Escolar Documentos
Profissional Documentos
Cultura Documentos
Perícia Computacional
Sistematização
Japão
2010
2
SUMÁRIO
1. INTRODUÇÃO...................................................................................................................5
2. PROCESSO INVESTIGATIVO.......................................................................................6
2.1. Fases...............................................................................................................................7
3. ESTUDO DE CASO............................................................................................................9
3.1. CASO I..........................................................................................................................9
3.1.1. Introdução............................................................................................................9
3.1.2. Características do equipamento apreendido........................................................9
3.1.3. Coleta de dados..................................................................................................10
3.1.4. Exame de dados.................................................................................................12
3.1.5. Análise das Informações....................................................................................13
3.1.5.1. Ferramentas de Perícia Utilizadas.........................................................14
3.1.6. Interpretação dos Resultados.............................................................................18
3.2. CASO II.....................................................................................................................21
3.2.1. Introdução..........................................................................................................21
3.2.2. Características do equipamento apreendido......................................................21
3.2.3. Coleta de dados.................................................................................................23
3.2.4. Exame de dados.................................................................................................24
3.2.5. Análise das Informações....................................................................................25
3.2.6. Interpretação dos Resultados.............................................................................27
4. DISCUSSÃO E CONCLUSÃO.....................................................................................29
5. REFERÊNCIAS BIBLIOGRÁFICAS...........................................................................31
3
LISTA DE FIGURAS
Figura 3: PornStick...................................................................................................................14
RESUMO
Esta sistematização apresenta o trabalho técnico de profissionais em perícia digital que foram
contratados para realizar exame de local de crime digital e/ou de falhas de vulnerabilidade em
dois casos ocorridos dentro de ambientes organizacionais. É realizado uma análise e
apresentado as técnicas e ferramentas utilizadas pelos profissionais em perícia forense.
Também constará detalhes sobre o processo de perícia forense aplicada e a importância de
seguir procedimentos específicos imediatamente depois de um crime por computador.
1. INTRODUÇÃO
As últimas décadas foram marcadas pela integração dos computadores no modo de vida das
pessoas. Não é de se espantar o fato de que essa revolução computacional tenha atingido
também o mundo do crime. A tecnologia dos computadores está envolvida em um número
crescente de atividades ilícitas. Além de serem utilizados como ferramentas para a
consumação de alguns tipos de crimes (como, por exemplo, invasão de sistemas,
disseminação de pornografia infantil e fraude), os computadores podem conter evidências
relacionadas com qualquer tipo de atividade ilícita.
O aumento dramático em crimes relacionados com computadores requer um maior
entendimento de como se obter e utilizar evidências eletrônicas armazenadas em
computadores. Tal entendimento pode ser alcançado através dos conceitos e metodologias da
forense computacional.
A forense computacional compreende a aquisição, preservação, identificação, extração,
restauração, análise e documentação de evidências computacionais, quer sejam componentes
físicos ou dados que foram processados eletronicamente e armazenados em mídias
computacionais.
O propósito do exame forense é a procura e extração de evidências relacionadas com o caso
investigado, que permitam a formulação de conclusões acerca da infração. Existem duas
abordagens no que diz respeito ao objetivo final da análise forense. Na primeira, a análise
forense busca obter informação de valor probante (coerente com as regras e leis das
evidências e admissível em uma corte de justiça) a ser utilizada em um processo criminal. Na
segunda abordagem, o exame é realizado dentro de uma corporação com o objetivo de
determinar a causa de um incidente e assegurar que o mesmo não ocorra novamente, sem que
haja preocupação com formalidades legais.
Mesmo que não haja intenção de se instituir um processo criminal, toda investigação deve
considerar como prática padrão a utilização de metodologias e protocolos que garantam sua
possível aceitação em uma corte de justiça. Tratar todo caso com a formalidade de um
processo criminal ajuda a desenvolver bons hábitos de investigação.
6
2. PROCESSO INVESTIGATIVO
Existem dois métodos de investigação um com computador ligado e outro com ele desligado,
quando possível em uma investigação os dois métodos são utilizados.
Caso o computador seja entregue para a perícia , ainda ligado, devemos procurar sempre
salvar as informações voláteis antes de desligar o computador para análise. Os dados voláteis
são informações que geralmente são perdidas quando o computador é desligado. É importante
manipular com muito cuidado este tipo de dado. As ferramentas e a ordem em que estas
informações serão coletadas são importantes para não perder ou alterar outras informações
voláteis. Necessitamos dos dados voláteis sempre que houver indícios de informações
relacionadas com o incidente na memória do computador, nas conexões de rede ativas, no
processo em execução nos arquivos temporários que são apagados automaticamente ao fechar
os aplicativos ou ao desligar os computados. Os dados em uma investigação podem estar
tanto localmente como em uma rede. Com o computador desligado é executada através de
uma cópia baseada em bits da evidência original, esta cópia é uma imagem completa
proveniente de uma fonte, inclui o setor de inicialização, partições e espaços de discos não-
alocados. Quando trabalhamos com o computador desligado temos uma maior segurança
relacionada à integridade dos dados. Pois podemos fazer cópias desta imagem e trabalhar
nelas ao invés de trabalhar na evidência original. Este método é recomendado sempre que
possível, pois diminui o risco de danos na evidência original.
Realizar o levantamento e documentar todas as fontes potenciais de dados que poderão ser
úteis na investigação.
A perícia deve seguir quatro procedimentos básicos: todas as evidências precisam ser
IDENTIFICADAS, PRESERVADAS, ANALISADAS E APRESENTADAS. Figura 1
2.1. Fases
Manter integridade;
Identificar e documentar;
3. ESTUDO DE CASO
3.1. CASO I
3.1.1. Introdução
CASO: A equipe de perícia policial apreendeu um computador, do tipo PC, utilizado pelo
funcionário Osama Silva, pertencente aos quadros da Empresa Alfa. Tal computador fora
apreendido sob suspeita de ser utilizada como servidor de arquivos pornográficos distribuídos
para uma rede de relacionamentos que possui site e lista de distribuição na Internet. Suspeita-
se também da prática de pedofilia.
Figura 2
Foi realizado o levantamento e documentado todas as fontes potenciais de dados que poderão
ser úteis na investigação:
dispositivos de armazenagem da CPU (registradores e caches);
memória de periféricos (memória de vídeo, por exemplo);
memória principal do sistema;
tráfego de rede (pacotes em trânsito na rede);
estado do sistema operacional (como, por exemplo, estado das conexões de rede e dos
processos em execução e configurações do sistema);
dispositivos de armazenagem secundária
Sistema Windows
Art. 158. Quando a infração deixar vestígios, será indispensável o exame de corpo de delito,
direto ou indireto, não podendo supri-lo a confissão do acusado.
Art. 169. Para o efeito de exame do local onde houver sido praticada a infração, a
autoridade providenciará imediatamente para que não se altere o estado das coisas até a
chegada dos peritos, que poderão instruir seus laudos com fotografias, desenhos ou
esquemas elucidativos. (Vide Lei nº 5.970, de 1973)
Parágrafo único. Os peritos registrarão, no laudo, as alterações do estado das coisas e
discutirão, no relatório, as conseqüências dessas alterações na dinâmica dos fatos. (Incluído
pela Lei nº 8.862, de 28.3.1994)
Art. 170: "Nas perícias de laboratório, os peritos guardarão material suficiente para a
eventualidadede nova perícia. Sempre que conveniente, os laudos serão ilustrados com
provas fotográficas, ou microfotográficas, desenhos ou esquemas“.
Art. 171: "Nos crimes cometidos com destruição ou rompimento de obstáculo a subtração da
coisa, ou por meio de escalada, os peritos, além de descrever os vestígios, indicarão com que
instrumentos, por que meios e em que época presumem ter sido o fato praticado".
Depois dos primeiros registros da cena e de garantida a segurança do local e da equipe, foi
voltado toda a atenção para a varredura minuciosa e sistemática da cena.
12
Correlacionamento de logs.
Análise do tráfego da rede (logs de roteadores, firewalls, ...).
Histórico do shell.
MAC Times.
Recuperação de arquivos apagados ou análise do dump do disco.
Análise de artefatos encontrados no sistem;.
Arquivos que haviam sido removidos e foram recuperados;
Arquivos ocultos;
Fragmentos de arquivos encontrados nas áreas não alocadas;
Fragmentos de arquivos.
Foram encontrados arquivos excluídos, trechos de texto encontrados em parte do disco não
alocada pelo sistema de arquivos e trechos de texto encontrados em setores alocados por
outros arquivos.
Foram realizadas buscas por comandos e endereços IP que poderiam gerar os logs
apresentados em formato impresso
Em nenhum momento foi encontrado algum indício de invasão propriamente dita, e sim, um
acesso remoto com um usuário e senha legítimos.
Foram constatados acessos legítimos utilizando credenciais autênticas e válidas.
Foram verificadas seqüências de comandos compatíveis com a geração dos logs impressos.
Foi realizada , então, uma busca por palavras-chave sem a utilização de expressões regulares,
pois se procuravam palavras específicas, incluindo usuário e endereço IP do servidor.
13
PORNSTICK
Figura 3: PornStick
15
Afind.exe
Arp.exe
Cacls.exe
Ferramenta de linha de comando que mostra quem tem acesso ao arquivo e seus respectivos
direitos de acesso. Figura 5
Cipher.exe
Date.exe
Utilizado para capturar a data e a hora do sistema. O programa pode ser utilizado para
registrar a data e hora de início e fim de uma perícia. Figura 7
Dumpel.exe
File Scavenger
É uma ferramenta de recuperação de arquivos em disco nos formatos FAT12, FAT16, FAT32
e NTFS. Quando os arquivos são excluídos do disco, na realidade eles ainda estão lá, até que
seu espaço utilizado no disco seja subscrito por outro arquivo. Figura 8
Figura 8
18
Netstat
O Laudo pericial é um relatório técnico sobre a investigação, onde são apontados os fatos,
procedimentos, análises e resultados. O laudo é considerado como prova em um processo.
Após os exames e análise das informações foi elaborado o laudo pericial, no qual foi utilizada
uma linguagem técnica acessível, sem excessos, seguindo recomendações de normas técnicas
apropriadas. Foi informada toda a metodologia utilizada, técnicas empregadas, incluindo
programas e materiais. Foi explanado conclusões cronológicas sobre o que ocorreu, ou seja,
“a reconstrução” do evento. Por fim, foi elaborado afirmações que possam ser provadas e
demonstradas, sobre as quais baseará a conclusão.
Art. 160. Os peritos elaborarão o laudo pericial, onde descreverão minuciosamente o que
examinarem, e responderão aos quesitos formulados. (Redação dada pela Lei nº 8.862, de
28.3.1994)
Parágrafo único. O laudo pericial será elaborado no prazo máximo de 10 (dez) dias,
podendo este prazo ser prorrogado, em casos excepcionais, a requerimento dos peritos.
(Redação dada pela Lei nº 8.862, de 28.3.1994)
Art. 170. Nas perícias de laboratório, os peritos guardarão material suficiente para a
eventualidade de nova perícia. Sempre que conveniente, os laudos serão ilustrados com
provas fotográficas, ou microfotográficas, desenhos ou esquemas.
§1º - Incorre na mesma pena quem, nas condições deste artigo, contracena com criança ou
20
II. Se o agente comete o crime com o fim de obter para si ou para outrem vantagem
patrimonial.
Art. 241- Apresentar, produzir, vender, fornecer, divulgar ou publicar, por qualquer meio de
comunicação, inclusive rede mundial de computadores ou internet, fotografias ou imagens
com pornografia ou cenas de sexo explicito envolvendo criança ou adolescente: (redação
dada pela lei n.º 10.764, de 12.11.2003).
§1º. Incorre na mesma pena quem: (incluído pela lei n.º 10.764, de 12.11.2003).
II. Assegura os meios ou serviços para o armazenamento das fotografias, cenas ou imagens
produzidas na forma do caput deste artigo;
III. Assegura, por qualquer meio, o acesso, na rede mundial de computadores ou internet, das
fotografias, cenas ou imagens produzidas na forma do caput deste artigo.
§ 2º. A pena é de reclusão de 3(três) a 8(oito) anos (incluido pela lei 10.764, de 12.11.2003).
II. Se o agente comete o crime com o fim de obter para si ou para outrem vantagem
patrimonial.
Art. 244 – A. submeter criança ou adolescente, como tais definidos no caput do art. 2º. Desta
lei, a prostituição ou a exploração sexual: (incluído pela lei n.º 9.975, de 23.06.2000).
21
§1º. Incorrem nas mesmas penas o proprietário, o gerente ou o responsável pelo local em que
se verifique a submissão de criança e adolescente as práticas referidas no caput deste
artigo.(incluído pela lei n.º 9.975, de 23.06.2000).
3.2. CASO II
3.2.1. Introdução
01 (um) servidor de correio eletrônico, web e Proxy, baseado em S.O Linux RedHat;
Foi realizado o levantamento e documentado todas as fontes potenciais de dados que poderão
ser úteis na investigação.
Sistema Windows
Sistema Linux
Dados voláteis.
Espaço livre ou não-alocado, onde se pode obter informações de arquivos excluídos.
Arquivos de Logs.
Logs dos aplicativos não gerenciados pelo Sistema Operacional.
Arquivo de troca (Swap).
Arquivos especiais de configuração.
Arquivos relevantes.
Diretórios temporários.
E-mails enviados ou recebidos.
24
Processos marginais.
Spool de impressão.
Art. 158. Quando a infração deixar vestígios, será indispensável o exame de corpo de delito,
direto ou indireto, não podendo supri-lo a confissão do acusado.
Art. 169. Para o efeito de exame do local onde houver sido praticada a infração, a
autoridade providenciará imediatamente para que não se altere o estado das coisas até a
chegada dos peritos, que poderão instruir seus laudos com fotografias, desenhos ou
esquemas elucidativos. (Vide Lei nº 5.970, de 1973)
Parágrafo único. Os peritos registrarão, no laudo, as alterações do estado das coisas e
discutirão, no relatório, as conseqüências dessas alterações na dinâmica dos fatos. (Incluído
pela Lei nº 8.862, de 28.3.1994)
Depois dos primeiros registros da cena e de garantida a segurança do local e da equipe, foi
voltado toda a atenção para a varredura minuciosa e sistemática da cena.
HELIX
A busca permite que tanto o espaço alocado quanto o espaço livre sejam varridos, em busca
do padrão desejado. Há ainda um conjunto de buscas pré definidas, como busca por endereço
IP, por datas, entre outros. O sistema armazena também um histórico com as últimas buscas e
o número de resultados gerados a partir dela. Através da função "Extract Strings" é possível
extrair os strings da imagem, tornando a busca mais eficiente. Figura 12
27
Art. 160. Os peritos elaborarão o laudo pericial, onde descreverão minuciosamente o que
examinarem, e responderão aos quesitos formulados. (Redação dada pela Lei nº 8.862, de
28.3.1994)
Parágrafo único. O laudo pericial será elaborado no prazo máximo de 10 (dez) dias,
podendo este prazo ser prorrogado, em casos excepcionais, a requerimento dos peritos.
(Redação dada pela Lei nº 8.862, de 28.3.1994)
Art. 170. Nas perícias de laboratório, os peritos guardarão material suficiente para a
eventualidade de nova perícia. Sempre que conveniente, os laudos serão ilustrados com
provas fotográficas, ou microfotográficas, desenhos ou esquemas.
28
Artigo 153 do CPB: Violação de segredo – “Divulgar alguém, sem justa causa, conteúdo de
documento particular ou de correspondência confidencial, de que é destinatário ou detentor,
e cuja divulgação possa produzir danos a outrem”.
Artigo 154 do CPB: Violação de segredo profissional – “Revelar alguém, sem justa causa,
segredo, de que tem ciência em razão de função, ministério, ofício ou profissão, e cuja
revelação possa produzir dano a outrem”. Note-se que a ação deve ser praticada por quem
possua vínculo profissional com a empresa.
Artigo 155 do CPB: - Furto - “Subtrair para si ou para outrem coisa alheia móvel.”: nesse
rol podemos enquadrar o furto de informações (dados), o desvio de dinheiro entre contas etc.
Artigo 171 do CPB: Estelionato – “Obter, para si ou para outrem, vantagem ilícita, em
prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou
qualquer outro meio fraudulento”.
Foram citadas apenas algumas leis, nas quais o criminoso virtual pode ser enquadrado, mas há
várias outras leis que podem ser utilizadas para a finalidade de punição de crime virtual.
29
4. DISCUSSÃO E CONCLUSÃO
Forense computacional é um tema bastante atual e que tem recebido significativa atenção
tanto da comunidade científica quanto da indústria. Muitas fraudes eletrônicas tem se
baseado na ingenuidade de usuários e conseqüentemente na execução de malwares.
Mesmo com a existência de várias ferramentas e técnicas para destruição de provas,
prejudicando o trabalho do perito, muitas vezes a eliminação total das provas pode não ser
conseguida. Isso pode acontecer devido à ocorrência de falha humana por parte do acusado
na execução de determinada ferramenta, pela ineficiência da mesma, ou pelo esquecimento de
eliminação de alguma pista ou evidência.
Existem diversas ferramentas que podem ser utilizadas em um exame pericial. Algumas
destas ferramentas são gratuitas e podem ser obtidas através da internet, outras são oferecidas
por empresas com custo de aquisição. É importante mencionar que ao escolher as ferramentas
que serão utilizadas em uma perícia forense computacional, deve se considerar o tipo de crime
e o ambiente que será analisado. É extremamente importante seguir as boas práticas de forense para
evitar o descarte de um laudo em um processo judicial.
A validade técnica e jurídica das metodologias para recuperar dados de computadores
envolvidos em incidentes de segurança tem se tornado fundamental, pois os procedimentos
têm que ser tecnologicamente robustos para garantir que toda a informação útil como prova
seja obtida e também de uma forma a ser legalmente aceita de forma a garantir que nada na
evidência original seja alterado, adicionado ou excluído.
A identificação da autoria é possível de ser realizada, mas ainda não é uma tarefa simples,
pois disso depende o armazenamento, por um período determinado, de arquivos de registros
pelos provedores, colaboração dos mesmos, uma cooperação mútua entre todos os países,
aprovação de projetos de leis exigindo armazenamento por determinado período de tempo
pelos provedores.
Devido à globalização dos crimes digitais é de fundamental que sejam feitos, em cada país,
esforços constantes a respeito de legislação local, nacional e internacional em conjunto com a
padronização de procedimentos, criação e uso de manuais de boas práticas aceitas
internacionalmente para a forense computacional.
Deste modo este trabalho mostra que uma investigação para obter o resultado satisfatório deve
passar por uma boa identificação, preservação, análise e apresentação de evidências de crimes
digitais. Estes conceitos têm como objetivo garantir que a evidência encontrada em meio
30
5. REFERÊNCIAS BIBLIOGRÁFICAS
Dos REIS, Marcelo Abdalla; de GEUS, Paulo Lício. Análise forense de intrusões em sistemas
computacionais: técnicas, procedimentos e ferramentas, 2002. Instituto de Computação –
Universidade Estadual de Campinas. Disponível em:
http://www.las.ic.unicamp.br/paulo/papers/2002-Periciamarceloreis-
forense.tecnicas.procedimentos.pdf
PELLEGRINI, Jerônimo; BERTACCHI, João Eduardo Ferreira; VITA, João Paulo Rechi.
Forense computacional, 22/06/2005. Instituto de Computação – Universidade Estadual de
Campinas. Disponível em:
http://www.ic.unicamp.br/~jeronimo/abstracts/forense.pdf
32
GUIMARÃES, Cardoso Célio; OLIVEIRA, Flávio de Souza; dos REIS, Marcelo Abdalla; de
GEUS, Paulo Lício. Forense computacional: aspectos legais e padronização – Instituto de
Computação – Universidade de Campinas. Disponível em:
http://www.las.ic.unicamp.br/paulo/papers/2001-WSeg-flavio.oliveiramarcelo.reis-
forense.pdf