Escolar Documentos
Profissional Documentos
Cultura Documentos
Filho, Sebastião G. T.
Perícia Forense Computacional: levantamento e
comparação de técnicas e ferramentas. / Sebastião Garcia
Torres Filho; orientador Roan Simões da Silva. São João
da Boa Vista, 2012.
Agradecimentos para as pessoas que auxiliaram no trabalho assim como meu orientador, aos
participantes das bancas que fizeram considerações muito importantes para o aperfeiçoamento
do documento e do trabalho como um todo e a bibliotecária por sua atenção e ajuda com
Um agradecimento especial aos meus pais, minha irmã e meus amigos pela paciência até o
término do mesmo.
E por último a grande guerreira e guerreiros do meu módulo, que lutaram ao meu lado sem
O meu grande agradecimento a todas essas pessoas, por sua motivação, companheirismo,
solidariedade e atenção.
“Lutem e lutem novamente, até que os
cordeiros virem leões.”
RESUMO
FILHO, Sebastião G. T. (2013). Computational Forensics: survey and comparison tools and
techniques. Course Conclusion Project – Instituto Federal de São Paulo, São João da Boa
Vista, 2013.
The Internet has become very popular in Brazil and worldwide, this popularity was
mainly the ease of access, since having a smartphone in the hands that supports this
technology, the user can start browsing. But for a lot of users, unaware of the hidden dangers
or they forget to protect yourself.
For these users, the security ends unnoticed, leaving to take care as installing antivirus
and firewall configuration of the machine, even if its default settings, making it an easy target
for many attacks.
The forensic computing helps find and treat these cases in which the computer has
been invaded, either in home or office computers.
This paper presents an analysis of the tools used, such as the live cd Helix, Autopsy,
among other software used during the process of forensic computing. Show through criteria
such as response time to return the information, which could be the best tool option.
Presents an approach to new laws relating to crimes committed in the virtual
environment, the methodology that is used in most investigations, the profiles of invaders and
the main mechanisms of intrusion.
Figura 1 – Total de Incidentes Reportados ao CERT.br por Ano, entre 1999 e 2013 .. 25
Figura 2 – Incidentes reportados ao CAIS por ano ................................................. 32
Figura 3 – Incidentes Reportados ao CERT.br (por dia da semana). ......................... 33
Figura 4 – Relação Ciência da Computação, Criminalística e Computação Forense. .. 34
Figura 5 – Incidentes reportados ao CERT.br (Tipos de ataques) ............................. 47
Figura 6 – Comparativo de malwares por plataformas móveis. ................................ 49
Figura 8 – Tentativas de fraudes reportadas........................................................... 54
Figura 7 – Equipamento para a recuperação de HD – Data Compass. ...................... 64
Figura 9 – Abrindo o console do Metasploit. ......................................................... 76
Figura 10 – Comando Espia mais o resultado retornado após sua execução. ............. 78
Figura 11 – Programa Autopsy. ............................................................................ 78
Figura 12 – Linhas de códigos para a criação da imagem do HD. ............................ 79
Figura 13 – Informações do sistema operacional no software. ................................. 80
Figura 14 – Processos que estão sendo executados na máquina alvo. ....................... 81
Figura 15 – Processos que estão sendo executados na máquina alvo. ....................... 81
Figura 16 – Comando para realizar o dump de rede. ............................................... 82
Figura 17 – Abertura do dump com o software Wireshark. ..................................... 82
Figura 18 – Descriptografando o tráfego entre os dois endereços identificados. ........ 83
Figura 19 – Interface do Security Scan. ................................................................ 84
Figura 20 – Interface apresentado os resultados de forma genérica. ......................... 85
Figura 21 – Resultados retornados no formato HTML. ........................................... 86
Figura 22 – Espera da requisição e aceite do aplicativo Java. .................................. 88
Figura 23 – Acesso ao prompt de comando da máquina alvo................................... 88
Figura 24 – Criação e edição do arquivo de texto na máquina alvo. ......................... 89
Figura 25 – Aquisição da mídia. .......................................................................... 89
Figura 26 – Aquisição da nova mídia utilizando o FTK. ......................................... 90
Figura 27 – HD escolhido juntamente com a extensão do arquivo. .......................... 90
Figura 28 – Opções para a entrada desejada, seguido do caminho até o arquivo
gerado. ............................................................................................ 91
Figura 29 – Aba contendo os históricos de navegabilidade na Internet. .................... 92
Figura 30 – Encontrando o arquivo excluído. ........................................................ 93
Figura 31 – Abrindo o arquivo da imagem criada do HD. ....................................... 93
Figura 32 – Tela de navegação da ferramenta e informações da pasta Teste. ............. 94
Figura 33 – Tela com a disposição do conteúdo da ferramenta................................. 95
Figura 34 – Nova busca com Security Scan. .......................................................... 95
Figura 35 – Resultados retornados. ....................................................................... 96
Figura 36 – Software EaseUS Partition Recovery................................................... 97
Figura 37 – Resultados retornados pelo EaseUS Partition Recovery......................... 97
Figura 38 – Resultados retornados pelo FreeRecover. ............................................ 98
Figura 39 – Software Data Recovery. ................................................................... 99
Figura 40 – Gráfico com o tempo de resposta das ferramentas. .............................. 104
Figura 41 – Informação contida dentro dos pacotes do protocolo TCP.................... 105
Figura 42 – Gráfico com o tempo de resposta das ferramentas. .............................. 109
LISTA DE TABELAS
Imagem
Avançados
Avançado
Somente de Leitura
no Brasil
HiperTexto
HiperTexto
IDE Integrated Drive Eletronics – Controladora Integrada
Arquivo
Avançado Serial
Computacional
Transmissão/Protocolo de Internet)
1 INTRODUÇÃO ....................................................................................................... 23
5 CONCLUSÕES...................................................................................................... 111
23
1 INTRODUÇÃO
A rede mundial de computadores, Internet, é muito utilizada hoje já que se tornou fácil
e prático o seu manuseio.
Para muitos usuários sem grande conhecimento, o uso dessa tecnologia esconde
inúmeras armadilhas de pessoas que possuem o objeto de causar algum dano ou obter
vantagem.
A segurança da informação, especialmente nos dias atuais onde a informação é
armazenada eletronicamente, possui uma importância estratégica muito maior em comparação
ao tempo que as informações eram armazenadas exclusivamente em papel. Essa importância
se justifica, pois consiste em uma proteção da informação a vários tipos de ameaças, com o
objetivo de garantir a continuidade dos dados, a minimização do risco e maximizar o retorno
de investimentos, visando assim explorar as oportunidades do negócio (ABNT, 2005).
Uma maneira de implementar adequadamente a segurança da informação, ocorre
através da implantação de um conjunto de controles adequados, incluindo políticas, processos,
procedimentos, estruturas organizacionais e funções de software e hardware. Onde esses
controles devem ser estabelecidos, implementados, monitorados, analisados criticamente e
melhorados (ABNT, 2005).
Dentro da segurança da informação, existem seis aspectos básicos, mas que são de
muita importância, segundo a Associação Brasileira de Normas Técnicas (ABNT, 2005):
1.1 MOTIVAÇÃO
Figura 1 – Total de Incidentes Reportados ao CERT.br por Ano, entre 1999 e 2013
Fonte: Estatística de Incidentes Reportados ao CERT.br
1.2 OBJETIVOS
27
2 PESQUISA BIBLIOGRÁFICA
Pode-se dizer que a ideia de utilização da Internet conhecida hoje surgiu no final da
década de 1950. Era um momento crítico, pois os Estados Unidos estava em plena Guerra
Fria e o seu Departamento de Defesa precisava de uma rede que conseguisse sobreviver
mesmo em meio a um ataque nuclear. Na época, todas as informações militares passavam por
redes de telefonia pública consideradas, naquele tempo, vulneráveis. Caso acontecesse um
ataque a algumas centrais, denominadas interurbanas, resultaria em uma fragmentação do
sistema em muitas ilhas isoladas (TANENBAUM, 2003).
Em meados de 1969, o governo criou a Agência de Pesquisa de Projetos Avançados
(ARPA) com o objetivo de adquirir certa superioridade tecnológica no campo militar em
relação à União Soviética, através de aquisição de conhecimentos compartilhados,
principalmente pelas universidades da época (CASTELLS, 2003).
A agência criou a então conhecida ARPANET, que consistia em uma sub-rede com
minicomputadores chamados de Interface Message Protocol - Protocolo de mensagens de
interface (IMPs), conectados através de uma transmissão de 56 kbps1. Está rede foi construída
de forma que utilizassem datagramas2, ou seja, se algumas linhas ou IMPs fossem destruídas,
as mensagens seriam roteadas para outros caminhos alternativos de forma automática
(TANENBAUM, 2003).
1
kbps – termo utilizado para medir o volume de dados em transmissões.
2
Datagramas – é uma unidade de transferência básica associada a uma rede (TANENBAUM, 2003).
28
Deste modo, cada nó3 da rede deveria ter um IMP e um host em uma mesma sala,
além de serem comunicados por um fio curto. Essa sub-rede foi à primeira rede por
comutação de pacotes do estilo store-and-forward (de armazenamento e encaminhamento)
(TANENBAUM, 2003).
Após os testes e a comprovação de que a rede funcionava muito bem diante de uma
estrutura pequena, surgiu à ideia de uma rede experimental que contava com apenas 15 nós,
onde três deles poderiam ser encontrados na Universidade da Califórnia em Los Angeles,
Universidade da Califórnia em Santa Barbara e na Universidade de Utah (CASTELLS, 2003).
Com o sucesso dos testes, houve um crescimento rápido à medida que outros IMPs
foram instalados. Logo todo o território norte-americano foi tomado por essa rede.
A partir dessa experiência, concluiu-se que os protocolos que a ARPANET utilizava
não eram adequados para a execução de várias redes. Em seguida, realizaram novas pesquisas
a fim de encontrar algo que atendesse os requisitos, foi criado então o conjunto de protocolos
e o modelo Transmission Control Protocol/Internet Protocol – Protocolo de
Transmissão/Protocolo de Internet (TCP/IP), com o objetivo específico de manipular a
comunicação sobre inter-redes (TANENBAUM, 2003).
Uma rede que crescia em paralelo com a ARPANET, era a NSFNET. A NFSNET foi
criada pela National Science Foundation – Fundação Nacional de Ciência (NFS) com a ideia
de tornar a tecnologia que a ARPANET possuía aberta, pois para utilizar qualquer recurso que
a ARPA disponibilizava era preciso antes ter um contrato com o Departamento de Defesa dos
Estados Unidos (contrato esse na época muito difícil de conseguir). Essa tecnologia consistia
em construir uma rede de backbone4 a fim de conectar seus seis centros de
supercomputadores e, para cada supercomputador, existia um microcomputador, onde estes
estavam conectados a linhas privadas (conceito que era implantando na ARPANET), já sua
ideia de software era diferente da ARPA, pois desde o início já se comunicavam entre si
utilizando do TCP/IP diretamente.
3
O nó pode corresponder a um único dispositivo ou a um conjunto de dispositivos, como por exemplo,
computadores, impressoras, roteadores, etc (TANENBAUM, 2003).
4
Backbone pode ser definido como um canal central, destinado a transferir o tráfego da rede de alta velocidade,
maximizando assim a confiabilidade e o desempenho nas comunicações de longas distâncias dos dados
(TANENBAUM, 2003).
29
• BITNET (1981) – uma rede experimental utilizando como base o protocolo RJE da
IBM, existindo até hoje cerca de 30.000 nós ativos;
• MILNET (1983) – foi uma rede independente para usos militares;
• FIDONET (1983) – tinha o mesmo conceito que o programa de BBS, onde até hoje a
FIDONET é a rede de comunicação por computadores mais baratos e mais acessíveis
do mundo. Um exemplo disso que até o ano 2000, abrangia cerca de 40.000 nós e por
volta de três milhões de usuários;
• NSFNET (1984) – a National Science Foundation (NSF) criou sua própria rede de
comunicação, a NSFNET; e
• World Wide Web (1990) – uma aplicação desenvolvida por um programador inglês
(Tim Berners-Lee) que permitiu a Internet abarcar o mundo todo. O software permitia
obter e acrescentar informação de e para qualquer outro computador conectado através
da Internet: HyperText Transfer Protocol – Protocolo de Transferência de HiperTexto
(HTTP), HyperText Markup Language – Linguagem de Marcação de HiperTexto
(HTML) e Uniform Resource Identifier – Identificador Uniforme de Recursos (URI,
mais tarde conhecida como Uniform Resource Locator – Localizador Padrão de
Recursos (URL)). Robert Cailliau Berners-Lee criou um software navegador/editor em
dezembro do mesmo ano, e batizou o sistema de hipertexto de world wide web, a rede
mundial de computadores.
Segundo Tanenbaum (2003), o interesse dos usuários que buscam a Internet pode ser
dividido em três áreas de atuação:
Mas para que essas máquinas e dispositivos móveis consigam ter acesso,
primeiramente, é necessário estar conectado à Internet, depois executar uma pilha de
protocolos TCP/IP, devem possuir também um endereço IP e enviar pacotes IP a todos os
outros dispositivos na rede conectada (TANENBAUM, 2003).
Analisando mais profundamente o protocolo e o modelo TCP/IP, podemos constatar
alguns problemas. A primeira dificuldade é o fato do TCP/IP não conseguir diferenciar
conceitos de serviços, interface e protocolo. Além desse problema, o TCP/IP não é tão
abrangente e consequentemente, não consegue descrever outras pilhas de protocolos que não
a dele mesmo. Existe também o fato da camada de rede não ser realmente uma camada no
sentido em que é empregado em um contexto dos protocolos hierarquizados. Um fato muito
importante é que o modelo TCP/IP não faz nenhum tipo de diferenciação no que diz respeito a
camadas físicas e de enlace de dados. Apesar das dificuldades e de o modelo ser praticamente
inexistente, são utilizados em larga escala (TANENBAUM, 2003).
5
Telefone celular com funcionalidades avançadas que podem ser executadas por seu sistema operacional
(TANENBAUM, 2003).
6
Dispositivo pessoal que possibilita acesso à Internet, visualização de fotos e vídeos, leitura de jornais, revistas,
livros e também entretenimento com jogos disponíveis para esse tipo de equipamento (TANENBAUM, 2003).
7
Também é considerada uma rede sem fio (wireless).
32
O CAIS (2013) traz algumas informações que explicam melhor a Figura 2. O número
de incidentes durante o terceiro quadrimestre de 2013 foi cerca de 7,63% maior em relação ao
período entre maio e agosto do mesmo ano. As tentativas de ataques a sistemas tiveram uma
queda significativa, sendo cerca de 23,53% menor que a relação ao quadrimestre do ano
33
anterior (de 2.116 para 1.618 casos), porém ainda são números elevados. Já os casos de
máquinas que foram infectadas com Worm/Bot também registrou uma queda, de 29.492 para
24.197, representando 53,51% de incidentes tratados no período de setembro a dezembro de
2012. Dentro do mesmo intervalo (de setembro a dezembro de 2012) registrou 279 novas
fraudes no Catálogo de Fraudes do CAIS, somando um total de 4.495 fraudes desde o
lançamento deste serviço, em março de 2008.
Na Figura 3, apresentada a seguir, traz um comparativo de incidentes reportados ao
CERT.br (2013b) em dias da semana de janeiro a março de 2013.
Desde a popularização da Internet, cada vez mais as informações, sejam elas pessoais
ou empresariais, tornaram-se muito importantes e, seu armazenamento, deve ser planejado a
fim de mantê-las seguras e íntegras, não acessíveis a pessoas cuja intenção é de roubá-las ou
danificá-las.
Em relação à análise destes incidentes, dentro do tema da segurança da informação,
existe uma subárea que é denominada por perícia forense, cuja responsabilidade é identificar,
preservar, analisar e documentar evidências localizadas em computadores a fim de encontrar
o invasor, os danos causados e, principalmente, para mostrar onde existem vulnerabilidades
no sistema, permitindo a correção adequada.
Segundo Galvão (2009), a análise forense vem suprir a necessidade das instituições
legais na manipulação de evidências eletrônicas. Esta área estuda a aquisição, preservação,
identificação, extração, recuperação e análise dos dados em formato eletrônico. Desta forma,
produz informações de maneira direta e não de forma interpretativa.
Outra explicação para o conceito de perícia forense pode ser entendida como, uma
ramificação da Ciência da Computação e, tal terminologia, pode ser encontrada na área de
Criminalística. Na Figura 4, ilustra a explicação (MELO, 2009).
Nas sessões seguintes, apresenta-se como essa área trata a captura e manipulação
dessas informações.
relevantes, como datas e nomes de pessoas. Porém, devem ser focados naqueles que,
de alguma forma, estabeleceram comunicação eletrônica com a máquina alvo;
• Preservação – é a capacidade de extrair as evidências, de maneira adequada e
protegida, visando assegurar de que nenhuma informação tenha sido danificada,
destruída ou mesmo comprometida pelos maus procedimentos usados durante a
investigação e de que nenhum vírus ou código malicioso tenha sido introduzido no
computador durante a perícia;
• Análise – é a pesquisa, onde o perito analisa os elementos relevantes ao caso, já que
todos os outros filtros tenham sidos transpostos. Nessa fase, ainda é preciso se atentar
ao fato de que as evidências sejam denominadas de “provas legítimas”, onde consiste
em uma apresentação implacável e inquestionável dos elementos e rastros da
comunicação entre todas as partes envolvidas, além de suas datas e trilhas dos
segmentos de discos utilizados; e
• Apresentação – é o enquadramento de todas as evidências dentro de um formato
jurídico e, sendo inseridas tanto por juízes e advogados, na esfera civil ou criminal, ou
em alguns casos nas duas. O investigador precisa estar perfeitamente sintonizado em
cada uma das etapas presente dentro da metodologia. Desta maneira, ele irá minimizar
o tempo e a quantidade de dados que deve obter até a apresentação das mesmas,
maximizando assim sua eficiência e eficácia.
Além dos passos que devem ser seguidos para a realização de um levantamento de
informações, que possam ser utilizadas dentro da esfera criminal, é importante destacar os
locais, onde podem ser encontradas as informações propriamente ditas. Segundo Freitas
(2011), existem três principais tipos:
• Espaço de arquivos lógicos – faz referência aos blocos de disco rígido, assim que se
inicia o exame, encontra-se atribuídos a algum arquivo vivo ou a uma estrutura como as
tabelas File Allocation Table – Tabela de Alocação de Ficheiros (FAT) ou estruturas
como a inode;
• Espaço subaproveitado – é um espaço formado por blocos do sistema de arquivos, como
por exemplo, a Random Access Memory – Memória de Acesso Aleatório (RAM); e
• Espaço não alocado – em um setor que se encontra “vazio” dentro de uma partição ativa.
37
Dentro dessas três principais fontes, o perito ainda precisa especificar e detalhar de
onde foram, precisamente, retiradas as informações e de quais mídias foram essas. Para
Freitas (2011), os dados podem estar contidos na maioria das vezes dentro de:
• As memórias dos dispositivos devem ser verificadas, sempre que possível, pois
existem poucas ferramentas que podem fazer este serviço;
• Na memória principal é preciso capturar a RAM e armazená-la de modo off-line;
• Se o sistema de arquivos possuir o journal (ou registro sequencial) é importante
também o seu armazenamento, este tipo de sistema de arquivos pode ser encontrado
no Ext3fs e Ext4fs(sistemas derivados UNIX);
• É muito importante capturar todo o estado transitório que for possível; e
• Também se torna necessário obter todas as informações relevantes no e sobre o disco,
se for necessário salve o disco todo.
Apesar das dificuldades de conhecer por onde começar uma perícia, encontrar provas
que sejam realmente importantes e mantê-las íntegras, é visível que a coleta de informações
acaba sendo o fator mais importante e delicado. Deste modo, o perito precisa seguir algumas
metodologias que tem como único princípio “de que todas as organizações que lidam com a
investigação forense devem manter um alto nível de qualidade, a fim de assegurar a
confiabilidade e a precisão das evidências” (FREITAS, 2011).
Para atingir tais requisitos, o investigador pode elaborar um Standard Operating
Procedures – Procedimentos Operacionais Padrão (SOPs), onde deve conter os métodos para
todos os tipos de análise conhecida, além de prever a utilização de técnicas aceitas na
comunidade científica internacional, como por exemplo, a criação de chekList (técnica
utilizada na coleta de dados). Tais procedimentos visam adequar as informações coletadas de
maneira que seja aceita dentro dos campos criminais e civis, se necessário (FREITAS, 2011).
Para que uma análise possa ser feita de maneira mais eficaz e satisfatória, é necessário
um ciclo de coleta e processamento dessas informações recolhidas. Segundo Farmer e
Venema (2007), “os dados originais devem permanecem protegidos em um estado puro;
qualquer análise deve ser realizada em uma cópia dos dados do computador”. Isto é feito para
que não aconteça nenhuma adulteração dos vestígios deixados pela possível invasão. A coleta
desses dados em um computador é diferente quanto à obtenção de provas em um local de
crime na vida real, pois ao executar qualquer tipo de comando ou programa, o invasor pode
ter armado mecanismos eletrônicos que modifique ou danifiquem os dados manipulados,
tornando assim a coleta destes mais difíceis e complexos. É muito importante a realização
desta cópia, pois permite que técnicas e programas diferentes sejam testados sem
comprometer os dados originais.
Sendo assim, existem dois tipos de mecanismo que podem ser seguidos com o intuito
de tentar preservar a maior parte desses dados, que são a coleta em sistemas denominados
40
vivos (também conhecida por Live Analisys), onde o sistema ainda se encontra ligado, e o
outro é quando o sistema se encontra desligado. Mas em qualquer um dos dois tipos, a
automação na captura das informações é importante, pois na apresentação desses dados para
um possível júri, serão muito menos questionáveis, porque teriam menos chances de
alterações (BARROS, 2009).
No momento de uma coleta de dados, é preciso ter cuidado e muito planejamento, para
que o processo se inicie com o isolamento da máquina da rede e de outros usuários e, em
seguida, é necessário realizar a captura das informações de acordo com seu ciclo de vida, pois
a probabilidade de se perder esses dados varia bastante, desde nanossegundos (ou menos) há
anos. A seguir, pode-se visualizar na Tabela 1 o demonstrativo desse tempo (FARMER;
VENEMA, 2007).
Sabendo que ao começar a coleta de dados, essa captura acaba modificando outra
informação, a forma para realizar esta atividade depende do que se está procurando.
Como já foi visto, dentro de uma perícia forense, encontrar os dados se torna muito
importante e, o sistema de arquivos, é onde se pode concentrar boa parte dessas informações.
Independente do sistema operacional que se esteja utilizando, pode-se dizer, segundo
Moraz (2009), que “o sistema de arquivos é a forma de organização dos dados do disco
41
rígido”. Isso permite que o sistema operacional acesse, grave e apague os dados. Assim
quanto mais eficiente for o sistema de arquivos, melhor será o desempenho do sistema
operacional.
Serão apresentados, a seguir, dois sistemas operacionais distintos, onde um trará
informações do sistema GNU/Linux cujo código fonte é aberto (open source) e o outro tratará
de um sistema mais conhecido e pago, o Windows™.
fragmentações de arquivos quanto o sistema de arquivo FAT8. Foi preciso fazer uma
atualização deste sistema de arquivos, quando começaram a surgir Hard DisKe – Disco
Rígido (HDs) com capacidade superior a 2 GB (MORIMOTO, 2007).
Em 1993, foi lançada a versão Ext2, onde este sistema dava suporte a partições de até
32 TB, ainda mantinha o apoio de nomes de arquivos com no máximo 255 caracteres e incluía
outros recursos. O maior problema encontrado nesta versão é que ela não trazia nenhum tipo
de tolerância a falhas (MORIMOTO, 2007).
Só em 1999, foi introduzido o Ext3, onde este problema de intolerância a falhas foi
corrigido. Além desta melhoria, esta versão trazia junto a ela o recurso de journaling que é
uma espécie de “diário” onde armazena e fornece uma lista das alterações realizadas. Assim,
permite-se que o sistema de arquivos seja reparado, de forma muito mais rápida, após um
desligamento incorreto (MORIMOTO, 2007).
O sistema de arquivos Ext3 possibilita três modos de operação, sendo eles
(MORIMOTO, 2007):
8
Sistema encontrado nos sistemas operacionais do Windows™ – será descrito em maiores detalhes mais adiante
chegar ao máximo em 512 bytes, não importando o tamanho da partição. Um fator importante
no sistema de arquivos do NTFS é ser superior ao FAT em questão a tolerância de falhas. No
sistema FAT quando o computador trava ou é desligado de forma acidental enquanto estão
sendo atualizados arquivos ou diretórios no HD, existe a possibilidade do sistema se tornar
incoerente, como por exemplo, agrupamentos perdidos. Para resolver este tipo de problema,
era necessária a utilização do scandisk toda vez que houvesse o desligamento incorreto
(MORIMOTO, 2007).
Já no sistema NTFS, é mantido um log, contendo todas as operações realizadas, assim
se houvesse um desligamento repentino, na próxima vez que existisse o boot, o sistema iria
examinar o log e, deste modo, descobriria exatamente em que ponto a atualização parou,
tendo a chance de corrigir o erro de maneira automática, evitando assim uma grande
possibilidade de perder os dados (MORIMOTO, 2007).
Com a evolução dos sistemas de arquivos, tanto do Linux quanto do Windows™,
tornou-se muito mais prático restaurar dados, o que para uma perícia é fundamental. Basta
apenas utilizar de ferramentas específicas para tal atividade.
Apesar da maioria dos incidentes analisados ser difícil realizar a identificação real do
atacante, é possível dizer que tanto um ataque quanto uma invasão a um sistema é realizado
por algum motivo (seja esse conhecido ou não) e por uma pessoa. Dentro desse cenário pode
se classificar os seguintes invasores:
• Funcionário Insatisfeito – pessoa que julga ter sido demitida ou punida de alguma
forma indevida e, assim, se sentindo injustiçada, busca destruir ou danificar qualquer
tipo de informação que possa trazer danos para aquela empresa;
• Wannabe – indivíduo que já leu uma grande quantidade de informações e acredita já
estar apto há entrar no mundo hacker (ULBRICH; DELLA VALLE, 2006);
• Wizard – tem um grande conhecimento do funcionamento interno de sistemas e tem a
capacidade de manipular hardware e software (ARGOLO, 2005);
• Larval Stage – denominado como estágio larval, é o período em que o aspirante a
hacker se isola totalmente a fim de adquirir conhecimento em programação que pode
45
• Sabotagem interna;
• Monitoramento não autorizado;
• Desconfiguração de sites;
• Códigos maliciosos;
• Uso indevido do sistema;
• Acesso a informações confidenciais; e
• Invasão.
• Identificação do alvo;
• Busca por vulnerabilidades no alvo;
46
• Comprometimento inicial;
• Aumento de privilégio;
• Tornar-se invisível;
• Reconhecimento do sistema;
• Instalação de back doors;
• Limpeza dos rastros; e
• Retorno por uma back door.
Qualquer pessoa hoje que tenha um computador conectado a Internet estará sempre
sujeita a ataques, invasões, roubos de dados e outros danos causados, sejam de crackers ou
pessoas conhecidas.
A definição de ameaças e ataques para Nobre (2007) está relacionada a uma possível
violação do sistema computacional, podendo ser classificados em dois tipos: aquelas ameaças
acidentais, quando não houve planejamento, e ameaças intencionais, onde tudo foi
premeditado. Pode ser considerado desde um monitoramento não autorizado até ataques
realizados por crackers.
Pode-se dizer ainda que as principais ameaças encontradas nas redes de computadores
são as de destruição de informações ou recursos, alteração de dados, espionagem industrial,
que são revelações de segredos confidenciais, roubos, alterações ou perda de dados, chegando
até casos mais críticos que é a paralisação dos serviços (NOBRE, 2007).
É considerado um ataque quando uma ameaça intencional se concretiza. Os motivos
para os ataques acontecerem variam bastante, podendo ser: desde uma simples curiosidade, a
um interesse em ter conhecimento sobre sistemas, chegando aos casos mais graves, que são
aqueles ataques que envolvem o campo financeiro como: extorsões, chantagens, espionagem
industrial, até denegrir a imagem do governo, da empresa ou apenas um serviço. Quando isso
ocorre a notícia se espalha proporcionalmente de acordo com a fama da vítima, e ao destruir a
imagem publicamente traz consigo muitos danos, já que vem ao conhecimento de muitas
47
pessoas aquele fato, passando uma impressão de que a instituição não é muito segura para
fazer qualquer tipo de negociação dependendo da situação (NOBRE, 2007).
Na Figura 5 é mostrado um gráfico com o demonstrativo dos tipos de ataques mais
reportados ao CERT.br (2013c), no período de janeiro a março de 2013.
É possível visualizar na Figura 5, que o scan foi o ataque mais utilizado entre janeiro a
março de 2013, seguido pelas fraudes, worms, entre outros. Abaixo segue uma explicação
sobre cada um destes tipos de ataques (CERT.br, 2013c):
9
Denial of Service – Negação de Serviço (DoS).
48
10
É uma família de malwares, cuja finalidade é transmitir os dados de forma que virem seus “reféns”, assim
tendo a possibilidade de extorquir dinheiro da vítima (McAfee, 2013).
11
Software desenvolvido para esconder a existência de alguns processos ou de programas, para que não sejam
detectados e assim dando acesso contínuo e privilegiado a um determinado computador (McAfee, 2013).
12
Mac é um malware desenvolvido para a plataforma da Apple (McAfee, 2013).
13
É um mecanismo que faz com que um determinado arquivo ou programa seja executado automaticamente
(McAfee, 2013).
14
É uma coleção de agentes de software que executam de maneira autônoma e automática (McAfee, 2013).
49
Será visto nesta seção os principais ataques já usados e que ainda são muito
populares entre os criminosos, segundo Melo (2009).
• Backdoors – trata-se de uma técnica utilizada por invasores, para garantir uma forma
de retornar a um computador já comprometido, após um ataque bem sucedido;
• Worms – um tipo de malware que se propaga, de maneira automática, por meio de
redes. Dessa forma, consegue-se enviar cópias de si mesmo de um computador para o
outro;
• Spywares – trata-se de um software de computador que usufrui as capacidades dos
navegadores de Internet em executar aplicações;
• Buffer Overflow – trata-se de uma técnica de tentar armazenar mais informações do
que a memória suporta, assim causando erros e abrindo uma “brecha” para que o
invasor acesse o sistema. Depois de concretizado o ataque, o invasor consegue
adquirir privilégios de administrador, ou seja, tem a possibilidade de efetuar qualquer
coisa na máquina atacada;
• Exploits – são programas contendo poucas linhas de código, sendo a maioria desses
programas escritos na linguagem de programação C, visando explorar
vulnerabilidades já conhecidas;
• Spoofing – trata-se de uma técnica muito utilizada por crackers, que consiste em
mascarar seu IP de origem com outro IP falsificado, de maneira que sua localização
permaneça desconhecida;
• Mail Bomb – trata-se de uma técnica de sobrecarregar um computador com mensagens
eletrônicas;
• Smurf – trata-se de uma técnica onde o invasor envia sucessivas requisições ICMP
para um determinado endereço de broadcast, sendo que as respostas serão enviadas ao
alvo, que não é capaz de suportar tantos pacotes. Este tipo de ataque se concretiza
utilizando o Spoofing;
• Sniffing – trata-se da captura de informações de uma determinada máquina ou em um
tráfego de rede, sem autorização para esta coleta. Utilizando desta técnica, é possível
roubar senhas, nomes e até perceber o comportamento dos usuários. Para a realização
desta captura, existem programas específicos que auxiliam, chamados analisadores de
protocolo ou sniffer;
• Scamming – consiste na técnica de roubar senhas e números de contas bancárias,
através de e-mails falsos oferecendo um serviço do banco;
• Teclado Virtual – trata-se de um programa utilizado para roubar dados dos usuários
quando este acessa sites de bancos. Este ataque é realizado de maneira que o cracker
52
aloca uma tela de teclado virtual clonado por cima do teclado virtual legítimo, assim
capturando qualquer informação;
• Key Loggers – trata-se de um software que foi desenvolvido com o objetivo de
capturar tudo o que e digitado na máquina alvo;
• Mouse Loggers – trata-se de um software que captura movimentos e cliques de mouse;
• Spam – consiste no envio de mensagens contendo links maliciosos, que poderá então
se concretizar em um ataque ou invasão;
• Trojans (ou Cavalos de Tróia) – trata-se de um programa criado com o objetivo de
roubar informações ou até mesmo o controle da máquina atacada. Tal ataque vem
mascarado através de arquivos anexados a e-mails, onde este programa é quase
sempre uma animação ou até mesmo imagens pornográficas, que no instante que são
visualizados ou executados, o sistema sofre a infecção;
• Ataque de Força Bruta– trata-se uma estratégia utilizada para quebrar cifragens de
dados, onde através de uma lista de chaves, o algoritmo percorre todas estas lista até
encontrar a chave correta, ou testa todas as combinações possíveis; e
• Engenharia Social – consiste na arte de enganar e explorar a confiança das pessoas, a
fim de adquirir informações valiosas de uma determinada organização ou pessoa
específica.
É notório que existem muitos tipos de ataques, mas quando algum ocorre,
geralmente, é utilizada mais de uma única técnica. A seguir, poderá ser visto como um
cracker executa um ataque bem sucedido, segundo Ulbrich e Della Valle (2006):
15
Apenas a observação do que entra e sai das máquinas ou redes (ULBRICH; DELLA VALLE, 2006).
53
16
Consiste em realizar mini ataques a pontos distintos, a fim de visualizar as mensagens que retornaram após
2.6 LEGISLAÇÃO
Um exemplo, nesse caso de ataque a site, foi a realização de dois ataques realizados
por crackers ao sistema de inscrições, no ano de 2013, do Exame Nacional do Ensino médio
(ENEM) em seu último dia, informou a Agência Brasil, responsável pelo exame. Mas o
ministro da Educação, Aloizio Mercadante, informou que apesar de existirem os ataques o
processo não será prejudicado. (Olhar Digital, 2013).
Dentro da esfera de crimes virtuais, para Rohrman (2005), os delitos podem ser
classificados de duas formas principais:
Existem outras leis que tratam o ambiente virtual, mesmo não sendo totalmente
direcionados a eles, que segundo Souza Neto (2009), pode ser:
17
Acesso não autorizado em sistemas de computadores, aquisição de senhas, criação e a disseminação de vírus e
outros casos ocasionados principalmente pela rápida evolução técnica de seus idealizadores (ROHRMAN,
2005).
56
Racismo e Injúria Qualificada pelo Uso de Elemento Racial – no texto dos artigos
3°, IV; 4°, VIII; e 5°, XLII da CRFB, traz dispositivos que visam coibir tal prática:
Ar t. 3 ° Co n s ti t ue m o b j e ti vo s f u nd a me n ta is d a R ep úb li ca F ed er a ti v a
d o B r as il :
I V – p r o mo v er o b e m d e to d o s, se m p r eco n cei t o s d e o r i ge m, r a ça,
se xo , co r , id ad e e q ua i s q uer o utr a s f o r ma s d e d i scr i mi n ação ;
Ar t. 4 ° A R ep úb l ica Fe d er at i va d o B r a s il r e g e - se na s s ua s r e laçõ e s
in ter n ac io nai s p elo s se g ui n te s p r i nc íp io s:
VI I I – r ep úd io ao t er r o r i s mo e ao r a ci s mo ;
Ar t. 5 °.
X LI I – a p r á tic a d o r aci s mo co n sti t ui cr i me i na fi a nçá v el e
i mp r e scr it í ve l, s uj eito à p en a d e r ec l us ão , no s t e r mo s d a le i;
Dano – é previsto como crime de dano, indicado no artigo 163 do Código Penal, o
seguinte:
XI I – é in v io l á vel o s i g ilo d a co r r e sp o nd ê n ci a e d as co mu n i ca çõ e s
tel e gr á f ica s, d e d ad o s e d as co mu n ic açõ e s tel efô n ic as, sa l vo , no
úl ti mo ca so , p o r o r d e m j ud ic ia l, na s h ip ó t e se s e na fo r ma q u e a le i
es tab e lec er p ar a fi n s d e in v e st i gaç ão cr i mi n al o u i ns tr uç ão p e na l;
A lei n° 9.296/96, regulamenta a parte final do inciso XII da Constituição, onde fez
uma extensão para a informática, em seu art. 1°, de Parágrafo Único:
E ainda prevê a Lei n° 9.296/96 no art. 10, uma punição para aquele que interceptar
comunicações de informática:
No ano de 2012, foram sancionadas duas leis voltadas para os crimes virtuais, a lei
12.735 e a 12.737, que serão descritas a seguir (PLANALTO, 2012):
Práticas contra os sistemas informatizados – a lei 12.735 tipifica como crime ações
realizada mediante o uso de sistema eletrônico, como fica descritos no 1° e 4° parágrafos:
ind u s tr i ai s, i n fo r ma çõ e s s i gi lo s as , as s i m d e fi nid a s e m le i, o u o
co n tr o l e r e mo to não a ut o r izad o d o d i sp o si ti vo i n vad id o :
P ena - r ec l us ão , d e 6 ( se is) me se s a 2 ( d o i s) ano s, e mu l ta, se a
co nd u ta n ão co n st it u i cr i me ma i s gr a v e.
§ 4 o Na hip ó te se d o § 3 o , au me nt a -s e a p e na d e u m a d o is ter ço s se
ho u ver d i v u l ga ção , co me r ci al iza ção o u t r a n s mi s s ão a ter ce ir o , a
q ua lq uer tí t ulo , d o s d ad o s o u i n fo r ma çõ e s o b t id o s.
§ 5 o Au me n ta - s e a p e na d e u m ter ço à me t ad e se o cr i me fo r
p r ati cad o co ntr a :
I - P r es id e n te d a Rep úb l ica, go v er nad o r es e p r e f eito s ;
I I - P r es id e n te d o S up r e mo T r ib u na l Fed e r al ;
I I I - P r e s id e nt e d a Câ m ar a d o s Dep u tad o s, d o Se nad o Fed er al, d e
As se mb le ia L e gi sl at i va d e E s tad o , d a C â m ar a Le g i sla ti v a d o
Di str ito F ed er a l o u d e C â mar a M u ni cip a l; o u
I V - d ir i ge n te má x i mo d a ad mi n is tr aç ão d ir e ta e ind ir e ta fed er al,
es tad ua l, mu n i c ip al o u d o Di st r it o F ed er a l.
Ar t. 1 5 4 -B . No s cr i m es d e f i nid o s no ar t . 1 5 4 - A, so me n t e se
p r o ced e med ia n te r ep r e s en taç ão , sal vo s e o cr i m e é co me tid o co ntr a
a ad mi n is tr a ção p úb l ica d ir et a o u i nd ir eta d e q ua lq uer d o s P o d er e s
d a U nião , E s tad o s, D is tr i to F ed er a l o u M u ni cíp io s o u co n tr a
e mp r e sa s co n ce ss io nár ia s d e s er viço s p úb li co s .”
Ar t. 3 o O s a r t s. 2 6 6 e 2 9 8 d o De cr e to - Le i no 2 .8 4 8 , d e 7 d e
d eze mb r o d e 1 9 4 0 - Có d igo P e na l, p a ss a m a v i g o r ar co m a se g ui n te
r ed ação :
“I n ter r up ção o u p er t ur b ação d e ser v iço te le gr á f ico , t el e fô nico ,
in f o r má tico , t ele mát ico o u d e i n fo r mação d e u ti l id ad e p úb li ca”.
Os artigos 266 e 298 passaram a vigorar com uma nova definição, vindo completar a
lei 12.737:
Ar t. 2 6 6 .
§ 1 o I nco r r e n a mes ma p en a q u e m i nte r r o mp e s er v iço t ele mát ico o u
d e in f o r maç ão d e u ti lid ad e p úb li ca, o u i mp ed e o u d i fi c ul ta - l he o
r es tab e lec i me n to .
§ 2 o Ap l ica m- s e a s p e na s e m d o b r o se o cr i me é co me tid o p o r
o cas ião d e c ala mid ad e p úb l ic a.”
“Fa l si f ica ção d e d o c u me nto p ar tic u lar
Ar t. 2 9 8 .
Fal s i fi caç ão d e car tão
P ar ág r a fo ú ni co . P ar a f i ns d o d isp o s to no c ap u t, eq u ip ar a -s e a
d o cu me n to p ar t ic u lar o car t ão d e cr éd i to o u d éb ito .”
Como dito anteriormente, a falta de mais leis específicas para os crimes no ambiente
da informática, tanto para Ulbrich e Della Valle (2006) quanto para Souza Neto (2009), acaba
sendo um grande problema, que para tentar driblar essas dificuldades e brechas, é preciso
utilizar de maneira análoga leis presentes no Código Penal Brasileiro.
Na seção seguinte é possível visualizar quais as ações da policia federal foram
realizadas, na maior parte, pelo envolvimento de dinheiro e pedofilia infantil.
59
Existem trabalhos que abordam o tema da perícia forense, os que se aproximam deste
trabalho de conclusão de curso poderão ser vistos a seguir:
Procedimentos e Ferramentas
O trabalho apresentado a seguir foi desenvolvido por Reis e Geus (2002), que também
traz conhecimentos dentro da área de perícia forense.
61
Assim como Argolo (2005), eles apresentam as habilidades de um invasor, como ele
age e faz uma classificação em cima de cada um desses criminosos traçando um perfil em
cima de seus conhecimentos.
Mostra como e onde podem ser encontrados os dados necessários durante uma
investigação. Diferentemente do autor citado anteriormente, eles abordam como correlacionar
as evidências encontradas.
Apresenta como é um processo de investigação e quais são os cuidados que é preciso
ter nesse momento, desde seu planejamento até sua análise.
Em seguida trazem algumas ferramentas de perícia forense, cuja algumas são iguais
apresentadas no trabalho de Argolo (2005).
E por fim mostra a conclusão de seu trabalho baseando-se em todo o conteúdo descrito
até o termino do mesmo.
O trabalho desenvolvido por Freitas (2003), como nos dois trabalhos mencionados
aqui, dos autores Reis e Geus (2002) e Argolo (2005), apresenta o tema de perícia forense.
O trabalho descreve o funcionamento de uma perícia forense, desde sua análise
pericial até uma análise física, que consiste na pesquisa de sequência, a busca e extração dos
dados e onde podem ser encontradas tais informações.
Assim como Argolo (2005), seu trabalho é voltado para servidores web, abordando
assim de uma maneira mais aprofundada.
63
3 METODOLOGIA
Nesta seção serão apresentadas as ferramentas para análise forense, onde separadas
por funcionalidades oferecidas e, em seguida, a apresentação de uma análise experimental
através da criação de cenários para utilização das ferramentas.
Para a realização de uma perícia hoje, existem muitas ferramentas que podem fazer a
captura das informações, de maneira automatizada, sendo elas livres, de código fonte aberto
ou as ferramentas proprietárias. Para auxiliar em uma possível escolha, as ferramentas serão
separadas por tipo, ou seja, o que os idealizadores destes softwares se comprometem em
realizar ao desenvolvê-las.
Será apresentada uma lista de ferramentas abaixo, tais softwares poderão servir tanto
para sistemas Windows™, UNIX/Linux e Mac.
18
http://www.salvationdata.com/data-recovery-equipment/data-compass.htm
64
existente. Está ferramenta é paga, cujo valor é de $1.500,00. Na Figura 7 é apresentada uma
imagem da ferramenta;
Forense Add-On for DeepSpar Disk Imager19: ferramenta produzida pela empresa
DeepSpar Data Recovery Systems, sua proposta além de recuperar os dados, é ter um enfoque
na área forense. Fornece suporte para relatórios de perícia, cujo conteúdo é separado por
arquivo de imagem, contendo: seu caminho absoluto, o nome do arquivo, seu tamanho, data
de criação e modificação, o número total de setores utilizados, quais setores estão danificados
e quais ainda se mantém íntegros, localização de todos os fragmentos de arquivos e muitas
outras funcionalidades;
PSIClone20: ferramenta produzida pela empresa CPR Tools, cuja proposta é realizar a
recuperação de dados que foram alegados como irrecuperáveis. Faz uma clonagem de um
disco para o outro, possibilita uma compressão robusta dos dados, além de possibilitar que o
usuário pare a coleta e volte no mesmo lugar quando retomar a captura. O preço de venda é de
$1.999,00, segundo anúncio no site da empresa;
19
http://www.deepspar.com/forensics-ds-disk-imager.html
20
http://www.thepsiclone.com
21
http://guymager.sourceforge.net
65
22
http://sourceforge.net/apps/mediawiki/air-imager/index.php?title=Main_Page
23
http://www.techpathways.com/ProDiscoverDFT.htm
24
http://www.paraben-forensics.com/harddrive-forensics.html
25
http://www.accessdata.com/products/digital-forensics/ftk
66
26
Stellar Phoenix NTFS Data Recovery – criado pela empresa Stellar Data Recovery.
Esta ferramenta recupera dados de arquivos perdidos, pastas, fotos, vídeos, documentos e e-
mails. Compatível com o Windows™ 7, Vista, Server 2003, XP, 2000 e NT4. É uma
ferramenta paga e voltada unicamente para os sistemas operacionais do Windows™;
EASEUS Recovery Software27 – criada pela empresa EaseUS. A ferramenta recupera e
restaura partições perdidas ou danificadas, de maneira rápida. Pode recuperar partições na
maioria dos discos rígidos existente, como por exemplo, discos com conexão Integrated Drive
Eletronics – Controladora Integrada (IDE), Advanced Technology Attachment – Acessório de
Tecnologia Avançado (ATA), Serial Advanced Technology Attachment – Acessório de
Tecnologia Avançado Serial (SATA) e Small Computer System Interface – Interface Pequena
para Sistema Computacional(SCSI), além de ser fácil de usar e tenta reduzia a chances de
cometer erro. Fornece suporte para FAT, NTFS, Ext2/Ext3. É uma ferramenta livre;
Data recovery software 28– criada pela empresa CnW Recovery. A ferramenta recupera
dados de discos corrompidos, discos que falharam parcialmente, fotos que foram excluídas de
chips de memória flash, compatível com Windows™ 8, Windows™ 7, XP e suporte para
RAID. A licença da ferramenta custa $19,90, mas se optar por adicionar ferramentas forenses
o pacote chega a $189,90;
FreeRecover29 – é um programa que recupera arquivos da unidade NTFS, gera
previews dos arquivos apagado, fornece uma estimativa da integridade dos arquivos
encontrados e pesquisa instantânea de arquivos apagados. A ferramenta é livre;
Scalpel30– esta ferramenta auxilia em investigações forenses, pois realiza a
recuperação de arquivos, sendo em FAT, NTFS, Ext2 ou Ext3. Tal ferramenta atende a
plataforma Linux melhor que as plataformas Windows™ e Mac OS X, além de ser livre.
26
http://www.stellarinfo.com/recover-windows-nt.htm
27
http://www.ptdd.com/index.htm
28
http://www.cnwrecovery.com
29
http://sourceforge.net/projects/freerecover/
30
http://www.digitalforensicssolutions.com/Scalpel
67
31
http://www.safe-corp.biz
32
http://www.surfrecon.com/products/elite-edition.php
33
http://ocfa.sourceforge.net
34
http://www.p2pmarshal.com/
68
35
http://www.sno.phy.queensu.ca/~phil/exiftool/#supported
36
http://meta-extractor.sourceforge.net/
37
http://johnst.org/sw/exiftags/
38
http://www.krksoft.com/
69
The Volatility Framework39 – criada pela empresa Volatile Systems, é considerada uma
coleção de ferramentas de código aberto para a extração de artefatos de memória volátil.
Dentre as capacidades da ferramenta pode ser visto módulos do kernel do sistema
operacional, o mapeamento dos deslocamentos físicos para endereços virtuais, histórias de
comandos realizados, relatório sobre os serviços do Windows™, entre outras vantagens. Pode
ser executado em qualquer plataforma;
WindowsSCOPE CaptureGuard40 – uma ferramenta criada pela WindowsSCOPE
Forensics & Cyber Security Tools, uma subsidiária da BlueRISC. A ferramenta oferece a
chance de realizar uma engenharia reversa de um sistema Windows™ e tudo o que foi
executado diretamente na memória. Voltada para a plataforma Windows™, é adquirida
através de uma licença, de 3 meses cuja o valor é de $399,00 ou permanente que custa
$4.999,00.
Window Event Log Viewer41 – criado pela empresa TZWorks LLC, é uma ferramenta e
analisador de log, desde dispositivos USB´s que foram conectados, alterações de senhas e até
mudanças de credenciais. Voltadas para sistemas Windows™ e sua licença é gratuita;
Log Parser 2.242 – criada pela empresa Microsoft™, é uma ferramenta que analisa
logs de maneira versátil e poderosa, além de fornecer um acesso universal a consulta de dados
baseados em texto e sistema de arquivo. Sua distribuição é gratuita;
GrokEVT43 – criada pela empresa Sentinel, é uma ferramenta construída para a leitura
de arquivos de log, entradas de registro e modelos de mensagens. Voltadas para sistemas
Windows™ e tem sua distribuição gratuita.
39
https://www.volatilesystems.com/default/volatility
40
http://www.windowsscope.com/index.php?option=com_content&view=article&id=119&Itemid=95
41
http://www.tzworks.net/prototype_page.php?proto_id=4
42
http://www.microsoft.com/en-us/download/details.aspx?id=24659
43
http://projects.sentinelchicken.org/grokevt/
70
Nesta subseção será apresentado dois conjuntos de ferramentas que não se encaixam
em apenas uma única categoria como foram apresentadas as demais. Tais ferramentas são:
The Sleuth Kit44 – é uma ferramenta open source, voltada para multiplataformas.
Permite principalmente investigar as imagens do disco, analisar o volume de dados e os
sistemas de arquivos. Fornece suporte também a instalação de plug-in adicionais
possibilitando construir assim sistemas automatizados. Para facilitar seu uso, existe uma
interface gráfica, denominada por The Autopsy Forensic Browser, tal complemento pode ser
executado também em qualquer plataforma, já que é parecido com um navegador de web,
com o diferencial de que trabalha em conjunto com o The Sleuth Kit.
Helix3Pro45 – desenvolvido pela empresa E-Fense Carpe Datum, é uma ferramenta
licenciada, onde seu valor é de $239,00 ao ano. Voltada para qualquer plataforma, além de
fornecer suporte, também existem outras ferramentas que não são pagas, como por exemplo, o
Sleuth Kit. A ferramenta faz imagens de todos os dispositivos internos, faz imagem de
memória (sendo tanto de 32 e 64 bits), faz uma imagem de todos os dispositivos e pesquisa
por tipos específicos de arquivos, por exemplo, arquivos gráficos e documentos.
44
http://www.sleuthkit.org/sleuthkit/desc.php
45
http://www.e-fense.com/helix3pro.php
71
disco.
Conjunto de ferramentas
Paraben
P2 Commander Windows S/V que auxilia em uma
Corporation
perícia.
AccessData Fornece suporte para
FTK Digital Forensics Windows $12.500,00 agregar novas
Software ferramentas.
Stellar Phoenix NTFS Stellar Data Recupera dados de
Windows S/V
Data Recovery Recovery arquivos perdidos.
EASEUS Recovery Recupera partições
EaseUS Multi Plataforma Ferramenta Livre
Software perdidas ou danificadas.
Data Recovery Recupera dados de
CnW Recovery Windows $189,90
Software discos corrompidos.
Gera previews dos
FreeRecover S/A Multi Plataforma Ferramenta Livre
arquivos apagados.
Recuperação de
Scalpel S/A Multi Plataforma Ferramenta Livre
arquivos.
Software Compara e analisa os
Analysis and dados a fim de encontrar
Code Suite Multi Plataforma Ferramenta Livre
Forensic violações de direitos
Engineering autorais.
SurfRecon Ferramenta que busca
Pornography-Detection SurfRecon Multi Plataforma S/V por conteúdo
Software pornográfico.
Agência Nacional Automatiza o processo
The Open Computer
da Polícia Multi Plataforma S/V forense em ambiente
Forensics Architeture
Holandesa digital.
Analisa o
Architecture
compartilhamento de
P2P Marshal Technology Multi Plataforma S/V
arquivos de software em
Corporation
um disco.
Realiza a leitura, escrita
ou edição de
ExifTool Phil Harvey Multi Plataforma Licença Gratuita
informações em
metadados.
Ferramenta que busca
Metadata Extraction National Library
Multi Plataforma Licença Gratuita extrair automaticamente
Tool of New Zealand
metadados.
Analisa arquivos de
ExifTags S/A Multi Plataforma Ferramenta Livre
imagem.
A ferramenta permite
Directory Lister Pro KRKsoft Windows $29,00 lista arquivos de
diretórios selecionados.
Ferramenta para extrair
The Volatility
Volatile Systems Multi Plataforma Código Aberto artefatos de memória
Framework
volátil.
WindowsSCOPE
Realiza engenharia
WindowsSCOPE Forensics &
Windows $4.999,00 reversa em um sistema
CaptureGuard Cyber Security
Windows.
Tools
Window Event Log Ferramenta que analisa
TZWorks LLC Windows Licença Gratuita
Viewer log.
Ferramenta que analisa
Log Parser 2.2 Microsoft Windows Licença Gratuita
log.
Ferramenta que faz
GrokEVT Sentinel Windows Licença Gratuita leitura de arquivos de
log.
The Sleuth Kit S/A Multi Plataforma Código Aberto Investiga imagens do
72
Para a realização do projeto, foi utilizada a estrutura descrita nas subseções abaixo.
3.2.1 Hardware
Será utilizado um notebook da marca ACER™, cujo seu modelo é Aspire 2920 e sua
configuração está descrita abaixo:
• Processador: Intel Core 2 Duo, com 2 GHz, 667 MHz FSB, 2 MB L2 cache;
• Memória RAM: 2 GB DDR 2;
• HD: 500 GB.
3.2.2 Software
Para a prática do trabalho, foi preciso particionar o HD, onde ficou dedicado cerca de
150 GB de memória para a instalação de uma distribuição Linux, denominada por Kali Linux
na versão 1.0.2. Tal distribuição contém algumas ferramentas pré-instaladas para a realização
de Testes de Penetração, popularmente conhecidos por Pen Test. Essas ferramentas podem ser
instaladas em outras distribuições, porém, a facilidade de encontra-las nesta distribuição do
73
Linux foi o que motivou a escolha, já que o foco principal não era os ataques, mas a análise
no desempenho das ferramentas ao ter sido realizado uma invasão.
Após o particionamento e a instalação do sistema operacional Kali Linux, foi instalado
um programa que recebe o nome de VirtualBox cuja sua versão é a 4.2.12, tal software é um
virtualizador que permite a instalação e a execução de um ou mais sistemas operacionais, que
recebem o nome de sistemas convidados, dentro do sistema operacional instalado diretamente
no hardware, que recebe o nome de hospedeiro. Neste trabalho, o sistema convidado será o
Windows™ 7 e servirá de alvo dos ataques que executará sobre o sistema hospedeiro, Kali
Linux, de onde serão realizados os ataques.
3.2.3 Configuração
Para a instalação do sistema operacional Kali Linux, não foi feito nenhuma alteração,
sendo assim todos os passos foram realizados da maneira padrão sugeridos pelo processo de
instalação.
Para a configuração da rede, foi preciso deixar o sistema Windows™7, que está sendo
virtualizado na máquina virtual, com duas placas de redes em modo Bridge e com a opção de
cabo conectado ativa. Além de um roteador fornecendo DHCP na faixa de rede especificada
abaixo, e a placa estar em modo Bridge, o IP é capturado.
As configurações de redes ficaram da seguinte maneira:
• (Alvo): 192.168.0.102
• (Atacante): 192.168.0.101
• (Máscara de Rede): 255.255.255.0
• (Gateway Padrão): 192.168.0.1
3.2.4 Justificativa
46
Versão desatualizada da ferramenta, cuja última atualização passou a ser licenciada.
47
http://www.e-fense.com/products.ph
75
Já para os ataques o sistema operacional Kali Linux, além de ser uma distribuição
GNU/Linux, de código aberto, abrange uma grande quantia de softwares para ataque.
A seguir será realizada uma análise experimental utilizando cenários controlados a fim
de comparar as ferramentas.
3.3 CENÁRIO 01
A seguir na Tabela 3, será apresentada uma prévia do que foi utilizado para a criação
deste cenário.
Técnica/Ferramenta
Objetivo Conclusão
Utilizada
Ataque utilizando Invadir a máquina para realizar um
Foi realizada a invasão com sucesso.
um trojan monitoramento.
Não foi possível sua utilização, já que a
Utilizar para encontrar vestígios de
Ferramenta Autopsy captura de informações não apresentou
que o computador foi invadido.
resultados.
Ao utilizar esta ferramenta foi possível
Utilizar para encontrar vestígios de comprovar de que existia a comunicação
Live CD do Helix
que o computador foi invadido. entre as duas máquinas. Além trazer outras
informações referentes ao computador.
Analisador de Utilizando esta ferramenta foi possível
Utilizar para encontrar vestígios de
protocolos comprovar de que existia a comunicação
que o computador foi invadido.
Wireshark entre as duas máquinas.
Ao se utilizar tal ferramenta foi possível
Utilizar para encontrar vestígios de
Security Scan descobrir qual o mecanismo utilizado pelo
que o computador foi invadido.
atacante para a realização da invasão.
Tabela 3 - Resumo do cenário 01.
Fonte: Autor.
48
http://usa.kaspersky.com/downloads/free-anti-virus-scan
76
Para a criação deste cenário, o ataque a ser utilizado é o Espia, que vem como um
plug-in da ferramenta Metasploit Framework, e tem como foco o monitoramento da máquina
alvo.
Após a realização da comunicação entre os dois sistemas operacionais, foi realizado a
criação de um arquivo executável que pudesse servir como um mecanismo de entrada no
computador alvo. Este mecanismo também é conhecido por trojan.
No computador atacante foi aberto o console do Metasploit, como mostra a Figura 9:
Após a realização destes passos, basta mascarar o arquivo executável em alguma foto,
vídeo ou arquivo compactado e enviá-lo para o usuário alvo do ataque. Nesse caso, ele não foi
ocultado, simplesmente copiado da máquina atacante para o alvo através de um pen drive.
Com o arquivo executável no computador alvo, basta o usuário executar o arquivo
para disparar a ação, e o prompt de comando na máquina de ataque estará pronto para tomar
posse, este conceito é conhecido como backdoor.
Na Tabela 5, foram fornecidos os seguintes comandos para tomar o controle do alvo:
1 ps
2 migrate 1336
Tabela 5 - Tomada de posse do computador alvo.
Fonte: Autor.
Para que fosse dado início à investigação, foi escolhida a ferramenta Autopsy. Tal
ferramenta foi instalada diretamente na máquina alvo antes de qualquer ataque realizado.
Ao abrir o programa é preciso fornecer uma imagem do HD que atenda as
especificações mostradas na Figura 11.
Como não é possível criar uma imagem do HD dentro do próprio sistema operacional
do Windows™ 7, foi utilizado um live cd do Linux Ubuntu, versão 12.04.2 para desktop, de
plataforma de 32 bits.
O sistema virtualizado foi reinicializado para que pudesse realizar o boot, através do
live cd do Linux, e a partir do momento em que entrou em execução, foram executados os
comandos apresentados na Figura 12.
Como é possível visualizar na Figura 12, esses foram os comandos necessários para a
criação da imagem do HD, do qual foi exportada para um HD externo conectado a porta USB,
abaixo segue a explicação das linhas de comando, como mostra a Tabela 6:
1 cat /proc/partitions
2 mkdir /mnt/hd
3 mount /dev/sdxx /mnt/hd
4 dd if=/dev/sdxx of=/mount/hd/(nome da imagem).img
Tabela 6 - Criação de uma imagem do HD.
Fonte: Autor.
Porém, o uso desta técnica traz alguns problemas, como por exemplo, a perda das conexões
feitas, como este ataque é um monitoramento remoto, ao fechar a conexão perde-se toda a
informação. Desta forma é possível visualizar a importância de um planejamento e cuidados
no momento da coleta das informações, onde as técnicas e metodologias utilizadas por peritos
foram descritos no capítulo 2.
A segunda ferramenta utilizada foi um live cd contendo uma versão do Helix. Para sua
utilização não é preciso reiniciar a máquina, basta executá-lo dentro dela.
Ao dar início em sua utilização, o Helix traz as informações do sistema operacional em
que está sendo executando, que neste caso é o Windows™ 7, como ilustra a Figura 13.
trata a conexão entre o endereço local e o endereço externo encontrado durante a execução do
comando netstat.
Na Figura 17, é possível visualizar que a partir do pacote 186 (na primeira coluna, No)
o endereço 192.168.0.102 (terceira coluna, Source) faz uma requisição para o endereço
192.168.0.101 (quarta coluna, Destination) utilizando o protocolo TCP (quinta coluna,
Protocol). Desde modo, é possível identificar que foi iniciada uma conexão entre os dois
83
endereços (na ultima coluna, o termo [SYN] representa um pacote com a flag de
sincronização, provando que existe uma conexão sendo iniciada).
Ainda na Figura 17, a segunda linha mostra que o endereço 192.168.0.101, além de
também realizar uma conexão com o endereço 192.168.0.102, reconhece os pacotes recebidos
na primeira tentativa de conexão (o termo [ACK] indica flag acknowlodge do protocolo TCP,
que indica o endereço reconhecendo os dados recebidos).
Nota-se na Figura 18, que toda a informação gerada não traz nenhum resultado legível,
ou seja, que fosse de fácil leitura. Tal fato é resultado do padrão dos protocolos TCP/IP.
A utilização destas duas ferramentas comprovou que existe a comunicação entre o
computador invasor com o alvo. Foi utilizada uma ferramenta para realizar uma varredura no
sistema em busca de vulnerabilidades, este software é fornecido pela empresa Kaspersky, e
recebe o nome de Security Scan, gratuito, apesar de ser proprietário.
84
Tal ferramenta fornece a opção de duas maneiras para fazer a varredura, uma mais
simples (verificação rápida) e uma que varre de maneira mais completa o computador
(verificação completa). Na Figura 19, é possível visualizar a interface do programa.
Ao iniciar a varredura, o software Security Scan faz uma busca por vírus, trojans,
vulnerabilidades, verifica o antivírus de maneira automática entre outras funcionalidades.
Enquanto o processo é executado, a ferramenta já vai retornando se existe algum problema na
máquina e, caso encontre, o alerta aparece destacado no canto inferior direito, ao lado da lupa
de verificação completa.
Na Figura 20 é possível visualizar que na verificação rápida realizada no sistema alvo
do ataque, o Windows™ 7, a ferramenta encontrou 15 problemas no total. Se for acionada a
opção de “clique aqui para obter uma solução”, será direcionado para uma página HTML, que
ao ser aberta em um navegador, apresenta um relatório completo e bastante específico,
separado por critérios de varredura que a ferramenta utiliza.
85
3.4 CENÁRIO 02
A seguir na Tabela 7, será apresentada uma prévia do que foi utilizado para a criação
deste cenário.
Técnica/Ferramenta
Objetivo Conclusão
Utilizada
Ataque explorando
Invadir a máquina para realizar
uma vulnerabilidade Foi realizada a invasão com sucesso
alterações dentro do sistema
do plug-in Java
Utilizar para encontrar vestígios de Conseguiu trazer os arquivos deixados durante a
Ferramenta Autopsy
que o computador foi invadido invasão.
Utilizar para encontrar vestígios de Não foi possível sua utilização, já que a captura
Live CD do HeliX
que o computador foi invadido de informações não apresentou resultados.
Utilizar para encontrar vestígios de Conseguiu trazer os arquivos deixados durante a
Forensic Toolkit(FTK)
que o computador foi invadido invasão.
Ao se utilizar tal ferramenta foi possível
Utilizar para encontrar vestígios de
Security Scan descobrir qual o mecanismo utilizado pelo
que o computador foi invadido
atacante para a realização da invasão.
Tabela 7 - Resumo do cenário 02.
Fonte: Autor.
Na criação deste cenário será usada uma técnica que explora a vulnerabilidade no
plug-in Java. Esta vulnerabilidade consiste em utilizar uma assinatura, onde é preciso que a
87
vítima ao acessar determinado site, aceite um aplicativo Java, assim dando acesso a sua
máquina ao possível invasor.
Na Tabela 8 é possível visualizar todos os comandos que o invasor precisou realizar
dentro do prompt de comando do Kali Linux para a execução do ataque.
1 search java_signed
2 use multi/browser/java_applet
4 set SRVPORT 80
7 exploit
Realizado tal processo, basta acessar a pasta de usuário público e criar uma pasta de
diretório na máquina alvo, assim podendo enviar vírus, trojans, rootkit, entre outros processos
que o invasor preferir. Neste cenário foram gravados e editados dois arquivos dentro da
89
máquina alvo, na Figura 24 é apresentado um dos arquivos. Após realizados todos os teste, e
possuindo o ataque bem sucedido, foi feito uma análise pericial.
A Figura 26 mostra ainda as opções de qual tipo de evidência que o perito quer
manipular, a escolhida foi a Physical Drive (ou Drive Físico), escolhendo esta opção, o
investigador opta por realizar uma cópia do HD alvo bit a bit, ou seja, todas as informações
são salvas, mesmo o espaço que não contém nenhuma informação armazenada.
Na Figura 27 é apresentado qual foi o HD escolhido seguido por qual extensão que o
arquivo vai receber ao ser criado pela ferramenta.
Figura 28 – Opções para a entrada desejada, seguido do caminho até o arquivo gerado.
Fonte: Autor.
Assim que o programa carregar o arquivo, é possível começar a realizar uma análise
das informações adquiridas.
Na Figura 29, mostra as opções separadas por seções que a ferramenta disponibiliza,
como por exemplo, os históricos de navegação na Internet, os chamados cookies, arquivos
recentes, os tipos de arquivos, o HD com todas as pastas e subpastas, dentre outras opções. Ao
clicar na aba de históricos da Internet, é possível visualizar que a vítima acessou um site cuja
URL termina com /invasaoporsite, tal processo aponta que existiu a requisição para este
domínio.
92
Na Figura 30, foi escolhido na aba Views a opção Recent Files, que traz os arquivos
recentes, separados por ordem cronológica. Dentre todos os dias, a opção escolhida foi a
Final Day, após examinado os itens apresentados neste dia, foi encontrado o arquivo excluído
durante o ataque, porém este não foi apresentado com o nome que tinha sido criado, e sim
com outro nome ($R09P1Z8.txt), entretanto ao selecioná-lo é possível visualizar o conteúdo
contido neste arquivo. E ao selecionar a opção de cima ($I09P1Z8.txt), o software traz o
caminho de armazenamento deste arquivo, que nesse caso foi:
C:\Users\Public\Teste\ArquivoQueSerahApagado.txt.
93
A segunda ferramenta utilizada nessa análise foi o Forensic Toolkit (FTK). Na Figura
31, é possível visualizar a tela onde deve ser escolhido o tipo de ação que será tomado, nessa
ocasião foi optada pela Image File, que fornece oportunidade de abrir uma imagem criada do
HD da vítima, em seguida foi passado o caminho de onde o arquivo está armazenado (o
arquivo da imagem foi guardado no HD externo, cujo caminho apontado ficou:
F:\Evidencias_Helix\evidencias.001).
A Figura 32 mostra do lado esquerdo todas as abas que o investigador tem disponível
para análise, como já tinha sido identificada a pasta onde estavam contidos os arquivos de
texto através da ferramenta Autopsy, foi preciso apenas encontrá-la dentro do FTK e entrar
para visualizar o que esta continha. No lado direito, é apresentado o nome dos arquivos de
texto que continuam armazenados no computador da vítima, o tamanho que cada arquivo
possuí, juntamente do dia de sua última modificação e do conteúdo existente em cada um.
A terceira ferramenta utilizada para este cenário foi o Security Scan da empresa
Kaspersky, o mesmo software visto no cenário 01. Para dar início ao seu uso, foram tomados
os mesmo procedimentos e selecionado o mecanismo de verificação rápida. Porém, a resposta
retornada não agregou nenhum valor para a investigação, ou seja, que comprovasse a
existência de provas de que o computador tinha sido invadido e qual ataque teria sido
utilizado.
Para resolver tal problema, foi realizada então, uma verificação completa no
computador da vítima, fazendo essa busca obteve maiores informações de tudo que ocorrerá
dentro do sistema. Na Figura 34, é possível visualizar que retornou quarenta tipos diferentes
de vulnerabilidades na máquina alvo.
Para a recuperação do arquivo que foi excluído durante a invasão, foi utilizado três
ferramentas, EaseUS Partition Recorey, FreeRecover e Data Recovery.
A primeira ferramenta utilizada foi a EaseUS Partition Recorey, assim que aberta a
janela para fazer a restauração do arquivo, o software fornece algumas opções como é
possível visualizar na Figura 36:
97
Como é possível ver na Figura 36, o programa oferece para o usuário algumas opções
para fazer a recuperação de dados perdidos, foi escolhida a primeira alternativa, Search Entire
Disk, que possibilita a busca por todo o disco. Também existem as opções para procurar por
espaços alocados no HD e por setor específico. Após realizado a escolha entre esses três tipos,
o software ainda disponibiliza dois mecanismos de busca, um rápido e o outro completo, para
este cenário o escolhido foi por uma busca completa. Na Figura 37, é possível visualizar os
resultados retornados.
Como é possível visualizar na Figura 38, a ferramenta disponibiliza como umas das
opções para o usuário escolher o driver de onde serão recuperados os dados, depois a baixo,
lista todos os dados retornados, além de disponibilizar uma pesquisa avançada utilizando o
recurso Search String, e ao clicar em qualquer informação das que foram retornadas, o
programa exibe seu conteúdo em detalhes logo em baixo da pesquisa, se for o arquivo
desejado, basta clicar em Recover Files para que sejam trazidos os dados de volta.
O terceiro programa utilizado foi o Data Recovery, ao inicializa-lo o software
disponibiliza três maneiras diferentes de recuperação de arquivos, o Deleted File Recovery, o
Complete Recovery e o Partition Recovery.
Para este cenário foi utilizado o Complete Recovery, ao ser escolhido esta opção o
programa disponibiliza dentro de um quadro, todos os dispositivos do computador, como por
exemplo, pen drive, HD externo e o próprio HD da máquina. Na Figura 39 é possível
visualizar que foi escolhido o HD da máquina e mostra o início da varredura.
99
Após realizado toda a varredura no HD, o programa abre uma nova janela para
apresentar os resultados retornados, como mostra a Figura 40. Como é possível visualizar, o
arquivo excluído foi encontrado, basta selecioná-lo que o software disponibiliza um espaço
para que o perito escolha o caminho de onde os dados serão armazenados.
Desta forma foi possível fechar o cenário por completo, já que além de comprovar a
invasão, o arquivo excluído foi recuperado com sucesso.
100
Capítulo
101
4 RESULTADOS
Após todos os ataques realizados e as análises feitas pelas ferramentas, a seguir serão
apresentados os resultados separados por cenários, seguindo critérios estabelecidos.
Para fazer uma análise das ferramentas, abaixo serão apresentados os parâmetros
utilizados para gerar os resultados.
4.2 CENÁRIO 01
Para cada um dos requisitos de análise destas ferramentas, será gerado um resultado
independente, mostrando seu desempenho comparando com as demais ferramentas utilizadas,
veja a seguir os parâmetros:
Para este quesito foi levado em consideração à interface gráfica da ferramenta, de tal
forma que veio a agilizar e contribuir para uma melhor investigação, além da disposição em
que as informações se encontram na tela.
A ferramenta Autopsy teve como resultado para este primeiro quesito, uma resposta
positiva, já que sua interface é bastante intuitiva, as informações que estão disponíveis na tela
são bastante objetivas o que acaba facilitando e agilizando na busca das informações.
O analisador de protocolos Wireshark teve um resultado não muito positivo, apesar de
sua interface ser intuitiva, sua utilização é dificultada já que o investigador que a estiver
manipulando deve possuir certo conhecimento sobre o funcionamento da rede, porém, chega a
ser uma ferramenta indispensável para o perito durante a análise do tráfego da rede.
O live cd do Helix teve como resultado esperado uma resposta muito satisfatória, já
que sua ferramenta é bastante fácil de utilizar, a interface é bastante intuitiva, o conjunto de
ferramentas contidas nele é separado por assuntos distintos, dessa maneira agiliza e garante
uma boa coleta e análise dessas informações.
O software de varredura Security Scan do Kaspersky é bastante intuitivo e prático no
momento de manipulá-la, não exigindo muito, já que todo o seu resultado é apresentado de
maneira clara e bastante objetiva, desta forma colaborando com o perito durante a exposição
dos resultados em seu relatório.
A ferramenta Autopsy neste quesito teve um resultado negativo, já que para o processo
de obtenção da informação, a técnica utilizada precisava reiniciar o computador alvo. Tal
procedimento causava a perda das informações necessárias para a investigação já que neste
cenário o tipo de ataque utilizado era apenas de monitoramento, então as informações do
tráfego de rede, foram perdidos. Como foi mostrado durante o capítulo dois, este tipo de
análise deveria ter sido realizada com o computador ligado (Live Analisys), já que as
informações que se perderam, eram voláteis e no momento que o computador foi reiniciado
os dados deixaram de existir.
O analisador de protocolos Wireshark neste quesito obteve bons resultados, trouxe
uma grande quantidade de informações, onde ele mostra o início da comunicação entre os
dois computadores e apresenta também, os dados que estão sendo trafegados na rede durante
esta comunicação.
O live cd do Helix obteve também bons resultados, já que trazia um prompt de
comando próprio, onde todos os procedimentos eram realizados dentro da máquina, além de
possuir um volume aceitável de informações retornadas que auxiliaram o esclarecimento com
relação à invasão e também, garantiu a confiabilidade da informação, o que para uma
investigação é essencial.
O software de varredura Security Scan do Kaspersky, para o cenário 01, como foi
utilizado uma verificação rápida, a quantidade de informação foi pequeno, porém, mesmo
com esta quantidade de dados foi possível comprovar que existiu realmente a invasão e qual
método utilizado pelo invasor.
Para este quesito foi levado em consideração se a ferramenta levou muito tempo para
retornar uma reposta no momento da análise e se este tempo interferiu na qualidade dos
dados.
Como a ferramenta Autopsy não obteve nenhuma informação, já que apresentou
problemas em capturar as informações relacionadas ao tráfego da rede, não será levada em
consideração referente a este quesito.
A ferramenta Helix levou um minuto a menos que o analisador Wireshark, porém o
uso das duas ferramentas foram rápidas, já que foi realizado apenas uma análise do tráfego da
104
rede. E as informações que retornaram foram muito importantes para a análise forense, onde
foi possível comprovar que existiu a invasão e estava sendo mantido uma comunicação entre
os computadores.
E por último a ferramenta de varredura Security Scan do Kaspersky, precisou de uma
hora e meio para buscar todas as vulnerabilidades no computador alvo. A demora comparada
em relação com as outras ferramentas é de que as demais manipularam dados já prontos,
enquanto que o Security Scan precisou realizar uma varredura no HD, para que depois
retorna-se as informações, cujo os dados também foram importantes para a investigação, já
que foi possível comprovar qual técnica utilizada pelo invasor.
Na Figura 40 é possível visualizar o gráfico que apresenta o tempo de resposta das
ferramentas. Tais resultados foram baseados dentro dos cenários criados, ou seja, o sistema
operacional estava sendo virtualizado, podendo obter resultados diferentes caso os testes
sejam realizados em uma máquina melhor.
Tempo de Reposta
5
4
Minutos
3
Tempo
2
1
0
Autopsy Wireshark Helix Security
Scan
Ferramentas
A primeira ferramenta a ser considerada seria o Autopsy, porém, como não existiu
nenhum tipo de resultado, avaliá-la neste cenário não foi possível.
O analisador de protocolos Wireshark, foi à ferramenta mais complexa e que exigia
um maior conhecimento do perito, já que os dados estavam no formato TCP, ou seja, as
informações contidas nos pacotes de transmissão seguiam o padrão deste protocolo (Figura
41), dificultando assim sua utilização, por exigir um tratamento dos dados, sendo assim
demandando um pouco mais de tempo para a extração de informações mais legíveis.
O live cd do Helix teve neste quesito também uma boa resposta, já que suas
informações foram bastante claras e sua interface gráfica por ser intuitiva não exigiu do
perito, o que acaba facilitando e tornando mais ágil o processo de investigação.
O software de varredura Security Scan do Kaspersky, não apresentou grandes
dificuldades na interpretação das informações retornadas, pois a ferramenta é bem intuitiva e
seu relatório contem as informações separadas por grupos de interesses, assim não criando
grandes problemas em sua análise.
4.3 CENÁRIO 02
Para este quesito foi levado em consideração à interface gráfica da ferramenta, de tal
forma que veio a agilizar e contribuir para uma melhor investigação, além da disposição em
que as informações se encontram na tela.
A ferramenta Autopsy teve como resultado para este segundo cenário, uma resposta
positiva, já que sua interface foi bastante intuitiva, as informações que estão disponibilizadas
na tela são bem claras, o que facilita no momento da investigação. Tais resultados obtidos
foram muito melhores do que os encontrados no cenário 01.
O live cd do Helix também obteve resultados satisfatórios assim como encontrados no
cenário 01, com apenas uma ressalva, existiu algum problema que não foi possível de detectar
para que pudesse dar continuidade na utilização da ferramenta.
A ferramenta Forensic Toolkit, obteve resultados muito satisfatórios, já que sua
interface é fácil de ser manuseada, as informações que estão disponíveis no seu ambiente
gráfico é bastante intuitivo, assim ajudando no momento da análise.
O software de varredura Security Scan do Kaspersky é bastante intuitivo, desta forma
seu retorno obtido foram os mesmo já tratados nos resultados do cenário 01.
Os três softwares para a recuperação do arquivo excluído, EaseUS Partition Recorey,
FreeRecover e Data Recovery, obtiveram bons resultados, pois a utilização não apresentou
grandes problemas, por possuírem ambientes gráficos intuitivos, já que a disposição das
informações na tela são bastante claras.
107
Para este quesito foi levado em consideração se a ferramenta levou muito tempo para
retornar uma reposta no momento da análise e se este tempo interferiu na qualidade dos
dados.
Como o processo de aquisição da mídia teve que ser feita obtendo outros métodos não
disponíveis na própria ferramenta Autopsy, seu tempo de resposta para gerar os resultados foi
prolongado, porém, não chegou a interferir nos resultados, apesar de ter sido gasto sete horas
e cinquenta minutos.
A ferramenta Helix¸ por sua vez, não trouxe nenhum resultado para este requisito
devido aos problemas para a obtenção dos dados.
Já a ferramenta FTK, obteve o menor tempo para adquirir a imagem da mídia, com
duas horas e quarenta minutos, e assim como a ferramenta Autopsy, seu tempo de resposta
não influenciou na qualidade das informações.
E por último a ferramenta de varredura Security Scan do Kaspersky, precisou de cinco
horas e vinte minutos para buscar todas as vulnerabilidades no computador alvo. Apesar de
ser uma varredura, precisou de um tempo maior que a utilizada pela ferramenta FTK para a
aquisição do HD, assim como as outras duas ferramentas, o tempo gasto não influenciou na
qualidade.
E dentro do tempo para as ferramentas de recuperação de arquivos, o software Data
Recovery, foi o que gastou mais tempo, uma hora e três minutos, porém foi a única ferramenta
que atingiu as expectativas do investigador, onde o tempo gasto para o retorno das
informações não afetou na qualidade das informações.
A ferramenta EaseUS Partition Recorey, gastou vinte e cinco minutos para fazer a
varredura, porém só deu a possibilidade de visualizar o arquivo dentro do seu próprio
ambiente gráfico, diferentemente da outra ferramenta, a rapidez no retorno das informações
acabou não agregando um valor real para a investigação.
Já a ferramenta FreeRecover, obteve o menor tempo, já que levou apenas um minuto
para fazer a varredura, porém, seus resultados não foram aproveitados. Assim o uso desta
ferramenta para o presente cenário acabou não agregando nenhum valor, pois além de não
trazer de maneira física a informação que estava sendo procurada, o software também não traz
nenhum dado na sua interface gráfica.
109
5
4
3
2
1
0
US
y
r
lix
n
y
er
ps
a
FT
ov
He
Sc
se
ov
to
c
Ea
ity
Re
Au
c
Re
r
ee
cu
ta
Fr
Se
Da
Ferramentas
preciso. Sendo assim, ao se utilizar esta ferramenta não foi necessário realizar nenhum
tratamento nas informações retornadas, o que facilita no momento de uma investigação.
Neste cenário a ferramenta Helix, não retornou nenhum resultado, devido aos
problemas desconhecidos ocasionados no momento de aquisição da imagem do HD.
O FTK trouxe as informações de maneira correta, exceto por uma pequena dificuldade
no momento de abrir o arquivo gerado da cópia do HD, pois, existiam arquivos fragmentados,
assim tendo que ser analisado de maneira individual, dificultando e atrasando um pouco a
investigação.
O software de varredura Security Scan do Kaspersky, não apresentou grandes
dificuldades na interpretação das informações retornadas, desta maneira seus resultados
relacionados a este quesito foram iguais aos encontrados no cenário 01.
Os softwares Data Recovery, EaseUS Partition Recorey e FreeRecover, não
apresentaram muitas dificuldades na análise das informações retornadas, já que todos os
dados retornados, seja no ambiente gráfico ou de maneira física, são legíveis e não exigindo
muito do perito.
Capítulo
111
5 CONCLUSÕES
A informação vem ganhando cada vez mais valor nos dias atuais, sendo tanto no meio
organizacional quanto para usuários domésticos, tal fato tem acontecido pela facilidade na
comunicação, já que para se conectar a Internet não é preciso possuir desktops como
antigamente, basta ter em mãos um pequeno dispositivo móvel que dê suporte para esta
tecnologia.
Sabendo de toda esta facilidade, os criminosos têm migrado para este mundo também,
cometendo crimes de pedofilia, roubo de informações, espionagem industrial entre outros. Ao
navegar por este mundo virtual, muitos usuários não sabem ou esquecem de se proteger,
tornando-se assim alvos fáceis para tais criminosos.
Ainda não existem muitas leis para os crimes cometidos no mundo virtual, como foi
mostrado, o Brasil possui apenas duas leis voltadas para cibercrimes, que são as: práticas
contra os sistemas informatizados e invasão de dispositivo informático. Apesar de serem
apenas duas leis, elas conseguem abrangir uma boa parte dos crimes cometidos, mas, só estas
não são o suficiente para o crescimento que vem acontecendo.
Muitos desses delitos contam com a “ingenuidade” do usuário, como foi demonstrado
no cenário 01, onde foi preciso que a pessoa aceitasse uma foto, um vídeo ou uma música
qualquer para que o invasor conseguisse a posse parcial, em seguida ele efetuaria a escalada
de privilégios até que atingisse o total controle da máquina.
A perícia forense computacional vem para descobrir e resolver os casos de invasões e
crimes de tal espécie. Neste trabalho foi apresentada a metodologia utilizada pelo investigador
para dar início à análise, ou seja, mostrou que é preciso identificar e coletar as informações
mais relevantes ao caso. Como esses dois passos é o que dá início a uma investigação, acaba
sendo muito importantes, já que se não existir a identificação e uma boa coleta das
informações, a chance de fracassar é grande. O perito também precisa preservar os dados de
maneira segura, em seguida analisá-los e só então apresentar os resultados para um terceiro.
Para auxiliar neste processo, foi demonstrado um comparativo entre as ferramentas
utilizadas e as técnicas que o investigador faz uso no momento de uma perícia, além de trazer
uma vasta coleção de outras ferramentas e softwares que estão separadas por grupos.
112
Como trabalho futuro, além da comparação das ferramentas que já foi visto neste
documento, recomenda-se o aumento na quantidade de ferramentas utilizadas nos cenários,
113
uma investigação de onde partiu os ataques, os mecanismos mais apropriados para sua defesa
e dicas para evitar as mesmas ou novas invasões.
E acompanhando a tendência do mercado, buscar novas ferramentas que encontre
invasões ou danos envolvendo smartphones.
Buscando assim englobar a maior quantidade de conhecimento a fim de prevenir e
educar os usuários mais leigos, tanto no meio empresarial, quanto doméstico.
115
REFERÊNCIAS
BARROS, Eduardo Gomes de. Elementos básicos de perícia forense computacional. 2009.
Disponível em: <http://pt.pdfsb.com/manual+de+computacion+forense>. Acesso em: 26 de
fev. 2013
CAIS (2013) Estatísticas de Incidentes Reportados ao CAIS por ano. Disponível em:
<http://www.rnp.br/cais/estatisticas/index.php>. Acesso em: 17 jun. 2013
CERT.br (2013a). Estatísticas total de incidentes reportados ao CERT.br por ano. Disponível
em: <http://www.cert.br/stats/incidentes/#2013>. Acesso em: 17 jun, 2013.
FAIRBANKS, Kevin D.; LEE, Christopher P.; OWENS, Henry L. Forensic Implications of
Ext4. Atlanta: GA, 2010.
FREITAS, Andrey Rodrigues de. Perícia aplicada a informática: ambiente Microsoft. Rio
de Janeiro: Brasport, 2006. Disponível em: <http://books.google.com.br/books?id=HT-
MhC3RxR0C&printsec=frontcover&dq=pericia+forense+computacional+para+windows&hl
=pt-BR&sa=X&ei=-
qP1UJ3AEYi69gSd9oHYCA&ved=0CD8Q6AEwAQ#v=onepage&q&f=false>. Acesso em:
15 jan. 2013.
GALVÃO, Ricardo Kléber M.. Perícia forense computacional. In: SEGINFO2009, IV., 2009,
Rio de Janeiro. Workshop de segurança da informação. Rio de Janeiro: _, 2009. p. 1 - 123.
MELO, Sandro. Computação forense com software livre: conceitos, técnicas, ferramentas e
estudos de casos. Rio de Janeiro: Alta Books, 2009.
MORIMOTO, Carlos E.. Hardware: o guia definitivo. [S/l]: Gdh Press e Sul Editores, 2007.
848 p. Disponível em: <http://www.hardware.com.br/livros/hardware/>. Acesso em: 24 jan.
2013.
REIS, Marcelo Abdalla dos; GEUS, Paluo Lício de. Análise forense de intrusões em
sistemas computacionais: técnicas, procedimentos e ferramentas. [S/l]. (2002).
ROHRMANN, Carlos Alberto. Curso de direito virtual. Belo Horizonte: Del Rey, 2005.
290 p. Disponível em:
<http://books.google.com.br/books?id=CSfQSpKvJ20C&pg=PA121&dq=Crimes+de+Inform
%C3%A1tica+e+seus+Aspectos+Processuais&hl=pt-
PT&sa=X&ei=tFEIUdDbKc7v0QGfroCYAQ&ved=0CDYQ6AEwAQ#v=onepage&q&f=fal
se>. Acesso em: 29 jan. 2013.
STEWART, James Michael; TITEL, Ed; CHAPPLE, Mike. Certified information systems
security professional. Study Guide.4.ed. Indiana: Wiley, 2008.