Você está na página 1de 63

FACULDADE DE TECNOLOGIA DE SO JOS DO RIO PRETO

ANLISE DE TCNICAS FORENSES EM SISTEMAS COMPUTACIONAIS UTILIZANDO SOFTWARES LIVRES

CAMILA DE LIMA LOPES CHARLES RAINIER GONALEZ BELLINTANI DUARTE

Orientador Prof. Francisco Antonio Almeida Co-orientador Prof. Antonio Afonso Cortezi

So Jos do Rio Preto 2010

FACULDADE DE TECNOLOGIA DE SO JOS DO RIO PRETO

ANLISE DE TCNICAS FORENSES EM SISTEMAS COMPUTACIONAIS UTILIZANDO SOFTWARES LIVRES

CAMILA DE LIMA LOPES CHARLES RAINIER GONALEZ BELLINTANI DUARTE

Projeto de Graduao apresentado Faculdade de Tecnologia de So Jos do Rio Preto para obteno do grau de Tecnlogo em Informtica para a Gesto de Negcios, sob a orientao do Prof. Francisco Antonio Almeida e co-orientao do Prof. Dr. Antnio Afonso Cortezi.

So Jos do Rio Preto 2010

Lopes, Camila de Lima Anlise de tcnicas forenses em sistemas computacionais utilizando softwares livres / Camila de Lima Lopes; Charles Rainier Gonalez Bellintani Duarte So Jos do Rio Preto: FATEC, 2010. Nmero de pginas f.: 63 Orientador: Prof. Francisco Antonio Almeida Projeto de Graduao (Curso de Tecnologia em Informtica para a Gesto de Negcios) Faculdade de Tecnologia de So Jos do Rio Preto FATEC, 2010. 1. Forense Computacional 2. Perito Forense 3.Crimes Virtuais Duarte, Charles Rainier Gonalez Bellintani. II. Ttulo. CDD: XXX.YY

DEDICATRIA
Esse trabalho dedicado as nossas famlias, professores e amigos que de muitas formas nos incentivaram e ajudaram para que fosse possvel a concretizao deste.

AGRADECIMENTOS

A Deus, pela vida. Aos Professores Francisco Antonio Almeida e Antnio Afonso Cortezi, por terem aceitado a proposta de serem nossos mentores e disponibilizado auxlio, tempo e material. A todos os colegas de sala, pois nesses trs anos de curso superamos muitos obstculos tanto a nvel escolar, quanto a nvel pessoal e profissional. Em especial agradecemos aos colegas: Gisele Numer, Lucas Marques, rika Shigaki, Johny Oliveira, Igor Rozani, Fernando Andrade, Felipe Bueno, Danilo Domiciano e Afonso Amaro, pois, de modo especial, eles contriburam no nosso objetivo de concluir o curso de maneira honrada. Por ltimo, e no menos importante, as nossas famlias, pais e irmos, a quem devemos nossa educao e carter, pela perseverana com que sempre acreditaram e incentivaram nossos sonhos que agora se realizam.

RESUMO

H alguns anos o crescimento da tecnologia exponencial e indiscutvel. Em paralelo a esse crescimento, crescem os crimes digitais. A rea que investiga tais crimes denominada Forense Computacional, Investigao Eletrnica, ou mesmo Percia Eletrnica. O profissional desta rea o Perito Forense Computacional, e dentre as caracterstica deste profissional esto: conhecimentos tcnicos e processuais em redes de computadores, hardwares, metodologia de anlise e ferramentas forenses. No Brasil, o campo de Forense Computacional ainda novo e no h uma legislao em vigor que seja especfica para tais crimes, portanto, algumas leis/artigos so adaptadas para julgar os crimes digitais. Entretanto, j est em discusso o Projeto de Lei Brasileira 84/99, proposto pelo deputado Nelson Pellegrino (PT/BA) na tentativa de tipificar crimes cometidos pela Internet. Neste trabalho, h um estudo sobre a Legislao aplicada a Crimes Virtuais e utilizao das Tcnicas Forenses Computacionais, a fim de identific-las, compreend-las e document-las para que sejam comprobatrias na atividade criminal. Este trabalho ainda prope uma distribuio Linux de um Sistema Operacional LIVE, com ferramentas forenses para coleta de evidncias. Palavras chave: Forense Computacional, Perito Forense, Crimes Virtuais

ABSTRACT

For some years the growth of technology is exponential and undisputed. In parallel with this growth, grow the digital crime. The area that investigates such crimes is called Computer Forensics, Electronic Research, or even Electronic Forensic. The professional in this area is the computer forensics expert, and among the feature of this work are: technical and procedural knowledge in computer networks, hardware, methodology, analysis and forensic tools. In Brazil, Computer Forensics is still new and there is no legislation that specifically target these crimes, so some laws / articles are adapted to prosecute computer crimes. However, already in discussion the Brazilian Law 84/99, proposed by Rep. Nelson Pellegrino (PT / BA) in an attempt to classify the crimes committed over the Internet. In this work, a study on the legislation applied to Virtual Crimes and use of Computational Forensic Techniques in order to identify them, understand them and document them so that they are corroborative in criminal activity. This paper also proposes a Linux distribution of an Operating System LIVE, forensic tools for evidence collection. Key Words: Computer Forensics, computer forensics expert, virtual crimes

SUMRIO

CAPTULO 1. INTRODUO .......................................................................................... 1 1.1 Objetivo Geral .......................................................................................................... 3 1.2 Objetivos Especficos ............................................................................................... 3 CAPTULO 2. FUNDAMENTAO TERICA .............................................................. 4 2.1 Conceitos Importantes da rea de Segurana da Informao e Forense Computacional ................................................................................................................... 4 2.2 Importncia do Processo de Anlise Forense Computacional nas Organizaes ...... 12 Motivadores Por Planejamento ..................................................................................... 13 Motivadores por Eventos .............................................................................................. 14 2.3 Etapas do processo de Percia Forense Computacional ........................................... 14 Primeira Etapa: Identificao da Situao ..................................................................... 15 Segunda Etapa: Coleta de evidncias ............................................................................ 15 Terceira Etapa: Preservao das Evidncias.................................................................. 16 Quarta Etapa: Anlise dos Dados.................................................................................. 16 Quinta Etapa: Apresentao dos Resultados ................................................................. 17 2.4 Cadeia de Custdia ................................................................................................. 17 2.5 Impacto Financeiro ................................................................................................. 19 2.6 Abrangncia dos Crimes Digitais............................................................................ 20 2.7 Conscientizao e Anlise de Riscos ...................................................................... 21 2.8 Carncia de Padronizao e Procedimentos Formais ............................................... 22 2.9 Anlise de Evidncias em Sistemas Computacionais Windows e Linux .................. 23 2.10 Extenso dos Crimes Digitais de Hoje................................................................ 24 2.11 Explorando o Conceito de Cybercimes ............................................................... 24 2.12 Projeto de Lei Brasileira n. 84/99 ....................................................................... 25 2.13 Diferenas e Semelhanas Entre Forense Computacional e Auditoria................. 27 CAPTULO 3. METODOLOGIA ..................................................................................... 28 3.1 Tipo do trabalho ..................................................................................................... 28 3.2 Coleta de dados ...................................................................................................... 28 3.3 Desenvolvimento.................................................................................................... 28 CAPTULO 4. DESENVOLVIMENTO ........................................................................... 30 4.1 Anlise de Hardware .............................................................................................. 30 4.2 Verificao e Remoo de Vrus............................................................................. 32 4.3 Editores Hexadecimais ........................................................................................... 33 4.4 Geradores de Hash ................................................................................................. 36 4.5 Documentao das Evidncias e Estudo de Casos Autopsy ..................................... 38 4.6 Anlise de Pacotes e Rede - Tcnica Package Sniffer ............................................. 47 4.7 Personalizao e Gerao da Distribuio Live ....................................................... 48 4.8 Requisitos Mnimos ................................................................................................ 48 4.9 Requisitos Recomendados ...................................................................................... 49 4.10 rea de Trabalho da Distribuio Live ............................................................... 49 CAPTULO 5. CONCLUSO.......................................................................................... 50

iii

LISTA DE FIGURAS

Figura 1 Resumo do processo da extenso EWF ................................................................ 12 Figura 2 - Etapas de uma investigao.................................................................................. 15 Figura 3 - Modelo de Formulrio de Cadeia de Custdia ...................................................... 19 Figura 4 - Relatrio Gerado para Impresso em HTML ........................................................ 31 Figura 5 - Sumrio na Tela Principal .................................................................................... 31 Figura 6 - Tela Principal, destacando a memria .................................................................. 32 Figura 7 - Interface para o Clamav ....................................................................................... 33 Figura 8 - Tela principal: destaque para as cores diferenciais e opes ................................. 34 Figura 9 - Exportao em texto ............................................................................................ 35 Figura 10 - Exportao em HTML ....................................................................................... 35 Figura 11 - Tela Principal..................................................................................................... 36 Figura 12 - Tela principal padro com os dois algoritmos bsicos ........................................ 37 Figura 13 - Tela de preferncias, escolha dos algoritmos disponveis ................................... 37 Figura 14 Criao de um novo Caso ................................................................................... 38 Figura 15 - Adio de uma nova mquina ............................................................................ 39 Figura 16 - Tela de adio de imagens ................................................................................. 40 Figura 17 - Dados necessrios para adicionar uma nova imagem .......................................... 40 Figura 18 - Seletor de imagens analisadas ............................................................................ 41 Figura 19 - Tela de anlise de arquivos contendo trs arquivos deletados e recuperados ....... 42 Figura 20 - Tela de anlise dos metadados ........................................................................... 43 Figura 21 - Tela de visualizao dos setores ......................................................................... 44 Figura 22 - Tela de processo de classificao de arquivos .................................................... 45 Figura 23 - Tela de busca em espaos alocados ou no alocados .......................................... 46 Figura 24 - Tela de visualizao do fragmento anteriormente pesquisado ............................. 46 Figura 25 - Tela Principal..................................................................................................... 47 Figura 26 rea de Trabalho da Distribuio Live, com diversas funes de monitorao .. 49

iv

LISTA DE GRFICOS

Grfico 1 Problemas que geraram perdas financeiras ......................................................... 20 Grfico 2 - O principal obstculo para a implementao da segurana .................................. 21 Grfico 3 - Empresas que realizam anlise de riscos na rea de TI e sua freqncia .............. 22 Grfico 4 - Empresas que utilizam procedimentos formalizados para anlise de riscos ......... 23

CAPTULO 1. INTRODUO
Nos ltimos anos, o avano da tecnologia latente e a demanda por reas internas de resposta a incidentes, antifraudes, corregedoria e auditoria, est em constante crescimento nas organizaes. Para tais assuntos surgiu um novo campo de atuao denominado Forense Computacional, Investigao Eletrnica ou mesmo Percia Eletrnica que consiste em investigar crimes e fraudes virtuais atravs de identificao de evidncias, como, por exemplo log1 de acesso ao Sistema Operacional com data e hora do login, produzindo provas contundentes de uma violao digital. O profissional desta rea o Perito Forense Computacional. De acordo com Casey (2006), embora haja uma crescente preocupao da necessidade da forense computacional quando se trata de vulnerabilidade na segurana da informao, somente alguns profissionais responsveis esto preparados do ponto de vista forense. Ao perfil do Perito Forense Computacional, preciso salientar:
Este novo profissional deve ter processuais, que envolvem redes configuraes de dispositivos, programao, ferramentas forenses 03). uma srie de conhecimentos tcnicos e de computadores e seus protocolos, hardware, software, linguagens de e metodologia de anlise. (NG, 2007, p.

Houve necessidade de um perito especfico para a investigao eletrnica, pois as invases de redes de computadores esto entre os crimes mais complexos de se investigar, especialmente quando se est lidando com agentes sofisticados e altamente motivados, freqentemente dotados de tcnicas de ocultao de identidade.
O perfil do criminoso de informtica, baseado em pesquisa emprica, indica que os criminosos so jovens, educados, com idade entre 16 e 32 anos, do sexo masculino, magros, caucasianos, audaciosos e aventureiros, com inteligncia bem acima da mdia e movidos pelo desafio da superao do conhecimento, alm do sentimento de anonimato, que bloqueia seus parmetros de entendimento para avaliar sua conduta como ilegal, sempre alegando ignorncia do crime e, alegando ser apenas, uma brincadeira (SILVA, 2000)

A informtica est presente nas grandes organizaes desde a dcada de 60, e, desde aquela poca os crimes virtuais j ocorriam, mas em menor escala, pois o uso dos computadores era restrito a uma pequena parcela da sociedade devido ao seu alto custo e a falta de informao sobre a sua utilizao. Com o rompimento das fronteiras entre as cidades,
1

Registro das transaes ou atividades realizadas em um sistema de computador.

estados, pases e continentes, ocasionado pelo avano da Internet, um grande problema para as instituies de combate ao crime foi gerado: o grau de reincidncia de crimes eletrnicos onde a vtima e o criminoso no tm um contato direto aumentou consideravelmente, dificultando a identificao do agente criminoso. Parker (1976) descreve o primeiro caso que se tem registrado nos EUA, no estado de Minnesota, noticiado pelo Minneapolis Tribune no dia 18 de outubro de 1966 com a seguinte manchete: Perito de computador acusado de falsificar seu saldo bancrio. No Brasil, o campo de pesquisa Forense Computacional ainda novo, e a legislao especfica para os crimes praticados virtualmente carece de leis que abranjam casos isolados, os quais so julgados pelas leis/artigos genricos, dentre elas convm citar dois artigos do Cdigo de Processo Penal: - Art. 170. Nas percias de laboratrio, os peritos guardaro material suficiente para a eventualidade de nova percia. Sempre que conveniente, os laudos sero ilustrados com provas fotogrficas, ou microfotogrficas, desenhos ou esquemas. - Art. 171. Nos crimes cometidos com destruio ou rompimento de obstculo a subtrao da coisa, ou por meio de escalada, os peritos, alm de descrever os vestgios, indicaro com que instrumentos, por que meios e em que poca presumem ter sido o fato praticado. Os artigos citados acima so exemplos de leis que tratam das percias forenses de uma maneira geral, e so adaptados quando se trata de uma investigao computacional. Nota-se que no so suficientes tais adaptaes de leis, pois na rea de forense computacional h diversas particularidades no levantamento de evidncias e julgamento do agente. Atualmente, um modelo de padronizao no tratamento de evidncias eletrnicas foi definido e aplicado de forma experimental pelo SWGDE ( Scientific Working Group on Digital Evidence) e apresentados na IHCFC (Internacional Hi-Tech Crime and Forensics Conference) [realizada em Londres, de 4 a 7 de outubro de 1999], apud Adams (2000). Entretanto, esse modelo no aplicado internacionalmente: as legislaes so especficas para cada nao e, em muitas naes, leis referentes ao Cybercrime ainda no foram incorporadas.

1.1

Objetivo Geral O objetivo geral deste trabalho analisar as tcnicas forenses, propondo uma

distribuio livre de um Sistema Operacional Linux com ferramentas Forenses testadas e analisadas, padronizando a investigao das evidncias digitais do profissional do campo de Forense Computacional.

1.2

Objetivos Especficos Compreender a metodologia de investigao Forense Computacional e seus objetivos, atravs de pesquisas realizadas com livros, revistas, artigos e trabalhos sobre o assunto; Escolher, atravs de analogias e variveis de eficincia, eficcia e simplicidade, uma metodologia de implementao das tcnicas de percia eletrnica; Testar e comparar os resultados de diferentes ferramentas que existem no mercado atualmente, a fim de definir as que possuem melhores funcionalidades implementadas, agrupando-as em uma distribuio livre Linux; Analisar a viabilidade de uma padronizao no kit de ferramentas que um perito em investigao eletrnica precisa ter; Conhecer a legislao aplicvel a crimes digitais e suas penalidades, de acordo com as evidncias, provas e agravantes sustentados e comprovados pela percia eletrnica. Este trabalho tem como foco de estudo a Legislao aplicada a Crimes Virtuais e as

Tcnicas Forenses Computacionais, a fim de identificar evidncias, compreend-las e document-las para que sejam comprobatrias na atividade criminal.

CAPTULO 2. FUNDAMENTAO TERICA


Este captulo limita-se apresentao dos principais conceitos tericos necessrios ao desenvolvimento deste trabalho. Inicia-se com a definio de conceitos importantes da rea de segurana da informao e forense computacional. Como segundo tpico, aponta a importncia do processo de anlise forense computacional nas organizaes e quais os motivadores por planejamento e por evento. Ainda neste captulo, encontram-se quais os impactos financeiros que um ataque bem sucedido pode ocasionar, a abrangncia dos crimes digitais, conscientizao e anlise dos riscos na organizao, carncia de padronizao e procedimentos formais, anlise de evidncias em sistemas computacionais Windows e Linux, correo gramatical, extenso dos crimes digitais de hoje, conceito de cybercrimes. Alm de conceitos e discusso sobre a importncia e impactos na rea de forense computacional, neste captulo sero discutidos o Projeto de Lei Brasileira n. 84/99, e diferenas e semelhanas entre forense computacional e auditoria.

2.1

Conceitos Importantes da rea de Segurana da Informao e Forense Computacional Neste tpico so descritos os principais conceitos das reas de segurana da

informao e forense computacional. Segurana da Informao: est relacionada com a proteo de um conjunto de dados, preservando o valor desses dados para o indivduo ou a organizao e evitando o acesso no autorizado. A Segurana da Informao no se aplica somente em ambientes computacionais, como os meios de armazenamento de memria secundria. Ela tambm abrange os prprios sistemas. As caractersticas bsicas da Segurana da Informao so sustentadas pelos seus trs principais atributos: confidencialidade, integridade e disponibilidade. Atributo Confidencialidade: a propriedade da informao que garante a indisponibilidade, ou seja, garante que a informao no seja divulgada a indivduos no autorizados. Est intimamente relacionado com autorizao. Atributo Integridade: a propriedade da informao que garante a integridade, sem violaes parciais ou totais do contedo dos dados. Est relacionado com alterao ou modificao.

Atributo Disponibilidade: a propriedade da informao que garante que todos os meios proporcionem adequadamente o acesso aos dados pelas pessoas autorizadas. Est relacionada ao acesso legtimo, ou seja, da pessoa autorizada. Engenharia Social: uma prtica de persuaso, eficiente proporcionalmente ingenuidade do usurio de um sistema de informao, utilizada para obter informaes relevantes para realizar organizar um ataque. freqentemente usado para obter informaes como senhas e nmeros de cartes de crdito. Vulnerabilidade: a fragilidade de um sistema de informao, ou seja, falhas no projeto do Software que so mais propcias a invases ou ataques. Ataque: uma tentativa de acesso no autorizado a um sistema computacional ou um conjunto de dados. Incidente: o ataque bem sucedido, ocasionando conseqncias danosas e impactos que variam proporcionalmente ao valor daquela informao acessada. Cdigos Maliciosos (Malwares): so todos os aplicativos, softwares ou cdigos procedimentais que executam alguma ao maliciosa em um computador. Seus objetivos so extremamente extensos, assim como so os cybercrimes (discutido nesse trabalho posteriormente). Negao de Servio (Denial Of Service): esses tipos de ataques tm como nico objetivo tornar indisponvel um servio, servidor ou computador conectado Internet, geralmente com o intuito de ganhar tempo para planejar ou efetuar uma invaso redirecionando o meio de comunicao somente para o atacante. conhecido tambm como ataque DoS. Alguns exemplos desses ataques so:
[...] Gerar uma grande sobrecarga de dados de um computador, de modo que o usurio no consiga acess-lo; gerar um grande trfego de dados para uma rede, ocupando toda a banda disponvel, de modo que qualquer computador desta rede fique indisponvel e tirar servios importantes de um provedor do ar, impossibilitando o acesso dos usurios a suas caixas de correio no servidor de e-mail ou ao servidor Web (CGI.BR, 2006).

DDoS (Distributed Denial Of Service): tem os mesmos objetivos que o DoS, porm com maior eficincia, uma vez que nesses tipos de ataques so utilizados uma grande quantidade de mquinas (geralmente computadores zumbis). Computadores Zumbis: so computadores geralmente utilizados para enviar spam e atacar sites, sem que o dono do computador perceba tais atividades. Um computador pode se

tornar zumbi por vrios meios: mediante instalao de um programa no computador-alvo, que, por exemplo, pode ocorrer por email, links e redes ponto-a-ponto. Ponto-a-ponto (Peer-to-peer): uma arquitetura de sistemas distribudos caracterizada pela descentralizao das funes de rede, onde cada ponto realiza tanto funes de servidor quanto de cliente. Criptografia: a cincia e arte de escrever mensagens em foram cifradas ou em cdigo. A Criptografia trata das comunicaes secretas, usadas geralmente para: autenticar a identidade de usurios, autenticar e proteger o sigilo de comunicaes pessoais e de transaes comerciais e bancrias e proteger a integridade de transferncias eletrnicas de fundos. Criptografia de Chave nica: utiliza a mesma chave tanto para codificar quanto para decodificar uma mensagem. A vantagem a velocidade no tempo de processamento e a desvantagem a necessidade de utilizao de um meio seguro para que a chave possa ser compartilhada entre pessoas ou entidades que desejam trocar informaes criptografadas. Criptografia de Chave Pblica e Privada: utiliza duas chaves distintas: uma para codificar e outra para decodificar. Nesse mtodo cada pessoa ou entidade tem duas chaves: uma pblica e uma privada, e esta deve ser mantida em segredo pelo seu dono. As mensagens codificadas com a chave pblica s podem ser decodificadas com a chave privada correspondente. Apesar desse mtodo ter como principal desvantagem o tempo de processamento, no necessrio um meio seguro para comunicao, pois as chaves pblicas podem ser distribudas livremente. amplamente utilizado na gerao de assinaturas digitais. Assinatura Digital: refere-se identificao de uma entidade com sua respectiva chave privada, atravs da criao de um cdigo. A pessoa ou entidade que receber uma mensagem contendo esse cdigo verificar se o remetente mesmo quem diz ser e identificar qualquer mensagem que possa ter sido modificada. necessrio salientar que uma mensagem assinada digitalmente no significa que sigilosa. Certificado Digital: um arquivo eletrnico que contm dados de uma pessoa ou instituio, utilizados para comprovar sua identidade. Este arquivo pode estar armazenado em um computador ou em outra mdia. Autoridade Certificadora (AC): responsvel por emitir certificados digitais. Os certificados digitais possuem uma foram de assinatura eletrnica da AC que o emitiu. Graas

sua idoneidade, a AC normalmente reconhecida por todos como confivel, fazendo o papel de Cartrio Eletrnico. Scam: O scam (ou golpe) qualquer esquema ou ao enganosa e/ou fraudulenta que, normalmente, tem como finalidade obter vantagens financeiras. Exemplo: O Golpe da Nigria (Nigerian 4-1-9 Scam):
Voc recebe um e-mail em nome de uma instituio governamental da Nigria (por exemplo, o Banco Central), onde solicitado que voc atue como intermedirio em uma transferncia internacional de fundos. O valor mencionado na mensagem normalmente corresponde a dezenas ou centenas de milhes de dlares. Como recompensa, voc ter direito de ficar com uma porcentagem (que normalmente alta) do valor mencionado na mensagem. Para completar a transao solicitado que voc pague antecipadamente uma quantia, normalmente bem elevada, para arcar com taxas de transferncia de fundos, custos com advogados, entre outros. Este tipo de golpe tambm conhecido como Advance Fee Fraud, ou a fraude de antecipao de pagamentos, e j foram registrados casos originados ou que mencionavam a frica do Sul, Angola, Etipia, Libria, Marrocos, Serra Leoa, Tanznia, Zaire, Zimbbue, Holanda, Iugoslvia, Austrlia, Japo, Malsia e Taiwan, entre outros. No nome dado a este tipo de fraude, Nigerian 4-1-9 Scam, o nmero 419 refere-se seo do cdigo penal da Nigria que violada por este golpe. equivalente ao artigo 171 do cdigo penal brasileiro, ou seja, estelionato. (CGI.BR,2006)

Phishing: um tipo de fraude gerada atravs do envio de mensagens no solicitadas, se passando por uma instituio conhecida, como um banco, empresa ou site popular, procurando induzir o acesso s pginas fraudulentas (falsificadas), geralmente projetadas para furtar dados pessoais e financeiros dos usurios. Spam: o termo usado para se referir aos e-mails indesejados e no solicitados, geralmente enviados para um grande nmero de pessoas com o intuito de divulgao, phishing ou disponibilizao de cdigos maliciosos disfarados de instituies populares. Poltica de Segurana: refere-se conscientizao e implementao de boas prticas, direitos e deveres, em todo o mbito organizacional, ou pelo menos s pessoas que lidam com os recursos computacionais. Uma poltica de segurana deve prever o que pode ser feito na rede ou instituio e o que ser considerado inaceitvel. Tudo o que descumprir a poltica de segurana pode ser considerado um incidente de segurana. Poltica de Uso Aceitvel (AUP, Acceptable Use Policy) : um documento que define a maneira de utilizao de todos os recursos computacionais de uma organizao.

Logs: so registros de atividades e eventos gerados por programas de computador, ou at mesmo sistemas operacionais. No caso de logs relativos aos incidentes de segurana, eles normalmente so gerados por firewalls ou por sistemas de deteco de intruso. Firewall: tem como objetivo aplicar uma poltica de segurana a um determinado ponto de controle de rede, regulando o trfego de dados entre redes distintas e impedindo a transmisso de acessos nocivos ou no autorizados. Sistema de Deteco de Intruso: (IDS): um programa ou aplicao que utiliza que tem a funo de detectar atividades maliciosas ou anmalas em um sistema computacional ou uma rede de computadores. Falso Positivo: deteco errnea de uma ameaa ou evento nocivo a um sistema computacional. Vrus: um programa ou parte de um programa, normalmente malicioso, que se propaga infectando, ou seja, inserindo cpias de si mesmo, podendo se tornar parte de outros programas e arquivos de um computador. O vrus sempre depende da execuo do programa ou arquivo hospedeiro para que possa se tornar ativo e continuar o processo de infeco. Cavalos de Tria (Trojan Horses):
Conta a mitologia grega que o Cavalo de Tria foi uma grande esttua, utilizada como instrumento de guerra pelos gregos para obter acesso a cidade de Tria. A esttua do cavalo foi recheada com soldados que, durante a noite, abriram os portes da cidade possibilitando a entrada dos gregos e a de Tria. Da surgiu os termos Presente de Grego e Cavalo de Tria (CGI.BR, 2006).

Na informtica, um Cavalo de Tria um programa normalmente recebido em forma de cartes virtuais, lbum de fotos, protetor de tela, jogos, entre outros. Alm de executar funes para as quais foi visivelmente projetado, executa outras funes maliciosas e sem conhecimento do usurio. Algumas das suas funes maliciosas podem ser: instalar um keylogger ou screenlogger; furtar senhas e ouras informaes sensveis; alterar ou destruir arquivos e incluir backdoors, permitindo que um atacante tenha total controle sobre o computador. Backdoor: ou Porta dos Fundos, uma falha de segurana que pode e xistir em um programa de computador ou sistema operacional, que pode permitir a invaso do sistema por

um cracker2 para que ele possa obter total controle da mquina. O termo Backdoor bastante utilizado referindo-se a uma falha de segurana que pode ser explorada pela Internet. Keylogger: um programa capaz de capturar e armazenar as teclas digitadas pelo usurio no teclado de um computador. Normalmente, a ativao do keylogger condicionada a uma ao prvia do usurio, como por exemplo, aps o acesso a um site de comrcio eletrnico ou Internet Banking, para a captura de senhas bancrias ou nmeros de cartes de crdito. Screenlogger: uma forma avanada de keylogger, capaz de armazenar a posio do cursor e a tela apresentada no monitor, nos momentos em que o mouse clicado, ou armazenar a regio que circunda a posio onde o mouse clicado. Pode ser programvel: tira fotos da tela de acordo com uma seqncia de tempo ou acionado por eventos, conforme descrito anteriormente. Cavalo de Tria, Vrus e Worm: um Cavalo de Tria consiste em um nico arquivo que necessita ser explicitamente executado e, ao contrrio do Vrus e do Worm, no infecta outros arquivos e no propaga cpias de si mesmo automaticamente. Existem casos em que um Vrus ou Worm esteja embutido em um Cavalo de Tria, porm ainda assim no difcil identific-lo devido ao comportamento na execuo. Worm: programa capaz de se propagar automaticamente atravs de redes, enviando cpias de si mesmo de computador para computador. Diferente do vrus, o worm no embute cpias de si mesmo em outros programas ou arquivos e no necessita ser explicitamente executado para se propagar. Sua propagao se d atravs da explorao de vulnerabilidades existentes ou falhas na configurao de softwares instalados em computadores. Adware (Advertising Software): software projetado especificamente para projetar propagandas, faixas publicitrias, a fim de divulgar produtos, servios e promoes e ganhar algum tipo de apoio financeiro a cada click em um anncio, por exemplo. Esse software constitui um tipo de retorno financeiro para aqueles que desenvolvem software livre ou prestam servios gratuitos. Pode ser considerado um tipo de spyware, caso monitore os hbitos do usurio, por exemplo, durante a navegao na Internet para direcionar as propagandas que sero apresentadas.

Quem pratica a quebra (ou cracking) de um sistema de segurana, de forma ilegal ou sem tica.

10

Spyware: categoria de software que tem como objetivo monitorar atividades de um sistema e enviar as informaes coletadas a terceiros, freqentemente sem prvia autorizao. muito rara a utilizao desses programas de maneira legtima, pois, na maioria das vezes, so utilizados de forma dissimulada, no autorizada e maliciosa. Imagem de disco: uma cpia de uma unidade de armazenamento digital de dados, podendo ser um HD, CD, DVD, SSD ou outra, que consiste em um nico arquivo contendo toda a estrutura e contedo da unidade, desde a tabela de parties, tabelas de alocao de arquivos e parties de dados. Geralmente ela criada a partir da cpia setor-a-setor da unidade origem, pois ela ignora o sistema de arquivos do sistema operacional. Em uma anlise forense, h diversas razes para se criar uma imagem de disco, dentre elas esto: 1. Assegurar que as informaes do disco no so inadvertidamente mudadas durante a anlise; 2. Ao realizar uma imagem do disco original e armazenamento do disco original, possvel reproduzir os resultados dos testes forenses com uma reproduo exata de mtodos de anlise sobre os dados originais. 3. A imagem de disco ir capturar informaes invisveis ao sistema operacional em uso (por exemplo, parties ocultas) Disco Rgido: ou HD (Hard Disk), o dispositivo de armazenamento de dados secundrio mais usado nos computadores. Ele permite armazenar de forma no-voltil alm de arquivos, todos os dados do seu sistema operacional, sem o qual no seria possvel utilizar o computador. Memria RAM: a sigla "RAM" significa "Random Access Memory" [memria de acesso aleatrio"], ou seja, permite o acesso direto a qualquer um dos endereos disponveis e de forma gil. Ao carregar um programa armazenado, por exemplo, no HD, antes de ser executado pelo processador ele transferido para a memria RAM que oferecer tempos de acesso brutalmente mais baixos que o HD e trabalhar com taxas de transferncia bem mais elevadas. Entretanto, a desvantagem na utilizao da RAM que na ausncia de energia, os dados so perdidos, pois outra caracterstica da RAM a volatilidade. DUMP" de memria: consiste em um descarrego ou expurgo de arquivo corrompido. Erros de DUMP de memria podem ocorrer quando o gerenciador de memria do sistema operacional no consegue executar a paginao de memria.

11

Paginao da memria: um processo de virtualizao da memria que consiste na subdiviso da memria fsica em pequenas parties (frames), para permitir uma utilizao mais eficiente da mesma. Arquivo Hash: uma seqencia de letras/nmeros geradas por um algoritmo de hashing que busca identificar um arquivo ou informao unicamente. Desta forma cada arquivo diferente possui um hash especfico. Entretanto, como a seqencia do hash limitada (dificilmente passa dos 512 bytes), existem diversas colises (seqencias iguais para dados diferentes). Quanto maior for a dificuldade de se criar colises intencionais, melhor o algoritmo. Uma alterao do contedo do arquivo, por menor que seja, gera um identificador totalmente diferente do arquivo original. Advanced Forensics Format (AFF): um formato aberto e extensvel para o armazenamento de imagens de disco e forenses relacionadas metadados. Foi desenvolvido por Simson Garfinkel e Tecnologia de Base que tem como objetivo fornecer ao perito um padro aberto de formato de arquivo sem se prender a um formato proprietrio que pode limitar a forma como ele ir analis-lo. Para a flexibilidade, existem trs variaes de arquivos AFF - AFF, AFD e AFM - livre e ferramentas disponveis para converter facilmente entre as variaes. O formato AFF original um arquivo nico que contm segmentos com dados do disco e metadados. AFF suporta dois algoritmos de compresso: zlib, que rpido e razoavelmente eficiente, e LZMA, que mais lento, mas muito mais eficiente. Enhanced Write Filter (EWF): uma extenso que fornece um mecanismo de proteo a um determinado volume de gravaes, pois o sistema operacional ir inicializar a partir da mdia de somente leitura, como CD-ROMs, protegido contra gravao os discos rgidos ou mdia flash. Todas as gravaes para um volume EWF protegidas so redirecionados para uma sobreposio. Essas gravaes so armazenadas em cache na sobreposio e disponibilizadas como parte do volume. Para o usurio que estar efetuando as alteraes, dar a impresso de que o volume pode ser escrito. A sobreposio pode existir tanto em disco ou memria de acesso aleatrio (RAM). Segue abaixo uma ilustrao de como trabalha a extenso EWF:

12

Figura 1 Resumo do processo da extenso EWF

Fonte: Microsoft Corporation, 2003 Principais caractersticas da EWF: 1. Normalmente precisa ser apoiada por alguns de armazenamento persistente; 2. S suportam a quantidade de espao livre relatada pelo volume protegido; 3. Iniciar a partir de um volume EWF Protegido por uma sobreposio de disco baseado Requer o NTLDR EWF; 4. Suporta apenas discos Basic, portanto no funcionar em discos dinmicos.

2.2

Importncia do Processo de Anlise Forense Computacional nas Organizaes Como base de fundamento terico deste trabalho, a obra do autor Ng (2007),

Forense Computacional Corporativa, foi utilizada como principal agente motivador, apresentando um posicionamento estratgico para os gestores e profissionais da rea e quebrando todos os paradigmas elaborados anteriormente sobre forense digital. Atravs desta obra, foi possvel analisar os principais agentes motivadores dos gestores de empresas em ter uma equipe especializada em Forense Computacional. Esses agentes motivadores podem ser divididos em dois grandes grupos: motivadores por planejamento e motivadores por eventos.

13

Motivadores Por Planejamento Os motivadores influenciados pelo planejamento o que toda organizao deveria utilizar para iniciar qualquer tipo de trabalho, principalmente no mbito forense, pois, alm de estar vinculado com o sucesso da investigao digital, indica que a organizao est madura e possui um conhecimento de seus processos, criticidade de informaes, criticidade do negcio e riscos associados (NG, 2007). Os fatores que contribuem para o planejamento da implementao de um processo de anlise forense computacional so: imagem, compliance, leis e regulamentaes, proteo adequada, criticidade das informaes e impactos financeiros. As organizaes que possuem viso de risco so capazes de mensurar os prejuzos financeiros caso um determinado risco mapeado anteriormente se concretize. Esses riscos tambm ferem a imagem da empresa e so concretizados quando, por exemplo, informaes sobre a sade financeira ou sensveis organizao vazam em d ecorrncia de alguma ao interna. Compliance, ou aderncia, refere-se integrao de novas tecnologias e padres diferentes de sistemas, que as empresas necessitam aderir para manter a competitividade. Esse processo de aderncia trouxe consigo ameaas externas e uma srie de pontos de falha. Junto com estas ameaas, surgiram as metodologias e boas prticas (Best Practices), como ITIL, COBIT, COSO e ISO 27001 (ISO 17799:2005 ou BS 7799), possibilitando uma viso de gerenciamento de riscos que antes no existia. Dessa maneira, pontos crticos do processo, pontos de falha, responsveis, tecnologias e procedimento com os quais se devem ter maior cuidado, alm de itens que devem ser priorizados, so documentados. Outro motivador relevante para o planejamento da implementao processual da anlise forense computacional a adequao s leis e regulamentao, como a resoluo 3380, do Banco Central do Brasil, publicada em 29 de junho de 2006, obrigando os bancos a implantar uma estrutura de gerenciamento de risco operacional at 31 de dezembro de 2007. Fraudes internas e externas, falhas em sistemas, erros de processos e procedimentos devem ser tratados de forma efetiva. As organizaes que no conseguem mensurar os riscos s perdas, na prtica, acabam focando em atividades reativas e pontuais [a aplicao de patches de correes de vulnerabilidades um exemplo real na maioria das empresas atualmente]. Quanto aos

14

aspectos motivadores de criticidade e proteo adequada da informao, necessrio salientar que a prtica forense pode entrar em ao de forma focada, podendo ser executada avaliando apenas as informaes que realmente importam e se so crticas, auxiliando e melhorando a proteo dos ativos de informao. Planejar a prtica forense como parte integrante de um sistema de gesto de segurana auxilia no somente na identificao de pontos de melhorias dos processos, como tambm em um maior controle dos mesmos, diminuindo o tempo de indisponibilidade de servios, e, conseqentemente, perdas financeiras para a organizao, garantindo a continuidade do negcio. Motivadores por Eventos A implantao de um processo de anlise forense computacional, no Brasil, est intimamente ligada motivao influenciada por eventos ocorridos ou que ocorrem com grande freqncia na organizao. Embora esses motivadores sejam realidades em grande escala nas organizaes brasileiras, eles so resultados, geralmente, do mau planejamento dos processos organizacionais. [...] O ideal que as organizaes tenham uma viso clara de processos versus riscos versus impactos. Enquanto isso no ocorrer, os motivadores por ocorrncia sero sempre os principais fatores do incio dos processos de anlise forense (NG, 2007). Os motivadores por ocorrncia, na maioria das vezes, so mais impactantes dependendo da importncia financeira que a empresa perdeu devido a um acontecimento ou fato que deveria ser tratado anteriormente atravs dos processos de forense computacional e segurana da informao. Alguns exemplos desses motivadores por ocorrncia so: quebra de confiana por parte de um funcionrio, envio de e-mails com contedo confidencial, acessos indevidos a sites de Internet, roubo de informaes e acessos indevidos a informaes sigilosas.

2.3

Etapas do processo de Percia Forense Computacional Para ter validade probatria os peritos devem utilizar mtodos cientficos, ou seja,

que possam ser reproduzidos por outra pessoa. Abaixo segue um roteiro de etapas a serem seguidas na coleta das evidncias:

15

Figura 2 - Etapas de uma investigao Fonte: http://www.sbseg2007.nce.ufrj.br/documentos/Minicursos/minicurso_forense.pdf

Primeira Etapa: Identificao da Situao Antes de comear um processo investigatrio, necessrio notificar os tomadores de deciso, ou seja, os contratantes do servio dos peritos forense que pode ser tanto uma empresa quanto o sistema judicirio. Em seguida ser ou no, expedida uma autorizao judicial para prosseguir com a percia, pois como se trata de um processo investigatrio de crimes, necessrio trabalhar de acordo com a legislao vigente e respeitar os padres, diretivas e decises. Lembrar sempre que toda e qualquer ao que o perito tenha, deve ser documentada no processo investigatrio. Essa documentao, juntamente com os equipamentos apreendidos e evidncias coletadas, devem ser armazenadas em locais seguros e inacessveis, sempre adotando o procedimento de cadeia de custdia. Nessa etapa tambm contempla as entrevistas com as pessoas envolvidas no processo, inventrio dos equipamentos e softwares, diagrama da topologia da rede, lista de usurios e suas permisses, estimativas dos impactos causados pelo incidente em investigao e seleo das evidncias que sero periciadas, a fim de otimizar o tempo da investigao. Segunda Etapa: Coleta de evidncias Ao concluir a primeira etapa, com as autorizaes e documentaes necessrias para prosseguir o processo investigatrio, o prximo passo coletar as evidncias a partir de um kit de ferramentas confiveis.

16

Para definir as ferramentas que iro compor o kit de ferramentas necessrio decidir com antecedncias quais sero utilizadas durante a investigao. Est deciso deve ser criteriosa, pois caso uma das ferramentas utilizadas no tiver total confiabilidade, no momento da apresentao das evidncias, essas podero ser questionadas e anuladas prejudicando a resoluo da investigao. A coleta das evidncias pode ser tanto local como por acesso remoto ou mesmo em uma rede. Mas sempre tem que ser analisado a viabilidade da coleta, o grau de sigilo das informaes envolvidas e se o prazo ser cumprido. Tambm no pode ser esquecido que o modo como ser coletado essas evidncias deve permitir gerar uma documentao contendo: Autor da ao Objetivo da ao As ferramentas e mtodos utilizados para atingir o objetivo Data e hora da ao Resultados conseguidos Depois de coletada as evidncias, deve-se preocupar com o armazenamento para garantir sua segurana e integridade e nos locais de armazenamento, deve ser aplicada a cadeia de custdia. Quando se trata de armazenamento de uma mdia, equipamento deve-se atentar ao modo de armazenamento e o local para que no seja danificado o material com aes externas do ambiente, como por exemplo, energia esttica. Terceira Etapa: Preservao das Evidncias Nesta etapa devem-se realizar cpias dos dados coletados, pois no se deve trabalhar em cima dos dados originais. Pois em qualquer dvida, na hora da entrega das evidncias adquiridas, sobre a integridade das informaes coletadas, possvel demonstrar a conformidade dos dados, comparando os dados da cpia usada para o trabalho do perito, e a mdia original devidamente lacrada. Quarta Etapa: Anlise dos Dados Aps a extrao dos dados considerados relevantes, o perito deve concentrar suas habilidades e conhecimentos na etapa de anlise e interpretao das informaes. A finalidade desta etapa identificar pessoas, locais e eventos; determinar como esses elementos esto

17

inter-relacionados. Alm de localizar, filtrar e extrair somente as informaes relevantes investigao. Pois normalmente somente uma parte de todos os dados coletados realmente relevante para o processo investigatrio. necessrio examinar os dados do Sistema Operacional, como por exemplo, informaes de descompasso de relgio, e todos os dados carregados na memria do computador hot, para poder determinar se algum aplicativo com cdigo malicioso est em execuo ou programado para ser executado. Tambm necessrio examinar aplicativos e processos em execuo, conexes de redes ativas. Todas as evidncias digitais encontradas preciso ser obrigatoriamente legtimas para ter validade jurdica. Todas as evidncias digitais encontradas precisam estar em conformidade com a lei, alm de serem autnticas, exatas e completas. (FREITAS, 2006) Depois de analisados todas as evidncias coletadas, inicia-se o processo conclusivo da investigao. Entretanto, indispensvel que o perito tenha total convico sobre os resultados obtidos da investigao, para que s depois possa ser iniciado o processo de apresentao dos resultados. Quinta Etapa: Apresentao dos Resultados Essa a fase que ir finalizar todo o processo investigatrio e consiste em organizar todas as informaes, documentos coletados nas fases anteriores. Deve-se tambm, ponderar quais informaes so relevantes para redigir o relatrio final e ser apresentada como evidncia. Deve-se sempre ter em mente que ao redigir o relatrio final, o destinatrio uma pessoa leiga, portanto necessrio ter uma linguagem clara e traduzir os termos tcnicos para que todos possam compreender o que foi feito. Por meio de um exame, investigao, que resulta em um parecer, laudo pericial, ou relatrio, devidamente fundamentados, mostrando a verdade de forma imparcial e merecedora de f, a fim de orientar uma autoridade formal, no julgamento de um fato. (FREITAS, 2006 p. 1)

2.4

Cadeia de Custdia Consiste um procedimento que surgiu nas investigaes no-digitais, e tem por

objetivo preservar a fonte de evidncias (as mdias, no caso da investigao eletrnica)

18

atravs do registro de todos que tiveram contato com o material. O processo pode ser exemplificado assim: O investigador realiza a aquisio da imagem forense, lacra o HD, inicia a lista da cadeia de custdia indicando a data/hora em que o HD foi lacrado, e o hash/algoritmo (md5/sha-1, etc) da mdia. O tabelio registra tudo na Ata Notarial 3. Qualquer pessoa que precisar, obviamente por motivo justificado, acessar novamente o HD, o lacre dever ser rompido, e antes da mdia ser usada, sua integridade deve ser conferida, analisando seu hash atual com o registrado na cadeia de custdia. Aps o uso, o HD volta a ser lacrado, a data/hora de retirada e devoluo do HD so registrados na cadeia de custdia, e tacitamente essa pessoa est aceitando que o hash confirmou a integridade. Esse procedimento deve ser acompanhado tambm para a Ata Notarial. Se, em algum momento, a mdia for acessada e a integridade tiver sido violada, o responsvel o ultimo registro na cadeia de custdia. A seguir apresentada a figura 3 Um modelo de formulrio para o registro da Cadeia de Custdia.

Instrumento pblico atravs do qual o tabelio ou seu preposto autentica em forma narrativa os fatos, se estado, e tudo aquilo que atesta por seus prprios sentidos sem a emisso de opinio, juzo de valor ou concluso.

19

Figura 3 - Modelo de Formulrio de Cadeia de Custdia Fonte: http://www.dsc.ufcg.edu.br/~pet/atividades/ciclo_seminarios/tecnicos/2007/Forense_Computacional.pdf

2.5

Impacto Financeiro As conseqncias de um ataque bem sucedido, em um evento intitulado crime

digital, so as principais formas de se despertar a conscientizao nas organizaes vtimas. Quanto maior o dano na importncia financeira da organizao ocasionado por um incidente, maior o impacto na imagem, na estrutura, no relacionamento com os clientes, fornecedores, prazos de entrega e conscientizao dos empresrios. Segundo uma pesquisa realizada pela IBM (2006), 71% dos empresrios brasileiros acreditam que o crime digital traz mais danos do que o crime fsico. Para 80% das empresas nacionais, a perda de clientes o principal prejuzo causado pelos crackers, seguido de depreciao da imagem (77%) e a perda de receita (66%). importante salientar que 86% dessas empresas afirmam que os ataques aos sistemas de segurana surgem dentro da prpria organizao. Em instituies financeiras, as fraudes eletrnicas geram prejuzo de R$ 900 milhes por ano, valor que engloba golpes pela Internet, centrais de atendimento telefnico e terminais de auto-atendimento. Somente os crimes pela Internet representam 30% do total

20

(GUTIERREZ, 2009). No Grfico 1 esto destacados os problemas relacionados aos crimes digitais que geraram maiores perdas financeiras, segundo a Mdulo (2006):

Grfico 1 Problemas que geraram perdas financeiras Fonte: Mdulo, 2006

Observe que 8% dos impactos financeiros so causados por fraudes, 7% por vazamento de informaes e 6% por acesso remoto indevido. Todos esses impactos poderiam ser minimizados se existisse algum controle de riscos nessas organizaes e departamentos de segurana especializada na anlise forense computacional.

2.6

Abrangncia dos Crimes Digitais Segundo um estudo conduzido pela Symantec (2010), foi constatado que dois teros

dos internautas de todo o mundo j foram vtimas de crimes digitais. O mais preocupante que o Brasil est em segundo lugar, empatado com a ndia [o estudo Norton Cybercrime Report: The Human Impact foi conduzido em 14 pases].

21

Embora essa posio indique diversas vulnerabilidades nos sistemas de segurana das organizaes nacionais, 72% dos executivos de TI no Brasil acreditam estar protegidos contra o crime digital organizado (ALENCAR, 2006). Esse nmero caiu ao longo dos anos inversamente proporcional ao crescimento do cybercrime.

2.7

Conscientizao e Anlise de Riscos Os gestores organizacionais justificam a ausncia da implantao da Segurana

Computacional no ambiente corporativo devido, principalmente, a conscientizao dos executivos e funcionrios, considerando ela o principal obstculo, como possvel observar no Grfico 2, segundo pesquisa da Mdulo (2006):

Grfico 2 - O principal obstculo para a implementao da segurana Fonte: Mdulo, 2006

Embora a Anlise Forense Computacional esteja intimamente ligada com a Segurana da Informao e, entre seus inmeros benefcios, destaca-se um maior controle dos riscos na rea de TI, so poucas as empresas que realizam algum tipo de anlise de riscos, conforme uma pesquisa realizada pela Mdulo (2006). No Grfico 3 destaca a pesquisa da Mdulo (2006), analisando os riscos na rea de TI e sua freqncia.

22

Grfico 3 - Empresas que realizam anlise de riscos na rea de TI e sua freqncia Fonte: Mdulo, 2006

2.8

Carncia de Padronizao e Procedimentos Formais Um dos principais motivadores para a elaborao deste trabalho est na falta de

procedimentos formais para uma anlise de riscos nas organizaes. A proposta um modelo padronizado de ferramentas e metodologias forense computacional para que seja possvel documentar as evidncias de um crime digital e auxiliar no processo de controle de riscos. Segundo a Mdulo (2006) 65% das organizaes ainda no apresentam uma metodologia formalizada para anlise de riscos. No Grfico 4 h uma viso das empresas que utilizam procedimentos formalizados para anlise de riscos.

23

Grfico 4 - Empresas que utilizam procedimentos formalizados para anlise de riscos Fonte: Mdulo, 2006

2.9

Anlise de Evidncias em Sistemas Computacionais Windows e Linux Para os testes das ferramentas, anlise de evidncias em sistemas computacionais

Windows e Linux, desenvolvimento do kit de ferramentas padronizado para o perito, alm de todas as analogias feitas com essas tcnicas e ferramentas, foram utilizadas as obras literrias de Freitas (2006) e Farmer e Venema (2007), Percia Forense Aplicada informtica, e Percia Forense Computacional, Teoria e Prtica Aplicada, respectivamente. A obra de Farmer e Venema (2007) Percia Forense Computacional, Teoria e Prtica Aplicada, foi escolhida como base para anlise de evidncias em sistemas computacionais Linux, pois os dois autores tm em suas bagagens, experincias ao longo de uma dcada. Portanto, os exemplos de invases, experimentos, so realsticos, deixando de ser apenas exemplos tericos, facilitando a compreenso do leitor. Alm dos exemplos, os autores tambm descrevem orientaes prticas para que o leitor possa escrever suas prprias ferramentas forenses. Saber o que aconteceu far com que voc esteja mais bem preparado para a prxima vez que algo ruim estiver em vias de acontecer (FARMER; VENEMA 2007). J Freitas (2006), contribui, em sua obra, para o desenvolvimento de um kit com ferramentas confiveis, mostrando os processos aplicados para investigao de evidncias em ambientes com sistema operacional Windows, analisando arquivos de logs, registro e recuperao de arquivos excludos, alm de identificar a origem de taques.

24

2.10

Extenso dos Crimes Digitais de Hoje O artigo escrito por Silva (2000) relata bem os impactos que um ataque criminoso no

mundo digital pode ocasionar na sociedade e a necessidade de uma equipe especializada em combate a tais crimes digitais.
O estelionato, em todas as suas formas, lavagem de dinheiro, os crimes do colarinho branco, roubo, furto, o "salami slicing" (fatias de salame) ladro que regularmente faz transferncias eletrnicas de pequenas quantias de milhares de contas bancrias para a sua prpria - servios roubados, o contrabando, o terrorismo, a pornografia infantil, parafilia, invases de privacidade, violao a propriedade intelectual, propriedade industrial, a lei do Software, o vandalismo, a sabotagem, espionagem, o vrus de computador, a pirataria, o trfico internacional de armas, as leses a direitos humanos (terrorismo, crimes de dio, etc.), danos nas destruies de informaes, jogos ilegais, dentre outros apenas para explicitar a complexidade da matria tratada. (SILVA, 2000)

Alm de o artigo ter uma viso interessante na extenso que os crimes digitais esto alcanando atualmente, o autor prope treinamentos especficos de crimes digitais aos policiais, conforme citado: impe-se a criao da cultura de formao de policiais visando o "policiamento futuro", ou seja, formar, adequar, equipar e treinar os policiais, sendo que a palavra antecipar (SILVA, 2000).

2.11

Explorando o Conceito de Cybercimes O termo a cibercrime utilizado para denominar uma prtica que consiste em fraudar

a segurana de computadores ou redes empresariais. O surgimento deste termo ocorreu no final da dcada de 90, depois de uma reunio de um subgrupo das naes do G8 em Lyon, na Frana, para o estudo dos problemas da criminalidade ento surgidos e promovidos via Internet ou pela migrao de informaes para esse meio. Este grupo de Lyon usava o termo para descrever, de forma muito ampla, todos os tipos de crime perpetrados na Internet ou nas novas redes de telecomunicaes, que estavam cada vez mais acessveis em termos de custo. Devido ao amplo leque de cybercriminalidade, dividiu-se em duas categorias gerais, para que possa ser mais bem analisada a investigao: Tipo I e Tipo II. Cybercrime Tipo I em geral, um acontecimento nico a partir da perspectiva da vtima. Muitas vezes, facilitado pela crimeware programas como keystroke madeireiros, vrus, cavalos de Tria ou rootkits. Exemplos deste tipo de cybercrimes incluem, todavia no

25

esto limitados a phishing, roubo ou manipulao de dados ou servios atravs hacking ou vrus, roubo de identidade, e de banco. J o cybercrime Tipo II, trata-se geralmente em uma srie de eventos, envolvendo repetidas interaes com o alvo. Por exemplo, a vtima contatada em uma sala de chat pelo criminoso que, ao longo do tempo, tenta estabelecer um relacionamento. O criminoso, a partir do relacionamento criado com a vtima, abstrai informaes pessoais da vtima que podem ser utilizadas para cometer crimes do tipo cyberstalking e assdio, extorso, chantagem, complexa espionagem empresarial, ou mesmo atividades terroristas. Em geral, facilitado por programas que no se enquadram no mbito da classificao crimeware. Por exemplo, pode ter lugar usando conversas IM (mensagens instantneas) clientes ou arquivos podem ser transferidos atravs de FTP. De acordo com uma pesquisa feita pela empresa de segurana virtual Kaspersky Lab mostra que, em 2009, o Brasil foi o alvo predileto das ameaas virtuais cujo principal objetivo roubar dados e senhas bancrias. A empresa detectou e analisou cerca que de 35 mil ameaas dirias ocorridas em dez pases, os computadores brasileiros foram o endereo de 36% dos ataques. Em seguida vm China, com 21%, e Espanha, com 8%.

2.12

Projeto de Lei Brasileira n. 84/99 Como citado anteriormente, o Brasil ainda no possui um cdigo de leis especficas

para julgar os cybercrimes. Entretanto, em 26 de novembro de 2002, o deputado Nelson Pellegrino (PT/BA), relator da Comisso de Segurana Pblica e Combate ao Crime Organizado, Violncia e Narcotrfico da Cmara dos Deputados apresentou parecer pela aprovao do projeto de lei n. 84/99 (tentativa de tipificar crimes cometidos pela Internet). No mesmo ensejo, o relator, na referida comisso, apresentou substitutivo ao PL n. 84/99, para que as alteraes preconizadas na legislao brasileira, em torno dos delitos informticos, sejam introduzidas no prprio Cdigo Penal, e no em lei extravagante, como pretende o deputado Luiz Piauhylino Filho, autor da proposta original. Dentre os artigos que compem o PL n. 84/99 esto: Art. 1 - O acesso, o processamento e a disseminao de informaes atravs das redes de computadores devem estar a servio do cidado e da sociedade, respeitados os critrios de garantia dos direitos individuais e coletivos e de privacidade e segurana de pessoas fsicas e jurdicas e da garantia de acesso s informaes disseminadas pelos servios da rede.

26

Art. 5 - A coleta, o processamento e a distribuio, com finalidades comerciais, de informaes privadas ficam sujeitas prvia aquiescncia da pessoa a que se referem, que poder ser tomada sem efeito a qualquer momento, ressalvando-se o pagamento de indenizaes a terceiros, quando couberem. 1. A toda pessoa cadastrada dar-se- conhecimento das informaes privadas armazenadas e das respectivas fontes. 2. Fica assegurado o direito retificao de qualquer informao privada incorreta. 3. Salvo por disposio legal ou determinao judicial em contrrio, nenhuma informao privada ser mantida revelia da pessoa a que se refere ou alm do tempo previsto para a sua validade. 4. Qualquer pessoa, fsica ou jurdica, tem o direito de interpelar o proprietrio de rede de computadores ou provedor de servio para saber se mantm informaes a seu respeito, e o respectivo teor. Art. 8 - Apagar, destruir, modificar ou de qualquer forma inutilizar, total ou parcialmente, dado ou programa de computador, de forma indevida ou no autorizada. Pena: deteno de um a trs anos e multa Pargrafo nico. Se o crime cometido: I. contra o interesse da Unio, Estado, Distrito Federal, Municpio, rgo ou entidade da administrao direta ou indireta ou de empresa concessionria de servios pblicos; II. com considervel prejuzo para a vtima; III. com intuito de lucro ou vantagem de qualquer espcie, prpria ou de terceiro; IV. com abuso de confiana; V. por motivo ftil; VI. com o uso indevido de senha ou processo de identificao de terceiro, ou VII. com a utilizao de qualquer outro meio fraudulento.

Pena: deteno, de dois a quatro anos e multa.

27

2.13

Diferenas e Semelhanas Entre Forense Computacional e Auditoria Enquanto Forense Computacional uma tcnica cientfica, aplicada dentro de um

processo legal que busca evidncias e responsabilizao de envolvidos em incidentes que usem os meios computacionais para execuo de crimes ou burlar regras estabelecidas, a auditoria em um exame cuidadoso, sistemtico e independente das atividades desenvolvidas em determinada empresa ou setor, cujo objetivo averiguar se elas esto de acordo com as disposies planejadas e/ou estabelecidas previamente, se foram implementadas com eficcia e se esto adequadas (em conformidade) consecuo dos objetivos. Portanto, pode-se concluir que a tcnica de forense computacional trata-se de uma auditoria, atravs de levantamento de evidncias para fins judiciais, e a auditoria apenas ir certificar se os processos que foram ou sero implementados na organizao, esto de acordo com os objetivos da empresa.

28

CAPTULO 3. METODOLOGIA
Neste captulo esto dispostos os mtodos adotados e materiais utilizados na execuo do trabalho. Em seguida, h um cronograma onde esto apresentadas as previses das atividades.

3.1

Tipo do trabalho O trabalho seguir uma abordagem de pesquisa qualitativa com a realizao de

experimentao com intuito descritivo e no explanatrio, e ser dividido em duas partes: 1. Conter a fundamentao terica relativa ao surgimento das investigaes computacionais, a falta de uma legislao especfica no Brasil para os crimes digitais at o estudo detalhado da Anlise Forense Computacional; 2. Conter a parte prtica, com a escolha de um kit de ferramentas que ser instalado em um ambiente controlado, a definio do projeto, a realizao da anlise e a apresentao e discusso dos resultados.

3.2

Coleta de dados Os dados sero coletados em fontes secundrias, tendo como instrumentos utilizados

livros, bibliografias, consulta complementar a documentos. Tambm sero utilizadas vrias ferramentas existentes no mbito forense, a fim de desenvolver um kit de ferramentas para o perito de crimes digitais.

3.3

Desenvolvimento A base terica para a elaborao do presente projeto ser utilizada na compreenso e

conhecimento dos objetivos do campo de Forense Computacional, a fim de analisar a viabilidade de uma padronizao nas ferramentas auxiliares de percia eletrnica. O trabalho tambm englobar a criao de uma distribuio Linux, baseada no sistema operacional Ubuntu 10.04 LTS, o qual tem seu suporte estendido por um tempo mais longo comparado com as demais verses (10.10 ou 9.04, por exemplo). Esta distribuio ser personalizada desde configuraes GUI (Guide User Interface), adaptando as configuraes grficas e disposies de menus, cones e outros fatores visveis, a fim de proporcionar uma melhor usabilidade e visibilidade ao perito, at modificaes nas instalaes dos pacotes e configuraes dos mesmos, formando um menu com aplicaes grficas e outro com

29

aplicaes executadas via Terminal (Console). O software, utilizado para a customizao da distribuio Linux e tambm para a gerao da verso Live (executada a partir de uma mdia DVD), foi o remastersys, tambm uma ferramenta Open Source. No Captulo 4 Desenvolvimento h maiores detalhes sobre a utilizao desse software como tambm outros aspectos do desenvolvimento.

30

CAPTULO 4. DESENVOLVIMENTO
Neste captulo esto documentados os processos de desenvolvimento, testes, parmetros de comparaes e mtodos utilizados para definir as ferramentas mais eficientes, eficazes e simples, considerando a eficcia como aspecto mais relevante para a deciso e, em segundo lugar, a simplicidade (facilidade com que as ferramentas podem ser executadas em relao s diversas funcionalidades embutidas). So dispostos, tambm, os procedimentos de personalizao e gerao da distribuio Live Linux para execuo em qualquer mquina, sendo necessrio somente observar os requisitos mnimos.

4.1

Anlise de Hardware de extrema importncia para a percia computacional identificar e documentar as

capacidades fsicas da mquina a ser periciada. Alm das informaes de hardware, de igual importncia a identificao de sistemas de arquivos e informaes lgicas do sistema operacional. O programa que se destacou quanto aos testes efetuados foi o Hardinfo: ferramenta publicada dentro da GNU GPL (General Public License), por oferecer mais funcionalidades e ter xito em todas as informaes identificadas do Hardware e Software. O destaque a gerao de relatrios: a ferramenta gera tanto em modo texto quanto em html: e ainda filtra os resultados, gerando o relatrio de acordo com as necessidades do caso. Outras ferramentas testadas foram: dmidecode (trazendo informaes somente do Hardware listado na BIOS do sistema em execuo no modo texto), sysinfo (retornando informaes bsicas do Hardware e do Sistema Operacional em modo grfico e, apesar da simplicidade de uso, o programa no capaz de exportar em html nem detalhar os resultados), e lshw. Esta ltima retornou detalhadamente e exatamente as configuraes de Hardware. Entretanto, falhou em obter informaes do Sistema Operacional e exportao (ferramenta em modo texto). A ferramenta Hardinfo, portanto, foi escolhida como primordial para a anlise computacional forense e indispensvel para a distribuio Live. Alm de obter informaes detalhadas e especficas das capacidades fsicas da mquina e do Sistema Operacional e gerar relatrios filtrados em html e texto plano, ela efetua benchmarks, ou seja, avalia o desempenho relativo de um objeto a partir da execuo de uma srie de testes padres e ensaios nele. Essa funcionalidade bastante til quando, por exemplo, existir a necessidade

31

de avaliar qual item de hardware est sendo mais utilizado em relao carga mxima da CPU. Na figura 4 mostrado um modelo de relatrio gerado pelo Hardinfo, em HTML.

Figura 4 - Relatrio Gerado para Impresso em HTML Fonte: Software Hardinfo

Na figura 5 apresentado o sumrio da tela principal do Hardinfo.

Figura 5 - Sumrio na Tela Principal Fonte: Software Hardinfo

32

J na figura 6 mostrada a tela principal do Sysinfo, com destaque para a memria.

Figura 6 - Tela Principal, destacando a memria Fonte: Software Sysinfo

4.2

Verificao e Remoo de Vrus Atualmente, existem vrus e malwares tanto para sistemas operacionais Windows

como Linux. O simples fato de abrir uma pasta pode estar relacionado com outra ao que corrompe o sistema de arquivo atual automaticamente. Dependendo dos casos, vrus ou qualquer outro tipo de malware pode ser descartado de preservao, exceto nos casos em que investigada a origem dos mesmos, ou at mesmo a autoria: para estes casos, o perito deve ter um cuidado maior e observar permisses de acesso mdia, alm de considerar cpias de somente leitura. Para os demais casos, a preservao de vrus e malwares de todo prejudicial ao processo de percia, invalidando as evidncias coletadas pelo fato de terem sido modificadas, danificadas ou acessadas remotamente ou localmente pelos softwares maliciosos. Portanto, antes do processo de coleta de evidncias, o uso de um aplicativo Antivrus eficiente e universal deve ser considerado. A confiabilidade desse aplicativo tambm deve ser alta e ele deve ter funes que removam somente os vrus, no os documentos infectados (no caso de vrus alojados em documentos que podem conter evidncias).

33

necessrio salientar que h certa carncia de softwares Antivrus de cdigo aberto nos repositrios oficiais do Ubuntu. Na realidade, existe apenas um aplicativo antivrus nos repositrios Universais: o Clamav. Este foi escolhido por ser confivel e proporcionar atualizaes regulares, como tambm apresentar um processo de verificao rpido e eficiente. Simplicidade tambm foi o seu ponto forte, em relao s alternativas. Duas interfaces grficas e uma em modo texto com o mesmo motor antivrus tambm foram testadas: clamtk, klamav e clamscan, respectivamente. As demais ferramentas testadas foram: Xfprot e Qtfprot. Foi feito uma cpia de uma mdia infectada com dez tipos de vrus atuais. Nessa mdia tambm havia arquivos zip, rar, documentos de textos, planilhas eletrnicas e apresentaes de slides. O aplicativo que foi mais eficiente em remover os vrus sem danificar documentos foi o Clamtk, que, apesar do maior tempo de escaneamento em relao aos outros, efetuou mais remoes. Essa ferramenta corrigida regularmente em mbito mundial, suportando atualizaes automticas de definies de vrus e motor do sistema ( engine), apesar de ser uma interface grfica do gnome (conjunto de aplicaes visuais do sistema operacional Linux), do clamav. Na figura 7 mostrada a interface do Clamtk.

Figura 7 - Interface para o Clamav Fonte: Software Clamtk

4.3

Editores Hexadecimais Os editores hexadecimais so ferramentas indispensveis para a percia forense, pois

recuperam dados de praticamente qualquer formato de arquivo (mesmo que esses dados estejam, a princpio, inteligveis), sem a necessidade de ter o programa de criao desses arquivos. A funcionalidade de um aplicativo desses ainda mais visvel quando observamos

34

dados de arquivos com senha de abertura sendo facilmente lidos sem nenhum tipo de senha. Dependendo da aplicao que gerou a senha do arquivo (por exemplo, Office 97, 2000 ou 2003) a mesma senha pode ser observada sem abrir o arquivo, somente analisando os metadados, ou seja, dados sobre dados. uma falha de segurana terrvel que s foi corrigida parcialmente nas verses atuais do Microsoft Office (2007 e 2010), lembrando que possvel visualizar informaes no somente dos aplicativos do Office, como tambm qualquer arquivo. Por exemplo, uma imagem: ser visvel a assinatura do formato de arquivo (mesmo que no tenha o formato especificado) e todas as posies dos bits que compe a imagem. A anlise hexadecimal uma tcnica pericial bastante interessante que necessita de um perodo de prtica e experincia para que os dados hexadecimais tenham mais sentido. Alguns programas testados por funcionalidades foram: Bless Hex Editor e Gnome Hexadecimal. O primeiro foi escolhido por ter maiores funcionalidades do que o Ghex. Dentre suas principais caractersticas, destacam-se: eficiente edio de grandes arquivos de dados e dispositivos de bloco, desfazer multinvel - refazer operaes, visualizaes customizadas de dados, rpido processamento de dados na tela, mltiplas abas, localizar e substituir operaes rapidamente, uma tabela de converso de dados, funes avanadas de copiar e colar (substituir tudo), arquitetura baseada em plug-in, exportao de dados para texto e html (com outros plugins), operaes bit a bit de dados e manual completo de utilizao. Nas figuras 8, 9 e 10 so apresentadas as telas de interface do Bless.

Figura 8 - Tela principal: destaque para as cores diferenciais e opes Fonte: Software Bless

35

Figura 9 - Exportao em texto Fonte: Software Bless

Figura 10 - Exportao em HTML Fonte: Software Bless

A seguir na figura 11 apresentado a tela principal do Ghex.

36

Figura 11 - Tela Principal Fonte: Software Ghrex

4.4

Geradores de Hash O hash a prova mais elementar e indispensvel para permitir a amostragem das

demais evidncias. Sem ele todas as evidncias so contestveis: se o hash gerado da mdia antes da percia for diferente do gerado posteriormente, todo o processo pericial se torna invlido. Alm disso, o hash tambm utilizado para verificar se algum byte de um arquivo ou mdia foi corrompido ou est ilegvel, verificando tambm a integridade e disponibilidade dos arquivos. A importncia de uma ferramenta eficiente, rpida, funcional e simples de utilizar de comum senso entre os peritos computacionais. Por isso, vrias ferramentas foram testadas: gtkhash, md5deep, ssdeep, hashalot, bsign e jacksum em quesitos funcionais e facilidades de uso. O aplicativo com mais algoritmos para a gerao dos hash codes (nmero que gerado a partir da leitura de todos os bytes de um arquivo ou conjunto de arquivos) foi o jacksum, com 58 algoritmos para escolha da gerao do hash (Adler32, BSD sum, Bzip2's CRC-32, POSIX cksum, CRC-8, CRC-16, CRC-24, CRC-32 (FCS-32), CRC-64, ELF-32, eMule/eDonkey, FCS-16, GOST R 34.11-94, HAS-160, HAVAL (3/4/5 passos,

128/160/192/224/256 bits), MD2, MD4, MD5, MPEG-2's CRC-32, RIPEMD-128, RIPEMD-

37

160, RIPEMD-256, RIPEMD-320, SHA-0, SHA-1, SHA-224, SHA-256, SHA-384, SHA-512, Tiger-128, Tiger-160, Tiger, Tiger2, Tiger Tree Hash, Tiger2 Tree Hash, Unix System V sum, sum8, sum16, sum24, sum32, Whirlpool-0, Whirlpool-1, Whirlpool e xor8). Porm, esse aplicativo possui uma interface grfica no muito atraente e o modo texto no simples de usar sem estudar o manual dos parmetros. Portanto, em se tratando de velocidade, eficincia e simplicidade de uso, o gtkhash foi escolhido como padro para a distribuio Live de Forense Computacional, suportando os algoritmos MD5, SHA1, SHA256, SHA512, RIPEMD, HAVAL, TIGER e WHIRLPOOL. Nas figuras 12 e 13 mostra as telas principal e de preferncias do software Gtkhash.

Figura 12 - Tela principal padro com os dois algoritmos bsicos Fonte: Software Gtkhash

Figura 13 - Tela de preferncias, escolha dos algoritmos disponveis Fonte: Software Gtkhash

38

4.5

Documentao das Evidncias e Estudo de Casos Autopsy O programa escolhido para documentar evidncias como tambm estudar ou

trabalhar em equipe analisando uma mesma mdia, foi o Autopsy Forensic Browser, que consiste em uma aplicao grfica que faz uso de um conjunto de ferramentas em linha de comando, como as providas pelo Sleuth Kit e, de forma mais intuitiva e automatizada, permite atividades periciais em vrios sistemas de arquivo. A aplicao funciona como um servidor web, podendo assim ser acessada atravs de um conjunto de mquinas em rede, via navegador ( http). O mais interessante dessa ferramenta que ela e orientada a Casos, ou seja, um investigador deve iniciar o processo de investigao criando um novo Caso. Para isso, um investigador deve informar o nome do caso, a descrio do caso e os peritos envolvidos. Aps esse procedimento, o investigador guiado atravs de uma srie de passos, onde sero cadastradas as mquinas sob investigao e suas respectivas mdias (imagens extradas destas). Nas figuras 14 e 15 so mostradas as telas de criao de um novo caso e adio de uma nova mquina do software Autopsy.

Figura 14 Criao de um novo Caso Fonte: Software Autopsy

39

Figura 15 - Adio de uma nova mquina Fonte: Software Autopsy

Nessa etapa possvel definir uma base de dados de assinaturas ( hashes) de arquivos j conhecidos, sejam eles arquivos a serem ignorados ou arquivos reconhecidos como maliciosos. Estas bases de dados so de grande utilidade para acelerar o processo de anlise forense. Para cada host cadastrado, o perito poder adicionar ainda um conjunto de arquivos contendo imagens extradas das mquinas apreendidas. Estas imagens podem ter sido extradas de discos rgidos do sistema. Concluda a incluso das imagens, o host est pronto para ser analisado e o perito pode ento iniciar o processo de anlise dos dados contidos nas imagens. Nas figuras 16, 17 e 18 seguem algumas telas de adio de imagem, dados necessrios para adicionar uma nova imagem e o seletor de imagens analisadas.

40

Figura 16 - Tela de adio de imagens Fonte: Software Autopsy

Figura 17 - Dados necessrios para adicionar uma nova imagem Fonte: Software Autopsy

41

Figura 18 - Seletor de imagens analisadas Fonte: Software Autopsy

No processo de anlise dos dados, a aplicao mostrar a estrutura de diretrios e os respectivos arquivos contidos nas imagens. Ela mostrar ainda os arquivos removidos do dispositivo. Neste modo de operao possvel tambm mostrar arquivos deletados: sero mostrados todos os arquivos removidos do dispositivo cujos metadados ainda encontrem-se intactos. H dois tipos distintos de arquivos removidos, representados por cores diferentes. Arquivos em vermelho so arquivos cuja rea de memria que estava sendo ocupada ainda no foi realocada, o que permite ao perito confiar na visualizao mostrada na parte inferior da tela. Se o arquivo estiver em bord, a rea que costumava ser ocupada pelo arquivo j foi realocada e o contedo pode no representar mais total ou parcialmente o arquivo removido; e busca por padro de nome: esta busca muito til em casos onde se deseja buscar por arquivos de nomes conhecidos ou mesmo de determinados tipos (extenso), uma vez que a busca suporta expresses regulares. Na figura 19 demonstrada uma anlise de arquivos contendo trs arquivos deletados e recuperados.

42

Figura 19 - Tela de anlise de arquivos contendo trs arquivos deletados e recuperados Fonte: Software Autopsy

Na anlise de metadados, um perito ter acesso a detalhes da estrutura em que se baseia o sistema de arquivos. Os dados em um disco rgido nem sempre esto alocados em uma rea contgua de memria. O sistema de arquivos divide assim o disco fsico em setores e, para organizar, gerenciar e facilitar a busca por arquivos mantm um conjunto de dados que funcionam como um ndice e contm ponteiros para estes arquivos, alm de dados como o instante em que o mesmo foi criado, nome, entre outros. A anlise dos metadados o ponto de partida para outro tipo de anlise, a das Unidades de Dados, os chamados setores ou clusters. Atravs da busca por metadados, o perito ter um conjunto de setores relacionado com determinado arquivo e, analisando-os separadamente, poder visualizar o contedo de cada setor separadamente. Segue abaixo uma demonstrao de anlise de metadados, conforme figura 20.

43

Figura 20 - Tela de anlise dos metadados Fonte: Software Autopsy

O sistema permite ainda a extrao do contedo do arquivo envolvido, para anlise externa, bem como a adio de notas e gerao de relatrios acerca do contedo analisado. Com a visualizao dos setores possvel analisar seu contedo em diferentes formatos, como ASCII, Hexadecimal ou mesmo imprimindo apenas os textos visveis. Na figura 21 segue uma demonstrao de anlise de setores.

44

Figura 21 - Tela de visualizao dos setores Fonte: Software Autopsy

Classificar as informaes objeto da anlise fundamental na anlise pericial. Para dar suporte a este processo, a ferramenta Autopsy fornece uma forma de separar estes arquivos de acordo com seus tipos. Esta classificao pode ser baseada em anlise de contedo ou extenso de arquivo. Por padro, as duas formas de sortir os arquivos encontrados so efetuadas. Tanto o espao alocado quanto o no alocado so vasculhados, o que permite ao perito revelar contedos ocultos em uma busca convencional. Os arquivos so classificados dentre as seguintes categorias: Conjunto de arquivos de dados udio Arquivo comprimido Arquivo criptografado Dados Arquivo de imagem (de CD ou DVD, por exemplo) Documentos, executveis (aplicaes) Imagens (JPEG ou PNG, por exemplo)

45

Arquivos de sistema Texto Arquivos no reconhecidos pela aplicao e vdeos Na figura 22 segue a tela de processo de classificao de arquivos do software

Autopsy.

Figura 22 - Tela de processo de classificao de arquivos Fonte: Software Autopsy

Aps a classificao dos arquivos, o perito pode desprezar aquele que no desperta interesse, cruzar os hashes dos arquivos de interesse com as bases de hashes e ainda analisar um a um os arquivos de maior relevncia. Alm desse tipo de classificao (segundo o Tipo dos arquivos), o programa tem uma funcionalidade de busca por palavras chave, onde possvel examinar o contedo de arquivos em busca de um determinado texto. A ferramenta permite a definio de expresses regulares (como *palavra-chave*) como forma de ampliar e generalizar o domnio de busca.

46

Nas figuras 23 e 24 seguem exemplos de busca em espaos alocados ou no alocados e visualizao do fragmento anteriormente fragmentado do software Autopsy.

Figura 23 - Tela de busca em espaos alocados ou no alocados Fonte: Software Autopsy

Figura 24 - Tela de visualizao do fragmento anteriormente pesquisado Fonte: Software Autopsy

Podemos concluir que a busca permite que tanto o espao alocado quanto o espao livre sejam varridos, em busca do padro desejado. H ainda um conjunto de buscas

47

predefinidas, como busca por endereo IP, por datas, entre outros. O sistema armazena tambm um histrico com as ltimas buscas e o nmero de resultados gerados a partir dela. Atravs da funo Extract Strings possvel extrair os strings da imagem, tornando a busca mais eficiente.

4.6

Anlise de Pacotes e Rede - Tcnica Package Sniffer O programa escolhido para monitorar a rede, capturando pacotes e detectando

incidentes ou tentativas de ataques foi o Wireshark, sucessor do programa Ethereal e muito popular no uso em auditorias preventivas. Este programa verifica os pacotes transmitidos pelo dispositivo de comunicao (placa de rede ou placa de fax modem, por exemplo) do computador. O objetivo deste tipo de software, tambm conhecido como sniffer, detectar problemas de rede, conexes suspeitas, auxiliar no desenvolvimento de aplicativos e qualquer outra atividade relacionada rede. O programa analisa o trfego de pacotes recebidos e organiza-os por protocolo. Todo o trfego de entrada e sada analisado e mostrado em uma lista de fcil navegao. Os principais recursos so: captura de dados da Ethernet, FDDI, PPP, Token-Ring, IEEE 802.11, IP clssico sobre ATM e interface loopback, podendo ser editados e convertidos via linha de comando. A ferramenta suporta 750 protocolos, podendo editar a sada em texto plano ou Postscript. Alm desses recursos, o programa possui filtros de exibio que podem ser usados para destacar seletivamente e exibir informaes coloridas no sumrio. Na figura 25 mostrada a tela principal do Wireshark.

Figura 25 - Tela Principal Fonte: Software Wireshark

48

4.7

Personalizao e Gerao da Distribuio Live Os mtodos para personalizao e gerao da distribuio Live consistem em quatro

etapas. Instalao, personalizao, configurao e gerao. Instalao: nesse processo uma mquina hospedeira foi utilizada para a instalao da distribuio Linux Ubuntu 10.04 LTS (distribuio pura). importante salient ar que nenhum pacote desnecessrio foi removido nessa etapa, a fim de preservar a adaptao com as demais mquinas com Hardwares diferenciados. A mquina hospedeira possui a seguinte configurao: memria RAM de 4GB, disco rgido de 250GB, placa de vdeo integrada Intel Mobile e processador Intel Core 2 Duo. Personalizao: nessa etapa os repositrios foram modificados para a instalao de pacotes relevantes na rea de Forense Computacional. O arquivo sources.list foi devidamente modificado de acordo com os repositrios oficiais do Ubuntu (Universal, Principal e Brasileiro). Configurao: todos os aspectos de visibilidade, aparncia, efeitos grficos, disposio de menus e janelas, configurao das ferramentas e preparao do ambiente de trabalho foram tratados nessa etapa. Gerao: com a distribuio Linux totalmente modificada e voltada para a Forense Computacional, utiliza-se o software remastersys para a criao da verso Live, utilizando o atributo backup para que as preferncias do usurio e a pasta /home sejam salvas automaticamente. Como no h nenhum documento ou arquivo pessoal na pasta do usurio, a distribuio Live ir carregar somente as preferncias do usurio.

4.8

Requisitos Mnimos Os requisitos mnimos para execuo da distribuio Live so os mesmos

especificados no System Requirements (WIKI.UBUNTU, 2010): somente 256MB de memria RAM so necessrios. Porm, para a instalao, os requisitos mnimos so: processador de 700MHz, memria RAM de 512MB, disco rgido de 4GB e qualquer placa grfica onboard ou offboard (NOVAIS, 2010).

49

4.9

Requisitos Recomendados Os requisitos recomendados para a execuo funcional da distribuio Live (sem

travamentos e limitaes) como tambm para a instalao da mesma, so: processador de 1.2GHz, memria RAM de 1GB, disco rgido de 10GB e placa grfica preferencial nVidia (devido s atualizaes de driver constantes).

4.10

rea de Trabalho da Distribuio Live Na figura 26 mostrado a rea de Trabalho da Distribuio Live, com dois menus

principais, localizados no topo e na parte inferior do Desktop. O primeiro possui ferramentas utilitrias do sistema (aplicativos, locais, sistema, pesquisa de arquivos avanada, notas e observaes, deteco rpida de mdias e montagem, bloqueio da tela, troca rpida de usurio, shutdown automatizado, fechamento forado de aplicaes, desempenho dos ncleos da CPU, sinal wireless e data e hora). O segundo possui funes de monitoramento: utilizao de disco, trfego da rede, carga do sistema, memria utilizada e uso do processador.

Figura 26 rea de Trabalho da Distribuio Live, com diversas funes de monitorao Fonte: Distribuio Live Desenvolvida

50

CAPTULO 5. CONCLUSO
A ferramenta escolhida atravs do Captulo 4 Desenvolvimento, utilizando os critrios de eficcia e simplicidade, para anlise de Hardware, Sistema de Arquivos e Sistema Operacional foi a HardInfo. Seus principais recursos esto na gerao de relatrios em html e modo texto e tambm no detalhamento das informaes do Hardware e Software (Sistemas de Arquivos e Sistema Operacional), possibilitando filtragem para a gerao dos relatrios atravs de uma interface grfica simples e limpa (livre de informaes redundantes). Para verificao, identificao e remoo de vrus e malwares, o aplicativo Clamtk, interface grfica para o antivrus Clamav, foi escolhido principalmente por ser atualizado universalmente, isto , possuir vrios colaboradores, inclusive do prprio projeto Ubuntu. Alm de ser atualizado com frequncia e conter uma interface simples e funcional, o programa oferece opes para somente identificao dos vrus, isto , antes de remover, trazer informaes sobre o comportamento do malware (em algumas percias, necessrio preservar a integridade de todos os arquivos). Outro recurso relevante a capacidade de operar em sistemas de arquivos distintos, efetuando verificaes independentes do sistema operacional. Na anlise de metadados e edio hexadecimal, o programa Bless Hex Editor foi escolhido pela disposio do contedo dos arquivos, facilitando a identificao de evidncias e operao dos recursos do programa. As tabelas de converso de bits tambm so outros recursos importantes para a anlise funcional dos arquivos a serem periciados. O gerador de hash que mais se destacou foi o aplicativo Gtkhash, principalmente pela simplicidade da interface grfica e eficcia na anlise de grandes quantidades de informaes em pequenas quantidades de informaes. A ferramenta tambm suporta vrios algoritmos de disperso, utilizados para cifrar os mtodos geradores do hash, de forma que a integridade dos dados seja preservada aps o final do processo. A ferramenta orientada a casos, considerada essencial para uma percia em que efetuada por uma equipe, foi a Autopsy, oferecendo vrios recursos para a anlise das evidncias relevantes e independentes de demais ferramentas: anlise de metadados, filtragem por tipos de arquivos, organizao por contedo dos arquivos, recuperao de arquivos excludos em vrios sistemas de arquivos e insero de mdias durante o processo de percia. tambm importante salientar que, na Anlise em Tempo Real, ou seja, com a mquina ligada, o aplicativo escolhido para anlise e coleta de evidncias atravs de inmeros

51

protocolos de rede foi o Wireshark, principalmente pela capacidade de gerar relatrios filtrando informaes relevantes coletadas durante um perodo de tempo estabelecido anteriormente ao processo. Embora a rea de Forense Computacional seja nova e esteja em crescente expanso, a maioria das organizaes ainda no adota os procedimentos preventivos para a implantao da Anlise Forense Computacional. Entretanto, os crimes digitais esto cada vez mais freqentes e incidentes com impactos cada vez maiores ocorrem dentro das empresas. A adaptao de leis para tratamento de tais crimes ocasiona, no mnimo, demora na autorizao judicial e burocracia nos procedimentos penais, atrasando a coleta de evidncias e, na maioria das vezes, ocasionando a ausncia das anlises em tempo real (com o equipamento a ser periciado devidamente ligado), sendo esta de extrema importncia e indispensvel na coleta de evidncias, em alguns casos. Pela linha de desenvolvimento desse trabalho, possvel afirmar que haver uma procura ininterrupta por processos de investigao forense computacional nas organizaes, alm de ferramentas forenses atualizadas e confiveis, por parte dos prprios peritos, e ferramentas anti-forenses atualizadas e efetivas, por parte dos cybercriminosos. Nessa busca incansvel, o cenrio de guerra em todos os aspectos, e os desafios da Segurana da Informao talvez estejam s comeando, em um futuro to prximo quanto o ano que est por vir.
"Voc no pode prever o futuro como sendo uma conseqncia do passado. Raramente as coisas que te trouxeram at aqui sero as mesmas que te mantero nessa posio. Por outro lado, se voc no souber suas origens, certamente encontrar dificuldades em prosseguir. (Charles Handy)

52

REFERNCIAS
ALENCAR, Paulo. Crackers vm de dentro da empresa, diz pesquisa, Revista Info Online, Abril, 2006 acesso em 09 de setembro de 2010. Disponvel em: http://info.abril.com.br/aberto/infonews/042006/17042006-7.shl. ARAS, Vladimir. O Projeto de lei n 84-99 e os Crimes de Informtica no Brasil comentrios ao substitutivo do Deputado Nelson Pellegrino, Revista Jus Navigandi, Dezembro, 2002 acesso em 24 de outubro de 2010. Disponvel em: http://jusvi.com/artigos/1386. BESTUZHEV, Dmitry. Brasil: um pas rico em Trojans bancrios, Outubro, 2009 acesso em 25 de outubro de 2010. Disponvel em: http://www.kaspersky.com/pt/brasil_trojans. CARRIER, Brian. Autopsy Forensic Browser Website, - acesso em 20 outubro de 2010. Disponvel em: http://www.sleuthkit.org/autopsy. CARRIER, Brian. Autopsy Forensic Browser User Guide, - acesso em 20 de outubro de 2010. Disponvel em: http://www.sleuthkit.org/autopsy/help/index.html. CARVALHO, Paulo Srgio Rodrigues. Tcnicas de Redao. 141 Edio. Paran, Brasil, Academia de Cultura do Paran, 2010. CASEY, Eoghan. Investigating Sophisticated Security Breaches. Communications of the ACM Magazine - Next-generation cyber forensics, New York, fev. 2006. CGI.BR. Cartilha de Segurana para Internet. Comit Gestor da Internet no Brasil, 2006. COSTA, Ligia Maura. A Pirataria do Nome de Domnio da Internet. Revista de Administrao de Empresas, So Paulo, v. 41, n. 1, p. 45-53, Jan/Mar 2001. ERAS. O que o Cybercrime? E Quais os Cuidados Que Voc Precisa Tomar. Itversa Broadcast Security Labs, Julho, 2009 acesso em 24 de outubro de 2010. Disponvel em: http://itversa.wordpress.com/2009/07/30/cybercrime-o-que-e-o-cibercrime-e-quais-oscuidados-para-nao-cometer-lo/. FARMER, Dan; VENEMA, Wietse. Percia Forense Computacional: Teoria e Prtica Aplicada. So Paulo, Brasil, Pearson Education do Brasil, 2007. FILHO, Reinaldo Demcrito. O Projeto de Lei Sobre Crimes Tecnolgicos (PL n 84/99): Notas ao parecer do Senador Marcello Crivella; Revista Jus Navigandi, Maio, 2004 - acesso em 20 de outubro de 2010. Disponvel em: http://jus2.uol.com.br/doutrina/texto.asp?id=5447. FREITAS, Andrey Rodrigues de. Percia Computacional Aplicada Informtica: Ambiente Windows, Rio de Janeiro, Brasil, Brasport, 2006. GUTIERREZ, Wilson. Entrevistado por Saulo Arajo. Braslia, Brasil. 12/09/2010.

53

MDULO, Empresa; 10 Pesquisa Nacional; Empresa Mdulo Solutions for GRC, 2006 acesso em 15 de setembro de 2010. Disponvel em: http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf. NOVAIS, Cludio. Como instalar o Ubuntu 10.04 Lucid Lynx acesso em 19 de outubro de 2010. Disponvel em: http://ubuntued.info/como-instalar-o-ubuntu-10-04-lucid-lynx. NG, Reynaldo. Forense Computacional Corporativa. Rio de Janeiro, Brasil, Brasport, 2007. PARKER, Donn B.. Crime by Computer, Nova Iorque, Estados Unidos, 1976. SILVA, Mauro Marcelo de Lima e. Os crimes digitais, hoje: Polcia revela o perfil do criminoso da Internet. Revista Consultor Jurdico, Setembro, 2000 acesso em 09 de setembro de 2010. Disponvel em: http://conjur.uol.com.br/textos/3293/. SYMANTEC. China e Brasil so as maiores vtimas do cibercrime no mundo. Revista Veja, Outubro, 2010 acesso em 20 de outubro de 2010. Disponvel em: http://veja.abril.com.br/noticia/vida-digital/brasil-e-china-sao-as-maiores-vitimas-docibercrime-no-mundo. WIKI.UBUNTU. Release Notes: System Requirements acesso em 19 de outubro de 2010. Disponvel em: https://wiki.ubuntu.com/LucidLynx/ReleaseNotes.