Autopsy
Autopsy
Autopsy
Em abril de 2004, a polícia civil de Sorocaba foi levada, após uma denúncia anônima, até
a casa de um executivo, o qual estaria abusando de duas crianças. Na ocasião, o suspeito foi
preso, um computador e um notebook foram apreendidos.
Numa análise preliminar realizada pelos policiais que atenderam a ocorrência, observou-
se uma aparente ausência de imagens comprometedoras. As crianças, bem como seus
responsáveis, negaram a existência de qualquer situação que orientasse o autor à prática de
algum crime envolvendo atividade sexual com crianças.
Até aquela ocasião não utilizávamos uma metodologia específica na análise de mídias
computacionais envolvendo pedofihia. Estávamos concluindo um estudo sobre sistemas de
arquivos, mas não havia uma convergência para algum método em especial. Um pacote de
ferramentas, na forma de linha de comando, era muito comentada em uma Universidade do
interior do Estado de São Paulo, a qual chamou a atenção pela sua simplicidade.
Um sistema de arquivos busca gerenciar o modo como eles serão estruturados, nomeados,
acessados e protegidos. É certo que todo aplicativo precisa armazenar e recuperar uma
quantidade cada vez maior de informações, elas precisam permanecer integras e muitas vezes
são acessadas simultaneamente por múltiplos processos do sistema.
Segundo Brian Carrier, em sua obra File System Forensic Analysis, podemos examinar
um sistema computacional de duas formas:
§ Live Analysis: exame com o sistema instalado, risco de alterar o estado de informações
armazenadas, como a data de acesso de um arquivo por exemplo;
§ Dead Analysis: exame realizado normalmente a partir da retirada da mídia e feito a
partir de aplicativos forenses, a análise é realizada a partir de uma imagem do sistema;
Neste trabalho, debruçados em um caso real de pedofilia atendido na cidade de Sorocaba,
ilustraremos as características dos principais sistemas de arquivos da Microsoft, buscando
estabelecer uma metodologia de investigação e perícia, na coleta e interpretação de evidências
provenientes de mídias computacionais.
O modelo FAT foi criado pela Microsoft. Já nas primeiras versões do sistema operacional
denominado MS-DOS, a empresa se deparou com um crescente aumento de capacidade dos
discos rígidos. Um primeiro tipo de sistema de arquivo persiste até hoje em disquetes. AFAT12
e endereçar 4096 clusters. À medida que novas tecnologias de armazenamento foram surgindo,
a FAT evoluiu para FAT16 e em seguida para FAT32.
A evolução da FAT, em síntese, buscou atender o aumento da capacidade de
armazenamento das unidades. AFAT1 6 continua no mercado, agora em mídias removíveis
como cartões de memória de câmeras fotográficas e celulares, pen drives e tantos outros.
A menor unidade de armazenamento de uma mídia computacional comporta 512 bytes,
isto quer dizer que um arquivo de 4 bytes ocupará um bloco de 512 bytes. O modelo
desenvolvido pela Microsoft agrupa estes setores em unidades denominadas “clusters”. A idéia
é administrar um número menor de endereços. A tabela abaixo ilustra quantos setores por
cluster são utilizados. O número de setores é definido de acordo com o tamanho da unidade.
360K 12-BIT 2 1K
720K 12-BIT 2 1K
2.88MB 12-BIT 2 1K
0MB – 15MB 12-BIT 8 4K
Setores de 512bytes —
Cluster -
3.1.1. Estrutura
Entrada de diretório
4.000 Cluster 12
Texto.txt
bytes
Clusters
Cluster 12
13
EOF
Cluster 13
Em síntese, a FAT é usada para apontar qual será o próximo cluster de um arquivo e
também para identificar seu status. A maior diferença entre as três versões de FAT (FAT12,
FAT16 e FAT32) está no número de clusters administrados pela tabela.
Em futuros cursos de formação para Peritos Criminais, bem como todas carreiras
policiais, pretendo impor a necessidade de se compreender o que a bibliografia forense
computacional denomina cenários forenses: alocação, deleção e recuperação de arquivos.
No passado, fomos usuários de aplicativos domésticos como unerase. Atualmente,
conhecemos as principais estratégias de armazenamento, podendo desta forma avaliar com
segurança a eficiência e funcionamento de ferramentas forenses.
Este estudo ocuparia dezenas de páginas que precisam ser escritas e compartilhadas,
fugindo infelizmente do escopo deste trabalho. Contudo, já deixando o recado de que um perito
oficial não poderá fazer uma análise de uma mídia computacional sem antes conhecer todos
meandros da informação da alocação a deleção.
O pacote de aplicativos Sleuth Kit criado por Brian Carrier, identificado como TSK,
surgiu no cenário forense em meados de 2001. Composto por uma coleção de vinte ferramentas,
disponibilizadas ao usuário na forma de linha de comando, permite a análise física de um disco,
bem como o estudo de imagens de sistemas de arquivos.
O uso eficiente destes aplicativos implica um profundo conhecimento dos principais
sistemas de arquivos. Poucos profissionais no mundo forense conseguiriam obter um uso
satisfatório destas ferramentas. Desta forma, visando facilitar o uso forense, Brian Carrier
disponibilizou o Autopsy, um front end que executa internamente os principais comandos do
TSK. Informações detalhadas dos aplicativos, bem como downloaded das últimas versões,
podem ser obtidas através do site http://www.sleuthkit.org.
Poderíamos discutir de forma intensa os comandos disponibilizados pelo TSK. Na
verdade, o front end Autopsy automatizou os processos, transformando o trabalho do perito em
algo simples e principalmente muito prático e amigável.
A análise de uma mídia computacional pode ser feita de duas formas: instalando o
aplicativo em uma estação de trabalho ou posto em um cd bootável, como no F.I.R.E., por
exemplo. Em nosso caso fizemos uso do TSK em uma estação de trabalho.
O professor de informática da Academia de Polícia de São Paulo, Carlos Henrique
AntunesTapareli, em recente participação em um Congresso de Informática na Coréia, relata
que a ferramenta é uma realidade em grande parte do planeta. No Brasil temos pouca
documentação entre os peritos oficiais. É importante perceber que estamos falando de um
pacote de aplicativos poderoso que ainda não faz parte do dia-a-dia da comunidade pericial
oficial, pelo menos no Estado de São Paulo.
O fato do TSK não operar no ambiente Windows pode ter sido o limitador de sua
popularidade. O ambiente de origem da ferramenta em Linux causa uma certa insegurança.
Nosso estudo partiu de um caso de pedofilia em que o autor acreditava ter sido capaz de
esconder fotos tiradas de uma câmera digital e armazenadas em um arquivo compactado. Por
estar em andamento, vamos preservar nomes.
Chamou a atenção da perícia a ousadia, em utilizando o winzip, armazenar dezenas de
imagens com senha e ter a absoluta certeza que não seríamos capazes de revelar o conteúdo das
imagens.
Já tínhamos vivido uma situação semelhante em São Paulo, na ocasião do seqüestro de
Washington Olivetto, um caso importante envolvendo criptografia e esteganografia. Desta vez,
constatamos uma grande quantidade de imagens em um arquivo no formato zip.
Quando da perícia, observamos que não tínhamos imagens deletadas. Desta forma,
aplicativos domésticos não surtiriam efeito algum. A idéia era aplicar a busca por arquivos não
alocados, isto é, sem nenhuma referência, resíduos deixados para trás em arquivos temporários,
quando da visualização ou momentos antes de serem coletados no winzip.
O aplicativo Autopsy possui a opção de rastrear todo o disco rígido em busca de conteúdo
alocado, deletado e não alocado, o que implica dizer que mesmo arquivos residuais seriam
recuperados, evidentemente sem nome ou qualquer referência de seus metadados.
O resultado leva algumas horas para se delinear, Contudo, o que obtivemos foram mais de
trinta mil imagens que puderam ser visualizadas em um formato semelhante a uma página web.
Destas imagens, pelo menos três mil correspondiam a crianças em cenas no mínimo
humilhantes.
Chama a atenção o uso de um aplicativo sem qualquer custo, sem documentação na
perícia oficial, capaz de resultados surpreendentes. Contudo, mais uma vez se observa a
necessidade de um estudo aprimorado dos chamados cenários forenses.
______________________________________________________________________
Referências Bibliográficas
CASEY, Eoghan. Handbook of Computer Crime Investigation. 2. ed. San Diego/ California:
Academic Press, 2002.
CARRIER, Brian. File System ForensicAnalysis. s.c.: Addison Wesley, 2005.
FARMER, Dan; \ÏENEMA, Wietse. Forensic CornputerAnalysis: An Introduction. Dr. Dobb’s
Journal. Setembro, 2000.
GARFINKEL e SPAFFORD. Comércio & Segurança na Web. São Paulo: Market Press,
1999
N. MURILO K. Steding-Jessen. Métodos para a Detecção Local de Rootkits e Módulos de
Kernel Maliciosos em Sistemas Unix, Anais do 3o. Simpósio sobre Segurança em
Informática. SSI2001, São José dos Campos/São Paulo, Novembro de 2001, pp.l33-139.
NOBLETT, Michael G.; POLLITT, Mark M.; PRESLEY, Lawrence A. Recovering and
Examining Computer Forensic Evidence. Forense Science Communications, Federal Bureau
oflnvestigation, No. 4, outubro 2000, vol. 2.
KAMINSKI, Ornar. Internet Legal. s.c.: Juruá, 2003
PAINE, Stephen. Criptografia e Segurança. Rio de Janeiro: Campus, 2002.
PIRES, Paulo 5. da Mota. Forense Computacional: uma proposta de Ensino. Universidade
Federal do Pará, novembro 2003.
Webgrafia
http:Ilwww.fbi.gov
http://www.htcia.org
http:Ilwww. nic.br/nbso.html http:llwww.cais.rnp.br