DIONISON JARDIM FRANA EMANUEL FILIPE DE SOUZA SILVA

FORENSE COMPUTACIONAL: ANTIANLISE FORENSE POR MEIO DA OCULTAO.

Belo Horizonte 2012

DIONISON JARDIM FRANA EMANUEL FILIPE DE SOUZA SILVA

FORENSE COMPUTACIONAL: ANTIANLISE FORENSE POR MEIO DA OCULTAO.

Trabalho de concluso de curso apresentado Faculdade de Belo Horizonte da Anhanguera Educacional, como requisito parcial obteno do grau de Bacharel em Sistemas de Informao.

Orientador: Lindenberg Naffah Ferreira

Belo Horizonte 2012

DIONISON JARDIM FRANA EMANUEL FILIPE DE SOUZA SILVA

FORENSE COMPUTACIONAL: ANTIANLISE FORENSE POR MEIO DA OCULTAO.

Trabalho de concluso de curso apresentada banca examinadora da Faculdade de Belo Horizonte da Anhanguera Educacional, como requisito parcial obteno do grau de Bacharel em Sistemas de Informao sob a orientao do professor Mestre Lindenberg Naffah Ferreira. Aprovada em 05 de julho de 2012

BANCA EXAMINADORA ___________________________________________ Prof. Flvia Rodrigues Cantagalli Faculdade Anhanguera. ___________________________________________ Prof. Rodrigo de Matos Vargas Faculdade Anhanguera ___________________________________________ Prof. Lindenberg Naffah Ferreira Faculdade Anhanguera

Dedicamos esse trabalho a nossas famlias pelo apoio que nos proporcionaram. Aos professores Lindenberg Naffah Ferreira e Zilma Gusmo pela ajuda da concretizao deste trabalho e aos nossos amigos pelo incentivo e a todos aqueles que colaboraram para a concluso deste trabalho, direta ou indiretamente.

RESUMO Em virtude do grande aumento no uso dos computadores, da Internet e do avano da tecnologia da informao, os peritos da forense computacional encontram cada vez mais dificuldades para analisar e coletar informaes. Isso ocorre, em boa parte, pela disseminao das informaes acerca dos mtodos de trabalho dos peritos de forense computacional, bem como acerca das ferramentas que utilizam para identificar os autores de crimes digitais. Esse conjunto de tcnicas e ferramentas conhecido como Anlise Forense. Essa disciplina tem se popularizado, face disponibilidade de ferramentas e tcnicas que viabilizaram sua utilizao. Contudo, sua popularizao resultou no conhecimento de seus modus operandi por praticantes de crimes digitais, que buscam uma maneira de burlar os peritos que recorrem Forense Computacional. Esses criminosos procuram evitar que os vestgio de seus ataques possam ser identificados pelos peritos que empregam anlise forense, procurando, assim, impedir que sejam civil e/ou criminalmente responsabilizados por seus atos. O principal objetivo deste trabalho apresentar as tcnicas empregadas por aqueles que tentam evitar que seja realizada uma percia forense, empregando mtodos denominados de Antianlise Forense, contrastando-os com as tcnicas da Anlise Forense tradicional.

Palavras-chaves: Forense Computacional, Anlise Forense, Perito Digital, Crimes Virtuais, Segurana da Informao.

ABSTRACT Because of the large increase in the use of computers, the Internet and the advancement of information technology, computer forensics experts are facing increasing difficulties in analyzing and gathering information. This is, in part, as a consequence of information dissemination about the working methods of computer forensics experts, as well as about the tools they use to identify the perpetrators of computer crime. This discipline has become popular, by virtue of the availability of tools and techniques that enabled its use. But its popularity has resulted in knowledge of their modus operandi by practitioners of digital crime, seeking a way to circumvent the experts who make use of Computer Forensics. These criminals make effort to avoid that the traces of his attacks can be identified by forensic experts, as well, as to prevent civil and/ or criminal liability for their acts. The main objective of this paper is to present the techniques used by those trying to prevent forensic, analysis using methods called "AntiForensic Analysis", contrasting them with the techniques of traditional forensic analysis. .

Keywords: Computer Forensics, Forensic Analysis, Expert Digital, Virtual Crimes, Information Security.

LISTA DE FIGURAS Figura 1 Terminologia dos programas Maliciosos .................................................. 27 Figura 2 - Quantitativo do uso das tcnicas antiforense ............................................ 35 Figura 3 - Ciclo de investigao forense ................................................................... 38 Figura 4 - Fita de Isolamento de permetro ............................................................... 39 Figura 5 Sacola Especial para Evidncias ............................................................. 40 Figura 6 Relatrio de evidncias ............................................................................ 42 Figura 7 CallerIP .................................................................................................... 44 Figura 8 - FDTK-UbuntuBr ........................................................................................ 45 Figura 9 HELIX ....................................................................................................... 46 Figura 10 EnCase .................................................................................................. 47 Figura 11 FTK 4 ...................................................................................................... 48 Figura 12 Cerberus ................................................................................................ 49 Figura 13 Escolha do tipo de criptografia no TrueCrypt ....................................... 600 Figura 14 Exemplo de ocultao de uma mensagem usando esteganografia ....... 62 Figura 15 Menu Invisible Secrets 4 ........................................................................ 63 Figura 16 - Visualizao da pasta criada ................................................................ 644 Figura 17 Acessando a pasta criada ...................................................................... 65 Figura 18 Criao do arquivo ads.txt .................................................................... 655 Figura 19 Contedo do arquivo ads ..................................................................... 655 Figura 20 Tamanho do arquivo ads ........................................................................ 66 Figura 21 Criao do arquivo secreto .................................................................. 666 Figura 22 Contedo arquivo secreto ...................................................................... 67 Figura 23 Formao do Slack Space ..................................................................... 68

LISTA DE TABELAS

Tabela 1 Crimes Cibernticos no Brasil e no Mundo ............................................. 23 Tabela 2 Tabela de Formas de Eliminao de Arquivos ........................................ 56

LISTA DE ABREVIATURAS E SIGLAS

ADS BIT CEPLAN DDoS DRP DLL FAT FTDK FTK IP LKM MD5NTFS RAM SHA-1 SHA-2 USB VSITR

Alternate Data Streams Binary Digit Centro Educacional do Planalto Norte Distribuited Denial of Service Disaster Recovery Plan Dynamic Link Library File Allocation Table Forense Digital Tookit Forense Toolkit Internet Protocol Loaded Kernel Modules Message-Digest Algorithm 5 New Technology File System Random Access Memory Secure Hash Algorithm 1 Secure Hash Algorithm 2 Universal Serial Bus Verschlusssachen-IT-Richtlinien

SUMRIO
1 INTRODUO ....................................................................................................... 11 2 REFERENCIAL TERICO..................................................................................... 14 2.1 SEGURANA DA INFORMAO ............................................................................. 14 2.1.1 GARANTINDO A DISPONIBILIDADE DOS RECURSOS .............................................. 15 2.1.2 GARANTINDO A INTEGRIDADE DA INFORMAO .................................................. 16 2.1.3 GARANTINDO A CONFIDENCIALIDADE DA INFORMAO ....................................... 16 2.1.4 AMEAAS ....................................................................................................... 17 2.1.5 VULNERABILIDADES ........................................................................................ 18 2.1.6 TIPOS DE ATAQUES ......................................................................................... 19 2.2 CINCIA FORENSE .............................................................................................. 20 2.3 FORENSE COMPUTACIONAL ................................................................................ 20 2.4 CRIMES CIBERNTICOS (CYBERCRIME) ................................................................ 21 2.4.1 CRIMES ESPECIALIZADOS MAIS COMUNS............................................................ 22 2.4.2 COMPARAO DE CRIMES CIBERNTICOS NO BRASIL COM O MUNDO................... 23 2.5 OS POTENCIAIS ATACANTES ................................................................................ 23 2.5.1 AS PRAGAS MAIS COMUNS EXISTENTES ............................................................. 26 2.6 PENALIDADE PARA OS CRIMINOSOS ..................................................................... 29 2.6.1 LEI EDUARDO AZEREDO .................................................................................. 29 2.6.2 ALGUNS ARTIGOS DO CDIGO PENAL APLICADOS A CRIMES DE INFORMTICA ...... 30 2.6.3 ARTIGOS DO CDIGO DE PROCESSO PENAL ...................................................... 31 2.7 ANLISE FORENSE ............................................................................................. 31 2.7.1 TCNICAS PERICIAIS........................................................................................ 32 2.7.2 ANLISE FSICA .............................................................................................. 33 2.7.3 ANLISE LGICA ............................................................................................. 33 2.8 A CINCIA ANTIANLISE FORENSE...................................................................... 34 2.9 ANALISTA FORENSE OU PERITO DIGITAL .............................................................. 35 2.9.1 ATUAO DO PERITO DIGITAL NO CENRIO ATUAL............................................. 36 2.9.2 FORMAO DO PERITO DIGITAL ....................................................................... 37 2.9.3 CICLO DE UMA INVESTIGAO .......................................................................... 37 2.9.3.1 COLETA ....................................................................................................... 38

2.9.3.2 CADEIA DE CUSTDIA ................................................................................... 41 2.9.4 FERRAMENTAS DE ANALISE FORENSE .............................................................. 42 3 ANTIANLISE FORENSE ..................................................................................... 50 3.1 FERRAMENTAS ANTIANLISE FORENSE ............................................................... 50 3.2 CLASSIFICAO DAS TCNICAS DA ANTIFORENSE COMPUTACIONAL ..................... 50 3.2.1 DESTRUIO DE EVIDNCIAS ........................................................................... 51 3.2.1.1 DESMAGNETIZAO ..................................................................................... 52 3.2.1.2 DESTRUIO FSICA ..................................................................................... 52 3.2.2 OCULTAO ................................................................................................... 52 3.2.3 ELIMINAO DAS FONTES DE EVIDNCIAS .......................................................... 53 3.2.3.1 PADRO DO DEPARTAMENTO DE DEFESA DOS ESTADOS UNIDOS 5220.22-M .. 53 3.2.3.2 PADRO ALEMO BSI VERSCHLUSSSACHEN-IT-RICHTLINIEN (VSITR) ............ 54 3.2.3.3 ALGORITMO DE BRUCE SCHNEIER ............................................................... 544 3.2.3.4 ALGORITMO DE PETER GUTMANN .................................................................. 55 3.2.4 FALSIFICAO DE EVIDNCIAS.......................................................................... 57 3.3 TCNICAS DE OCULTAO DE DADOS ................................................................ 577 3.3.1 CRIPTOGRAFIA ................................................................................................ 58 3.3.2 ESTEGANOGRAFIA ......................................................................................... 600 3.3.3 ESCONDENDO DADOS GENRICOS ................................................................. 633 3.3.4 ALTERNATE DATA STREAMS ADS ................................................................. 63 3.3.5 SLACK SPACE ............................................................................................... 677 3.3.6 ROOTKITS ....................................................................................................... 69 3.4 TCNICAS DE INVASO ....................................................................................... 70 4 CONSIDERAES FINAIS ................................................................................... 72 5 REFERNCIAS BIBLIOGRFICAS ...................................................................... 74

1 INTRODUO

Devido ao aumento exponencial da utilizao de computadores e da Internet nos ltimos anos, cada dia mais as pessoas esto utilizando a rede mundial de computadores, em virtude das facilidades que ela oferece. Com isso, hoje em dia, a maioria das relaes tornaram-se informatizadas, passando-se, assim, a realizar certas aes como pagamento de contas, declarao de imposto de renda e at mesmo consultas e transaes financeiras pela Internet. A insero de um grande contingente de usurios na Internet levou ao surgimento de pessoas com intenes criminosas, alguns deles com conhecimentos de computao, conhecidos como crackers. Esses potenciais criminosos esto cientes de que h muitos usurios leigos da Internet, que desconhecem a melhor forma de se comportar no mundo virtual e que acabam se tornando vitimas de golpes virtuais conhecidos como crimes cibernticos. Alguns desses atacantes utilizam as tcnicas antianlise forense para remover quaisquer indcios que possam levar at eles. Isso levanta dvidas sobre se os peritos digitais esto preparados para lidar com casos em que possam ser encontrados indcios de antianlise forense. constatado que o crime ciberntico, segundo a polcia federal, rende mais dinheiro do que trfico ilcito de entorpecentes.
Crimes esses cometidos atravs das redes de computadores totalizam um faturamento de mais de 105 bilhes de dlares, que so motivados pela falta de regulamentao das leis que punem os crimes cometidos no meio 1 computacional WirelessBR (apud PAIVA, 2009).

Esses crimes cibernticos esto aumentando cada vez mais e de fundamental importncia que os peritos digitais obtenham mais conhecimentos, empregando softwares mais sofisticados e inteligentes para assim intervirem nessas aes criminosas utilizando a anlise forense.

WIRELESSBR. Crimes Digitais(8) - "Ecos" da audincia publica + Novo artigo de Fernando Botelho. 2007
1

11

A informao considerada o bem mais importante para uma empresa, que est contida em seu banco de dados. A segurana da informao onde se deve gastar mais para tornar aquele conhecimento cada vez mais seguro contra quaisquer tipos de ataques, em qualquer momento e tambm em qualquer lugar. Se um cracker consegue ter acesso s bases de dados de uma empresa, contendo, por exemplo, informaes de acesso s contas bancrias de seus clientes, e se ele divulga ou utiliza indevidamente essas informaes, pode provocar um duro golpe na credibilidade e na reputao dessa empresa, que pode lev-la, inclusive, a ter de interromper suas atividades. A cincia forense foi criada para ajudar a solucionar esse problema. Em alguns casos, quando os mecanismos de segurana instalados na rede de uma organizao falham, os peritos forenses so chamados para ajudar a investigar o ato ilcito que foi praticado, fazendo uso de vestgios/evidncias. Quando vestgios como objetos e/ou marcas se tornam importantes para provar a ocorrncia de um crime, eles passam a ser evidncias de que um fato aconteceu.
Com a intensificao dos crimes digitais, auxiliada pela sensao de anonimato e pela facilidade de obteno de programas mal intencionados, tornou-se necessria a criao de uma disciplina forense aplicada informtica, visando dar sentido s informaes coletadas e avaliar se elas produziro ou no um resultado confivel (CARDOSO, 2008).

medida em que a Forense Computacional aprimora suas aes de coleta e anlise de dados, os autores dos crimes cibernticos melhoram as suas tcnicas, sempre levando em conta o padro de ao dos peritos forenses. O objetivo desses criminosos esconder dados, informaes e vestgios/evidncias, a fim de despistar ou inviabilizar o trabalho do perito. Silva2 (apud PAIVA, 2009, p.15). Essa nova modalidade de crimes cibernticos denominada como tcnicas antiforense (PAIVA, 2009, p.15). Assim, o objetivo geral deste trabalho apresentar os principais conceitos de forense computacional e anlise-forense, bem como discutir as principais tcnicas antiforense e avaliar os seus impactos na anlise forense.

SILVA, Lus Miguel. Anti-Analise Forense, 2003.

12

Os objetivos especficos so: a) Realizar pesquisa na literatura tcnico-cientfica a fim de definir os conceitos tcnicos relevantes para o entendimento das tcnicas de anlise-forense e antiforense, uma vez que a literatura sobre tcnicas antiforense no tem sido objeto de grande divulgao; b) Identificar na literatura tcnico-cientfica os problemas causados pelas tcnicas antiforense anlise forense. No captulo intitulado Referencial Terico, apresentar-se- os principais conceitos de segurana da informao e da cincia forense. Dentro desta ultima rea, ser abordada, em particular, a anlise forense, discutindo-se o papel de um perito digital e a forma pela qual executa seu trabalho. As principais ameaas segurana dos sistemas computacionais tambm sero discutidas, definindo-se quais so os potenciais invasores, informando os tipos de ferramentas e pragas virtuais que utilizam para acessar e roubar informaes. Sero abordados, tambm, os aspectos legais relacionados a crimes cibernticos. J no captulo 3 (trs), discute-se a antianlise forense propriamente dita. Por fim, o ltimo captulo, contm as consideraes finais deste estudo.

13

2 REFERENCIAL TERICO

Neste captulo sero abordados os principais conceitos de Segurana da Informao, bem como da Cincia Forense, alm de Crimes Cibernticos, Anlise Forense, AntiAnlise Forense, meios utilizados na AntiAnlise Forense e alguns outros conceitos importantes para o desenvolvimento do presente trabalho.

2.1 Segurana da Informao Atualmente so realizadas muitas transaes eletrnicas em todo o mundo, seja pela Internet, telefone ou por qualquer outro meio eletrnico. As informaes compartilhadas necessitam a cada dia de mais segurana e proteo contra ameaas externas. Com o avano tecnolgico e como consequncia do desenvolvimento de sistemas de informao, ampliou-se o compartilhamento e a disponibilidade das informaes, o que pode torn-las mais vulnerveis a violaes e ataques. Na maioria das vezes, esses ataques esto associados a ladres virtuais que invadem e roubam informaes. Segundo Silva Junior (2009), o ativo mais valioso para uma organizao a informao. Criar planos a fim de garantir que essas informaes estejam protegidas contra invases que tenham por objetivo seu roubo, e eventualmente, vazamento, de responsabilidade dos gestores e analistas de segurana da informao das organizaes. Para Silva Junior (2009), um sistema para ser seguro precisa garantir, dentre outras, as trs principais propriedades a seguir, relacionadas segurana da informao: Disponibilidade; Integridade; Confidencialidade.

14

2.1.1 Garantindo a disponibilidade dos recursos Disponibilidade a informao que deve estar disponvel para todos que precisam dela para a realizao dos objetivos empresariais. (LYRA, 2008). Com o objetivo de garantir a disponibilidade das informaes, pode-se recorrer ao Gerenciamento de Riscos. Ao mitigar vulnerabilidades que apresentem riscos considerados inaceitveis pela organizao, possvel evitar falhas que possam provocar indisponibilidade das informaes. Nesse mesmo segmento encontra-se o Plano de Recuperao de Desastres ou DRP (Disaster Recovery Plan). De acordo com Silva Junior (2009), as principais caractersticas em um plano com vistas a ampliar a disponibilidade de recursos informacionais so: Preveno e deteco de ameaas rede computacional, bem como monitorao e controle da rede; Definio de polticas e processos de uso de recursos de rede na organizao; Desativao de recursos e servios no necessrios em servidores e aplicaes; Ajuste fino de servidores e aplicaes (Hardening); Definio de um plano para aplicao de patches e atualizaes no ambiente; Definio de um plano de contingncia para os recursos e um plano para recuperao de desastres.
Recursos de informao como dados, servidores, aplicaes, equipamentos de telecomunicaes devem estar disponveis demanda e necessidade do negcio. preciso mapear quais so estes ativos principais crticos para o negcio e controlar as necessidades de atualizaes de toda esta infraestrutura a fim de minimizar paradas no ambiente. Estas paradas ainda podem ser causadas por variveis no controlveis como falhas de hardware, problemas de software, ataques a rede computacional, ausncia de recursos humanos, entre outras. Para estas devemos ter o cuidado de procurar desenvolver processos detalhados para suprir quaisquer problemas que a organizao possa enfrentar quais os impactos de uma falha e quais as atitudes a serem tomadas no caso de indisponibilidade de um recurso. (SILVA JUNIOR, 2009).

15

2.1.2 Garantindo a integridade da informao Garantir a integridade da informao adotar medidas que assegurem que ela no sofreu alteraes indevidas, ou seja, que ela s foi modificada por usurios (ou outros recursos, tais como sistemas/aplicaes agendados para executar de forma automtica de tempos em tempos) autorizados. Para tanto, comum a utilizao de funes de hash no inversveis como MD-5, SHA-1, SHA-2 ou similares. A garantia de que os dados recebidos esto exatamente como foram enviados por uma entidade autorizada (ou seja, no contm modificao, insero, excluso ou repetio). (STALLINGS, 2008, p.9). Quando se trata de garantir a integridade da informao, o que se pretende deixar que essa fique disponvel para os usurios que esto autorizados a acess-la na sua ltima verso vlida, isto , que ela s tenha sofrido alteraes realizadas por usurios autorizados. Para manter a integridade fundamental a definio e execuo de processos de auditoria (devidamente baseados em trilhas de auditoria definidas), a fim de ser possvel assegurar-se de que todas as alteraes efetuadas nas informaes foram realizadas por pessoas autorizadas. No que se refere comunicao de dados, a integridade da informao assegura que os dados originalmente transmitidos no sejam modificados at chegarem ao receptor. Integridade quando a informao deve estar correta, ser verdadeira e no estar corrompida (LYRA, 2008).
Os principais objetivos desta etapa so entender os mtodos como processos de negcio so aprovados e repassados, quem so seus proprietrios/responsveis e usurios e buscar ferramentas para monitorar e controlar estas alteraes a fim de garantir a integridade. Recursos como firewalls, antivrus, criptografia, assinatura digital, backup, processos e outras ferramentas devem ser usados para garantir o bom funcionamento do ambiente (JUNIOR, 2009).

2.1.3 Garantindo a confidencialidade da informao O objetivo da confidencialidade evitar que a informao seja acessada por algum usurio que no dispe de privilgios para tal. Confidencialidade a 16

proteo dos dados transmitidos contra ataques passivos. (STALLINGS, 2008, p.10). Para esse fim, comum que sejam utilizados mecanismos de autenticao dos usurios e de gerncia de acesso (administrao dos privilgios dos usurios em relao aos recursos). Outro recurso empregado com frequncia para evitar acesso indevido a determinadas informaes a criptografia. Confidencialidade a capacidade de um sistema de permitir que alguns usurios acessem determinadas informaes ao mesmo tempo em que impede que outros, no autorizados, a vejam. (LYRA, 2008, p. 03).
As informaes devem estar disponveis apenas a pessoas e/ou outros recursos que tenham direito a elas. Com isso em mente podemos trabalhar para minimizar ataques rede computacional da empresa, vazamento de dados atravs do envio de informaes de negcio sem autorizao por emails, impresses, cpias em dispositivos mveis, tambm acesso a informaes de projetos e departamentos armazenadas em servidores por pessoas no autorizadas. Sem esquecer as variveis incontrolveis que tambm esto presentes aqui, como por exemplo, possveis perdas ou furtos de dispositivos como notebooks, smartphones e pendrives que porventura possam conter informaes confidenciais. (JUNIOR, 2009).

2.1.4 Ameaas um ataque potencial a um ativo da informao. um agente externo que, aproveitando-se da vulnerabilidade, poder quebrar um ou mais dos trs princpios de segurana da informao. (LYRA, 2008, p. 6). Segundo Souza (2009), as ameaas segurana da informao podem surgir de todas as partes, inclusive de onde menos se espera, podendo partir de dentro ou de fora do ambiente computacional, sendo de propsito ou no. Quando se fala de ameaas intencionais, tem-se em mente situaes em que se tenha a finalidade de prejudicar o desempenho do sistema ou corromper, modificar ou at mesmo roubar as informaes nele contidas. J as ameaas informao que no sejam intencionais podem se referir ao prprio funcionamento do sistema, seja por um software mal implementado ou mal testado.

17

2.1.5 Vulnerabilidades Os ativos de informao possuem vulnerabilidades ou fraquezas que podem gerar, intencionalmente ou no, a indisponibilidade, a quebra de confidencialidade ou integridade. A vulnerabilidade de um ativo o seu ponto fraco. (LYRA, 2008). A anlise de vulnerabilidades tem como objetivo principal verificar a possvel existncia de falhas de segurana na rede das organizaes. Essa anlise uma ferramenta importante para a implementao de gerenciamento de segurana nas empresas. Essas vulnerabilidades podero ser exploradas ou no, sendo possvel que um ativo da informao apresente um ponto fraco que nunca ser efetivamente explorado. (LYRA, 2008). Segundo as definies elaboradas pela empresa Tracker Segurana da Informao (2011), as vulnerabilidades de um sistema podem ser classificadas como: Tecnologias: softwares e hardwares que so utilizados em servidores, computadores de estaes de trabalho e outros equipamentos, como sistemas de telefonia, rdio e gravadores. Um exemplo de vulnerabilidade desse tipo de mquinas seriam os computadores sem antivrus instalados e atualizados, servidores sem sistemas de deteco de intruso, sistemas sem identificao ou autenticao; Processos: os processos envolvem o fluxo de informao, e gerao da informao e de seu consumo. Esto relacionados, tambm, maneira como as informaes podem vir a ser compartilhadas entre todos os setores da organizao. Uma situao que serviria de exemplo seria um processo de compra. Nesse processo, se a lista desta compra fosse passada de uma maneira descuidada para a pessoa a quem se destina, esta poderia ser apagada, esquecida, ou interpretada de forma errnea; isso poderia causar resultados do processo. Pessoas: as pessoas so aquelas que executam os processos, podendo tambm analisar esses processos. Porm, a principal vulnerabilidade que as organizaes possuem so as pessoas, j que essas so suscetveis a ataques 18 a indisponibilidade desse processo ou at mesmo a falta de integridade dos

de engenharia social, explicados adiante, e nem sempre utilizam as melhores prticas de segurana da informao. Ambientes: o ambiente o espao fsico onde so realizados os processos. o local onde as pessoas trabalham e onde ficam instalados os componentes de tecnologia. A avaliao este item requer anlise de reas fsicas da organizao.

2.1.6 Tipos de Ataques Alm das utilizaes de vrus e ferramentas que tm como objetivo acessar e extrair dados, os crackers tambm possuem outros mtodos e ferramentas para obter essas informaes. Dentre esses mtodos, a CEPLAN3, definiu os seguintes como sendo principais: Engenharia Social: A engenharia social usa a influncia e a persuaso para enganar as pessoas e convenc-las de que o engenheiro social algum que na verdade ele no , ou pela manipulao. (MITNICK, 2003).
A Engenharia Social uma tcnica que explora as fraquezas humanas e sociais em vez recorrer tecnologia tendo como seu objetivo de enganar e ludibriar as pessoas assumindo uma falsa identidade de quem realmente , a fim de que elas revelem senhas ou outras informaes que possam vir a comprometer a segurana dessa organizao. (NAKAMURA; GEUS, 2003, p. 85)

Ataque por Dicionrio: Segundo a CEPLAN, esse mtodo de ataque ocorre quando o cracker, de posse de um arquivo de senhas, utiliza diversas palavras que sero testadas como senhas. Esse teste pode ser feito atravs de ferramentas especficas para esse tipo de tarefa, podendo levar dias, dependendo da lista de senhas do cracker. Monitoramento de Toques do Teclado: A CEPLAN constatou que esse um mtodo de ataque em que o cracker instala um programa sem o conhecimento do

CEPLAN - Centro Educacional do Planalto Norte

19

usurio e copia, assim, todos os seus toques no teclado, convertendo todas essas informaes para formato binrio e gravando-as em um arquivo que pode ser recuperado por ele a qualquer momento. Login Falso: De acordo com a CEPLAN, essa tcnica consiste em tela de login falso criado pelo cracker, que ser idntica tela de login original do sistema. Quando a pessoa entra com o seu usurio e senha, essas informaes so armazenadas em um arquivo e enviadas para o cracker, que passa, assim, a ter acesso ao sistema que foi por ele simulado.

2.2 Cincia Forense Antes de apresentar a definio de forense computacional, necessrio compreender a sua origem, e qual foi o caminho da rea forense at chegar ao objeto de pesquisa deste trabalho.
A Cincia Forense dividida em diversas disciplinas, atua em conjunto com o investigador na busca pela verdade. O AAFS (American Academy of Forensic Sciences) possui os seguintes comits: Criminalstica, Psiquiatria, Engenharia, Toxicologia, Jurisprudncia, Endocrinologia, Odontologia, Computacional, Patologia/Biologia, Antropologia (MENEGOTTO, 2004, p. 07).

2.3 Forense Computacional A Cincia Forense a aplicao de uma vasta gama de mtodos cientficos para responder a investigaes e questes de interesse legal. Forense uma palavra em portugus que remete ao latim de antes do frum. (RIBEIRO, 2006). Segundo Milagre (2009), a Forense Computacional tambm est interligada com a segurana da informao nas empresas, atuando junto ao time de resposta a incidentes. Com isso, a cincia responsvel por coletar, custodiar, preservar e analisar os vestgios/evidncias eletrnicos, buscando, assim respostas do que ocorreu, como ocorreu e principalmente apontando quem foi o responsvel por essa conduta criminosa ou deste crime eletrnico. 20

Forense Computacional uma srie metdica de tcnicas e procedimentos para coletar vestgios/evidncias de um sistema computadorizado, de dispositivos de armazenamento ou de mdia digital, que podem ser apresentadas em um frum de uma forma coerente e de formato inteligvel (VIEIRA, 2011, p.5).

O mundo esta cada vez mais dependente com relao s tecnologias de sistemas digitais e de redes de computadores que crescem aceleradamente para atender as evolues tecnolgicas em massa. (PAIVA, 2009).
Muito dessas tecnologias se assemelham as outras mudanas culturais que avanaram para modificar as nossas vidas, e a disponibilidade dessa tecnologia digital conduz inevitavelmente para a utilizao indevida por pratica ilegal do uso dos recursos digitais. E seja qual for essas circunstancias do crime fraude, pedofilia, espionagem industrial, pirataria ou de corrupo, a tecnologia digital esta envolvida (PAIVA, 2009, p. 17).

Forense

computacional

compreende

aquisio,

preservao

identificao, a extrao, a restaurao, a anlise e a documentao de vestgios/evidncias computacionais. Este processo permite o rastreamento, identificao e comprovao da autoria de aes no autorizadas como violaes de normas internas e at mesmo crimes eletrnicos (MENEGOTTO, 2004).
Com o advento do uso macio de computadores, seja no ambiente residencial, empresarial, industrial ou acadmico, a computao forense ajuda a esclarecer fatos na ocorrncia de um crime e outras questes referentes computao. A computao forense continua ascendendo tendo em vista que, cada vez mais, a sociedade faz uso dos computadores (BUSTAMANTE, 2006).

2.4 Crimes Cibernticos (Cybercrime) Os avanos da tecnologia na rea da informtica provocaram uma grande revoluo e consequente mudana nas relaes sociais. As facilidades alcanadas pelo uso do computador e resultantes da popularizao da Internet no Brasil e no mundo levaram ao surgimento de diversos crimes. Pode-se citar como exemplos crimes tais como a invaso de computadores, comunidades virtuais para fazer apologia ao uso de drogas, disseminao de vrus de computador por e-mail, alm dos crimes antigos como pornografia infantil, estelionato, racismo, entre outros, que, 21

com o uso da Internet e da tecnologia de informao, ganharam maior nfase e alcance. A esses crimes realizados mediante uso e/ou com o auxlio do computador d-se o nome de Crimes Cibernticos. Os crimes cibernticos podem ser classificados como prprios e imprprios. Os crimes prprios so aqueles que s podem ser cometidos por intermdio da informtica. Quanto aos crimes imprprios, so aqueles que podem ser praticados de qualquer forma, inclusive utilizando da informtica, mas no apenas por meio dela. O combate a esses crimes exige das autoridades uma ao conjunta com a sociedade, que deve denunci-los e verificar se esto realmente sendo investigados. O que antes era uma ferramenta para soluo de problemas, hoje, o computador em mos erradas, se torna uma arma mutvel de acordo com o avano tecnolgico. (PAIVA, 2009, p. 15). Segundo pesquisa realizada pela Symantec4 (apud MOREIRA, 2011), os nmeros dos crimes cibernticos esto de fato mais alarmantes. A referida pesquisa mostra que 80% dos adultos online no Brasil j foram vitimas de algum tipo de crime digital bem acima do ndice global de 69%. E o mesmos 69% dos brasileiros desse mesmo universo confessam que no mantm um pacote de software de segurana atualizado.

2.4.1 Crimes especializados mais comuns Envio de informaes confidenciais por e-mail Ataque por concorrentes ou de ex-funcionrios Fraude em sistemas financeiros (Internet banking) Instalao de cavalos de tria em estaes de trabalho Envio de ameaas por e-mail Remoo ou alterao indevida de informaes Pedofilia

Fonte: http://www.symantec.com/security_response/whitepapers.jsp

22

2.4.2 Comparao de crimes cibernticos no Brasil com o Mundo BRASIL Vrus 68% Invaso de redes sociais 19% Phishing 11% MUNDO Vrus 54% Golpes online 11% Phishing 10%

Tabela 1 Crimes Cibernticos no Brasil e no Mundo Fonte: Moreira, 2011, p. 09

2.5 Os potenciais atacantes Na mdia no especializada, comum referir-se a um atacante que pratica algum tipo de ilcito no mundo virtual como sendo um hacker. Vale dizer, no entanto, que o termo hacker pode referir-se a muitas coisas. Em computao pessoal, pode significar tambm a pessoa que modifica o hardware e o software do seu prprio sistema para torn-lo mais rpido, melhor ou com novos recursos e funes. O termo hacker utilizado, ainda, para identificar quem realiza um ataque em um sistema computacional. Existem vrios perfis de potenciais atacantes, pois os ataques realizados a sistemas podem apresentar objetivos diferentes e o seu sucesso depende do nvel de segurana de seus alvos e do conjunto de habilidades do hacker em atac-los. Nakamura e Geus (2003) realizaram uma classificao dos diversos tipos de hackers e suas definies: Hackers: so aqueles que utilizam seus conhecimentos para invadir sistemas, no com o intuito de causar danos s vitimas, mas sim como um desafio s suas habilidades. (NAKAMURA; GEUS, 2003). Os hackers so considerados exmios programadores que possuem um enorme conhecimento que envolve redes e computadores e no gostam de ser confundidos com crackers.

23

Crackers: so elementos que invadem sistemas para roubar informaes e causar danos s vtimas. O termo cracker tambm uma denominao utilizada para aqueles que decifram cdigos e destroem protees de software. (NAKAMURA, GEUS, 2003). Script kiddies: Conforme definido por Nakamura e Geus (2003), script kiddies so indivduos inexperientes que adquirem facilmente ferramentas de invaso a sistemas pela Internet, e depois as utilizam sem entender o que realmente esto fazendo. Devido facilidade que tm para obter essas ferramentas, os script kiddies so considerados perigosos por algumas organizaes, particularmente por aquelas que no possuem uma poltica de segurana definida e implantada e em especial por aquelas que no realizam investimentos de infraestrutura em segurana da informao, adquirindo e instalando firewalls, sistemas de deteco de intruso IDS, sistemas de proteo de intruso IPS, etc. Cyberpunks: Segundo Nakamura e Geus (2003), cyberpunks so aqueles que se dedicam s invases de sistemas por diverso ou por mero desafio para colocar seus conhecimentos em prtica. Eles possuem um alto nvel de conhecimento e esto bastante atentos questo da privacidade de seus dados fazendo com que eles sejam protegidos utilizando criptografia. So eles, geralmente, que encontram vulnerabilidades em servios, sistemas ou protocolos e avisam comunidade tcnica acerca delas, publicando as vulnerabilidades encontradas e fazendo, com isso, que a indstria de software corrija seus produtos. Insiders: Nakamura e Geus (2003) definiram que insiders so responsveis pela a maioria dos incidentes de segurana mais graves nas organizaes porque uma boa parte de ataques ao sistema feito internamente. Um dos ataques que causam maiores perdas financeiras a que envolve roubo de propriedade intelectual, que est relacionada a funcionrios internos, ex-funcionrios, pessoas disfaradas que se infiltram nas organizaes, concorrentes ou governos estrangeiros.

24

Coders: so hackers que compartilham seus conhecimentos escrevendo livros ou realizando palestras, seminrios e at mesmo ministrando palestras sobre as suas experincias. (NAKAMURA; GEUS, 2003). Kevin Mitnick um exemplo de coder. Aps cumprir a sua pena pelos crimes cibernticos que cometeu, passou a ser muito procurado para poder ministrar palestras sobre segurana de informao. Media whore: Nakamura e Geus (2003) definiram que Media Whore so os hackers que saem do anonimato para obter a ateno da mdia, sendo considerados traidores do movimento. Trata-se de hackers que querem buscar a fama pessoal. White Hat: Nakamura e Geus (2003) explicam que os white hats tambm so conhecidos como hackers do bem, hackers ticos ou sneakers. Eles utilizam seus conhecimentos para descobrir vulnerabilidades em sistemas, o que pode resultar em novas verses de softwares, aos quais so aplicadas as correes necessrias, ou outros tipos de contramedidas, tais como ajustes em configuraes de softwares ou equipamentos ou recomendaes de investimentos em infraestrutura de segurana da informao. Os white hats tambm trabalham como profissionais legalmente contratados dentro das organizaes. Os white hats so responsveis por testes de invaso, nos quais simulam ataques para poderem medir como est o nvel de segurana da rede de comunicao de dados e dos computadores das organizaes. Black Hat: De acordo com Nakamura e Geus (2003), os black hats so conhecidos tambm como full fledged ou crackers. Os black hats utilizam seus conhecimentos para invadir sistemas e roubar informaes das organizaes. Geralmente, aps estarem de posse de informaes confidenciais, tentam vend-las para a prpria empresa de onde essas informaes foram furtadas, ou podem tambm ameaar a organizao com a divulgao das informaes roubadas, caso essa organizao no pague o que foi exigido. Essa prtica a que recorrem conhecida como chantagem ou blackmail, que a divulgao pblica das informaes roubadas, o que pode trazer consequncias negativas severas vtima. 25

Gray Hat: Segundo Nakamura e Geus (2003), os gray hat so black hats fazendo papel de white hats para poderem trabalhar na rea de segurana. Determinadas organizaes chegam a contrat-los para realizarem anlise de segurana. Entretanto, alguns incidentes j demonstram que o nvel de confiana necessrio para a realizao de trabalhos to cruciais no chega a ser alcanado por meio desse tipo de abordagem. Cyberterroristas: Conforme definido por Nakamura e Geus (2003), esse um termo utilizado para definir os hackers que escolhem cuidadosamente seus alvos para realizarem seus ataques com o objetivo de propagar mensagens polticas ou religiosas, conhecidos como hacktivistas (expresso originada a partir da palavra inglesa hacktivism). Os meios para que isso seja alcanado so: Ataque semntico, podendo realizar a pichao de sites, modificao de uma pgina ou a propagao de informaes falsas. Ataques sofisticados de negao de servios distribudos DDoS5. Invases a sistemas com o objetivo de obterem informaes confidenciais.

2.5.1 As pragas mais comuns existentes Esta sesso discute as principais pragas virtuais existentes. Segundo Stallings (2008), os tipos mais comuns de ameaas a sistemas de computadores podem ser representados por programas que visam explorar as vulnerabilidades existentes. Ainda segundo Stallings (2008), possvel classificar os softwares maliciosos em duas categorias, a saber, os que precisam de um programa hospedeiro e aqueles que no necessitam desse recurso, sendo, portanto, independentes. Como exemplos daqueles que dependem de um programa pode-se citar os vrus, as bombas lgicas e os backdoors, que so, praticamente, fragmentos de

Distribuited Denial of Service DDoS: uma modalidade que faz com que diversos hosts sejam atacados e coordenados pelo hacker, para a realizao de ataques simultneos aos alvos. Isso resulta em um ataque extremamente eficiente, no qual a vitima fica praticamente indefesa, sem

26

programas

que

no

funcionam

sozinhos.

Como

exemplos

de

softwares

independentes pode-se citar os worms (vermes) e programas zumbis conforme pode ser visto na Figura 1, que contm uma lista de vrus com suas descries definidas.

Figura 1 Terminologia dos programas Maliciosos Fonte: STALLINGS, 2008, p.428.

Algumas das pragas virtuais mais frequentes foram citadas por Stallings (2008) e esto relacionadas abaixo:

conseguir ao menos descobrir a origem dos ataques, pois eles procedem de hosts intermedirios controlados pelo hacker (NAKAMURA; GEUS, 2003, p. 116).

27

Backdoor: tambm conhecida como trapdoor, um ponto de entrada secreto para um programa, que permite que algum ciente da backdoor obtenha acesso sem passar pelos procedimentos normais de acesso de segurana. (STALLINGS, 2008). Bomba lgica: um dos tipos mais antigos de ameaa, criado antes mesmo de vrus e dos vermes. A bomba lgica o cdigo embutido em algum programa legtimo configurado para explodir se for realizada certa condio. (STALLINGS, 2008). Cavalos-de-tria: um programa ou procedimento de comando til, contendo cdigo oculto que, quando invocado, realiza alguma funo indesejada ou prejudicial. (STALLINGS, 2008). Verme: um verme (worm) um programa que pode se replicar e enviar cpias de um computador para outro atravs de conexes de rede. Na chegada, o verme pode ser ativado para replicar-se e propagar-se novamente. (STALLINGS, 2008). Zumbi: um zumbi um programa que controla secretamente outro computador conectado Internet e depois usa esse computador para disparar ataques difceis de rastrear at o criador do zumbi. (STALLINGS, 2008). Complementado essa lista de ameaas virtuais, Nakamura e Geus (2003) relacionaram outras alm daquelas que j foram citadas: Carding: Segundo Nakamura e Geus (2003), carding uma prtica ilegal que envolve fraudes com cartes de crdito utilizados pelos hackers. Com os cardings a segurana das transaes eletrnicas de cartes de crdito pode vir a ficar comprometida provocando prejuzos para consumidores e empresas envolvidas. Easter Egg: uma mensagem, imagem ou som que o programador esconde em um software, como brincadeira. Geralmente deve-se seguir procedimentos para ativar essa parte do cdigo de software. (NAKAMURA; GEUS, 2003).

28

Phreaking: o hacking de sistemas telefnicos, geralmente com o objetivo de fazer ligaes gratuitas ou para espionar ligaes alheias. (NAKAMURA; GEUS, 2003) Worm: Segundo Nakamura e Geus (2003) um worm similar a um vrus, porm possui a capacidade de auto-replicao, podendo se espalhar de uma rede para outra rapidamente. War Dialer: programa que varre nmeros telefnicos em busca de modems ou aparelhos de fax, que so posteriormente utilizados como pontos de ataques. (NAKAMURA; GEUS, 2003).

2.6 Penalidade para os criminosos A falta de normas especficas faz com que se aplique a legislao existente, ou seja, o Cdigo Penal, o Cdigo de Processo Penal e algumas leis isoladas. Porm devido ao fato de alguns delitos no se enquadrarem nos tipos penais existentes, pode ocorrer a impunidade do infrator. So descritos abaixo algumas leis e projetos de lei relacionados aos crimes cibernticos.

2.6.1 Lei Eduardo Azeredo Projeto de Lei N. 84 1999 que est em tramitao no congresso desde 1999, trata-se de: 1. Acesso no autorizado a sistema informatizado. 2. Obteno, transferncia ou fornecimento no autorizado de dado ou informao. 3. Destruio, inutilizao ou deteriorao de coisa alheia ou dado eletrnico alheio. 4. Insero ou difuso de cdigo malicioso em sistema informatizado. 29

5. Interrupo ou perturbao de servio telegrfico, telefnico, informtico, telemtico, ou sistema informatizado.

2.6.2 Alguns artigos do Cdigo Penal aplicados a crimes de informtica Artigo 171 - Estelionato obter para si ou para outrem, vantagem ilcita, em prejuzo alheio, induzindo ou mantendo algum em erro, mediante artifcio, ardil, ou qualquer outro meio fraudulento. Pena: recluso de 1 (um) a 5 (cinco) anos e multa Artigo 299 Falsidade ideolgica Omitir em documento publico ou particular, declarao que dele devia constar, ou nele inserir ou fazer inserir declarao falsa ou diversa da que deveria estar escrita, com fim de prejudicar direito, criar obrigao ou alterar verdade sobre fato juridicamente relevante. Pena: recluso de 1 (um) a 5 (cinco)anos e multa, se documento publico e de 1 a 3 anos e multa se documento partcula. Crimes contra a Honra artigos 138 a 140; Artigo 138. Caluniar algum, imputando-lhe falsamente fato definido como crime. Pena: deteno de 6 meses a 2 anos, e multa. Artigo 139. Difamar algum, imputando-lhe fato ofensivo sua reputao: Pena deteno de 3 meses a 1 ano, e multa. Artigo 140. Injuriar algum, ofendendo-lhe a dignidade ou o decoro: Pena: deteno de 1 (um) a 6 (seis) meses, ou multa. Artigo 155 Furto Subtrair, para si ou para outrem, coisa alheia mvel. 3 Equipara-se coisa mvel a energia eltrica ou qualquer outra que tenha valor econmico. Pena: recluso de 1 (um) a 4 (quatro) anos, e multa 30

2.6.3 Artigos do Cdigo de Processo Penal Seguem abaixo alguns artigos do Cdigo de Processo Penal que auxiliam e do suporte ao perito no desempenho da investigao: Artigo 170 Nas percias de laboratrio, os peritos guardaro material suficiente para a eventualidade de nova percia. Essa norma remete necessidade de guardar cpias dos arquivos que esto sendo objeto de investigao na percia, assinadas digitalmente ou com integridade garantida mediante aplicao de alguma funo de hash no inversvel (gera um resultado que alterado sempre que o contedo do arquivo modificado). O perito deve utilizar as cpias para efetuar sua investigao, preservando o vestgio/evidncia coletado. Artigo 171 Nos crimes cometidos com destruio ou rompimento de obstculo a subtrao da coisa, ou por meio de escalada, os peritos, alm de descrever os vestgios, indicaro com que instrumentos, por que meios e em que poca presumem ter sido o fato praticado." Na forense computacional, os peritos tambm devem procurar reconstituir a linha do tempo do incidente investigado, podendo valer-se de informaes como o tempo de acesso aos arquivos (MAC times) (Guimares et al., 2001) importante, tambm, relacionar os equipamentos e dispositivos computacionais investigados, copiados e, eventualmente, apreendidos.

2.7 Anlise Forense A Anlise Forense um processo que visa determinar se recursos ligados tecnologia da informao e comunicao foram ou esto sendo usados para fins ilegais, mediante identificao dos vestgios/evidncias deixado(a)s por um ataque ou por alguma prtica ilcita. 31

O que a anlise forense faz utilizar os dados disponveis para tirar concluses sobre o que realmente aconteceu em um incidente. Quanto mais informaes forem adquiridas, mais consistente fica a investigao e mais plausvel fica a ocorrncia de um fato. Porm, importante salientar que um registro isoladamente no prova que um evento aconteceu e a ausncia de um registro no prova que um fato no aconteceu (CARDOSO, 2008).

A preservao da integridade dos dados que fazem parte do ciclo de investigao realizado pelos peritos digitais de extrema importncia, pois ao menor indcio de que os dados possam ser inconsistentes, a justia no aceitar as evidncias como provas da ocorrncia do crime podendo at mesmo concluir que um(a) vestgio/evidncia possa ter sido implantada pela equipe de peritos. Cabe ao perito garantir que ningum sem autorizao faa uso do computador investigado. Feito isso, a anlise forense aplicada computao segue quatro passos bsicos: Coleta de vestgios/evidncias; Exame - identificar quais vestgios/evidncias importante para a resoluo do caso; Anlise - reconstruir o crime, identificar os envolvidos e estabelecer relaes entre eventos e pessoas; Resultados / Documentao - criar um relatrio completo sobre o crime e quais etapas da investigao que levar a resoluo do caso.

2.7.1 Tcnicas Periciais A anlise pericial o processo usado pelo investigador para descobrir informaes valiosas, bem como efetuar a busca e extrao de dados relevantes para uma investigao. (FREITAS, 2003). O processo de anlise pericial pode ser dividido em duas camadas: anlise fsica e anlise lgica.
A anlise fsica a pesquisa de sequncias e a extrao de dados de toda a imagem pericial, dos arquivos normais s partes inacessveis da mdia. A anlise lgica consiste em analisar os arquivos das parties. O sistema de arquivos investigado no formato nativo, percorrendo-se a rvore de diretrios do mesmo modo que se faz em um computador comum (FREITAS, 2003, p. 8).

32

Este processo permite o rastreamento, identificao e comprovao da autoria de aes no autorizadas como violaes de normas internas e at mesmo crimes eletrnicos. (MENEGOTTO, 2004)

2.7.2 Anlise Fsica De acordo com Freitas (2003), a anlise fsica a etapa onde so investigados os dados brutos da mdia de armazenamento. Geralmente usa-se esse processo quando necessrio investigar o contedo de um disco rgido desconhecido ou at mesmo danificado.
Depois que o software de criao de imagens tiver fixado as provas do sistema, os dados podem ser analisados por trs processos principais: uma pesquisa de sequncia, um processo de busca e extrao e uma extrao de espao subaproveitado e livre de arquivos. Todas as operaes so realizadas na imagem pericial ou na cpia restaurada das provas. Com frequncia, se faz pesquisas de sequncias para produzir listas de dados, essas listas so teis nas fases posteriores da investigao. Entre as listas geradas esto as seguintes: Todos os URLs encontrados na mdia. Todos os endereos de e-mail encontrados na mdia. Todas as ocorrncias de pesquisa de sequncia com palavras sensveis a caixa alta e baixa. (FREITAS, 2003, p.7-8)

2.7.3 Anlise Lgica Segundo Freitas (2003), durante a fase de processamento das informaes, os peritos em forense computacional efetuam a anlise lgica do contedo da cada partio de uma mdia. Para isso necessria a utilizao de um sistema operacional que possa vir a entender o sistema de arquivos. Tambm nessa fase do processo que ocorre a maioria dos erros de manipulao do(a)s vestgios/evidncias. A fim de evitar isso o investigador deve estar ciente de todas as medidas de segurana a ser adotadas nesse processo de manipulao de vestgios/evidncias. O objetivo bsico desse processo a proteo do(a)s vestgios/evidncias contra alteraes que possam vir a ser realizadas.

33

2.8 A Cincia AntiAnlise Forense Com a diversidade de ferramentas tecnolgicas elaboradas a cada dia, surgem tambm as ferramentas que so utilizadas para crimes. Essas ferramentas, associadas ao anonimato, falta de leis especficas relacionadas aos crimes em informtica e ao baixo custo para se cometer o crime ciberntico, fazem com que haja um grande aumento em ataques/crimes tecnolgicos.
A cincia forense se esfora para descobrir as fontes de informaes deixadas bem como discernir o seu significado relacionando-o com o evento. O exame exige que as evidncias sejam confiveis e rigorosas para garantir o resultado correto, mas, no entanto, os criminosos podem utilizar de mtodos antiforense para trabalhar contra o processo ou interferir na fidelidade das evidncias (PAIVA, 2009).

A cada dia sistemas so criados e, por mais seguros que paream, eles so violados, razo pela qual cresce a preocupao em se evitar a violao dos sistemas e o ataque de pessoas mal intencionadas. Com a popularidade de ferramentas e tcnicas, a anlise forense em um computador vem se tornando cada dia mais fcil. (BARRETO, 2009, p.1).
A antiforense originou-se devido demanda dos ambientes coorporativos precisarem da cincia forense como uma ferramenta de apoio a resoluo dos crimes cibernticos, logo, surgiu necessidade dos atacantes consolidarem a intruso serem percebidos, onde, concentraram esforos em cima das normas e procedimentos da cincia forense e do sistema a ser atacado, para que os vestgios sejam eliminados (PAIVA, 2009).

Para que haja xito em dificultar ou impossibilitar o trabalho dos peritos forenses, ou simplesmente por questes de segurana, existem tcnicas que permitem excluir dados permanentemente do sistema. A forma mais simples de conseguir isso preencher com zeros os setores da mdia no excludos de fato. Na figura 2 possvel observar estatsticas que evidenciam a recente ampliao da percepo da antiforense, em virtude de seu uso intensivo. Isso no quer dizer que antes dessas datas as tcnicas no tenham sido usadas, mas to somente que elas eram empregadas em pequena escala.

34

Figura 2 - Quantitativo do uso das tcnicas antiforense Fonte: PAIVA, 2009, p.32.

A percia forense, por sua vez, tenta localizar vestgios/evidncias de ataques atravs dos rastros deixados pelos invasores, com o emprego de vrias tcnicas para se chegar aos autores. Porm, como os invasores utilizam das tcnicas antiforense para ocultarem o ataque, os peritos responsveis pela investigao devem ir alm e sempre procurar utilizar todos os meios necessrios para se chegar ao criminoso. Com as tcnicas antiforense, os peritos devem ir alm do(a)s vestgios/evidncias, e usar um maior grau de abstrao para entender o verdadeiro problema (PAIVA, 2009, p. 31). Um intruso, aps invadir o sistema, tem que garantir acesso posterior a esse mesmo sistema. A antianlise forense consiste em conseguir navegar livremente por um sistema sem ser detectado. Para garantir isso, o atacante recorre a vrias tcnicas, tais como: esconder o rastro com criptografia, rootkits, ADS (Alternate Data Streams), esconder informao no slack space, esteganografia, entre outros.

2.9 Analista Forense ou Perito Digital Os especialistas forenses so os detetives dos nossos tempos. Analisam os menores detalhes e conseguem chegar a concluses extremamente precisas acerca do crime. Tal como o mdico legista faz uma autpsia procurando padres e 35

anomalias num cadver, o especialista informtico forense procura nos pequenos bits do disco informao deixada pelo atacante que possivelmente acabar por incrimin-lo. Este detetive capaz de vasculhar os mais obscuros cantos de um dispositivo fsico procura de provas. Silva6 (apud PAIVA, 2009). O perito em informtica acionado pela justia para oferecer laudos tcnicos em processos judiciais, onde podem estar envolvidas pessoas fsicas, jurdicas e at mesmo rgos pblicos. Esse laudo tcnico redigido e assinado pessoalmente pelo perito digital responsvel pelo caso e passa assim a ser uma das peas (meio de prova) que compem um processo judicial.

2.9.1 Atuao do Perito Digital no cenrio atual Segundo Milagre (2009), hoje um perito digital atua no rastreamento de contas bancrias ou de cdigos maliciosos em redes de Internet. Atua tambm na identificao e monitoramento de programas spywares, keyloggers; os primeiros coletando informaes sobre o uso do computador e os ltimos coletando informaes a partir do que foi digitado nos teclados por profissionais do setor financeiros das empresas ou de pessoas fsicas. Pode atuar, tambm, em questes envolvendo pirataria de software e arquivos protegidos por direitos autorais. Alm disso, esse profissional atua efetuando coletas a partir da memria e dispositivos de armazenamento secundrio de computadores investigados, e recuperao cientfica de dados, trfego de rede, leitura de memria, recuperao de arquivos pornogrficos ou de suposta pedofilia. Identifica a origem do atacante, identifica como se deu a invaso, quem procedeu com a invaso, identifica casos de negao de servios, quem foi o responsvel por essa negao de servio de um sistema informtico. Descobrem usurios annimos de sites, bloggers, comunicadores. Para Milagre (2009), o perito digital atualmente tem um grande campo de atuao no que se refere aos temas relacionados ao trabalho das receitas estaduais e federais, podendo apurar fraudes em notas fiscais eletrnicas, caixa dois digitalizado, quebra arquivos criptografados ou com senhas cujo contedo pode
6

SILVA, Lus Miguel. AntiAnlise Forense, 2003.

36

servir em um processo digital ou at mesmo em um processo administrativo coorporativo.

2.9.2 Formao do Perito Digital De acordo com Milagre (2009), este profissional deve ter uma formao em tecnologia, sendo desejvel conhecimento jurdico tambm. Deve estar apto a reconstruir o passado, conversando com as testemunhas dos crimes eletrnicos que so os computadores, as mquinas. o profissional com formao em 3 grau e em tecnologia, deve possuir experincia comprovada no assunto, nomeado pelo Juiz para responder questes especficas sobre determinado caso (RODRIGUES, 2009).

2.9.3 Ciclo de uma investigao Segundo Vieira (2011), h um ciclo de investigao que o perito digital deve seguir em uma cena onde ocorreu o crime, conforme pode ser visto na figura 3 abaixo que demonstra o fluxo do ciclo de uma investigao. A primeira coisa que se deve fazer tirar uma foto em 360 graus, para assim poder catalogar todos os indcios e a sua localizao que possam vir a se tornar evidncias de um crime durante o processo de investigao. Esses so os passos que devem ser tomados em um processo investigativo e quais so os insumos utilizados em cada um dos passos:

37

Figura 3 - Ciclo de investigao forense

2.9.3.1 Coleta Na fase de coleta os principais insumos para a forense computacional so as mdias: Isolar a rea O cenrio do crime deve ser totalmente isolado e protegido para que pessoas no autorizadas no tenham acesso aos materiais encontrados e rea do crime. Somente os peritos e os profissionais capacitados podem adentrar na cena do crime. A figura 4 abaixo demonstra como a fita que os peritos utilizam para isolar a cena do crime.
7

Fonte: https://sites.google.com/a/cristiantm.com.br/forense/forense-computacional/processo-de-

investigacao

38

Figura 4 - Fita de Isolamento de permetro Fonte: RODRIGUES, 2009, p. 40

Coletar os vestgios com objetivo de gerar evidncias Evidncias so todos os vestgios encontrados que, aps anlise, permitem avaliar as hipteses formuladas para o crime investigado. Evidncias so peas chave para que a hiptese levantada seja considerada verdadeira ou falsa, podendo assim dar origem a uma prova judicial. Somente os peritos podem fazer as coletas dos vestgios, que aps anlise, podero dar origem s evidncias. Isso decorre do fato de que se esses vestgios forem coletados fora do padro isso pode vir a destruir ou anular a possibilidade de aproveitar determinado vestgio como evidncia (VAZ, 2008, p.23). Garantir a integridade Nesse processo, deve-se levar em considerao a rigorosa observncia de procedimentos com vistas a preservar os vestgios no momento de sua coleta, para que possam ser aproveitados como evidncias. No caso de um arquivo coletado como vestgio para servir de evidncia, por exemplo, se houver no relatrio da coleta um valor de hash (clculo efetuado com base no contedo do arquivo) diferente daquele que obtido ao recalcular-se o mesmo valor a partir do arquivo coletado, o advogado da parte que foi indiciada a partir dessa indcio/evidncia pode alegar que ela foi implantado(a) na cena do crime para incriminar seu cliente. Identificao de equipamentos e embalagem dos vestgios/evidncias Devese identificar cada um dos dispositivos apreendidos, relacionando modelo, fabricante e caractersticas fsicas. Esses equipamentos devem ser embalados em envelopes ou em sacos especiais que possuem um mecanismo, isto , uma rede metlica, que protege contra descargas eletromagnticas. O objetivo evitar que um disco rgido, por exemplo, possa vir a ter seus dados apagados atravs desse meio. Deve-se etiquetar vestgios/evidncias ligadas ao processo de investigao em questo. A 39

figura 5 abaixo um exemplo de uma embalagem especfica para o armazenamento de mdias coletadas na cena do crime.

Figura 5 Sacola Especial para Evidncias Fonte: RODRIGUES, 2009, p. 40.

Complementando as informaes relacionadas ao processo investigativo, Menegotto (2004, p.9-12), sugere a utilizao de uma metodologia um pouco diferente daquela apresentada anteriormente neste texto, mas ainda sim vlida e seguida por muitos peritos. De acordo com esse autor, preciso realizar as seguintes tarefas que se do de acordo com a ordem cronolgica do processo investigativo: 1) Isolamento do ambiente O cenrio onde aconteceu o crime deve ser isolado permitindo que somente os peritos adentrem essa rea para iniciar a o processo de investigao. 2) Anlise do ambiente Esta a fase onde os peritos iro analisar o ambiente onde ocorreu o crime. 3) Identificao de hipteses e evidncias Analisar e avaliar as possibilidades de como o incidente pode ter ocorrido (hipteses). (MENEGOTTO, 2004). 4) Coleta das evidncias Todos os vestgios encontrados na cena do crime, que podero, aps anlise pericial, vir a ser considerados como evidncias, devem ter o objetivo de vir a auxiliar no processo investigativo do caso. As evidncias so peas chave para avaliar as hipteses formuladas para determinado incidente, permitindo 40

consider-las como verdadeiras ou falsas. Posteriormente possvel confirm-las (ou descart-las) mediante prova judicial. 5) Reconstruo do crime Nesta fase o perito reconstri a cena do crime a fim de chegar a um entendimento do que levou quele ato ilcito. 6) Anlise de ativos envolvidos a anlise de todos os objetos encontrados e tambm dos registros, histricos e qualquer outro tipo de artefatos identificados no ambiente onde ocorreu o ato ilcito. 7) Anlise Gerencial Essa anlise envolve a avaliao dos registros de segurana dos sistemas que possuam qualquer relao e/ou possam auxiliar no processo de investigao, tais como logs de aplicaes, documentos, vdeos de segurana. 8) Traceback Essa atividade consiste na anlise da origem dos dados. Envolve a anlise de elementos da rede, tais como endereos de IP, gateways e todo tipo de vulnerabilidade na rede que o autor do crime possa ter utilizado. 9) Relatrios Ao final de toda a investigao feito um relatrio de todo o processo, mostrando a correlao entre as evidncias encontradas e as hipteses levantadas, agrupando os aspectos avaliados e efetuando a concluso do processo de investigao realizado pelo perito.

2.9.3.2 Cadeia de Custdia Dentre todos os mtodos que deve seguir ao analisar uma cena do crime, a cadeia de custdia a parte mais importante de todo o processo. Isso se deve ao fato de ela estar ligada diretamente integridade dos vestgios que podero vir a ser utilizados como evidncias. Como foi dito no subitem 2.9.3.1, se for notada alguma violao no processo de coleta ou de transporte das evidncias, ou se esse processo no for bem documentado, seguindo as melhores prticas periciais, o juiz ou o advogado de defesa do ru poder alegar que certo indcio/evidncia pode ter sido implantado(a) na cena do crime. Se isso ocorrer, o acusado pode acabar sendo liberado por causa dessa falta de ateno do perito em manusear os vestgios utilizados como evidncias. Cadeia de Custdia um termo jurdico que se refere capacidade de manter a integridade de um vestgio que poder ser usado como evidncia desde o 41

momento de sua obteno at o fim do processo investigativo. Consiste em guardar os vestgios/evidncias de forma segura evitando que sejam modificado(a)s. De acordo com Rodrigues (2009), para manter as amostras coletadas de forma segura, uma boa prtica armazen-las em sacos plsticos ou envelopes selados, com um formulrio que contenha todas as informaes daquela evidncia, como: quem a coletou, a data da coleta, quem teve acesso evidncia, sendo conveniente, tambm, guard-la em um cofre e adotar todas as medidas cabveis destinadas a proteg-la. Deve-se preencher uma lista com anotaes de cada pessoa que teve acesso evidncia. Esse registro deve conter as referncias das pessoas, das datas e dos horrios em que a evidncia foi levada e devolvida. Segundo Freitas (2011), essa tcnica muito utilizada pelos peritos forenses devido sua grande importncia na fase de investigao das evidncias de um crime. O seu objetivo provar ao tribunal a legitimidade das evidncias que foram coletadas e apresentar os resultados da investigao. Sempre que haja algum acesso s evidncias, esse acesso deve ser registrado mediante formulrios, mantendo assim esses registros sempre atualizados. A figura 6 abaixo um exemplo de como um relatrio onde se deve registrar todas as informaes solicitadas sobre o indcio coletado.

Figura 6 Relatrio de evidncias Fonte: RODRIGUES, 2009, p. 40

2.9.4 Ferramentas de Analise Forense Com o grande avano tecnolgico na rea computacional nos ltimos anos, crimes como invases, que envolvem a busca ou o roubo de informaes sigilosas 42

para fins ilcitos vm sofrendo um grande aumento, compatvel com o ritmo em que a tecnologia vem avanando. Com isso, existe grande necessidade de se identificar esses infratores, isto , os atacantes que realizam esse tipo de crime, para que a justia possa vir a puni-los. Para essa tarefa a percia forense conta com diversas ferramentas que auxiliam na busca de evidncias. Algumas dessas ferramentas so citadas a seguir: Honeypot Os honeypots so sistemas de armadilha, planejados para atrair um atacante em potencial para longe de seus sistemas crticos (STALLINGS, 2008, p.415). De acordo com Stallings (2008), os honeypots foram projetados para: Desviar um atacante do acesso a sistemas crticos. Coletar informaes sobre a atividade do atacante. Encorajar o atacante a permanecer no sistema por tempo suficiente para que os administradores possam responder ao ataque. Um sistema do tipo honeypot equipado com monitores sensveis e registradores de eventos que detectam acessos realizados ao sistema coletando informaes sobre as atividades que o atacante estaria fazendo em sua rede e durante esse meio tempo os administradores conseguem tempo para mobilizar-se, registrar e rastrear o atacante sem expor seu sistema em produo. Segundo (QUEIROZ; VARGAS, 2010, p. 47-69) algumas das principais ferramentas de forense computacional so aquelas relacionadas abaixo. CallerIp Esta ferramenta monitora um computador desejado ajudando na identificao de entradas, sadas e invases de IP, permitindo, potencialmente encontrar o possvel responsvel pela ao ocorrida. capaz de indicar at mesmo a posio geogrfica desse invasor, informando a localizao do dono do endereo IP que realizou a invaso.

43

Figura 7 CallerIP8

FDTK-UbuntuBr (Forense Digital Toolkit) uma ferramenta Linux gratuita e criada no Brasil como parte do Trabalho de Concluso de Curso de graduao tecnolgica em segurana da informao por Paulo Neukamp. Essa ferramenta permite capturar imagens de telas do computador analisado, criar imagem idntica dos dados contidos no computador, oferece tambm em criar um cdigo hash dos arquivos, uma funo que gera uma sequncia binria a partir dos arquivos originais para provar que os mesmos no foram alterados posteriormente, uma vez que qualquer alterao modificaria o valor dessa sequncia. Fornece, tambm, identificao dos perifricos e hardware em geral do computador. Apesar de ser uma ferramenta Linux, permite tambm analisar mquinas com sistema operacional Microsoft Windows.

Fonte: http://www.indirjet.com/program/caller-ip.html

44

Figura 8 - FDTK-UbuntuBr

Helix Ferramenta criada em 2005 baseada no Linux Ubuntu. Essa ferramenta est hoje disponvel, tambm, no ambiente Microsoft Windows. A referida ferramenta possibilita recuperar arquivos danificados ou excludos, tornando possvel, tambm, buscar senhas empregadas pelo usurio do computador em programas de mensagens instantneas e sites, caso tenham sido salvas automaticamente, obter histrico de sites visitados, bem como informaes detalhadas acerca de quando uma porta USB foi utilizada e por qual tipo de perifrico. Trata-se de uma ferramenta que permite, ainda, criar cpias de discos rgidos, disquetes e memrias, o que extremamente til em forense computacional, por permitir que os vestgios/evidncias coletado(a)s sejam preservado(a)s.

Fonte: http://www.mundodoshackers.com.br/linux-forense-em-portugues-brasil

45

Figura 9 HELIX10

EnCase

Essa ferramenta foi desenvolvida pela empresa Guidance Software.

Trata-se de uma ferramenta capaz de realizar muitas das funes disponveis nas ferramentas Helix e FTK, tais como permitir a aquisio de dados a partir de discos ou memria RAM, bem como a partir de documentos, imagens, correio eletrnico convencional, webmail, histrico de utilizao da Web e respectivo cach, sesses de bate papo (chat), arquivos comprimidos, entre outras opes. Ela possibilita, ainda, a padronizao de laudos periciais. Tambm permite organizar um o banco de dados de evidncias. Pode ser utilizada, tambm, para quebrar senhas de arquivos criptografados mediante aquisio de um mdulo adicional. Alm disso, fornece uma opo de para manusear evidncias sem danific-las, mediante realizao de cpia do(a)s vestgios/evidncias, exibindo e salvando o resultado da

10

Fonte: http://forcomp.blogspot.com.br/2009/01/helix-20.html

46

aplicao de uma funo de hash MD5 sobre a imagem dos arquivos copiada, a fim de garantir sua integridade. A ferramenta EnCase oferece, ainda, customizao mediante emprego de uma linguagem orientada a objetos denominada EnScript. Por meio dessa linguagem, possvel criar programas customizados que permitem automatizar tarefas de investigao trabalhosas, tais como pesquisa ou anlise de certos tipos de documentos.

Figura 10 EnCase11

FTK Forensic Toolkit (FTK) uma ferramenta criada pela empresa AccessData, sendo tambm comercializada por ela. Trata-se de uma ferramenta bastante utilizada em computao forense, que permite efetuar anlise de memria, informando processos em execuo, lista de bibliotecas dinmicas (DLLs), soquetes de rede, drivers carregados em memria, entre outras informaes. Permite,
11

Fonte: http://desarrolloydefensa.blogspot.com.br/2010/11/como-reconstruyeron-los-mails-de-

los.html

47

tambm, a realizao de pesquisa de sequncias de caracteres (strings) em memria. A ferramenta FTK tira proveito de processadores com suporte a mltiplos threads e mltiplos ncleos, podendo ter seu desempenho melhorado nesse tipo de equipamento, executando as atividades de investigao com maior rapidez. Oferece, ainda, a anlise de informaes provenientes de correio eletrnico, alm de anlise de imagens, isto , cpias exatas de arquivos, sendo possvel empreg-la para a realizao de buscas/pesquisas nesses arquivos. Essa ferramenta possibilita, ainda, a realizao de quebras de senhas.

Figura 11 FTK 4 Fonte: AccessData, 2012

Cerberus uma tecnologia para avaliao de pragas virtuais que est disponvel como um mdulo adicional para a ferramenta FTK 4. Essa ferramenta possibilita a realizao de engenharia reversa em mdulos executveis de programas suspeitos, permitindo a obteno do cdigo fonte do programa original a partir do mdulo executvel, o que libera a anlise de novas ameaas, que algumas vezes, no podem ser detectadas por ferramentas convencionais, tais como antivrus.

48

Figura 12 Cerberus Fonte: AccessData, 2012

49

3 ANTIANLISE FORENSE

Este captulo apresenta as tcnicas de antianlise forense, classificando-as e apresentando seus conceitos e sua forma de utilizao. Discute, portanto, tcnica como destruio, ocultao, eliminao das fontes e falsificao das evidncias. Alm disso, demonstra ainda as principais formas de ocultao de evidncias utilizadas e algumas ferramentas que podem ajudar nesse processo.

3.1 Ferramentas AntiAnlise Forense De acordo com as definies sobre a AntiAnlise Forense apresentadas neste trabalho, pode-se constatar que quando um perito digital acionado para realizar uma apurao de um crime digital possvel que ocorram diversas dificuldades durante o processo de coleta e tambm na anlise das informaes que foram deixadas como vestgios no equipamento que foi utilizado para prtica de ato ilcito. Assim, esses vestgios podem tornar-se (ou no) evidncias de um crime. De fato, a quantidade de evidncias que podem vir a ser deixadas nas mquinas inversamente proporcional s habilidades que o criminoso possui. Com isso, da mesma maneira que a Forense Computacional foi criada para a investigao de crimes cibernticos, os criminosos passaram a utilizar mtodos e ferramentas denominadas antiforense, possibilitando-lhes esconder, danificar ou excluir rastros digitais na cena do crime e tambm dificultando ou impossibilitando a realizao de uma investigao dessas evidncias. Para isso, os usurios da antiforense recorrem a certas tcnicas que foram citadas no subitem 2.8 acima.

3.2 Classificao das Tcnicas da AntiForense Computacional Diversos pesquisadores da rea forense computacional tm proposto agrupar as tcnicas antiforense em categorias, a fim de facilitar seu estudo e compreenso. Sobre essa questo, cada autor defende um ponto de vista na diviso sobre essas tcnicas. 50

Segundo Harris12 (apud PAIVA, 2009), as tcnicas de antiforense dividem-se em quatro categorias, podendo um atacante destruir, ocultar, manipular ou impedir a criao de provas que podem levar sua descoberta. Outras categorias so includas por Harris13 (apud PAIVA, 2009), tais como esconder dados, efetuar o uso de ferramentas de wipe, ofuscao de informaes, ataques contra os processos e ferramentas. Os pargrafos abaixo contm uma breve descrio das caractersticas dessas quatro tcnicas antiforense, seguindo o mesmo raciocnio de Harris (apud PAIVA, 2000). Destruio de evidncias; Ocultao de evidncias; Eliminao das fontes de evidncias; Falsificao de evidncias.

3.2.1 Destruio de Evidncias As evidncias podem ser destrudas completamente ou parcialmente, tanto em nvel lgico como fsico, evitando assim que possam ser encontradas. Mas, caso isso venha a acontecer, tero pouca utilidade como prova forense.
Este tipo de tcnica bastante fcil quando aplicada a uma destruio total das informaes, mas para uma destruio especfica, se torna um pouco mais elaborado. A destruio fsica do disco atravs de elementos externos como campos magnticos, choques ou queima intencional de algum dispositivo semicondutor, pode tambm inviabilizar a percia (PAIVA, 2009, p.34).

A destruio de dados um dos mtodos que os criminosos podem vir a recorrer para limpar os vestgios que um possvel atacante poderia deixar na mquina que estava utilizando. Para esse fim, podem ser realizadas as tarefas descritas a seguir.

12

HARRIS, Ryan. Arriving at an Anti-Forensics Consensus: Examining how to Define and Control the Anti-Forense Problem, 2006. 13 HARRIS, Ryan. Arriving at an Anti-Forensics Consensus: Examining how to Define and Control the Anti-Forense Problem, 2006.

51

3.2.1.1 Desmagnetizao Uma forma de apagar definitivamente as informaes remanescentes em um disco criar um campo magntico muito forte capaz de reduzir o estado magntico da mdia a zero. (RIBEIRO, 2006). Ribeiro (2006) acrescentou que, para realizar esse processo, uma maneira aproximar o disco rgido de uma corrente eltrica, ou, simplesmente, fazer uso de ims. Porm, como existem diferentes tipos de mdias magnticas, necessrio utilizar o desmagnetizador adequado para apagar um disco ou at mesmo uma fita.

3.2.1.2 Destruio Fsica De acordo com Ribeiro (2006), existem certos tipos de mdias para as quais no resta outra opo a no ser a sua destruio fsica. Se determinada mdia possui uma informao realmente sigilosa, os criminosos preferem utilizar esse mtodo. A sua destruio fsica pode ser realizada das seguintes maneiras: Pulverizao: quebrar a mdia at ela ser totalmente reduzida a p. Incinerao: queimar a mdia at ela ser totalmente reduzido as cinzas. cido: aplicao do cido na superfcie do disco.

3.2.2 Ocultao A ocultao das evidncias reduz as chances de um sucesso de investigao preliminar, exigindo que a percia seja mais minuciosa (PAIVA, 2009). Conseguir ocultar um arquivo em um sistema de arquivos considerado tambm uma tcnica antiforense, assim como a utilizao de ferramentas de criptografia e esteganografia, tcnicas essas que podem ser facilmente utilizadas por estarem disponveis para download programas de computador gratuitos que as implementam na Internet.

52

3.2.3 Eliminao das fontes de evidncias o simples fato da remoo ou da no utilizao de mtodos para que as evidncias no sejam criadas Harris14 (apud PAIVA, 2009). Com isso, a falta de evidncia pode ser questionada pelo perito digital como uma evidncia de que o criminoso planejou cautelosamente o crime. Existem softwares que so capazes de gravar sequncias de caracteres com o objetivo de sobrescrever arquivos de dados. Segundo Ribeiro (2006), existem mtodos para apagar a existncia de informaes em uma mdia de disco que possa vir a incriminar um criminoso ciberntico que sobrescrevendo essa mdia. H tambm vrias formas de sobrescrever os setores de um disco magntico, sendo que cada um desses padres possui caractersticas nicas. Esses padres so descritos nas subsees abaixo.

3.2.3.1 Padro do Departamento de Defesa dos Estados Unidos 5220.22-M Este padro sobrescreve todos os setores de um disco magntico onde os dados sensveis ficam alocados de forma a eliminar a remanescncia causada pela variao da posio do cabeote magntico de escrita em um setor. (RIBEIRO, 2006). Ele utiliza de trs etapas para sobrescrever as mdias. Na primeira etapa, efetua-se a escrita de um caractere correspondente a determinado padro binrio em todos os endereos da mdia que se deseja sobrescrever, seguida da escrita do complemento desse caractere (por exemplo, 0011 0101, seguido de 11001010). Aps a realizao desses dois procedimentos de gravao, efetua-se a gravao de um caractere pseudoaleatrio em todos os endereos. Alguns softwares que implementam esse mtodo, tais como GDisk, da sute Ghost da empresa Symantec, efetuam uma quarta etapa de verificao e repetem esse processo seis vezes15.
14

HARRIS, Ryan. Arriving at an Anti-Forensics Consensus: Examining how to Define and Control the Anti-Forense Problem, 2006. 15 Fonte: http://thestarman.pcministry.com/asm/5220/index.html

53

 importante dizer, no entanto, que o Departamento de Defesa norteamericano no aprova mais o uso de ferramentas ou utilitrios que sobrescrevem dados como uma alternativa para eliminar informaes classificadas de mdias que sero descartadas, recomendando o uso de incinerao, a aplicao de substncia abrasiva, o derretimento, a destruio por meio do uso de produtos qumicos ou a desmagnetizao (degaussing), esta ltima realizada usando dispositivos aprovados pelo referido Departamento para tal16.

3.2.3.2 Padro Alemo BSI Verschlusssachen-IT-Richtlinien (VSITR) De acordo com Ribeiro (2006), esse padro efetua a remoo das informaes em um disco utilizando sete etapas. Nas seis primeiras, cada gravao inverte o padro de bits da gravao anterior. Nas primeiras etapas, um desses padres de bits escolhido e os setores sensveis so sobrescritos com ele. J na segunda etapa, utilizado o complemento do padro de bits da primeira etapa para sobrescrever os mesmos setores. Assim, depois de repetir essas etapas por trs vezes, utiliza-se o padro de bits "010101" para realizar a sobrescrita.

3.2.3.3 Algoritmo de Bruce Schneier Conforme definido pela CBL Recuperao de Dados (2012), este padro foi criado pelo especialista em segurana Bruce Schneier. Esse especialista recomenda que se deve sobrescrever a mdia sete vezes. Na primeira etapa sobrescreve-se o disco com o padro de bits 11, na segunda com 00, e nas prximas cinco etapas utiliza-se um padro de bits escolhido aleatoriamente.

O efeito semelhante ao do padro VSITR, porm a natureza aleatria dos padres de bits gravados nas cinco ltimas etapas torna difcil a um invasor determinar como a sobrescrita afetou os dados anteriormente presentes no disco, tornando extremamente difcil a recuperao, ou at mesmo impossibilitando-a. Embora seja um mtodo de apagamento mais seguro
16

Fonte: http://www.oregon.gov/DAS/OP/docs/policy/state/107-009-005_exhibit_b.pdf?ga=t

54

que o VSITR, o tempo necessrio para criar padres de bits aleatrios faz que este mtodo seja significativamente mais lento. (CBL - Recuperao de Dados, 2012).

3.2.3.4 Algoritmo de Peter Gutmann Segundo Ribeiro (2006), este algoritmo realiza um total de trinta e cinco etapas de sobrescrita e considerado o mtodo mais moderno e eficiente para a destruio de dados. O custo deste padro, obviamente, o tempo: a remoo das informaes de um disco usando o algoritmo de Peter Gutmann pode levar at sete vezes mais tempo que a remoo do mesmo disco utilizando o algoritmo de Bruce Schneier e, provavelmente, quinze vezes mais tempo do que quando usado o padro do Departamento de Defesa dos EUA. Abaixo segue uma tabela que foi elaborada pelo Departamento de Defesa dos EUA sobre a forma de eliminao de arquivos mais recomendada para cada mdia:

Tipo de Mdia Fitas Magnticas Fita magntica Disco Magntico Disquetes HDs fixos HDs removveis Discos ticos Somente Leitura Regravvel Memria Dynamic Random Access Memory (DRAM) Electronically Alterable PROM (EAPROM) Electronically Erasable PROM (PROM) Erasable Programmable ROM (EPROM) Flash EPROM (FEPROM) Programmable ROM (PROM)

Operao utilizada para apagar os dados

Operao utilizada para remover completamente todos os vestgios dos dados A ou M M A, D ou M A, D ou M M ou N M

A A ou C C A ou C C

C ou G I I K I C

C, G ou M J ou M H ou M L depois C, ou M C depois I, ou M M

55

Magnetic Bubble Memory Magnetic Core Memory Magnetic Plated Wire Magnetic Resistive Memory Nonvolatile RAM (NOVRAM) Read Only Memory (ROM) Static Random Access Memory Equipamento Monitor CRT Impressoras Impacto Laser

C C C C C C ou G C ou G G G G

A, C ou M A, D ou M C e F, ou M M C, G ou M M C e F, G, ou M Q P depois G O depois G
17

Tabela 2 Tabela de Formas de Eliminao de Arquivos

Legenda: A desmagnetizar. C reescrever todas as posies endereveis com um caractere. D reescrever todas as posies endereveis com um caractere, seu complemento, e outro caractere aleatrio, depois verificar. F o dado sobrescrito deve permanecer alocado por um tempo maior que o dado a ser apagado. G remover toda a alimentao eltrica, incluindo a bateria. H reescrever todas as posies endereveis aleatoriamente, depois com o valor zero binrio, e mais uma vez com o valor um binrio. I apagar o chip de acordo com o fabricante. J fazer o passo I, depois o C, por 3 vezes. K apagar utilizando luz ultravioleta, de acordo com o fabricante. M destruir fisicamente (desintegrar, incinerar, pulverizar). O imprimir 5 pginas de texto comum. P alguns materiais de dentro da impressora devem ser destrudos. Q verificar a superfcie do tubo de raios catdicos, caso haja alguma evidncia, o monitor deve ser destrudo.

17

Fonte: http://www.gta.ufrj.br/grad/06_2/alexandre/apagandodados.html

56

Como j mencionado acima, o Departamento de Defesa norte-americano no recomenda nenhuma tcnica de sobre-escrita para remoo de informaes classificadas a partir de mdias, o que sugere que informaes ocultadas mediante emprego dessas tcnicas possam vir a ser recuperadas, conforme o caso e dependendo da habilidade e das ferramentas empregadas pelo perito, bem como das caractersticas particulares do objeto da investigao.

3.2.4 Falsificao de evidncias Esta uma das categorias que possui maior complexidade e representa maior desafio para a anlise forense. A falsificao pode comprometer desde apenas um bit at certa quantidade de bits contidos em um disco, com o intuito de parecer qualquer outra coisa, exceto a evidncia real Harris18 (apud PAIVA, 2009). Esse recurso pode ser usado para incriminar inocentes. Pode, tambm, ser utilizado para alterar informaes legtimas, induzindo o perito ao erro. Mudanas de strings em arquivos alterao dos MAC times19, atualizao de bad clusters20 falsos no sistema de arquivos, dentre vrias outras possibilidades permitidas pela criatividade do atacante, so exemplos de possveis falsificaes (PAIVA, 2009).

3.3 Tcnicas de Ocultao de dados Essas so as estratgias preferidas por atacantes, a saber, armazenar informaes relacionadas ao ataque de maneira que elas fiquem ocultas para as vtimas ou possveis investigadores, a fim de evitar que elas sejam descobertas. Para tal, comum esconder certas informaes em lugares no muito convencionais do sistema de arquivos, sendo esses locais conhecidos como slack spaces. Existem

HARRIS, Ryan. Arriving at an Anti-Forensics Consensus: Examining how to Define and Control the Anti-Forense Problem, 2006. 19 Este recurso uma forma de garantir a integridade dos dados. Todo arquivo ou registro digital ao ser modificado, acessado agrega informaes de data e hora associadas ao submetida, inerentes ao sistema de arquivos da mdia onde foram modificados ou acessados.

18

57

casos em que vrias estratgias de ocultao so usadas em conjunto, tais como cifrar (isto , realizar criptografia) de uma informao que passou por esteganografia e armazen-la em slack spaces. Esse um exemplo de um dos estados da arte antiforense e, mesmo aps a realizao de percia altamente sofisticada e minuciosa, fica muito difcil para os peritos digitais identificar esse tipo de prtica.

3.3.1 Criptografia uma tcnica utilizada para cifrar e decifrar mensagens para que apenas o destinatrio consiga saber e interpretar o contedo. Hoje em dia, h vrias tcnicas de criptografia. Segundo Paiva (2009), a criptografia considerada um dos mtodos mais seguros para garantir a confidencialidade de uma informao, podendo ser tambm considerada a melhor tcnica antiforense para ocultao de evidncias. Criptografia a cincia e a arte de transformar mensagens para torn-las seguras e imunes a ataques. (FOROUZAN, 2008, p. 957). Hoje, alm de ser utilizada para tornar o envio de mensagens mais seguras, essa tcnica esta sendo utilizada para esconder arquivos que podem ser usados para um novo ataque. Essa tcnica permite que os arquivos no sejam descobertos ou decifrados, impedindo a identificao do seu real objetivo, ou seja, para que servem. Como j foi dito essa tcnica utilizada, geralmente, para garantir o trfego seguro de mensagens, tornando-as imunes a ataques. No entanto, com o aprimoramento das tcnicas de ataques, que tm se tornando cada vez mais sofisticados, os invasores utilizam essa tcnica para no serem descobertos. De acordo com Paiva (2009), essa tcnica permite que invasores restrinjam o acesso a informaes que poderiam ser identificadas por usurios como vestgios de seus ataques, ou que poderiam constituir-se em evidncia no trabalho de percia desenvolvido por especialistas em forense computacional. A criptografia utiliza algoritmos para restringir o acesso a arquivos, garantindo sua confidencialidade. A dificuldade no acesso aos dados depender do algoritmo

20

Essa situao ocorre quando uma pequena quantidade de dados torna-se corrompida em um setor de um disco rgido, e esse setor torna-se inutilizvel.

58

utilizado para a criptografia. Um arquivo cifrado21 um arquivo criptografado e para se decifrar esse arquivo utilizado um algoritmo de decriptografia. Conforme Forouzan (2008) para se decriptografar um dado preciso um algoritmo de decriptografia, uma chave22 de decriptografia e o dado cifrado. H dois tipos de chaves: Simtrica e Assimtrica. A chave simtrica utilizada tanto pelo algoritmo de criptografia como pelo de decriptografia. A criptografia simtrica uma forma de criptossistema em que a criptografia e a decriptografia so realizadas usando a mesma chave. Ela tambm conhecida como criptografia convencional (STALLINGS, 2008, p.17). A chave assimtrica se divide em pblica e privada, sendo a chave publica utilizada para criptografia e a chave privada para decriptografia. Percebe-se que a criptografia considerada uma das melhores tcnicas de ocultao de evidncias, j que, mesmo que a percia descubra que o dado foi criptografado, pode-se levar muito tempo para descobrir a chave, levando em conta o tipo de algoritmo de criptografia e a tecnologia de processamento utilizado.
A criptografia considerada um dos mtodos mais seguros, logo, esta pode ser tambm considerada a melhor tcnica antiforense para a ocultao de evidncias. Pois mesmo diante de uma percia, a quebra da criptografia pode se levar anos dependendo da chave, algoritmo de criptografia e do poder computacional utilizado. Ou seja, dependem diretamente dos fatores tempo x processamento, uma vez que os algoritmos de criptografia utilizados atualmente requerem uma grande demanda de processamento. Com isso, um arquivo criptografado pode ser facilmente detectado pela percia, mas o tempo para decifr-lo pode inviabilizar a percia. (PAIVA, 2009, p. 69)

H algumas ferramentas de proteo de dados disponveis para download na Internet que so comumente usadas, podendo-se citar o TrueCrypt, que uma ferramenta de cdigo aberto (open source), gratuita, com essas caracterstica. Essa ferramenta bastante utilizada, inclusive para fins ilcitos, por rgos pblicos, a fim de garantir o sigilo das informaes por ela protegidas. Por meio dessa ferramenta possvel criar-se uma partio oculta em um disco rgido, que torna visvel pelo

21

Cifras so os algoritmos de criptografia e decriptografia. Termo tambm utilizado para se referir a

diferentes categorias de algoritmos em criptografia.

22

Chave uma seqncia de bits utilizada por software criptogrfico para cifrar mensagens ou arquivos ou para decifr-los.

59

Sistema Operacional somente aps o fornecimento da senha do gerenciador do TrueCrypt. Por intermdio dessa possvel definir o tamanho da partio, o tamanho da chave a ser utilizada e o tipo de criptografia que deve ser usado. A figura 13 abaixo exibe uma lista de algoritmos que o TrueCrypt oferece para realizar a criptografia.

Figura 13 Escolha do tipo de criptografia no TrueCrypt23

Conclui-se que os recursos providos pela criptografia podem dificultar ou at mesmo inviabilizar qualquer tipo de trabalho pericial para o levantamento de evidncias. Por esse motivo, esse recurso tem sido empregado com maior frequncia por invasores que procuram esconder os seus ataques. 3.3.2 Esteganografia A esteganografia uma tcnica que tem como objetivo esconder informaes dentro de outras, concebida, originalmente, para ser usada para comunicao, ou seja, para troca de mensagens. Segundo Petri24 (apud PAIVA, 2009), a

23 24

Fonte: http://docs.titansware.com.br/outros/truecrypt PETRI, Marcelo. Esteganografia, 2004.

60

esteganografia a arte de esconder certas informaes dentro de outras que funcionam como portadoras, com o objetivo de transmitir em segredo determinadas informaes. Arquivos de imagem e udio podem ser exemplos de portadores de informaes. A origem da esteganografia vem do grego traduzido como escrita coberta. Essa tcnica tem propsitos similares aos da criptografia. A esteganografia uma tcnica para esconder uma mensagem secreta dentro de uma maior, de modo que outros no possam discernir a presena ou o contedo da mensagem oculta. (STALLING, 2008, p.17). A diferena entre criptografia e a esteganografia que a primeira esconde a informao e a segunda, a existncia da informao (como uma mensagem oculta dentro de um arquivo de udio em MP3). Ambas as tcnicas podem ser utilizadas em conjunto para se obter um maior grau de segurana da informao. Segundo Carmona (2005), pode-se dizer que a esteganografia pode ser realizada em dois nveis, conforme descrito a seguir. No primeiro nvel, essa tcnica pode ser utilizada para mascarar um software malicioso como se fosse, na verdade, um arquivo de imagem. Outra possibilidade seria a transmisso de diversos documentos de textos escondidos em um arquivo de MP3, possibilitando assim o seu livre compartilhamento e trfego pela rede de uma organizao. Isso facilitaria o roubo de informaes, por exemplo, e evitaria, ademais, sua descoberta. A mensagem que utilizada para ocultar o que efetivamente se deseja transmitir conhecida como mensagem de cobertura. Com isso, aps o software malicioso ser inserido dentro de uma mensagem de cobertura, esse objeto passa a ser chamado de estego-objeto, que uma mensagem que contm secretamente uma mensagem de maior importncia do que ela mesma. Analisando a figura abaixo (Figura 14), constata-se que no possvel perceber, sem o uso de ferramentas de software apropriadas, que os arquivos efetivamente transmitidos (ou armazenados) possam ter dados embutidos dentro de si. Existem casos, porm, em que isso pode ser percebido devido ao aumento de tamanho da capacidade do arquivo.

61

Figura 14 Exemplo de ocultao de uma mensagem usando esteganografia Fonte: RODRIGUES, TALITA; FOLTRAN JR., DIERONE, 2010, p.4.

O resultado final da Figura 14 representa um exemplo de aplicao da esteganografia de segundo nvel conforme definida por Carmona (2005), em que se pretende no apenas ocultar a existncia da mensagem efetivamente transmitida, mas tambm evitar que algum usurio no autorizado tenha acesso a ela. Para isso, utiliza-se a esteganografia com o auxlio da criptografia. Por meio da criptografia, possvel cifrar os dados, fazendo com que no seja possvel ler as informaes armazenadas, caso no se detenha a posse da chave de traduo do cdigo. Esta seria a estego-chave, que uma chave controladora de acesso mensagem que est oculta no estego-objeto. Essa chave utilizada quando se deseja saber o que est escondido em um falso arquivo ou at mesmo recuperar o arquivo. Hoje em dia, pode-se encontrar ferramentas gratuitas que permitem a aplicao do processo de esteganografia em arquivos. Entretanto, os peritos digitais possuem ferramentas que podem ajudar no trabalho de identificao de arquivos ocultados por meio da esteganografia. Porm, nem sempre essas ferramentas chegam a serem capazes de identificar uma mensagem oculta, em virtude dos avanos tecnolgicos da esteganografia. Uma dessas ferramentas de esteganografia disponvel o Invisible Secrets 4 , software cuja tela mostrada na figura 15, abaixo, e que possui a uma verso de 15 (quinze) dias para teste. Essa ferramenta possui dentre outras funes, a capacidade de cifrar arquivos, alm de realizar a esteganografia conforme explicado neste subitem.

62

Figura 15 Menu Invisible Secrets

3.3.3 Escondendo Dados Genricos Segundo Garfinkel (2007), os dados tambm podem ser escondidos em locais que no sejam afetados ou que sejam ignorados pelas ferramentas de anliseforense atuais. Dentre essas ferramentas citadas por Garfinkel (2007), tem-se: Metasploits Slacker essa ferramenta vai esconder informaes dentro do espao existente nos sistemas de arquivos FAT ou NTFS. FragFS Esconde dados dentro de uma tabela de arquivos denominado NTFS Master. RuneFS (Grugq 2003) armazena os dados em bad blocks, isto , em blocos marcados como defeituosos para leitura/escrita pelo sistema operacional. KY FS armazena dados em diretrios. Data Mule FS armazena informaes nas paginas no alocadas de arquivos do Microsoft Office.

63

3.3.4 Alternate Data Streams ADS O Alternate Data Streams originrio do sistema de arquivos NTFS permitindo embutir um arquivo dentro de outro, no alterando o arquivo original. Esse recurso foi criado para ser compatvel com sistemas de arquivos utilizado pela Machintosh o HFS (Hierarchical File System). O ADS utilizado como tcnica antiforense para quem quer esconder um arquivo dentro de um outro sem alterar o arquivo base dificultando assim que ele seja encontrado.
Os ADSs so invisveis para as ferramentas de explorao convencionais, no entanto, esta a grande motivao para esconder informaes ou programas maliciosos como trojans que podem ser executados nos sistemas. Mas atravs de softwares forenses ou especficos, estes streams so facilmente visveis. (PAIVA, 2009, p.71)

A utilizao e criao do ADS no requer um conhecimento muito avanado, existindo comandos simples que permitem ativ-lo e ocultar um arquivo em outro. Segue um exemplo de comandos no prompt de comando para criao de um arquivo.txt com um outro arquivo oculto. Cria-se, por exemplo, uma pasta na unidade C. Neste, exemplo, a pasta criada foi denominada DionisonPteste, conforme se pode observar na figura 16. Posteriormente, faz-se acesso a esta pasta, conforme Figura 17.

Figura 16 - Visualizao da pasta criada Fonte: Prompt de comando

64

Figura 17 Acessando a pasta criada Fonte: prompt de comando

Cria-se um arquivo comum, por exemplo, ads.txt e colocam-se neste arquivo os dizeres contedo normal com o comando echo contedo normal>ads.txt, conforme pode-se observar na Figura 18. Agora abre-se o arquivo c:\dionisonpteste\ads.txt por meio do utilitrio bloco de notas atravs do comando start ads.txt. No bloco de notas ser exibido o que foi escrito, ou seja, contedo normal, como se verifica na Figura 19.

Figura 18 Criao do arquivo ads.txt Fonte: Prompt de comando

Figura 19 Contedo do arquivo ads Fonte: Bloco de notas

65

No prompt de comando observa-se na Figura 20 que o arquivo ads possui 17 bytes. Agora cria-se uma stream do arquivo ads que no aparecer.

Figura 20 Tamanho do arquivo ads Fonte: Prompt de comando

Usa-se o comando echo conteudo oculto em ads > ads.txt:secreto, conforme Figura 21. Os dois pontos separam o nome do arquivo do nome da ADS. Nesse caso, cria-se uma stream adicional com o nome de secreto. Aps a execuo desse comando o arquivo ads.txt possui uma stream denominada secreto ligada a ele. Abre-se, novamente, o arquivo no Bloco de Notas e ser possvel ver, to somente, a expresso conteudo normal, ainda.

Figura 21 Criao do arquivo secreto Fonte: Prompt de comando

66

Ao digitar o comando dir verifica-se que o tamanho do arquivo ads o mesmo, conforme Figura 21. O comando more<ads.txt:secreto permite ler o contedo secreto, conforme Figura 22. No Windows Explorer no possvel ver o contedo do arquivo secreto e nem se o arquivo original possui alguma stream ligada a ele.

Figura 22 Contedo arquivo secreto Fonte: Prompt de comando

Para apagar o arquivo secreto deve-se apagar o arquivo original. Os ADS podem conter arquivos simples como texto e at mesmo arquivos executveis. Partindo desta mesma filosofia, possvel criar tambm uma stream com um arquivo executvel relacionado com um arquivo TXT, e a partir da, o mesmo pode ser executado. Este um bom recurso para esconder alguns programas maliciosos. (PAIVA, 2009, p.73). Observa-se que os ADSs so invisveis para as ferramentas de explorao comuns, motivando assim sua utilizao para esconder informaes ou programas maliciosos. Porm, ADSs podem ser facilmente detectados atravs de ferramentas forenses ou especficas.

3.3.5 Slack Space Slack space o espao entre o final e o incio de um bloco no disco rgido. A grande maioria dos softwares forenses no procura informaes que esto 67

escondidas nesses locais, permitindo assim que eles se tornem um local perfeito para esconder informaes. De acordo com Paiva (2009), ocultar informaes no slack space a mais famosa entre as tcnicas antiforense, pois no facilmente visvel para o perito. Essa tcnica encontra paralelo na ADS no NTFS, discutida na seo anterior, que tambm um local perfeito para o invasor esconder os seus dados maliciosos do usurio. A ADS, no entanto, pode ser facilmente identificada empregando ferramentas de anlise forense. O slack space o espao que sobra e que no utilizado no final de um arquivo, conforme se pode observar abaixo:

Figura 23 Formao do Slack Space

25

Como o slack space um espao que no utilizado, o sistema de arquivos no o referencia, fazendo com que o sistema operacional no possa enxerg-lo, permitindo que ele seja uma tima opo para ocultar informaes. A existncia dessa tcnica deve-se ao fato de que mesmo que os dados reais que esto sendo armazenados requeiram menos espao do que o tamanho do bloco, o bloco inteiro reservado para o dado a ser gravado. Raramente o tamanho de um arquivo tem exatamente o tamanho de um bloco. Se assim acontecer, os blocos seriam usados em sua integralidade. Contudo, isso no ocorre com frequncia. Com isso, comum que o ultimo bloco no seja utilizado totalmente. O sistema operacional marca os blocos que contm o slack space como utilizados. Esses somente sero empregados ou sobrescritos pelo sistema de arquivos caso a rea ocupada seja expandida, mediante acrscimo de dados.

25

Fonte: http://forensics.luizrabelo.com.br/2011/04/file-slack-space.html

68

Para o armazenamento, deteco e recuperao de informaes em slack spaces, preciso utilizar ferramentas especializadas, como, por exemplo, o BMAP e o SLACKER. Essas ferramentas so necessrias, pois o sistema operacional ignora as informaes armazenadas em slack spaces.

3.3.6 Rootkits De acordo com Cardoso (2008), rootkits so programas que tm como objetivo ocultar os vestgios que o invasor possa vir a deixar ao realizar uma tentativa de invaso a um sistema. Essas ferramentas, tambm permitem que o atacante possa realizar novo acesso posteriormente. Uma das caractersticas dos rootkits a de poder anular chamadas do sistema operacional (chamadas ao supervisor), alm de ocultar arquivos e outras informaes que possam acusar a presena de um invasor na rede. Um rootkit semelhante a uma ferramenta de hacker. Um invasor usa um rootkit para obter acesso em nvel de administrador a um computador. (SYMANTEC, 2011). Os programas rootkits podem ser classificados em tradicionais ou baseados como Loaded Kernel Modules (LKM): rootkits tradicionais: so aqueles que possuem verses de comandos do sistema alterados, sendo que esses comandos servem para ocultar informaes dos processos, os arquivos e as conexes utilizados pelo atacante. Klaus26 (apud RODRIGUES, FOLTRAN Jr. 2010). rootkits baseados em LKM: Esses programas conseguem alterar dinamicamente os mdulos do ncleo do sistema operacional porque so capazes de modificar as

26

KLAUS, S. and NELSON, M. Mtodos para deteco local de rootkits e mdulos de kernel

maliciosos em sistemas Unix, 2001.

69

chamadas de sistema Pereira27 (apud RODRIGUES, FOLTRAN Jr. 2010). Os rootkits baseados em LKM surgiram em 1997, sendo programas maliciosos capazes de alterar a funcionalidade de um determinado sistema sem a necessidade de reinicializao. Burdach (2011) menciona a ferramenta Rootkits Advanced, que pode facilmente enganar as ferramentas dos peritos de coleta de evidncias, de resposta ou de incidentes.

3.4 Tcnicas de Invaso Uma vez que os crimes cibernticos so mais rentveis que o trfico de entorpecentes28, h um grande estmulo para que uma ampla gama de potenciais criminosos passem a criar mtodos, tcnicas e ferramentas que facilitem a realizao de invases e o roubo ou comprometimento de informaes. Normalmente, as empresas criam grupos de permisses de acessos para seus sistemas que esto sob monitoramento dos administradores da rede. As senhas e identificao desses usurios administradores devem estar sob proteo mais forte do que a dos demais. O que liga um usurio/senha a um grupo de acesso, permitindo sua entrada no sistema, um arquivo que o sistema mantm. Esse arquivo faz uma associao de cada senha a cada usurio. Conforme definido por Stallings (2008), o intruso tem como objetivo geral ter acesso a um sistema ou at mesmo obter certo nvel de privilgios em relao a esse sistema. Para isso, ele busca ter acesso ao arquivo que vincula usurios e senhas. Caso ele consiga efetuar esse tipo de acesso, ele possuir certas informaes que deveriam estar muito bem protegidas. O eventual acesso a esse arquivo permitiria que esse atacante viesse a obter uma lista com todas as senhas de todos os usurios do sistema. Naturalmente, existem maneiras de se proteger

27

PEREIRA, E; FAGUNDES, L; NEUKAMP, P et al. Forense Computacional: fundamentos,

tecnologias e desafios atuais, 2007.

28

Fonte: http://www.tecmundo.com.br/segurana/13163-crimes-virtuais-geram-mais-prejuizo-do-quetrafico-de-drogas.htm

70

essas informaes contra invasores, que so implementadas na maioria dos sistemas operacionais modernos: Funo unidirecional: o sistema no armazena a senha propriamente dita em um arquivo, mas sim o resultado de uma funo unidirecional (uma funo de hash com qualidade criptogrfica, por exemplo) calculada a partir da senha digitada pelo usurio, a fim de permitir o acesso ao sistema. Dessa maneira, mesmo que o atacante tenha acesso ao arquivo de senhas, no conseguir obter a senha do usurio a partir dele, mas apenas o valor da funo unidirecional calculada a partir da senha. Controle de Acesso: o acesso ao arquivo de senhas limitado a somente uma ou poucas contas. Segundo Stallings (2008), para burlar esse mtodo ser necessrio grande esforo por parte do intruso para ter acesso no autorizado ao sistema. A fim de obter esse resultado, costuma ser utilizadas as seguintes tcnicas: Tentativa de senhas-padro com contas padro. Tentativa de utilizao em sequncia de todas as senhas curtas possveis (indo de um a trs caracteres). Tentativa de utilizao de senhas de uma lista de senhas provveis que ficam disponveis em informativos para hackers. Tentativa de utilizao, como senha de palavras relacionadas ao prprio usurio, a partir de dados esses coletados previamente, tais como nomes completos, nomes de conjugues e filhos, alguns indcios de senhas em fotos, livros ou no local de trabalho. Tentativa de utilizao, como senha, de nmeros de telefones dos usurios, nmeros de documentos pessoais, nmeros de sala. Tentativa de utilizao, como senha, de nmeros de placas de automveis legtimos do estado. Utilizao de um cavalo de tria para contornar a restries de acesso. Realizao de escuta clandestina na linha de comunicao entre um usurio remoto e um sistema host. 71

4 CONSIDERAES FINAIS

Como discutido neste trabalho, a expanso da utilizao da Internet tem resultado no aumento dos crimes cibernticos. Esse aumento evidncia a necessidade de existncia de profissionais capazes de identificar os causadores desses ataques, a partir das evidncias deixadas por eles. Esses profissionais so os peritos em forense computacional. Este estudo apresentou algumas das ferramentas utilizadas pelos peritos que facilitam e otimizam as tarefas executadas para a anlise e coleta de indcios (que podem tornar-se evidncias), podendo assim combater tcnicas de antianlise forense, utilizadas por invasores ou criminosos29. Porm, h ferramentas e tcnicas utilizadas pela antianlise, que existem especialmente para poder dificultar o trabalho dos peritos na busca de evidncias de um crime ciberntico. O estudo dessas tcnicas, outrora discutidas, importante para que seja possvel aprender e entender como os criminosos cibernticos agem e pensam. Desta forma, os peritos podem coletar vestgios/evidncias mais significativas at mesmo em uma situao em que tenham sido tomadas providncias para elimin-lo(a)s. A antianlise forense busca estar sempre um passo frente da forense computacional, a fim de dificultar e at mesmo inviabilizar as provas que os peritos procuram. Alm da falta de leis que punem os criminosos "virtuais", a antianlise forense uma tcnica nova e que no conhecida ainda nos meios profissionais, sendo essa uma de suas grandes vantagens. Pode-se observar que, nesse conflito a percia pode no obter respostas, ou at mesmo, ser induzida a evidncias falsas, o que dificultaria sobremaneira a apurao de ilcitos e provocar injustias, levando um inocente a ser declarado culpado, por exemplo. Assim sendo, na busca constante do conhecimento e do aprimoramento, objetivo que deve ser permanentemente perseguido pelos peritos, a antianlise forense deve ser levada em considerao e, mais que isso, as suas tcnicas devem ser sempre estudadas e testadas.

29

Naturalmente, tcnicas de antianlise forense tambm podem ser usadas para fins legalmente aprovados, por razes de segurana, quando, por exemplo, um governo realiza investigaes e quer manter o anonimato dessas investigaes ou por questo de segurana nacional.

72

Diante do que foi discutido e apresentado neste trabalho, pode-se concluir que os analistas forenses dispem de ferramentas que lhes permite combater os crimes eletrnicos, ainda que os criminosos recorram s tcnicas e mtodos da antianlise forense para pratic-los. Para isso, no entanto, esses profissionais devem procurar identificar falhas nos procedimentos utilizados por aqueles que praticam crimes eletrnicos, estudando o seu modus operandi, isto a sua forma de atuao, a fim de estabelecer a melhor maneira de combat-los. Essa busca por aprimoramento dos peritos forenses deve ser constante, uma vez que os criminosos tambm vm atualizando permanentemente seu leque de tcnicas de ataque, a fim de aperfeio-las, procurando no deixar vestgios que sejam encontrados pelos peritos forenses.

73

5 REFERNCIAS BIBLIOGRFICAS

ACCESSDATA. Disponvel em: <http://accessdata.com/products/computerforensics/ftk>. Acesso em: 14 abr. 2012. BORGES, Cssio Henrique; et. al. 2010. Disponvel em: <http://informaticauniaraxa.blogspot.com/2010/11/ferramentas-mais-utilizadas-napericia.html> Acesso em: 27 mar. 2012. BUSTAMANTE, Leonardo. Introduo computao forense. 2006. Disponvel em: <http://www.imasters.com.br/artigo/4175/forense/introducao>. Acesso em: 24 mar. 2012. BURDACH, Mariusz. Finding Digital Evidence In Physcical Memory. 2011. Disponvel em: <http://www.ise.gmu.edu/~astavrou/courses/ISA_785_F11/bh-fed-06burdach-up.pdf> . Acesso em: 2 jun. 2012. CASTRO, Carla Rodrigues Arajo de. Crimes de Informtica e Seus Aspectos Processuais. 2003. Editora Lumen Juris. 2 Edio, Rio de Janeiro. CARDOSO, Thiago Xavier. Anlise Forense. 2008. Disponvel em: < http://www.gta.ufrj.br/grad/08_1/forense/Introduo.html>. Acesso em: 29 mar. 2012. CARMONA, Tadeu. Segredos da Espionagem Digital: Desvende o Submundo Hacker. Digerati Editorial, 2005. CBL Recuperao de Dados. Destruio de Dados. 2012. Disponvel em: < http://www.cbltech.com.br/destruicao-dados/ >. Acesso em: 02 jun. 2012 CEPLAN - Centro Educacional do Planalto Norte. Segurana da Informao. Disponvel em: <http://antiga.ceplan.udesc.br/seguranca/ataque.html>. Acesso em: 14 abr. 2012. DRIEMEYER, Marco. GUIA DE UTILIZAO DO TRUECRYPT. 2011. Disponvel em: <http://docs.titansware.com.br/outros/truecrypt> Acesso em: 08 abr. 2012. Forense Computacional. Processo de Investigao. Disponvel <https://sites.google.com/a/cristiantm.com.br/forense/forensecomputacional/processo-de-investigacao> Acesso em: 01 abr. 2012. em:

74

FOROUZAN, Behrouz A. Comunicao de dados e redes de computadores/Behrouz A. Fourozan com a colaborao de Sophia Chung Fegan; traduo Ariovaldo Griesi; reviso tcnica Jonas Santiago de Oliveira. 4. Ed. So Paulo: MacGraw-Hill, 2008. FREITAS, Andrey Rodrigues de. Percia Forense Aplicada Informtica. IBPI 2003. Disponvel em:< http://www.linuxsecurity.com.br/info/general/andrey-freitas.pdf >. Acesso em: 08 abr. 2012. FREITAS, Andrey Rodrigues de. Cadeia de Custdia. 2011. Disponvel em: < http://www.guiatecnico.com.br/gt/?p=128> Acesso em: 15 abr. 2012. GARFINKEL, Simson. Anti-Forensics: Techniques, Detection and Countermeasures. 2007. Disponvel em <http://www.google.com.br/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CF QQFjAA&url=http%3A%2F%2Fciteseerx.ist.psu.edu%2Fviewdoc%2Fdownload%3Fd oi%3D10.1.1.109.5063%26rep%3Drep1%26type%3Dpdf&ei=J2TKT9K0For48wSOhI WMDw&usg=AFQjCNHgOjiW9JkGma3qpav7e8Vn3oERtA>. Acesso em: 2 jun. 2012. GUIMARES, Clio Cardoso et al. Forense Computacional: Aspectos Legais e Padronizao. [S.l.: s.n.], 2001. 06 p. Disponvel em: <http://labcom.inf.ufrgs.br/ceseg/anais/2001/14.pdf>. Acesso em: 23 jun. 2012. SILVA JUNIOR, Marcos Vinicius da Silva. O que Segurana Informao?. 2009. Disponvel em: <http://webinsider.uol.com.br/2009/09/23/o-que-e-seguranca-dainformacao/>. Acesso em: 20 abr. 2012. LYRA, Maurcio Rocha. Segurana e Auditoria em Sistemas de Informao. Rio de Janeiro: Editora Cincia Moderna Ltda., 2008. MENEGOTTO, Victor Hugo. Aspectos Gerais de Forense Computacional Unisinos. So Leopoldo, 2004. Disponvel em:< http://lucaszc.homelinux.org/ficpos/forense/apresentacao_crimes_na_internet.pdf> Acesso em: 06 jul. 2012. MILAGRE, Jos Antonio. LegalTech Consultoria em Percias e Auditorias. 2009. Disponvel em: <http://www.legaltech.com.br/consultoria-periciasauditoria.php> Acesso em: 14 abr. 2012. MITNICK, Kevin D.; SIMON, William L. A. A Arte de Enganar: Ataque de Hackers: Controlando o Fator Humano na Segurana da Informao.So Paulo: Pearson Education do Brasil, 2003. 278 p. 75

MOREIRA, Maria Isabel. Crimes Mais Frequentes. Revista InfoExame, So Paulo, Ed. 94, p.9, 2011. NAKAMURA, Emilio T.; GEUS, P. L. D. Segurana de Redes em Ambientes Cooperativos. So Paulo: Novatec Editora, 2007. PAIVA, Jadilson Alves de. Prticas Anti-Forense: Um Estudo de seus impactos na Forense Computacional. 2009. 102 p. Monografia (Especialista em Segurana da Informao)- Faculdade de Tecnologia IBRATEC, Joo Pessoa - PB, 2009. Disponvel em: <http://www.nogueira.eti.br/profmarcio/obras/Jadilson%20-%20AntiForense.pdf>. Acesso em: 29 mar. 2012. QUEIROZ, Claudemir; VARGAS, Rafael. Investigao e Percia Forense Computacional. 1 Ed. Rio de janeiro: Brasport, 2010. 139 p. RIBEIRO, Alexandre de Oliveira. Anlise Forense. 2006. Disponvel em: <http://www.gta.ufrj.br/grad/06_2/alexandre/index.html> Acesso em: 29 mar. 2012. RODRIGUES, Thalita Scharr; FOLTRAN JR., Dierone Csar. Revista de Engenharia e Tecnologia. ANLISE DE FERRAMENTAS FORENSES NA INVESTIGAO DIGITAL. 2010. Disponvel em: <http://ri.uepg.br:8080/riuepg/bitstream/handle/123456789/530/ARTIGO_AnaliseFerr amentasForenses.pdf?sequence=1>. Acesso em: 25 mar. 2012. RODRIGUES, Tony. Introduo a Forense Computacional. 2009. Disponvel em: < http://www.slideshare.net/tonyrodrigues/forensecomputacionalintroducao> Acesso em: 06 jul. 2012 SILVA, Lus Miguel. Programao Segura. 2003. Disponvel em: <http://lms.ispgaya.pt/documentacao/anti-analise.forense.pdf>. Acessado em: 29 mar. 2012. SOUZA, Ernani E. Disciplina presencial de Teoria Geral dos Sistemas do curso de Tecnologia em Anlise e Desenvolvimento de Sistemas. Belo Horizonte. Faculdade Anhanguera, 2009. SOUZA, Ernani E. Disciplina presencial de Segurana e Auditoria de Sistemas do curso de Sistemas de Informao. Belo Horizonte. Faculdade Anhanguera, 2012. 76

STALLINGS, Willian. Criptografia e Segurana de Redes. So Paulo: Pearson Prentice Hall, 2008. SYMANTEC. Rootkit. Disponvel em: <http://www.symantec.com/pt/br/security_response/glossary/define.jsp?letter=r&word =rootkit>. Acesso em: 29 abr. 2012 TRACER Segurana da Informao LTDA. Anlise Vulnerabilidades. Disponvel em: <http://www.trackerti.com/consult/view/name/analise-vulnerabilidades> Acesso em: 14 abr. 2012. VAZ, Josiana. Metodologias de deteco de vestgios biolgicos forenses. 2008. 135 f. Dissertao de mestrado. Departamento de Biologia. Universidade de Aveiro. Aveiro. 2008. Disponvel em: <http://ria.ua.pt/bitstream/10773/798/1/2009000584.pdf>. Acesso em: 20 jun.2012 VIEIRA, Luiz. 2011. Forense Computacional com Software Livre. Disponvel em: <http://forumsoftwarelivre.com.br/2011/arquivos/palestras/Forense%20Computacion al%20com%20Software%20Livre.pdf>. Acesso em: 19 de maio de 2012.

77