Escolar Documentos
Profissional Documentos
Cultura Documentos
JUAZEIRO DO NORTE CE
2014
JUAZEIRO DO NORTE
2014
________________________________________________
Prof. Cicero Woshington S. Leite
Orientadoror FJN
__________________________________________________
Prof
Avaliador - FJN
__________________________________________________
Prof.
Avaliador - FJN
JUAZEIRO DO NORTE - CE
2014
AGRADECIMENTOS
RESUMO
USO DE TCNICAS PARA TER EFICINCIA NO PROCESSO DE ANLISE EM
COMPUTAO FORENSE COM MDIAS SSD REMOVVEIS ULTILIZANDO
FERRAMENTAS OPEN SOURCE
Nos ltimos anos foi grande o crescimento da populao brasileira que passou a ter acesso aos
sistemas de informao. Dados do IBGE (Instituto Brasileiro de Geografia e Estatstica) de
2011 expem um aumento significativo de pessoas que passaram a ter acesso a tecnologia
como smartphone, tablet e dispositivos que possibilitam armazenamentos em SSD (sigla em
ingls solid-state-drive) removveis ou no.
Assim com a demanda crescente, isto ir implicar no aumentar da quantidade de dispositivos
com forma de armazenamento SSD (SOLID-STATE DRIVE) para a anlise forense. Fica
indispensvel o uso de uma ou mais tcnicas na resoluo dos processos criminais na rea da
computao forense, motivando o perito a chegar em a um resultado mais abrangente e
preciso.
O escopo deste trabalho consistem em analisar um conjunto de ferramentas e sistemas
operacionais nos quais todos sejam open source, e que no fim me tragam um resultado final
eficiente, de acordo a cada diferente etapa exigida na computao forense.
ABSTRACT
USE TO HAVE TECHNICAL EFFICIENCY IN THE PROCESS OF ANALYSIS IN
FORENSIC COMPUTER WITH MEDIA REMOVABLE SSD USING TOOLS OPEN
SOURCE
In recent years has been large growth in the population who had access to information
systems. Data from the IBGE (Brazilian Institute of Geography and Statistics) 2011 expose a
significant increase in people who now have access to technology like smartphone, and tablet
devices that allow storage on SSD (abbreviation solid-state drive) removable or not.
So with the growing demand, this will result in increasing the amount of devices that
form storage SSD (SOLID-STATE DRIVE) for forensic analysis. It is necessary to use one or
more techniques in solving criminal cases in the area of computer forensics, prompting the
expert to arrive at a more comprehensive and accurate result.
The scope of this paper is to analyze a set of tools and operating systems on which all
are open source, and in the end bring me an effective end result, according to each different
step required in computer forensics.
SUMRIO
1. INTRODUO ................................................................................................. 5
1.1 ORGANIZAO DESTE DOCUMENTO............................................................... 7
2. CONCEITOS SOBRE SISTEMAS COMPUTACIONAIS ..................................... 8
2.1 SISTEMAS OPERACIONAL ................................................................................... 8
2.2 SISTEMAS DE ARQUIVOS WINDOWS E LINUX................................................ 8
2.3 SEGURANA DE INFORMAO. ..................................................................... 109
3. CONCEITOS BASICOS SOBRE FORENSE E TCNICAS .............................. 119
3.1 FORENSE............................................................................................................... 119
3.2 COMPUTAO FORENSE. ................................................................................ 119
3.3 O PERITO DE COMPUTAO FORENSE. .................................................... 1110
3.4 TERMINOLOGIA PERICIAL E CONCEITOS BSICOS. ............................. 1311
3.5 PROCESSOS E TIPOS ANLISES EM COMPUTAO FORENSE. ........... 1311
3.6 O QUE ANALISAR. ............................................................................................ 1412
3.7 FERRAMENTAS E TCNICAS DE APOIO AO PERITO. ............................. 1412
3.7.1 SISTEMAS OPERACIONAIS FORENSE OPEN SOURCE ................... 1513
4. ESTUDO DE CASO ..................................................................................... 1714
4.1 OBTENO E COLETA DOS DADOS............................................................. 1714
4.1.2 ESCOLHA DO SISTEMA OPERACIONAL FORENSE ....................... 1815
4.1.3 ANLISE DE FERRAMENTA GERAO DE IMAGEM .................... 2320
4.2 PRESERVAO E IDENTIFICAO ............................................................. 2723
4.3 ANLISE.............................................................................................................. 2824
4.3.1 TCNICAS UTILIZADAS. ................................................................ 2824
4.3.2 ESCOLHA DA FERRAMENTA PARA ANLISE................................ 2925
4.4 APRESENTAO DOS DADOS........................................................................ 3733
CONCLUSO................................................................................................. 3934
TRABALHOS FUTUROS. ............................................................................... 4035
REFERNCIAS BIBLIOGRFICAS ................................................................ 4137
APNDICE..................................................................................................... 4339
ANEXO .......................................................................................................... 4440
LISTA DE TABELAS.
LISTA DE FIGURAS
Caine Fonte (http://www.caine-live.net/) .......................................................................... 1816
DEFT (fonte: http://www.deftlinux.net/screenshot/). ........................................................ 2017
FDTK (fonte: http://fdtk.com.br/www/sobre/). ................................................................. 2118
resultado do DD (fonte: Proprio Autor) ............................................................................ 2320
Resultado DCFLDD (fonte: Prprio autor) ....................................................................... 2421
Uso do FLS para listar arquivos na mdia ......................................................................... 3127
FLS resultado na tela........................................................................................................ 3227
Usando a ferramenta Icat para recuperao de dados. ....................................................... 3228
Tela inicial do Autopsy. ................................................................................................... 3329
Pagina de analise Autopsy. ............................................................................................... 3430
DFF Tela inicial ............................................................................................................... 3531
Tela de dados DFF ........................................................................................................... 3632
PERSONAL COMPUTER
SSD ----------
SOLID-STATE DRIVE
TCC ---------
1. INTRODUO
Nos ltimos anos foi grande o crescimento da populao brasileira que passou a ter
acesso aos sistemas de informao. Dados do IBGE (Instituto Brasileiro de Geografia e
Estatstica) de 2011 expem um aumento significativo de pessoas que passaram a ter acesso a
tecnologia como smartphone, tablet e dispositivos que possibilitam armazenamentos em SSD
(sigla em ingls solid-state-drive) removveis ou no.
Isto por conta da diminuio dos preos destes tipos de aparelhos. Informaes do
A informtica pode ser usada como ferramenta de trabalho, lazer ou tambm para
auxiliar crimes como pedofilia (ELEUTERIO, 2010). Ou seja, como vimos constantemente
em reportagens nos jornais, uma pessoa no precisa ter total conhecimento para usar esta
Preservao;
Identificao;
Anlise;
Apresentao.
Com a obteno dos resultados ser feito um estudo de caso usando cada ferramenta.
Relacionando o tipo de crime e tcnica utilizada para o exposio dos dados. Com o
recolhimento de referncias bibliogrficas teremos o estudo de tcnicas diferentes para cada
um dos tipos de exames em computao forense. Tendo o estudo de cada ferramenta como
por exemplo: uma que faa a imagem de medias SSD (solid-state-drive) sendo ela DD (Data
Duplication) e comparando com a DCFLDD (Defense Computer Forensics LAB Data
Duplication). Dando como resultado, qual ferramenta melhor faz preservao dos dados e
menor tempo ou com resultados mais precisos.
Caracterizar melhor a metodologia.
10
11
3.1 FORENSE.
Segundo Chamello (2006) a cincia forense atuante em vrias disciplinas como,
qumica, biologia, matemtica, computao, telefonia, entre algumas outras, para ter como
objetivo, a contribuio em anlise civil e criminal.
J Martinelli (apud SAFERTEIN 2001) em resumo, a forense est na aplicao das
reas da cincia de acordo com a lei.
Conforme Mota Filho (2014) para ser perito em forense deve ser paciente, detalhista,
ser especialista em sistemas operacionais e file systems (sistemas de arquivos), ser conhecedor
12
13
14
15
apenas remove sua referncia em um bloco, passando de ocupado para livre, esta tcnica
consiste em localizar os arquivos deletados nessas referencias (QUEIROZ, 2010).
DFF (Digital Forensics Framework) um distribuio open source para analise em
computao forense em todas a fase de uma percia. (FRATEPIETRO e ROSSETTI, 2012)
DEFT (Digital Evidence & Forensic Toolkit) uma distribuio usada para anlise em
computao forense, baseado no GNU Linux. Atualmente est na verso 8.2, lanado em
agosto de 2014. (FRATEPIETRO e ROSSETTI, 2012)
Segundo Mello (2007), o crime de informtica todo aquele procedimento que atenta
contra os dados, que faz na forma em que estejam armazenados, compilados, transmissveis
ou em transmisso.
16
Para Eleutrio (apud CROCE 2010) pedofilia o desvio sexual caracterizado pela
atrao por crianas ou adolescentes sexualmente imaturos, com os quais os portadores do
vazo ao erotismo pela prtica de obscenidades ou de ato libidinosos.
Conforme NG (2007), no Brasil no existem normas especficas para crimes virtuais.
Os aspectos legislativos esto em discusso desde 1995.
Um fator desafiador que apresenta o prprio campo jurdico. No existem normas
especificas para enquadrar certos delitos que ocorrem neste grande mundo virtual,
sem contar as aes realizadas em jurisdies internacionais, que dependem de
acordos entre os pases envolvidos.
(NG, 2007, p60).
Segundo Eleutrio (2010, p.16), o cdigo de processo penal (CPP) determina em seu
artigo 158 que: Quando a infrao deixar vestgios, ser indispensvel o exame de corpo de
delito, direto ou indireto, no podendo supri-lo a confisso do acusado.
Os principais exames forenses em informticas so: Exames e procedimentos em de
crime de informtica, Exames em dispositivos de armazenamentos computacional CD,
DVD, PEN DRIVES E HD, exames em aparelhos de telefonia, exames em sites de
internet e exames em mensagens eletrnicas (e-mails) (ELEUTRIO, 2010, p19).
17
4. ESTUDO DE CASO
Tendo como objetivo a escolha de ferramentas na qual melhor se adequa a terem
eficincia nos processos de anlise em computao forense, cabe ser feita a diviso das
exposies dos dados para cada uma das fases. Este captulo ser divido de acordo com as
fases de uma percia forense, baseado com o modelo exposto por (MARTINELLI, 2013).
O estudo de caso que est sendo abordado, tem como material evidenciado a extrao
de dados em um dispositivo SSD, obtido a partir de um Tablet, e o crime relacionado para
esta percia enquadrar pedofilia, lembrando que a mdia e os resultados obtidos no tem
nenhuma ligao com um caso real, os mesmos apenas so referncias para fins acadmicos,
assim os dados exposto na ltima fase no ter valor jurdico.
Qual sistema operacional tem ferramenta para anlise sobre linha do tempo e
recuperao de dados;
18
Qual sistema est mais atualizado com o conjunto de ferramentas Sleuth Kit,
que so o conjunto de ferramentas bsicas para percia digital.
Ter ferramentas acessveis para todas as quatro fases de uma percia digital;
19
Possuir pacotes adicionais para anlise on line como a ferramenta Win Ufo
utilizada para anlise em sistema operacional Windows.
Sendo feito um resumo sobre o sistema operacional Caine, ele bastante eficiente para
anlise on line, por conter ferramentas compatveis para vrios sistemas operacionais, sendo
eles em computador ou smartphone, exemplificando Windows, MAC e Linux para
computador e Android, IOS e Blackberry para smartphone. Mas no fator anlise off line, a
instalao do mesmo em alguns modelos de hardware entra em incompatibilidade.
20
21
Sistema operacional criado por Paulo Neukamp para trabalhado de concluso, o FDTK
se torna diferenciado em dois pontos. O primeiro a relao das ferramentas instaladas no
sistema, elas so divididas de acordo com cada fase da percia e o segundo ponto, consiste
implementao de um manual em portugus com o passo a passo de cada uma, assim
ajudando na utilizao das tcnicas por usurios iniciantes.
No Sistemas Operacional FDTK disponibiliza para a fase inicial, um modelo de
formulrio cadeia e custdia em formato Excel. O ponto falho no sistema operacional no
conter ferramentas para anlise em Windows de modo online, e alm disto, a verso
UBUNTU 9.04 no atualizada, assim quando a instalao do sistema operacional em
computador mais atual, tende a ser incompatvel com o sistema.
Tabela Quadro com os resultados dos requisitos obtidos pelos sistemas operacionais
Live CD e
INSTALAVEL/FERRAMENTA
LIVE FORENSICS E POSTMORTEM FORENSICS
PACOTE SLEUTH KIT
Montagem SSD
Automtico/Leitura ou
Manual/Escrita
MAC TIME
Recupera dados
CAINE
Sim / Sim/para
Windows Win
Ufo
DEFT
SIM /SIM/ PARA
WINDOWS /DFF
FDTK
Sim/ Sim/No
Sim/Sim
Auto em leitura
Sim /Sim
No Automtico
SIM/SIM
Monta automtico
MAC TIME
PHOTO REC,
PROTO REC,
MAC TIMR,
MACROUBER
RECOVER
22
FORESMOST,
FLS
Data de atualizao
Sistema operacional
17 janeiro 2014
UBUNTU 12.04
RECOVER,
FORESMOST,
FLS
10 agosto 2014
UBUNTU 12.04
PROTO REC,
FORESMOST,
FLS
11 julho 2011
UBUNTU 9.04
Mac Time: todos os sistemas operacionais analisados vem com ferramenta para
anlise de linha do tempo, tcnica para resoluo de casos como pedofilia.
23
comparao, que tem como objetivo definir a melhor ferramenta para obteno e coleta dos
dados.
A figura abaixo mostra a linha de comando bsica, juntamente com o resultado usando
a ferramenta DD para extrao da imagem na mdia interna do dispositivo.
24
25
FERRAMENTA CRITRIO 1
SIM
DD
CRITRIO 2
CRITRIO 3
CRITRIO 4
SIM
BAIXO
S FAZ
IMAGEM
SIM
DCFLDD
SIM
RAPIDA
IMAGEM E
HASH
Com o dados obtidos nos quatro critrios, foi chegado a concluso entre as
ferramentas disponveis para gerao de imagem no DEFT, em que a mais eficiente a
DCFLDD, pois ela alm de fazer o bsico e ter melhor desempenho com tempo de gerao de
26
imagem mais rpida, dar suporte para clculo de hash podendo ser utilizada em outras fases
do processo.
27
Pagina N: 1
Nmero do Item:001.
Descrio: Tablet.
Fabricante: CCE.
Modelo: Motion.tab
Nmero de srie:20080411413fc082
Parte: 3 copias.
Hash:(md5):d5cbc40e7d4c99900816982fe1fd2a7f.
(sha1):6690ef413f4d998089fbb1a150fb6450a6dc0676.
(sha512):fd61446c2cfd92e511f6bdbf8cf9a4626189e95b3c2a744f3289e8fc211
e57300cc36d107b46abe59b68e38a51b0dbd4c7133d1f547e7843fbe7e106205e
1a19.
28
4.3 ANLISE.
Na fase de anlise o perito deve ter conhecimento de todas as outras fases anteriores,
assim estando apto a escolher qual tcnica juntamente com a ferramenta adequada utilizar
para expor os dados, na fase seguinte apresentao de dados.
29
Seguindo as tcnicas expostas no sub captulo 4.3.1 na qual so utilizadas para percia
computacional em casos como pedofilia, sonegao fiscal entre outros, agora cabe ser feita a
anlise com a ferramenta que traga mais eficincia nesta etapa. Assim dados os requisitos
obrigatrios para a escolha da mesma, a partir das tcnicas abordadas em que os requisitos
so:
30
Icat busca arquivo com base no inode, esta ferramenta pode de usada para
recuperao de dados;
DFF (Digital Forensics Framework), tem uma distribuio open source, em que
disponibiliza ferramentas para anlise em Windows e Linux para todas as etapas da percia, na
mesma constitui disponibilidade com verso grfica ou por linha de comando. O ponto falho
nesta distribuio est em que, nem todas as ferramentas esto disponvel na verso grtis,
pois o DFF, constitui de trs verses, DFF, DFF pro e DFF live.
A seguir a lista dividida por modulo de ferramentas disponvel na verso grtis do
DFF (Digital Forensics Framework).
31
Figura 6 Uso do FLS para listar arquivos na mdia (fonte prprio autor).
Na figura 6 mostra um exemplo feito com a ferramenta FLS, para listar arquivos da
mdia utilizada no processo como evidncia, aonde os resultados obtidos esto gravados em
um arquivo com o nome evidencia_ssd_interno.txt. O comando time mostra o tempo real do
processo, que foi 1 minuto e 12 segundos, fls a ferramenta utilizada juntamente com o
argumento
no
qual
pede
para
mostrar
todos
os
ficheiros
existentes,
32
Figura 8 Usando a ferramenta Icat para recuperao de dados (fonte: prprio autor).
Icat uma ferramenta em que faz busca por referncia a um dado, na figura 8 mostra
uma busca pelo arquivo referenciado no inode 1621, depois salvo com o nome de
IMG_20140815_1807719.jpg.
Os exemplos expostos nas figuras 6, 7 e 8 mostram uma forma para recuperao de
arquivos apagados sobre linha de comando, o que se nota nestes exemplos, a necessidade do
perito ter uma vasto conhecimento do caso especificado para se ter xito na extrao dos
dados. Neste caso por se tratar de uma busca cega no qual cabe uma anlise detalhada. Este
fato tende a fazer o processo de investigao ficar cada vez mais demorada. Por isto que
imprescindvel o uso de uma ferramenta em que tenha um ambiente flexvel com mais vrias
funes disponveis. Com este exemplo se justifica a escolha do Autosy e DFF para o estudo
de caso, pois as duas tem os requisitos citados.
33
34
35
36
Requisito 1
Requisito 2
Requisito 3
Requisito 4
Requisito 5
AUTOPSY
SIM
SIM
SIM
SIM
SIM
DFF
SIM
SIM
SIM
SIM
NO
37
Hash
da
mdia:
(md5):d5cbc40e7d4c99900816982fe1fd2a7f.
(sha1):6690ef413f4d998089fbb1a150fb6450a6dc0676(sha512):fd61446c2cfd92e511f
6bdbf8cf9a4626189e95b3c2a744f3289e8fc211e57300cc36d107b46abe59b68e38a51b
0dbd4c7133d1f547e7843fbe7e106205e1a19.
Na mdia foi extrada uma imagem para a preservao dos dados, aonde coube ser
feita duas cpias integral das mesma, com o nomeado de ssd_interno.img em diretrios
diferente, com a uma das trs imagens, foi feita uma anlise em toda a mdia, utilizando as
seguintes tcnicas: pesquisa por palavra, indcios de arquivos apagados e o mactime em
quem consiste na anlise das datas modificao, acesso e criao dos arquivos suspeitos.
38
Resultado: foi analisado todo o dispositivo sendo encontrado 2.1 Giga bytes em fotos e
1.2 Giga byte em vdeos o restante do contedo consta de arquivo de sistema, dentre este
3.3 Giga Bytes foi evidenciado a quantidade de 5 arquivos suspeitos com o contedo de
fotos, aonde o mesmas foram apagadas, sendo feita a recuperao delas com a ferramenta
Autopsy, no obteve nenhum indcio de fator ilcitos no contedo, assim tendo a seguinte
resultado nesta mdia: no contm nenhuma prova que comprove indcios ilcitos no
mesmo.
Este laudo foi apenas um breve exemplo do contedo exposto na fase apresentao de
dados no caso de um laudo para fins criminais. O que consta no trabalho o formulrio de
cadeia e custdia disponvel no Anexo A, os dados do dispositivo analisado disponvel no
Apndice A e B.
39
CONCLUSO
Este captulo tem o como objetivo a apresentao dos resultados do estudo de caso
dentre as quatro fases abordadas no trabalho. Onde foi obtido o objetivo esperado, em que se
constam na obteno de ferramentas que traga eficincia nos processos de uma percia em
computao forense. A exposio dos dados dividida por fases como tem sido feito no
trabalho em si, sendo comentados os resultados de cada ferramenta analisada, deste da
escolhida e a no utilizada.
40
dados. Assim podem ser utilizada no s em caso de pedofilia, mais tambm em outros
como: pirataria; violao de direitos autorais e sonegao fiscal. Estas ferramentas s tendem
a ser falhas em que se tratamos no processo da anlise contendo contedo de internet online,
aonde se consta o computador ainda ligado. A mesma adequada para anlise em laboratrio,
assim caberia o perito utilizao de ferramentas apropriadas para obter resultados
satisfatrios.
Partindo deste resultado tende a perceber o seguinte fato: primordial o uso da tcnica
certa para a percia em computao forense, e isto cabe ao perito escolher cada uma a ser
utilizada para ter eficincia em uma percia.
Alm das ferramentas apropriadas vem o imprescindvel que consiste: o perito ser
qualificado e especializado no caso em que foi encarregado, pois no adianta estar com as
melhores ferramentas para uma percia, se o perito no obtm conhecimento bastante para
utiliz-las de forma mais eficiente.
TRABALHOS FUTUROS.
Na fase de desenvolvimento deste trabalho coube ser feita obteno de ferramenta que
traga eficincia em anlise de dados nas mdias SDD, com isto coube as possibilidades de
trabalhos futuros e oportunidades para aperfeioar na soluo de novas propostas.
Utilizao de ferramentas anti - forense para caso como pedofilia e sonegao fiscal
com o sistema operacional KALI, CAINE e DEFT, tendo como objetivo apagar
registros e dados, para que no ato de uma percia no se ache rastros.
Estruture sua concluso de forma diferente, em pargrafos sem tpicos. Senti falta tambm
das limitaes percebidas no trabalho.
41
REFERNCIAS BIBLIOGRFICAS
BURNETT, Steve; PAINE, Stephen. Criptografia e segurana: o guia oficial RSA. Rio de
Janeiro: Campus, 2002. 367 p. Traduo: Edson Fumankiewicz.
CARRIER, Brian Manual sleuthkit Disponvel em: <Sistema operacional DEFT 8.2>
Acesso em13 set de 2014.
COSTA, Marcelo Antnio Sampaio Lemos. Computao Forense. 3. ed. Campinas, SP:
Millennium, 2011. 159 p.
ELEUTRIO, Pedro Monteiro da Silva. Desvendando a Computao Forense. So Paulo:
Novatec, 2010. 200 p.
FACHIN, Odlia Fundamentos de Metodologia 5. Ed. So Paulo: Saraiva, 2006.
FRATEPIETRO, Stefano; ROSSETTI, Alessandro; CHECCO, Paolo dal. DEFT 7
MANUAL:
Digital
Evidence
&
Forensic
Toolkit.
2012.
Disponvel
em:
John.
Computer
Aided
Investigative
Environment.
Disponvel
em:
42
MICHELONI, Rino; MARELLI, Alessia; ESHGHI, Kam. . Inside Solid State Drives (SSDs):
Integrated divice tecnology Enterprise. Agrate Brianza, Italy: Springer, 2012. 399 p.
MOTA FILHO, Joo Eriberto. Percia forense computacional. 2014. Disponvel em:
<http://eriberto.pro.br/wiki/index.php?title=Percia_forense_computacional>. Acesso em: 8
ago. 2014.
NEMETH, Evi Manual Completo do Linux.
43
APNDICE
A EQUIPAMENTO ULTILIZADO NO PROCESSO
O equipamento utilizado foi um Netbook da marcada Asus, com as configuraes de
fbrica modifica para o experimento.
Foi utilizado um cabo USB 2.0 de marca Samsung para a conexo do dispositivo
periciado e o Netbook.
B EQUIPAMENTO ANALISADO.
O equipamento recolhido para anlise se encontra com as seguintes caractersticas:
44
ANEXO
A FORMULARIO DE CADEIA E CUSTODIA
O formulrio usado para a apresentao dos dispositivos analisado foi baseado com o
modelo exposto por (COSTA,2011).
CASO NUMERO.:
NUMERO DE PAGINAS:
Descrio
Fabricante
Modelo
numero de srie
Hora
Nome da imagem
Criado por
partes
Metodo Usado
Hash
Driver
CADEIA E CUSTDIA
DESTINO
DATA/HO RA SAIDA
Data:
Hora:
Data:
Hora:
Data:
Hora:
DATA/HO RA C HEGADA
MO TIVO
Data:
Hora:
Data:
Hora:
Data:
Hora:
Assinatura perito
Assinatura Tetesmunha
Assinatura Tetesmunha