UNIVERSIDADE DO EXTREMO SUL CATARINENSE

CIÊNCIA DA COMPUTAÇÃO

PROCEDIMENTOS
COMPUTACIONAIS NO AUXÍLIO
À PERÍCIA FORENSE APLICADA
EM WEB BROWSERS

ACADÊMICO: SIDNEY ROBERTO DA SILVA WEBBA

ORIENTADOR: PAULO JOÃO MARTINS

CRICIÚMA, NOVEMBRO DE 2010

 Sumário
1.  Introdução:
2.  Fundamentação Teórica:
"   Problema
"   O Browser
"   Objetivo Geral
"   Mercado dos Web
"   Objetivos Específicos Browsers

"   Justificativa "   Funcionamento dos

Browsers

"   Perícia Forense

3.  Trabalho Desenvolvido Computacional

4.  Resultados Obtidos "   Metodologia SOP

5.  Conclusão "   Perícia Forense em Web

Browser
6.  Trabalhos Futuros
"   Ferramentas Forense
 Problema

"   Como proceder numa avaliação forense

computacional, de modo a que se consiga
encontrar evidências eletrônicas
suficientemente boas para serem usadas
em processos criminais?
 Objetivo Geral

"   Analisar e aplicar os procedimentos de

perícia forense computacional na busca
por evidências em web browsers.
 Objetivos Específicos
"   Abordar os aspectos de segurança em web
browsers;

"   Examinar e descrever quais informações um

web browser armazena localmente durante uma
seção de acesso a Internet;

"   Compreender e aplicar os conceitos sobre

perícia forense computacional;
 Objetivos Específicos

"   Analisar e delinear quais ferramentas open

source e de software livre são usadas na busca e
análise de evidências em web browsers;

"   Observar os tipos de evidências obtidas em

diferentes web browsers.
 Justificativa
"   Aumento da relevância da evidência digital em
processos jurídicos ... ;

"   Carência bibliográfica dedicada à perícia forense

computacional no país … ;

"   Urgente necessidade de se apresentar uma

resposta adequada para os graves problemas
existentes relacionados ao uso indevido da
Internet … .
 O Browser

"   O browser é percebido pelos usuários

finais como a interface para a Internet,
constituindo a forma mais conhecida de
um cliente para a mesma
(KRISHNAMURTHY; REXFORD,
2001).
 Mercado dos Browsers
5,70% Web Market Share
1,20%
4,70%
5,20%
Internet Explorer
Firefox
Safari
51,20% Chrome
32% Opera
Outros

"   W3Counter (2009)

FUNCIONAMENTO DOS BROWSERS

1 Consulta DNS
URL Servidor DNS

2 Conexão TCP

Browser
3 Pedido HTTP Servidor de
Origem
4 Resposta HTTP

5 Transações Paralelas Opcionais

Perícia Forense Computacional

"   A perícia forense computacional é definida

como a coleta, preservação, análise e
apresentação de evidências digitais, utilizando-
se de ferramentas e técnicas computacionais no
ambiente investigado, e auxiliando os juízes nas
tomadas de decisões num processo judicial
(VACCA,2002).
 Metodologia SOP

"   Autorização e Preparação;

"   Identificação;

"   Coleta e Preservação;

"   Exame e Análise;

"   Documentação;

"   Reconstrução da Cena do Crime.

 Perícia Forense em Web Borwsers
"   Lado do cliente e lado do servidor.

"   O que procurar:

"   Pesquisas realizadas;
"   Histórico de Navegação;
"   Downloads de arquivos;
"   Informações fornecidas (Formulários/
Senhas);
"   E-mails;
"   Cookies.
 Ferramentas Forense
"   Pasco;

"   Galleta;

"   Web Historian;

"   Firefox 3 Extractor;

"   Mozilla Cache View;

"   PasswordFox.
 Estudo de Caso
"   Estudo de Caso fictício simulando a realização de uma
perícia forense computacional com foco na busca e
análise de evidências em web browsers, nos laboratórios
da UNESC.

"   Para a realização do estudo foram selecionados

aleatoriamente os laboratórios 16 do Bloco XXI-A e 8
do Bloco XXI-B, e da mesma forma, delimitaram-se 10
computadores a serem analisados em cada sala.
 Metodologia
"   Práticas metodológicas (MARTINS; THEÓPHILO,
2009):
"   Coleta das evidências;
"   Composição;
"   Análise e validação dos resultados;
"   Conclusões;
"   Verificação de possíveis interferências;
"   Relatório final.

"   Metodologia SOP.

 Autorização e Preparação
"   Buscou-se autorização para a realização da perícia.

"   Definiu-se o que se pretendia descobrir ao final da

mesma.
 Identificação
"   Todos os computadores apresentaram as seguintes configurações
de hardware:
"   Memória RAM: 2 GB;
"   Disco Rígido: 150 GB;
"   Processador: Intel Core 2 Duo;
"   Velocidade do Processador: 2,26 GHz;
"   Número de Processadores: 1;
"   Número de Núcleos: 2;
"   Fabricante: HP.

"   Bem como, as seguintes especificações de software:

"   SO: Windows XP, Service Pack 3;
"   Browsers: IE versão 8.0.6, Firefox versão 3.6.12.
 Coleta e Preservação
Arquivos Coletados
Cache do IE Histórico de Cookies do IE Arquivos
Navegação do Sqlite do
IE Firefox
Lab 8 10 63 1908 105
Lab 16 10 44 757 114
Total 20 107 2665 219

Arquivos Analisados
Cache do IE Histórico de Cookies do IE Arquivos
Navegação do Sqlite do
IE Firefox
Lab 8 10 63 30 55
Lab 16 10 44 30 55
Total 20 107 60 110
 Exame e Análise

"   Conversão das evidências para formatos legíveis,

nomeadamente: xls, csv e html.

"   Análise das evidências para obtenção de informações

relevantes ao crime.
 Análise dos Arquivos de Cache do IE

"   Obtém-se 7 campos para investigação (Type, URL,

Modified Time, Access Time, Filename, Directory,
HTTP Headers).

"   Identificou-se acesso no dia 11/11/10 às 20:25:17

 Análise dos Arquivos de Cache do IE

"   Análise dos cabeçalhos HTTP recebidos.

"   Usuário lab8b identificado.

 Análise dos Arquivos de Cookie do IE

"   Foram obtidos 6 campos para análise (Site, Variable,

Value, Creation Time, Expire Time, Flags).

"   Foi identificado acesso no dia 11/11/10 às 20:49:08

 Análise do Histórico de Navegação do IE

"   O arquivo contém 7 campos para análise (URL Adress,

Modified Time, Accessed Time, Type, Deleted, Cached
Files, HTTP Headers).

"   Acesso identificado no dia 11/11/10 às 20:46:12.

 Análise dos Arquivos Sqlite do Firefox

"   Places.sqlite;

"   CACHE_MAP;

"   Downloads.sqlite;

"   Formhistory.sqlite;

"   Cookies.sqlite;

"   Signons.sqlite.
Análise do Histórico de Navegação do Firefox
 Tabela Moz_Places

"   Identificaram-se buscas realizadas no site em questão

no dia 11/11/10 às 21:33:10.
 Análise dos Arquivos de Cache do Firefox

"   Obtiveram-se 8 campos para análise (URL, Content

Type, File Size, Last Modified, Last Fetched Time,
Expiration Time, Fetch Count, Server Name).
Análise do Histórico de Downloads do Firefox

"   Tabela Moz_Downloads;

"   Não foram identificados downloads.

 Análise do Histórico de Formulários
Preenchidos do Firefox

"   Analisou-se a tabela moz_formhistory, com 6 campos

para análise (Id, Fieldname, Value, TimesUsed,
FirstUsed, LastUsed).
"   Foram identificadas buscas realizadas objetivando obter
conhecimento sobre como invadir um servidor web.
 Análise do Histórico de Formulários
Preenchidos do Firefox

"   Foi identificado um email enviado;

"   Foi identificado o nome do usuário usado para logar

no servidor comprometido;

"   Foi identificado o nome do acadêmico que criou uma

conta no site afetado.
 Decodificação do PRTime
"   Formato de data e hora usado pelo Firefox;

"   Inteiro de 64 bits, representando o número de

microssegundos desde a meia-noite de 1 de Janeiro de
1970;

"   Busca realizada no dia 11/11/10 às 21:31:40 e o email

foi enviado no mesmo dia às 21:35:10;

"   Estreitou-se a investigação.

 Análise das Senhas e Nomes de Usuário

"   Identificou-se um email e uma senha usados para logar

no servidor em questão;

"   O programa não disponibiliza informações como: data

em que as informações foram salvas, ou data de último
acesso ao servidor.
 Reconstrução da Cena do Crime
"   Crimes foram cometidos no dia 11/11/10 às 20:46:12
e às 21:33:10;

"   Analisando-se as evidências do IE, descobriu-se que:

"   Computador 5, lab8 do Bloco XII-B;
"   Acessos no dia 11/11/10 das 20:46:12 às
21:22:45;
"   Usuário logado no SO identificado como
lab8b.
 Reconstrução da Cena do Crime
"   Analisando-se as evidências do Firefox, descobriu-se
que:
"   Computador 5, lab8 do Bloco XII-B;
"   Acessos no dia 11/11/10 das 21:31:15 às
21:36:46;
"   Identificou-se uma busca sobre “como invadir
um servidor web” às 21:31:40;
"   Identificou-se que o email
fulano_de_tal@gmail.com foi usado para
logar no servidor afetado.
 Reconstrução da Cena do Crime
"   Confirmou-se junto a instituição que o dono do email
usado para logar no servidor é um acadêmico da
mesma;

"   Descobriu-se que o mesmo usou o computador 5, do

lab 8 do Bloco XXI-B, enquanto atendia a uma aula do
seu curso, nas datas e horários em que o crime foi
identificado;
 Resultados Obtidos
Comparação do desempenho das ferramentas

Ferramentas Converteu com Converteu com Não Converteu

Sucesso Falhas
Pasco 100%
Galleta 100%
Web Historian 60% 40%
F3E 70% 20% 10%
Mozilla 100%
CacheView
PasswordFox 100%
 Resultados Obtidos
Número de computadores com evidências do IE
Laboratórios Com Evidências Sem Evidências
Lab 8 6 computadores 4 computadores
Lab 16 3 computadores 7 computadores

Número de computadores com evidências do Firefox

Laboratórios Com Evidências Sem Evidências
Lab 8 10 computadores 0 computadores
Lab 16 10 computadores 0 computadores

Apenas 1 computador apresentou evidências que se transformaram

em provas periciais.
 Conclusão
"   Sucesso ao aplicar os conceitos de perícia forense na
coleta e análise de evidências oriundas de web
browsers;

"   Falha ocasional ao usar algumas ferramentas;

"   O uso de diversas ferramentas é recomendado;

"   Dependendo do ambiente e aparatos tecnológicos

envolvidos outras ferramentas e técnicas podem ser
utilizadas;
 Trabalhos Futuros
"   Análise de ferramentas que permitam realizar uma
perícia em várias máquinas conectadas em rede;
"   Analisar ferramentas que permitam recuperar
informações (histórico de navegação, cache, entre
outras) deletadas;
"   Que técnicas e ferramentas usar quando o usuário usa
a navegação privativa;
"   Como realizar uma perícia quando são usadas técnicas
anti-forense.
"  Obrigado !