Você está na página 1de 20

2013

UCB Universidade Católica de Brasília

Willy M. D. Campos

[SISTEMATIZAÇÃO PERÍCIA COMPUTACIONAL]

Sumário

1.

Introdução

3

Legais

  • 1.1. ................................................................................................................

Aspectos

3

técnicos

  • 1.2. .............................................................................................................

Aspectos

4

  • 1.2.1. Considerações importantes

4

  • 1.2.2. Ciclo da Perícia Forense Computacional

4

Coleta

  • 1.2.2.1. .......................................................................................................................

4

  • 1.2.2.2. .......................................................................................................................

Exame

4

  • 1.2.2.3. Análise ......................................................................................................................

4

  • 1.2.2.4. Resultados Obtidos

4

1.2.3.

Processo de tomada de decisão inicial

5

2.

Estudo de Caso

5

2.1.

Caso I

5

2.1.1.

Procedimentos Periciais Iniciais

6

Coleta de Dados

  • 2.1.1.1. .......................................................................................................

6

Análise dos dados

  • 2.1.1.2. .....................................................................................................

6

  • 2.1.1.3. Ferramentas utilizadas

7

2.2.

Caso 2

11

  • 2.2.1.1. Coleta de Dados

13

  • 2.2.1.2. Análise dos dados ...................................................................................................

13

2.2.1.3

Ferramentas utilizadas

14

5.

Bibliografia

18

Índice de Ilustrações

Figura 1 - Aspectos legais e técnicos

3

Figura 2 - Ciclo Perícia Computacional

5

5

Figura

4 - PORN STICK

7

Figura 5- ARP

8

Figura

6

8

Figura 7 - Cipher

 

8

Figura

8

9

Figura

9 Netstat

9

Figura

10

-

Recent

9

Figura

11

-

Recent

10

Figura 12 - FDTK

14

Figura

13

-

CAINE

15

Figura

14 - DEFT

15

1. Introdução

Antes de iniciarmos qualquer procedimento pericial devemos nos resguardar que estamos resguardados pelas leis vigentes em nosso país. Portanto para que esta investigação possa ser feita, antes de tudo descreverei as leis que regem os atos e ações dos peritos criminais e que os mesmos estão sob a salvaguarda das leis brasileiras. Veremos também quais aspectos técnicos analisaremos para chegarmos a um laudo pericial confiável.

1. Introdução Antes de iniciarmos qualquer procedimento pericial devemos nos resguardar que estamos resguardados pelas leis

Figura 1 - Aspectos legais e técnicos

1.1. Aspectos Legais

As leis abaixo se aplicarão aos casos citados abaixo, e se encontrado algum ilícito penal em algum dos casos será levantada a lei sob a qual este ilícito está embasado.

Art. 158. Quando a infração deixar vestígios, será indispensável o exame de corpo de delito, direto ou indireto, não podendo supri-lo a confissão do acusado.

Art. 169. Para o efeito de exame do local onde houver sido praticada a infração, a autoridade providenciará imediatamente para que não se altere o estado das coisas até a chegada dos peritos, que poderão instruir seus laudos com fotografias, desenhos ou esquemas elucidativos. (Vide Lei nº 5.970, de 1973)

Parágrafo único. Os peritos registrarão, no laudo, as alterações do estado das coisas e discutirão, no relatório, as consequências dessas alterações na dinâmica dos fatos. (Incluído pela Lei nº 8.862, de 28.3.1994)

Art. 170: "Nas perícias de laboratório, os peritos guardarão material suficiente para a

eventualidade de nova perícia. Sempre que conveniente, os laudos serão ilustrados com provas

fotográficas, ou microfotográficas, desenhos ou esquemas“.

Art. 171: "Nos crimes cometidos com destruição ou rompimento de obstáculo a subtração da coisa, ou por meio de escalada, os peritos, além de descrever os vestígios, indicarão com que instrumentos, por que meios e em que época presumem ter sido o fato praticado".

1.2. Aspectos técnicos 1.2.1. Considerações importantes

Orientações às autoridades ao apreender máquinas suspeitas

Se a máquina estiver ligada no momento do flagrante e houver possibilidade, chame um perito forense para realizar um dump de memória. Isso ajudará muito nas investigações, pois há dados preciosos na memória, incluindo senhas. Para remover a máquina do local, lacre a mesma, dentro de uma caixa ou saco apropriado, na presença de duas testemunhas. Utilize lacres confiáveis, seguros enumerados.

1.2.2. Ciclo da Perícia Forense Computacional

  • 1.2.2.1. Coleta

Os procedimentos adotados na coleta de dados devem ser formais, seguindo toda uma metodologia e padrões de como se obter provas para apresentação judicial, como um checkList, de acordo com as normas internacionais de padronização, citadas acima.

  • 1.2.2.2. Exame

Um Perito Forense Computacional experiente terá de ter certeza de que uma evidência extraída deverá ser adequadamente manuseada e protegida para se assegurar de que nenhuma evidência seja danificada, destruída ou mesmo comprometida pelos maus procedimentos usados na investigação e que nenhum vírus ou código malicioso seja introduzido em um computador durante a análise forense.

  • 1.2.2.3. Análise

Na concepção de Kerr (2001), a análise será a pesquisa propriamente dita, onde o investigador se detém especificamente nos elementos relevantes ao caso em questão pois todos os filtros de camadas de informação anteriores já foram transpostos.

  • 1.2.2.4. Resultados Obtidos

De acordo com Freitas (2006) esta fase é tecnicamente chamada de “substanciação da evidência”, pois nela consiste o enquadramento das evidências dentro do formato jurídico, sendo inseridas, pelo juiz ou pelos advogados, na esfera civil ou criminal ou mesmo em ambas. É nesta fase que os relatórios são gerados e apresentados a quem de direito.

Figura 2 - Ciclo Perícia Computacional

Figura 2 - Ciclo Perícia Computacional 1.2.3. Processo de tomada de decisão inicial Antes de iniciar

1.2.3. Processo de tomada de decisão inicial

Antes de iniciar cada uma das fases de investigação geral, deve-se aplicar o processo de tomada de decisão inicial mostrado na figura a seguir.

Figura 2 - Ciclo Perícia Computacional 1.2.3. Processo de tomada de decisão inicial Antes de iniciar

Figura 3 - Processo de tomada de decisão inicial

  • 2. Estudo de Caso 2.1. Caso I

A equipe de perícia policial apreendeu um computador, do tipo PC, utilizado pelo funcionário Osama Silva, pertencente aos quadros da Empresa Alfa. Tal computador fora apreendido sob suspeita de ser utilizada como servidor de arquivos pornográficos distribuídos para uma rede de relacionamentos que possui site e lista de distribuição na Internet. Suspeita-se também da prática de pedofilia.

As Características do equipamento apreendido:

Máquina HP Compaq dc 5750 Microtower;

AMD Athlom (tm) 64X2 Dual Core Processor 4400+, 2.29 Ghz;

896 MB de RAM;

HD 160 GB;

Sistema Operacional Windows XP professional.

2.1.1. Procedimentos Periciais Iniciais

 

2.1.1.1.

Coleta de Dados

A equipe de peritos fez um levantamento de todos os ativos que poderiam conter informações relevantes e o resultado está abaixo:

a-

HD

b-

Dispositivos removíveis

 

c-

CPU

d-

Memórias

e-

Trafego da rede

Após a identificação dos ativos relevantes foi feito um levantamento de procedimentos a serem tomados no ambiente Windows.

a-

Análise do Log de eventos do Windows (Evente Viewer)

b-

Log’s de terceiros

c-

Registros

d-

Spool de impressão

e-

Clientes de Email

 

f-

Lixeira

g-

Processos em execução

h-

Portas abertas no sistema

2.1.1.2.

Análise dos dados

Segue um checklist de procedimentos a serem tomados na análise dos dados

Tabela 1 - Investigação

Procedimento

Descrição

Ferramenta

MAC Address

Identificar o MAC Address da máquina

Ipconfig /all ou getmac

Portas Abertas no sistema

Identificar as portas de comunicação que estão abertas no sistema

netstat

Logs de eventos

Analisar os logs de eventos

Dumpel, psloglist, Event Viewer

Registro do Windows

Analisar o Registro do Windows que neste momento

Reg query e dureg

 

se transforma em um grande LOG de dados

 

Rootkits

Verificar a existência de rootkits no sistema

RootkitRevealer

Recover de Dados

Localizar arquivos já removidos do sistema

Software de recovery RECUVA EASY RECOVERY

Durante a perícia foram encontrados inúmeros indícios de atividade ilegal no computador, os logs registraram um alto índice de arquivos de imagem sendo utilizdos no computador, a análise dos pacotes da rede retornaram que sites pornográficos e pedófilos foram acessados daquele computador, entre outros.

Logo após a equipe de peritos conseguiu identificar que realmente existiam arquivos físicos que comprovam que houve ação ilícita naquele computador e partiram para o próximo passo que é identificar quem é o autor do crime, por que executou a ação, quando executou e dados relevantes como o momento das execuções e como foi executado.

  • 2.1.1.3. Ferramentas utilizadas

Para fazer as identificações e chegar a um veredito o períto faz o uso de algumas ferramentas que são elas:

  • NuDetective: é um programa desenvolvido em Java que auxilia a detecção de arquivos de pornografia infanto-juvenil ainda nos locais de busca e apreensão e em locais de crime com suspeita de pedofilia.

  • PornStick: O PornStick parece ser uma banal pen drive como todos temos, mas com a particularidade de encontrar qualquer vestígio de pornografia no computador sem deixar rastros, já que ele não instala nenhum software na máquina inspecionada.

se transforma em um grande LOG de dados Rootkits Verificar a existência de rootkits no sistema

Figura 4 - PORN STICK

  • Encase: Com o EnCase Forensic, o investigador tem a seu alcance uma solução única para conduzir, do começo ao fim, as mais complexas investigações. Esse software é capaz de fazer uma cópia fiel, completa e de maneira totalmente não-intrusiva dos

dispositivos binários presentes no dispositivo suspeito. O EnCase

Forensic gera, então um arquivo de evidência e inicia a análise do material copiado.

  • Arp: Retorna com quais endereços MAC’s já foram trocadas informações.

dispositivos binários presentes no dispositivo suspeito. O EnCase Forensic gera, então um arquivo de evidência e

Figura 5- ARP

  • Cacls: ferramenta capaz de mostrar as permissões atribuídas a um arquivo ou diretório

dispositivos binários presentes no dispositivo suspeito. O EnCase Forensic gera, então um arquivo de evidência e

Figura 6 CACLS

  • Cipher: descobrir se há arquivos oupastas criptografadas em volumes NTFS

dispositivos binários presentes no dispositivo suspeito. O EnCase Forensic gera, então um arquivo de evidência e

Figura 7 - Cipher

  • Date: Usado para gerar a data e a hora do sistema, imprescindível para gerar log de quando começou a perícia e quando ela terminou.

 Date: Usado para gerar a data e a hora do sistema, imprescindível para gerar log

Figura 8 - Date Time

  • Netstat: Identifica as portas abertas no sistema o que pode nos levar a encontrar como as imagens são compartilhadas pela WEB

 Date: Usado para gerar a data e a hora do sistema, imprescindível para gerar log

Figura 9 Netstat

  • Verificar diretório de arquivos Recents.

 Date: Usado para gerar a data e a hora do sistema, imprescindível para gerar log

Figura 10 - Recent 01

Figura 11 - Recent 02  Verificar Históricos, caches, links, Cookies : o shell:History (Histórico o

Figura 11 - Recent 02

  • Verificar Históricos, caches, links, Cookies:

o

shell:History (Histórico

o

shell:Links

o

shell:Profile

o

shell:Quick Launch (Pasta de início rápido)

o

shell:Searches: Mostra as buscas salvas realizadas pelo usuário.

o

shell:Cache

o

shell:Cookies

  • Doskey: Finalizar a investigação gerando um arquivo com os comandos utilizados (OBS: não fechar o pompt antes de executar este comando).

Após toda esta análise foi comprovado que havia no computador dados que comprovam que o usuário estava realmente envolvido com pedofilia e administrava um site enviando as fotos por um servidor FTP (havia um cliente FTP na máquina e o netstat revelou que a porta 21 estava aberta constantemente). Foram recuperados 100GB de fotos pornográficas encontradas pelo PornStick e encaminhadas para os superiores.

2.2. Caso 2

Recentemente o Diretor-Presidente da Consultoria Gama Delta, organização que presta consultoria em planejamento estratégico para várias grandes empresas e órgãos de governo, suspeitando que algum de seus funcionários tenha vazado informações sobre contratos e projetos que estão disponíveis em seus sistemas, contratou uma equipe de profissionais para realizar trabalho pericial que ensejará em futuras ações nos campos penal, cível e trabalhista.

A empresa possui a seguinte configuração de arquitetura de TI:

01 (um) servidor de arquivos, que também funciona como controlador de domínio, baseado em S.O. Windows 2003 Server;

01 (um) servidor de correio eletrônico, web e Proxy, baseado em S.O Linux RedHat;

01 (um) equipamento firewall baseado em S.O Linux RedHat, com IPTABLES;

10 (dez) network computers (computadores do tipo “clientes magros” ou thin

clients), destinados aos usuários finais (funcionários). Tais equipamentos não possuem discos rígidos, sendo que o armazenamento de arquivos produzidos é todo realizado no servidor de arquivos; 01 (uma) conexão com a Internet padrão xDSL;

01 (um) profissional de tecnologia da informação que é responsável pela infra- estrutura de redes, administração de políticas de usuários e grupos e segurança da informação.

Dados complementares importantes:

Conforme a política de segurança da informação, conhecida por todos os funcionários, não permite que sejam utilizados recursos de emails externos à empresa (ex: gmail; Yahoo mail ou hotmail). Também não permite que as portas USB possam ser utilizadas para inserção de unidades de armazenamento de massa, tais como PenDrives ou Cartões de Memória.

Segue um checklist de procedimentos a serem tomados na análise dos dados

Tabela 2 - Investigação 2

Procedimento

Descrição

Ferramenta

MAC Address

Identificar o MAC Address da máquina

Ipconfig /all ou getmac

Portas Abertas no sistema

Identificar as portas de comunicação que estão abertas no sistema

netstat

Logs de eventos

Analisar os logs de eventos

Dumpel, psloglist, Event Viewer

Registro do Windows

Analisar o Registro do Windows que neste momento

Reg query e dureg

 

se transforma em um grande LOG de dados

 

Rootkits

Verificar a existência de rootkits no sistema

RootkitRevealer

Recover de Dados

Localizar arquivos já removidos do sistema

Software de recovery RECUVA EASY RECOVERY

 

2.2.1.1.

Coleta de Dados

A equipe de peritos fez um levantamento de todos os ativos que poderiam conter informações relevantes e o resultado está abaixo:

a-

HD

b-

Dispositivos removíveis

 

c-

CPU

d-

Memórias

e-

Trafego da rede

Após a identificação dos ativos relevantes foi feito um levantamento de procedimentos a serem tomados no ambiente Windows.

a-

Análise do Log de eventos do Windows (Evente Viewer)

b-

Log’s de terceiros

c-

Registros

d-

Spool de impressão

e-

Clientes de Email

 

f-

Lixeira

g-

Processos em execução

h-

Portas abertas no sistema

Sistema Linux

 

a-

Arquivos de Logs, syslog-ng.

b-

Logs dos aplicativos não gerenciados pelo Sistema Operacional.

c-

Arquivo de troca (Swap).

d-

Arquivos especiais de configuração.

e-

Dados voláteis.

f-

Arquivos relevantes.

g-

Diretórios temporários.

h-

E-mails enviados ou recebidos.

i-

Spool de impressão.

2.2.1.2.

Análise dos dados

  • 3. Segue um checklist de procedimentos a serem tomados na análise dos dados

  • 4. Tabela 3 - Investigação

Procedimento

Descrição

Ferramenta

MAC Address

Identificar o MAC Address da máquina

Ipconfig /all ou getmac ifconfig

Portas Abertas no sistema

Identificar as portas de comunicação que estão abertas no sistema

Netstat

Logs de eventos

Analisar os logs de eventos

Dumpel, psloglist, Event Viewer, syslog-ng

Registro do Windows

Analisar o Registro do Windows que neste momento se transforma em um grande LOG de dados

Reg query e dureg

Rootkits

Verificar a existência de rootkits no sistema

RootkitRevealer

Recover de Dados

Localizar arquivos já removidos do sistema

Software de recovery RECUVA EASY RECOVERY

Análise dos e-mails

Localizar a origem e o destino dos e-mails

Email track pro

     

Processo muito semelhante ao estudo de caso 1.

  • 2.2.1.3 Ferramentas utilizadas

  • FDTK Forense Digital ToolKit : Distribuição Linux especializada em segurança da informação e computação forense, baseada em Ubuntu, tendo como vantagem principal ser toda em português. O projeto possui um kit com mais de 100 ferramentas utilizada para realização de testes, coleta, análises em forense computacional. Possui uma interface gráfica amigável, está em constante desenvolvimento, para que o usuário possa contar com ferramentas forenses de qualidade, sem custo, tudo em português.

Registro do Windows Analisar o Registro do Windows que neste momento se transforma em um grande
  • CAINE (SO)

Figura 12 - FDTK

 DEFT (SO) Figura 13 - CAINE Figura 14 - DEFT 15
  • DEFT (SO)

Figura 13 - CAINE

 DEFT (SO) Figura 13 - CAINE Figura 14 - DEFT 15

Figura 14 - DEFT

  • HELIX (SO)

 HELIX (SO) Algo que faz esse live cd ainda mais útil é a sua parte
 HELIX (SO) Algo que faz esse live cd ainda mais útil é a sua parte

Algo que faz esse live cd ainda mais útil é a sua parte dedicada à Resposta a Incidentes. Baseada em Windows, ela contém diversos utilitários que permitem fazer levantamentos de importantes informações. Possui tanto ferramentas usadas em conjunto (caso do WFT) como aquelas usadas isoladamente (diversas da Foundstone, SysInternals - agora Microsoft, etc).

  • Email track Pró

Lista de Emails, com data de envio, Localização do Server, IP usado para enviar o email.

Do lado direito podemos criar regras de filtros para facilitar a localização dos e-mails suspeitos, além de visualizarmos as blacklists e whitelists.

 Email track Pró Lista de Emails, com data de envio, Localização do Server, IP usado

5.

Discussão e Conclusão