uma palavra vinda do grego que significa escrita escondida. uma tcnica para esconder dados em um meio de forma que eles no sejam visveis com facilidade ou mesmo no se suspeite de sua existncia. Assim como a criptografia, a esteganografia pode ser usada de formas legtimas e ilegtimas. Tcnicas simples de esteganografia incluem coisas como usar a segunda letra de cada linha de um texto como parte de uma mensagem. Por exemplo, no texto abaixo temos a palavra feliz:

Afeio algo que temos por pessoas e animais. Pelo que se diz, algo bom. Altera o bom humor das pessoas. Ainda que, se falsa, Azeda um relacionamento.

Ps-graduao

125

Esse exemplo realmente muito simples. Tcnicas mais modernas permitem que quantidades grandes de dados sejam guardados em arquivos de udio, como MP3, e arquivos de imagem. Existem trs formas de utilizar a esteganografia (WILES; CARDWELL; REYES, 2007): adicionar uma informao em um arquivo como, por exemplo, acrescentar espaos que contm dados; pegar um arquivo e modificar seu contedo como, por exemplo, modificar bits redundantes de uma imagem para inserir dados; criar um arquivo com o intuito de esconder a informao. Outro complicador que a mensagem a ser escondida tambm pode ser criptografada. Isso significa que alm de conseguir encontrar a mensagem, o interceptador tem tambm que decifr-la. Uma forma de uso legtima a marca dgua digital. Ela normalmente utilizada para autenticar um trabalho. Uma marca dgua uma imagem ou texto que replicada dentro de um arquivo de tal forma que em uma disputa sobre a autoria de um trabalho pode ser resolvida em favor do autor. Uma forma de uso ilegtima a possibilidade de um grupo de pessoas trocar mensagens com contedos terroristas, planos de assaltos etc. O stio www.spammimic.com possui uma ferramenta interessante para demonstrar a terceira tcnica - a criao de um arquivo para esconder uma mensagem. Observe o texto abaixo:
Dear E-Commerce professional ; This letter was specially selected to be sent to you . This is a one time mailing there is no need to request removal if you wont want any more . This mail is being sent in compliance with Senate bill 1621 ; Title 2 , Section 309 ! This is not multi-level marketing . Why work for somebody else when you can become rich in 58 days . Have you ever noticed most everyone has a cellphone plus how many people you know are on the Internet ! Well, now is your chance to capitalize on this . WE will help YOU deliver goods right to the customers doorstep and use credit cards on your website ! You can begin at absolutely no cost to you ! But dont believe us

Antiforense computacional

126

Ms Jones of North Dakota tried us and says Now Im rich, Rich, RICH ! This offer is 100% legal ! You will blame yourself forever if you dont order now . Sign up a friend and youll get a discount of 20% . Thank-you for your serious consideration of our offer . Dear Cybercitizen , We know you are interested in receiving cutting-edge announcement . If you are not interested in our publications and wish to be removed from our lists, simply do NOT respond and ignore this mail ! This mail is being sent in compliance with Senate bill 2116 , Title 9 , Section 303 ! This is different than anything else youve seen ! Why work for somebody else when you can become rich as few as 11 weeks ! Have you ever noticed more people than ever are surfing the web plus people will do almost anything to avoid mailing their bills . Well, now is your chance to capitalize on this ! WE will help YOU deliver goods right to the customers doorstep & SELL MORE . You can begin at absolutely no cost to you ! But dont believe us . Mrs Jones of New Jersey tried us and says Now Im rich, Rich, RICH ! We assure you that we operate within all applicable laws ! We beseech you - act now ! Sign up a friend and youll get a discount of 10\% ! God Bless .

Na forma digital do texto acima, h a mensagem isto um teste escondida. Para decodific-la preciso copiar todo o texto no formato digital original e inserir na opo decode do stio. Observe que no fim do texto h um espao no fim de cada linha, bem como um espao + um ponto + espao no fim do texto. essencial que esses itens sejam mantidos. Provavelmente no ir funcionar copiar o texto acima, pois o processo de editorao, mesmo para o formato PDF em que distribudo esse livro na forma digital, pode modificar alguns caracteres, mas voc pode testar o processo no stio, codificando uma mensagem, copiando o texto e depois decodificando no mesmo stio para ver como ficou.

Ps-graduao

127

Os arquivos que atuam como portadores podem ser de imagens, msica, vdeo etc. Alm disso, ainda possvel esconder dados em parte de um disco ou sistema de arquivos, como em setores marcados como no utilizados, file slack etc. No caso de arquivos, os dados da mensagem criptografada so embaralhados em bits que constituem o arquivo, de tal forma que se mantm praticamente invisvel para quem no esteja a sua procura. E, mesmo sabendo que ali se encontra a mensagem, necessria uma tcnica para separ-la do meio de transporte e decodific-la. Observe a imagem da rvore na figura 1. Dentro dessa imagem h outra, a de um gato (figura 2). Para extra-la no so necessrias tcnicas apuradas e nem ferramentas muito caras.

Figura 1 Esteganografia: imagem original Fonte: StenographyOriginal (2003).

Existem vrias tcnicas para inserir a mensagem e vrios softwares que fazem as duas coisas: inserir a mensagem e extrair a mensagem.

Figura 2 Esteganografia: imagem extrada Fonte: StenographyRecovered (2003).

Antiforense computacional

128

Existem alguns software que inserem imagens pela tcnica da esteganografia, exemplo: Steganos, Gifshuffle, OutGuess, Stegomagic. Alguns dessa lista so open source e bons para se usar como testes para ferramentas de extrao. A deteco da esteganografia geralmente uma tarefa bem difcil, especialmente quando a mensagem pequena, uma vez que poucos bits so alterados do arquivo portador. usual que no processo de tentativa de deteco ocorram vrios falsos positivos. Para detect-las, podemos usar os seguintes programas para deteco: Gargoyle, Xsteg, Stego Watch, Stegdetect.

Referncias
LEUNG, C.-M.; CHAN, Y.-Y. Network forensic on encrypted peer-to-peer voip traffics and the detection, blocking, and prioritization of skype traffics. In: Proceedings of the 16th IEEE International Workshops on Enabling Technologies: Infrastructure for Collaborative Enterprises. Washington, DC, USA: IEEE Computer Society, 2007. (WETICE 07), p. 401408.. Disponvel em: <http://dx.doi.org/10.1109/WETICE.2007.160>. Acesso em: 10 jan. 2012. SKYPE. Does Skype use encryption? 2012. Disponvel em: <https://support.skype.com/enus/faq/FA31/Does-Skype-use-encryption>. Acesso em: 6 fev. 2012. STENOGRAPHY ORIGINAL. Photograph of tree. Wikipedia: the free encyclopedia. 23 dez. 2003. Disponvel em: <http://en.wikipedia.org/wiki/File:StenographyOriginal.png>. Acesso em: 23 mar. 2012. STENOGRAPHY RECOVERED. Wikipedia: the free encyclopedia. 23 dez. 2003. Disponvel em: <http://en.wikipedia.org/wiki/File:StenographyRecovered.png>. Acesso em: 23 mar. 2012. WILES, J.; CARDWELL, K.; REYES, A. The best damn cybercrime and digital forensics bookperiod. [S.l.]: Syngress, 2007.

Ps-graduao

129

Atividades de autoaprendizagem
1. Leia a seguinte passagem sobre o Stuxnet: Outro pesquisador da Symantec, especialista em engenharia reversa, comeou a descascar o worm. Ele descobriu que o Stuxnet continha 15 componentes e decodifica e extrai cada componente de acordo com sua necessidade, dependendo das condies que ele encontra na mquina infectada. Assinale a(s) tcnica(s) abaixo relacionadas antiforense computacional que puderam ser utilizadas para a criao do Tuxnet: ( ) Programao em Alto Nvel ( ) Criptografia ( ) Compactao ( ) Programao Forense ( ) Esteganografia 2. Assinale com V (verdadeiro) ou com F (falso) as afirmaes sobre antiforense computacional: ( ) Na esteganografia, quando uma mensagem escondida est dentro de um arquivo portador, basta retir-la para que ela possa ser lida. ( ) Um empregador tem o direito de analisar qualquer e-mail que um funcionrio utilize enquanto este est em seu local de trabalho. ( ) As tcnicas antiforense so empregadas para facilitar a ao dos investigadores. ( ) Felizmente a criptografia uma tcnica no utilizada em sistemas operacionais, facilitando a vida do investigador forense. ( ) Um keylogger uma ferramenta que pode ajudar a quebrar a segurana de uma mquina com discos criptografados. ( ) possvel enviar a senha de acesso de um banco para outra pessoa usando um e-mail com grande sigilo utilizando criptografia. ( ) Uma mensagem escondida em uma figura JPEG detectvel a olho n no momento em que apresentada em uma tela ou impressa.

Antiforense computacional

130

Atividades colaborativas
1. Em relao a apagar o contedo de discos magnticos com segurana, pesquise o que so esterilizao de mdias, os desmagnetizadores de disco rgido e a destruio fsica. Publique sua resposta na ferramenta Exposio. 2. Esconda uma mensagem dentro de um texto utilizando a ferramenta do stio www.spammimic.com e a envie para um colega por e-mail a fim de que este a descubra tambm utilizando a ferramenta. 3. Em http://www.javamex.com/tutorials/cryptography/rsa_key_length.shtml h um artigo em que o autor recomenda que a seguinte tabela (Figura Chave recomendada para preservao de arquivos confidenciais) seja utilizada para criptografar arquivos que contenham dados confidenciais. Por que essa recomendao? Pesquise para justificar sua resposta e publique na ferramenta Exposio.

Figura Chave recomendada para preservao de arquivos confidenciais Fonte: RSA key lengths [20].

Ps-graduao

131

Sntese
Como vimos nessa leitura, a Computao Forense pode ser muito comprometida na sua realizao por diversas tcnicas que podem ser intencionalmente utilizadas ou no. Com a evoluo dos sistemas operacionais, por exemplo, uma empresa pode determinar, por medida de segurana, que todos os seus computadores tenham seus dados protegidos por criptografia. Do ponto de vista de segurana de seus dados, seja em relao concorrncia, atividades de espionagem, ou qualquer uso indevido, ela estar mais segura, no entanto, caso a ocorrncia de um ato criminoso seja conduzido internamente, essa mesma segurana pode encobrir o que aconteceu e impedir a criao de uma linha do tempo e eventual levantamento forense de vestgios. Portanto, ao estabelecer medidas de segurana em uma empresa, a necessidade de prever situaes como essas e estabelecer medidas para facilitar uma investigao forense pode ser tambm considerada parte da poltica de segurana da empresa. Mais uma vez vale ter em mente que o preparo do investigador forense fundamental. Como medida proativa, o estudo constante de novas tcnicas de criptografia, proteo de sistemas operacionais, algoritmos e tcnicas de esteganografia deve ser uma constante na vida de um profissional da criminalstica. Mesmo tendo a chance de utilizar as mais modernas ferramentas que incluem diversas tcnicas de recuperao de dados, conhecer o que existe de tcnicas antiforense permite que o investigador saiba para onde apontar as ferramentas e saber exatamente o que esperar de retorno.

Saiba mais
Leia o artigo: Utilizao de tcnicas antiforenses para garantir a confidencialidade disponvel em http://www.ppgia.pucpr.br/~jamhour/Download/pub/RSS/MTC/ referencias/TCC%20-%20Gustavo%20Luis%20Barreto.pdf (Acesso em: 20 mar. 2012).

Antiforense computacional

Para concluir os estudos

Prezado (a) aluno (a), A inteno dessa disciplina foi mostrar o que possvel de ser alcanado com a Computao Forense e como ela pode complementar o arcabouo de proteo dos sistemas de informao presentes em uma empresa. Ela contribui para chamar a ateno para a necessidade de um profissional atentar para questes de aspecto jurdicos ao lidar com informaes de escopo pessoal. Tambm procura mostrar que essa ainda uma rea pouco sedimentada em nosso pas e com um grande potencial de atuao para o profissional que por ela se atrair. Logicamente que pela extenso do assunto, o que foi apresentado apenas a parte superior, ou menos ainda, do iceberg, mas que d uma boa amostra do que a rea possui e seus desafios.

Minicurrculo

Mauro Notarnicola Madeira Graduado e mestrado em Cincia da Computao. Doutorado em Engenharia de Produo, tendo defendido sua tese na rea de Ergonomia de Software aplicada WEB. Professor nos cursos de Cincia da Computao e de Sistemas de Informao nas disciplinas de Arquitetura de Computadores, C++, Java, Engenharia de Software, Comrcio Eletrnico e outras que envolvem programao. Tem experincia em desenvolvimento de sistemas de automao industrial e usurio de sistemas de cdigo aberto em seu dia a dia. Mantm o portal \url (http://inf.unisul.br), construdo ao redor de cdigo aberto. Mais informaes em \url (http://mmadeira.org).

Respostas e comentrios das atividades de autoaprendizagem e colaborativas

Unidade 1
1.
6, 3, 1, 8, 2, 7, 4, 5

2.
(F) Falso o material de trabalho da computao forense o vestgio digital. (F) Falso a computao forense ajuda a melhorar a segurana dos sistemas, mas o principal objetivo investigar os detalhes de uma invaso. (V) Verdadeiro servidores so geralmente invadidos para armazenar material usado com objetivos criminosos. (F) Falso mais de 60% dos ataques provm de funcionrios, conscientes ou no de sua ao. (F) Falso o investigador forense trabalha com perito e tem de ter um conhecimento profundo em computao, mas no existe uma formao obrigatria. (V) Verdadeiro embora o juiz no precise se basear no material para tomar decises, ele pode ser considerado. (V) Verdadeiro (V) Verdadeiro o computador pessoal, por ser barato, no incio continha apenas o necessrio para o trabalho individual. (V) Verdadeiro ao ser estudado o que aconteceu, os administradores de sistemas podem aprender a como melhorar a segurana dos sistemas da empresa. (V) Verdadeiro embora a segurana evolua, novos sistemas so criados e novas brechas so descobertas pelos criminosos, invalidando as protees atuais.

137

Unidade 2
1.
4, 5, 1, 6, 3, 7, 8, 2

2.
(F) Falso as tcnicas so muito parecidas, apenas variando no direcionamento dado em caso de uso em um processo judicial ou investigao policial. (F) Falso h uma srie de fontes, como contedo de memrias e informaes em rede etc. (V) Verdadeiro. (V) Verdadeiro. (F) Falso dependendo do sistema, diferentes tipos de procedimentos e ferramentas tm de ser utilizados. (F) Verdadeiro. (F) Falso o papel do investigador levantar vestgios que indicam se essa hiptese verdadeira ou no. (V) Verdadeiro.

3.
(F) Falso necessrio esterilizar a mdia para que resduos latentes no influenciem na investigao. (F) Falso o terceiro item deve ser dados temporrios. A memria secundria contm em sua maioria dados que se mantm depois do sistema desligado. (F) Falso o keylogger um programa que pode no existir mais no disco e apenas na memria do computador, por isso transiente. (V) Verdadeiro o arquivo pode estar criptografado e, ao se desligar a mquina, caso esteja aberto, ser difcil abri-lo sem a senha.

Ttulo da Disciplina

138

(V) Verdadeiro existem inclusive interfaces que fazem isso via hardware. (F) Falso no necessariamente. A mquina pode estar com ferramentas capazes de analisar o sistema de arquivos original. (F) Falso por menor que seja, sempre h uma modificao no estado da mquina. (V) Verdadeiro quanto mais a mquina for mexida, mas o estado da memria vai se alterando, podendo eliminar vestgios.

4.
6, 8, 10, 9, 1, 2, 7, 5, 4, 3

Unidade 3
1.
9, 6, 10, 7, 8, 1, 4, 3, 5, 2

2.
(F) Falso pode ser que numa investigao no seja necessrio tentar extrair dados de arquivos apagados, como no caso da deteco de acesso no autorizado, presente em logs do sistema. (V) Verdadeiro. (F) Falso apagar um disco no necessariamente apaga os dados do disco. (V) Verdadeiro uma esterilizao escreve geralmente zeros por todas as partes no alocadas a arquivos de um disco. (V) Verdadeiro a fragmentao aumenta a chance de o sistema j ter realocado blocos que faziam parte do arquivo. (F) Falso ela uma tcnica que procura recriar um arquivo a partir de blocos de dados no alocados em um disco.

Ps-graduao

139

(V) Verdadeiro pode ainda no disco existir informaes de comeo e fim de arquivos. (V) Verdadeiro. (F) Falso se o processo no for automatizado, o tempo de anlise e extrao muito extenso, inviabilizando o processo. (F) Falso um disco nessas condies possui mais possibilidade de ter arquivos no fragmentados, facilitando a extrao.

Unidade 4
1.
Criptografia e Esteganografia

2.
(F) Falso essa mensagem ainda pode estar criptografada, necessitando de um passo adicional para que ela seja revelada. (F) Falso ele s pode analisar contas fornecidas pelo empregador. (F) Falso elas existem para dificultar as aes. (F) Falso cada vez mais ela utilizada como segurana nos sistemas operacionais. (V) Verdadeiro. (V) Verdadeiro o mesmo princpio empregado quando se acessa um banco online. (F) Falso a mensagem pode se aproveitar de bits que no fazem diferena ou muito pouca diferena no resultado final da figura.

Ttulo da Disciplina

Referncias

7SAFE E METROPOLITAN POLICE SERVICE UK. E-Crime: good practice and advice guide for managers of e-crime investigations. 2011. Disponvel em: <http://www.acpo.police.uk/ documents/crime/2011/201103CRIECI14.pdf>. Acesso em: 9 jan. 2012. ALTHEIDE, C.; CARVEY, H.; DAVIDSON, R. Digital forensics with open source tools: using open source platform tools for performing computer forensics on target systems: Windows, Mac, Linux, Unix, Etc. Elsevier Science, 2011. (Syngress Media). Disponvel em: <http://books.google.ca/books?id=J8h8VWUmDuYC>. Acesso em: 10 jan. 2012. BARBARA, J. J. Handbook of digital and multimedia forensic evidence. 1st. ed. [S.l.]: Humana Press, 2007. BRASIL. Cdigo de processo civil. L-005.869-1973. art. 839 a 843. 1973. Disponvel em: <http://www.dji.com.br/codigos/1973_lei_005869_cpc/cpc0839a0843.htm>. Acesso em: 9 jan. 2012. ______. Lei n 9.296, de 24 de julho de 1996. Regulamenta o inciso XII, parte final, do art. 5 da Constituio Federal. Disponvel em: <http://www.planalto.gov.br/ccivil_03/Leis/ L9296.htm> Acesso em: 24 jan. 2012. BUSINESS Dictionary. Downsizing. 2011. Disponvel em: <http://www.businessdictionary. com/definition/downsizing.html>. Acesso em: 12 dez. 2011. CERUZZI, P. E. A history of modern computing. Cambridge, MA, USA: MIT Press, 1998. COOPER, P.; FINLEY, G. T.; KASKENPALO, P. Towards standards in digital forensics education. In: CLEAR, A.; DAG, L. R. (eds.). ITiCSE-WGR 10: Proceedings of the 2010 ITiCSE working group reports. New York, NY: ACM, 2010. p. 87-95. Disponvel em: <http://doi.acm.org/10.1145/1971681.1971688>. Acesso em: 12 jan. 2012. DIGITAL INTELLIGENCE. Mastering the science of digitalforensics. Ultrablock. [20]. Disponvel em: <http://www.digitalintelligence.com/products/ultrablock_esata_idesata_ro>. Acesso em: 23 mar. 2012. EVIDENCE bag. Adventures in security [ 20 ]. Disponvel em: <http://adventuresinsecurity.com/images/Evidence_Bag.jpg>. Acesso em: 23 mar. 2012. FESTA, P. Can PC sleuths undo Enron shredding? 2002. Disponvel em: <http: //www.zdnet. com/news/can-pc-sleuths-undo-enron-shredding/120514>. Acesso em: 22 nov. 2011.

142

FIGG, W.; ZHOU, Z. A computer forensics minor curriculum proposal. J. Comput. Small Coll., Consortium for Computing Sciences in Colleges, USA, v. 22, p. 3238, Abril 2007. Disponvel em: <http://dl.acm.org/citation.cfm?id=1229637.1229642>. Acesso em: 10 jan. 2012. FORENSICZONE. FootPrint. 2008. Disponvel em: <http://forensiczone.blogspot. com/2008/06/winenexe-ram-imaging-tool-included-in.html>. Acesso em: 23 mar. 2012. GROSS, M. J. A Ddclaration of cyber-war. 2011. Disponvel em: <http://www.vanityfair. com/culture/features/2011/04/stuxnet-201104?printable=true>. Acesso em: 3 jan. 2012. HAMMERSTEIN, J.; MAY, C. The CERT approach to cybersecurity workforce development. Estados Unidos: Carnegie Mellon University, 2010. Disponvel em: <http://www.sei.cmu.edu>. Acesso em: 3 jan. 2012. HONG, J. The state of phishing attacks: looking past the systems people use, they target the people using the systems. Communications of the ACM, v. 55, n. 1, p. 7481, jan. 2012. IBM. Resource access control facility. 2008. Disponvel em: <http://www-03.ibm.com/ systems/z/os/zos/features/racf/>. Acesso em: 13 nov. 2011. JEITA. Exchangeable image file format for digital still cameras: exif version 2.2. 2002. Disponvel em: <http://www.exif.org/Exif2-2.PDF>. Acesso em: 3 jan. 2012. KLOET, B. Advanced file carving: how much evidence are you ignoring. 2010. Disponvel em: <http://computer-forensics.sans.org/summit-archives/2010/files/eu-digitalforensics-incident-response-summit-bas-kloet-advanced-file-carving.pdf>. Acesso em: 15 nov. 2011. KORNBLUM, J. D. Preservation of fragile digital evidence by first responders. In: Proceedings of the Digital Forensic Workshop. [s.n.] 8 ago. 2002. Disponvel em: <http://dfrws.org/2002/papers/Papers/Jesse_Kornblum.pdf>. Acesso em: 10 jan. 2012. LEUNG, C.-M.; CHAN, Y.-Y. Network forensic on encrypted peer-to-peer voip traffics and the detection, blocking, and prioritization of skype traffics. In: Proceedings of the 16th IEEE International Workshops on Enabling Technologies: Infrastructure for Collaborative Enterprises. Washington, DC, USA: IEEE Computer Society, 2007. (WETICE 07), p. 401408. Disponvel em: <http://dx.doi.org/10.1109/WETICE.2007.160>. Acesso em: 10 jan. 2012. LIU, D.; VARSALONE, J. Cisco router and switch forensics: investigating and analyzing malicious network activity. Burlington: Elsevier, 2009. LOG2TIMELINE smile visual timeline. 2009. Disponvel em: <http://log2timeline.net/visual.html>. Acesso em 23 mar. 2012. MIKUS, N. An analysis of disc carving techniques. 2005. Disponvel em: <http://handle.dtic.mil/100.2/ADA432468>. Acesso em: 2 jan.2012.

Ps-graduao

143

MILAGRE, J. A. Percia digital e computao forense: carreira amadurece no Brasil. 2010. Disponvel em: <http://revistavisaojuridica.uol.com.br/ advogados-leisjurisprudencia/47/imprime170142.asp>. Acesso em: 3 jan. 2012. MITNICK, K. D.; SIMON, W. L. The art of intrusion: the real stories behind the exploits of hackers. Intruders and Deceivers. [S.l.]: Wiley, 2005. MORAES, F. S. A legalidade do monitoramento pelo empregador dos e-mails de seus empregados. 2 ago. 2011. Disponvel em: <http://www.cka.com.br/artigos/texto/14>. Acesso em: 25 jan. 2012. NATIONAL INSTITUTE OF JUSTICE. Digital Evidence Investigative Tools. 2010. Disponvel em: <http://nij.gov/nij/topics/forensics/evidence/digital/investigative-tools/welcome. htm>. Acesso em: 10 jan. 2012. NATIONAL INSTITUTE OF JUSTICE. Electronic crime scene investigation: a guide for first responders. U.S. Dept. of Justice, Office of Justice Programs, National Institute of Justice - Estados Unidos, 2001. (NIJ guide). Disponvel em: <http://books.google.ca/ books?id=MozcgnfZL7UC>. Acesso em: 3 jan. 2012. NEW YORK COMPUTER FORENSIC SERVICES. The computer forensic examination process. 2011. Disponvel em: <http://www.newyorkcomputerforensics.com/learn/forensics_ process.php>. Acesso em: 10 jan.2012. OPPENHEIMER, P. Computer forensics: seizing a computer. [20]. Disponvel em: <http:// www.priscilla.com/forensics/ComputerSeizure.html>. Acesso em: 10 jan. 2012. PHILIPP, A.; COWEN, D.; DAVIS, C. Hacking exposed computer forensics. 2. ed. [S.l.]: McGraw-Hill Osborne Media, 2009. PROSISE, C.; MANDIA, K.; PEPE, M. Incident response and computer forensics. 2. ed. [S.l.]: McGraw-Hill/Osborne, 2003. SCHNEIER, B. The story behind the stuxnet virus. 2010. Disponvel em: <http://www.forbes.com/2010/10/06/iran-nuclear-computer-technology-securitystuxnet-worm.html>. Acesso em: 12 dez. 2011. SCHWARTZ, M. J. Stuxnet Iran attack launched from 10 machines. 2011. Disponvel em: <http://www.informationweek.com/news/security/229218562>. Acesso em: 6 dez. 2011. SHELDON, Tom; BIG SUR MULTIMEDIA. SNA: Systems Network Architecture. 2001. Disponvel em: <http://www.linktionary.com/s/sna.html>. Acesso em: 25 nov. 2011. SKYPE. Does Skype use encryption? 2012. Disponvel em: <https://support.skype.com/enus/faq/FA31/Does-Skype-use-encryption>. Acesso em: 6 fev. 2012. SNORT users manual. 2011. Disponvel em: <http://manual.snort.org/snort_manual. html>. Acesso em: 10 dez. 2011.

Ttulo da Disciplina

144

STENOGRAPHY ORIGINAL. Photograph of tree. Wikipedia: the free encyclopedia. 23 dez. 2003. Disponvel em: <http://en.wikipedia.org/wiki/File:StenographyOriginal.png>. Acesso em: 23 mar. 2012. STENOGRAPHY RECOVERED. Wikipedia: the free encyclopedia. 23 dez. 2003. Disponvel em: <http://en.wikipedia.org/wiki/File:StenographyRecovered.png>. Acesso em: 23 mar. 2012. SYMANTEC. Symantec internet security threat report: trends for 2010. 2011. Disponvel em: <https://www4.symantec.com/mktginfo/downloads/21182883_GA_REPORT_ISTR_ Main-Report_04-11_HI-RES.pdf>. Acesso em: 27 nov. 2011. ______. W32. Duqu: the precursor to the next Stuxnet. 2011. Disponvel em: <http://www.symantec.com/content/en/us/enterprise/media/security_response/ whitepapers/w32_duqu_the_precursor_to_the_next_stuxnet.pdf>. Acesso em: 4 jan. 2012. ______. W32. Stuxnet. 2010. Disponvel em: <http://www.symantec.com/security_ response/writeup.jsp?docid=2010-071400-3123-99>. Acesso em: 4 jan. 2012. TRCEK, D. et al. Advanced framework for digital forensic technologies and procedures. Journal of Forensic Sciences, Blackwell Publishing Ltd, v. 55, n. 6, p. 14711480, 2010. Disponvel em: <http://dx.doi.org/10.1111/j.1556-4029.2010.01528.x>. Acesso em: 12 jan. 2012. WILES, J.; CARDWELL, K.; REYES, A. The best damn cybercrime and digital forensics bookperiod. [S.l.]: Syngress, 2007. WILLIAMS, M. Sony apologizes, details PlayStation Network attack. 2011. Disponvel em: <http://www.computerworld.com/s/article/9216311/Sony_apologizes_details_ PlayStation_Network_attack>. Acesso em: 27 nov. 2011. WOLFS, F. L. H. APPENDIX E: Introduction to the scientific method. 2007. Disponvel em: <http://teacher.pas.rochester.edu/phy_labs/appendixe/appendixe.html>. Acesso em: 3 jan. 2012. WRIGHT, T. E. Field guide part one. 2010. Disponvel em: <http://www.symantec.com/ connect/articles/field-guide-part-one>. Acesso em: 1 dez. 2011. YIN, S. 7 hackers who got legit jobs from their exploits. 2011. Disponvel em: <http://www.linktionary.com/s/sna.html>. Acesso em: 27 nov. 2011. ZETTER, K. How digital detectives deciphered Stuxnet: the most menacing malware in history. 2011. Disponvel em: <http://www.wired.com/threatlevel/2011/07/how-digitaldetectives-deciphered-stuxnet/all/1>. Acesso em: 6 dez. 2011.

Ps-graduao

Anexo

146

Formulrio de coleta de vestgio

Caso No. USE LETRA DE FORMA PARTE 1: Coleta de Vestgio H H R Endereo da coleta E C E P T O R Parte 2: Armazenamento e Detalhes do vestgio D D M M A A Data e Hora D D M M A A Data e Hora

Vestgio No.

Digital Forensics Lab

:M

Coletado por:

H H M M R Local do Armazenamento E C Tipo de Dispositivo Capacidade E P Fabricante Modelo T O No. de Srie R MD5 Sum SHA-1 Sum

Informaes adicionais (Anote qualquer dano, arranho, etc.) Parte 3: Detalhes da Cpia Date e Hora D D M M A A H H E C E P T O R

Realizada cpia?

Sim

No

M M

Realizada por:

Local de Armazenamento Nome do arquivo imagem

Tamanho

Outros detalhes:

Este formulrio para ser usado quando um dispositivo de hardware contendo dados apreendido. Instrues:

Use apenas um formulrio por dispositivo Preencha a cadeia de custdia Aps a devoluo do dispositivo, preencha a parte 5 Este formulrio deve acompanhar permanentemente o dispositivo

Ps-graduao

147

Formulrio de coleta de vestgio

Digital Forensics Lab

Parte 4: Anotaes

Parte 5: Devoluo / Descarte Data e Hora

Enviado por: Recebido por: Testemunha:

Assinatura Assinatura Assinatura

Ttulo da Disciplina

148

Cadeia de Custdia
Pg. No. Caso No.

Digital Forensics Lab

Vestgio No.

Este formulrio deve acompanhar apenas um dispositivo

Cadeia de Custdia
Emissor Nome: Assinatura: Data e Hora: Emissor Nome: Assinatura: Data e Hora: Emissor Nome: Assinatura: Data e Hora: Emissor Nome: Assinatura: Data e Hora: Emissor Nome: Assinatura: Data e Hora: Emissor Nome: Assinatura: Data e Hora: Emissor Nome: Assinatura: Data e Hora: Efetuada Modificao: Sim / No Efetuada Modificao: Sim / No Efetuada Modificao: Sim / No Efetuada Modificao: Sim / No Efetuada Modificao: Sim / No Efetuada Modificao: Sim / No Efetuada Modificao: Sim / No Receptor Nome: Assinatura: Data e Hora: Receptor Nome: Assinatura: Data e Hora: Receptor Nome: Assinatura: Data e Hora: Receptor Nome: Assinatura: Data e Hora: Receptor Nome: Assinatura: Data e Hora: Receptor Nome: Assinatura: Data e Hora: Receptor Nome: Assinatura: Data e Hora: Efetuada Modificao: Sim / No Efetuada Modificao: Sim / No Efetuada Modificao: Sim / No Efetuada Modificao: Sim / No Efetuada Modificao: Sim / No Efetuada Modificao: Sim / No Efetuada Modificao: Sim / No

Se necessrio, adicione nova pgina

Ps-graduao