Você está na página 1de 24

Perícia Título

Inserir ForenseAqui
Inserir Título Aqui
Computacional
Tipos de Investigações com Uso da Perícia Forense Computacional

Responsável pelo Conteúdo:


Me. Marcelo Carvalho

Revisão Textual:
Prof. Esp. Kelciane da Rocha Campos
Tipos de Investigações com Uso
da Perícia Forense Computacional

Fonte: Getty Images


Nesta unidade, trabalharemos os seguintes tópicos:
• Particularidades e Rotinas do Perito Forense Computacional;
• Descrição Geral da Atividade;
• Coleta de Evidências Computacionais;
• Exame de Evidências Computacionais.

Objetivo
• Descrever tipos de investigações comumente conduzidas por peritos forenses, tipos de
evidências analisadas, a capacitação desses profissionais e o relacionamento de suas ati-
vidades com o gerenciamento de segurança da informação, em uma visão holística.

Caro Aluno(a)!

Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o úl-
timo momento o acesso ao estudo, o que implicará o não aprofundamento no material
trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas.

Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você
poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns
dias e determinar como o seu “momento do estudo”.

No material de cada Unidade, há videoaulas e leituras indicadas, assim como sugestões


de materiais complementares, elementos didáticos que ampliarão sua interpretação e
auxiliarão o pleno entendimento dos temas abordados.

Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de
discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de
propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de
troca de ideias e aprendizagem.

Bons Estudos!
UNIDADE
Tipos de Investigações com Uso da Perícia Forense Computacional

Contextualização
O trabalho de um perito forense computacional pode ser demandado em diferentes
circunstâncias e com propósitos distintos. Nesta unidade, você irá compreender, por
meio de exemplos, o seu trabalho em casos onde houver a necessidade de sua atuação
para realização de provas para sustentar acusações em âmbito criminal.

Neste sentido, é importante perceber que o trabalho do perito forense, que se inicia
com a existência de incidentes de segurança, no escopo dessa unidade, concentra-se na
análise da evidência computacional. O entendimento do papel do perito, neste escopo,
se inicia compreendendo-se que ele, como agente investigador, não deve interferir na evi-
dência, mantendo-a o mais original possível, para que seja considerada válida e confiável.

Por isso, daremos atenção especial aos tipos de evidências e os cuidados para que es-
tas sejam aceitas como parte desses processos de investigação criminal nos quais ocorre
a investigação por parte do perito.

6
Particularidades e Rotinas do
Perito Forense Computacional
Como vimos na unidade anterior, o perito forense computacional é um tipo de perito
específico, diferenciado em razão dos objetos que ele examina. Em um cenário de crime,
por exemplo, dependendo das especialidades periciais requeridas para a coleta de evi-
dências, diferentes peritos podem ir a campo. Por exemplo, um perito realizará a análise
documentoscópica, avaliando petrecho de falsificação documental, enquanto outro realiza
a análise do local do crime e avalia evidências de arrombamento. Já o perito forense com-
putacional avalia um dump de memória do aparelho celular da vítima. Nesta seção, vamos
verificar os ambientes e atividades que representam a rotina deste perito em especial.

Descrição Geral da Atividade


Envolve a busca, coleta e análise dos vestígios deixados em objetos computacionais
contidos em mídias diversas, dispositivos de hardware, incluindo os de armazenamento
eletrônico. Também envolve a análise dos sistemas, aplicativos, redes de computadores e
links de telecomunicações envolvidos no armazenamento, processamento e/ou envio de
informações. Este profissional avalia não só o conteúdo em si, mas também proprieda-
des, configurações e estado físico dos equipamentos de informática em geral, quando se
refere à sua natureza, funcionalidade, histórico de utilização, entre outras características.

É importante notar que este profissional exerce sua atividade em um contexto de


múltiplas pressões e influências externas, que podem influenciá-lo negativamente se mal
administradas. Não se trata apenas de pressão de tempo ou qualidade nos resultados,
como vemos em várias outras profissões. Como retratado na Figura 1, aqui estamos
falando de uma vasta cadeia de influenciadores, principalmente em casos notórios
e com divulgação da imprensa. Permanecer alheio a essas pressões e influências
para a conclusão de um trabalho isento e idôneo é um grande desafio para o perito.

Juízes Advogados
Médicos promotores e assistentes
legistas delegados técnicos Presidentes
e papilos- de polícia
copistas de comissões
parlamentares
Universidades de inquéritos e de
e centros de Perícia inquéritos
pesquisa forense policiais-
computacional militares

Imprensa
Fornecedores
de Grande
tecnologias Policiais civis, público
militares e Vítimas,
rodoviários; suspeitos
e/ou familiares; Organizações
corpo de
testemunhas de direitos
bombeiros humanos

Figura 1 – Ilustração das influências externas ao trabalho do perito forense computacional


Fonte: Adaptada de TOLEDO & RODRIGUES, 2017

7
7
UNIDADE
Tipos de Investigações com Uso da Perícia Forense Computacional

Exemplos de atividades
Todas as atividades pressupõem que o perito recebeu a autorização/mandado para
realização das coletas e análises nos locais indicados. Trâmites processuais e detalhes
estão omitidos para dar foco a exemplos contendo passos principais.

Exame de sites e servidores de internet


• Objetivo: Análise de vestígios diretamente relacionados a eventos/incidentes ocor-
ridos na Internet;
• Exemplo de contexto (criminal): Pedofilia e exploração sexual;
• Exemplo de rotina: Perito faz uma cópia da página Web, conservando o estado
atual da mesma (possivelmente útil na comparação com artefatos encontrados no
computador sob investigação, como URLs, imagens, CSS, etc.). Em seguida, visita
o local do evento e coleta ou copia os dados em disco e em memória do computa-
dor a ser investigado. Observa indícios de compartilhamento, cópia ou reprodução.
Em caso de recuperação de imagens, procura por informações de GPS ou da câme-
ra fotográfica usada, comprovação de cenas sexuais e estima a idade dos envolvidos.
Analisa o cenário de conectividade da infraestrutura identificando equipamentos,
provedor de acesso, número da linha telefônica ou ID do modem usado na conexão,
etc. e extrai logs, quando possível, desses elementos envolvidos na comunicação.
Por último, recebe os dados de acesso do provedor de internet envolvido na comu-
nicação, contendo os dados de acesso e logs de ações realizadas no período;
• Observações e dificuldades: O processo de coleta de evidências de rede e ob-
tenção de dados do(s) provedor(es) de internet que hospedam o site envolvido no
escopo da investigação representa uma dificuldade, à medida que pode apresentar
resistência ou impossibilidade técnica para disponibilização de dados daquele usuá-
rio (ex.: criptografia de dados fim a fim). Mesmo encontrando imagens de boa qua-
lidade e resolução, em que apareçam os investigados e que estes sejam conhecidos,
a sua identificação unívoca depende do tipo das imagens disponíveis, colocando-os
no contexto do ilícito e possibilidade de reconhecimento facial.

Correio eletrônico
• Objetivo: Examinar mensagens de correio eletrônico (e-mails);
• Exemplo de contexto (criminal): Envio de mensagens envolvendo difamação
e ameaça;
• Exemplo de rotina: Perito copia a(s) mensagem(s) para identificação de origem e/
ou autoria, extração do conteúdo textual/html do correio eletrônico, endereços de
e-mail envolvidos na comunicação, anexos e endereço de servidores de envio pre-
sentes nas propriedades da mensagem;
• Observações e dificuldades: As mensagens podem ter sido codificadas ou não
possuírem elementos textuais que claramente exibam conteúdo inteligível. Técnicas
de esteganografia podem ter sido aplicadas. Os anexos podem ser protegidos por

8
senha ou criptografados. Os endereços de envio são proxies montados apenas
para envio temporário, com serviço SMTP não mais existente e, portanto, não
mais rastreáveis.

Dispositivo de armazenamento portátil ou removível (inclusive BYOD)


• Objetivo: Identificação de conteúdo e rastreio de último uso;
• Exemplo de rotina: Perito recolhe/desconecta mídia do local (ex.: disco rígido,
SD, cartão-chip, pen-drive, disco óptico, disco flexível, fita DAT, CD, DVD, ROM,
RAM, etc.) e leva para exame laboratorial, procurando por indícios de uso recente
e eventual conteúdo remanescente. Identifica resíduos de manuseio, impressões
digitais e restos orgânicos. Verifica trilhas, discos e memórias com informações em
meio digital presentes. Extrai conteúdos, tabelas de endereçamento, etc. Categoriza
tipos e formatos de arquivos encontrados e identifica palavras-chave de interesse
para rastreio e correlacionamento (ex.: números telefônicos, endereços de e-mail,
nome de usuários, apelidos virtuais, Crawl Stats e tokens de rastreio Search Engi-
ne Optimizers – SEO, cookies, etc.);
• Exemplo de contexto (criminal): Roubo de informação;
• Observações e dificuldades: Mídias não magnéticas deixam pouca informação
remanescente quando formatadas.

Computador pessoal
• Objetivo: Identificar características particulares que possam ligá-lo a um evento ilícito;
• Exemplo de rotina: Perito coleta o computador e leva ao laboratório para análise.
Identifica resíduos de manuseio, impressões digitais e restos orgânicos. Desmonta,
fotografa partes móveis, identifica componentes com informações de rastreio fabril
e realiza a análise de dispositivo de armazenamento portátil ou removível. Procura
por indícios específicos de documentos relacionados ao tema e/ou de vantagens
para si ou outros, documentada;
• Exemplo de contexto (criminal): Espionagem industrial;
• Observações e dificuldades: Equipamentos de uso coletivo ou público. Equipa-
mentos destruídos deliberadamente pelo autor. Não há arquivos contendo progra-
mas ou códigos-fontes capazes de capturar informações (Ex. informações bancá-
rias), caracterizando o roubo de informações sob análise. Provas de materialidade
e de autoria de crime foram removidas (dispositivo de armazenamento portátil ou
removível) ou as que foram usadas residiam em servidor remoto, apenas comanda-
das no computador sob análise.

Periféricos, equipamentos de rede e telecomunicações conectados


• Objetivo: Exames em equipamentos computacionais auxiliares (periféricos);
• Exemplo de rotina: Perito mede a potência de sinal e abrangência da cobertu-
ra da rede Wi-fi sob análise para determinar locais possíveis de acesso e realiza-
ção da ação sob análise. Recolhe e analisa em laboratório os equipamentos Wi-fi

9
9
UNIDADE
Tipos de Investigações com Uso da Perícia Forense Computacional

envolvidos no contexto, extraindo logs e informações presentes em disco/SD/


ROM e memória. Avalia o roteador Wi-fi, comprovando a possibilidade de conexão
anônima no equipamento e/ou existência de senhas fracas ou autenticação por
meio de provedores (neste último caso, solicita autenticações realizadas no período
de tempo investigado aos provedores);
• Exemplo de contexto (criminal): Rastreio de invasão de sites apontou como ori-
gem um Hot-Spot Wi-fi em aeroporto local;
• Observações e dificuldades: Equipamentos recebem milhares de conexões e não
utilizam Syslog ou outra forma de registro e envio de ações monitoradas para re-
positório centralizado. Equipamento Wi-fi não possui autenticação ou não guarda
registros de conexão (ex.: impossibilidade física de guarda de registro interno ou
evidência de senha de administração default/conhecida com possibilidade de ter
sido manipulado para deleção de evidências).

Ambiente computacional (data center)


• Objetivo: Exames em ambientes computacionais de corporações;
• Exemplo de rotina: Perito visita o data center e localiza servidores envolvidos no
evento sob análise, após verificar os registros de entrada e direcionamento de tráfego IP
(considerando o IP rastreado como origem para o caso sob análise) para a rede interna
a partir do endereço de entrada (WAN) no(s) gateway(s) do data center. Perito solicita a
retirada ou cópia de informações de disco e memória dos servidores envolvidos;
• Exemplo de contexto (criminal): Ataques de negação de serviço (DOS) rastreados
a partir de endereço IP de responsabilidade de uma organização;
• Observações e dificuldades: Data center opera com conceitos de virtualização,
computação em nuvem com alocação distribuída e dinâmica de recursos e balance-
amento de carga (load-balance), dificultando a localização de um servidor específico
envolvido na ação. É impraticável, nesses casos, a retirada ou cópia de informações
de disco e memória de todos os servidores existentes, devido ao tamanho da infra-
estrutura de TI.

Aplicativo ou sistema de informação


• Objetivo: Exame de aplicativos ou sistemas de informação (freeware, comerciais/
proprietários, ou códigos/rotinas desenvolvidas de forma experimental (códigos
maliciosos, ransomware, malwares e vírus, trojans, etc.);
• Exemplo de rotina: Perito identifica a presença do programa (em execução ou
não) por meio da verificação de serviços/threads do sistema operacional. Caso es-
teja em execução, extrai os dados de memória. Em seguida, extrai o código do pro-
grama para análise laboratorial. Identifica dependência de componentes, existência
de backdoor ou componentes antiforenses no código. Após identificar a intenção
do código, executa-o em ambiente isolado (sand-box) e observa seu comportamen-
to, conexões abertas e tráfego de informação;

10
• Exemplo de contexto (criminal): Sequestro de bancos de dados (ransomware) e
pedido de resgate com preço fixado em moeda virtual;
• Observações e dificuldades: Códigos ofuscados e codificados dificultam a iden-
tificação de conteúdo e propósito. Técnicas antiforenses podem agir ativamente
contra equipamentos e ferramental de análise usados pelo perito, modificando ou
eliminando evidências.

Registro histórico, logs e trilhas de auditoria


• Objetivo: Exames nos registros de alertas e eventos gerados por um sistema;
• Exemplo de rotina: Perito analisa logs de eventos locais e/ou disponíveis em servi-
dor centralizado. Combina visualizações de múltiplas fontes (ex.: por meio de Secu-
rity Information and Event Management – SIEM) para reconstrução de ações em
linha do tempo. Com base nas ações capturadas, estabelece um roteiro de ações e
atores envolvidos;
• Exemplo de contexto (criminal): Genérico. Crimes virtuais, envolvendo qualquer
tipo de interação computacional;
• Observações e dificuldades: Logs não apresentam sincronia em relação à refe-
rência temporal, impossibilitando a visualização em sequência ou determinação do
conjunto de eventos e alertas pertinentes ao escopo da avaliação.

Telefone móvel (celulares)


• Objetivo: Exames de extração de dados armazenados em aparelhos de telefonia celular;
• Exemplo de rotina: Perito coleta o(s) telefone(s) sob investigação e leva para análise
laboratorial. Identifica registro de chamadas recebidas, perdidas e realizadas. Identi-
fica IMEI ou ESN/HEX ESN e obtém dados de uso junto à operadora de telefonia.
No caso de smartfone, verifica registros de acesso à Internet, redes sociais e e-mail.
Realiza a cópia de dados em disco e memória. Dependendo do sistema operacional
e/ou recursos de guarda de mídia na nuvem associados, solicita dados ao fornecedor
do telefone (fabricante e/ou responsável pelo serviço de nuvem associado);
• Exemplo de contexto (criminal): Prisão após escuta telefônica;
• Observações e dificuldades: Telefones com facilidades de bloqueio e reset remoto
podem impossibilitar a extração de dados.

Coleta de Evidências Computacionais


Tipos de evidência
Dependendo do escopo do incidente sob investigação ou mesmo do acesso do perito
(escopo de usuário autenticado, por exemplo), diferentes tipos de cópias das evidências
podem ser realizados na auditoria.

11
11
UNIDADE
Tipos de Investigações com Uso da Perícia Forense Computacional

• Imagem física: informações de todos os segmentos e fragmentos do disco (cópia


binária), também conhecidas como RAW;
• Imagem lógica: cópia de arquivos de diretórios (equivalente aos arquivos que são
exibidos pelo gerenciador de arquivos, ex.: Windows Explorer);
• Cópia seletiva: seleção de documentos ou arquivos de interesse para a investigação.

Classificações de evidência
Dependendo da acessibilidade dada ao perito, algumas classificações de evidência
podem não estar acessíveis. Por exemplo, a impossibilidade de recolher fisicamente o
servidor envolvido no incidente (pois ele pertence a serviços de outros usuários, por
exemplo) pode forçar o perito a realizar exames apenas com a cópia do original.
• Evidência digital: informações digitais (dados) guardadas ou transmitidas, relacio-
nadas ao incidente e que possuem valor probatório;
• Itens físicos: objetos que podem ter sido envolvidos no processo de guarda ou
transmissão das informações digitais (dados) relacionadas ao incidente;
• Evidência digital original: objetos físicos que guardavam as informações (dados)
relacionadas ao incidente no momento da coleta (ex.: servidores, computadores, etc.);
• Evidência digital duplicada: uma réplica exata da evidência digital original (nor-
malmente efetuada pelo perito no local da coleta).

Requisitos para apresentação em juízo


Como você viu na unidade anterior, quando caracterizamos as habilidades do perito,
tanto as características técnicas quanto as de tradução das percepções obtidas nas evi-
dências para produção do laudo serão necessárias para a validade desses dados como
prova material em um processo.
• Admissível: coletada de forma legal, com procedimentos aceitáveis, devidamente
documentados e autorizados;
• Autêntica: deve permitir ligar o incidente ao material de evidência coletado;
• Completa: deve contar a história completa do incidente, não apenas a perspectiva
de interesse de uma parte específica (sem viés);
• Confiável: não pode haver nada sobre a evidência que ponha em dúvida sua veracidade;
• Acreditável: deve ser entendida pela corte no tribunal.

Exemplos de evidências não admissíveis são “grampos telefônicos”, como os que ve-
mos em reportagens, que mesmo revelando ilícitos não são aceitas como prova.

12
Já em relação à característica de autenticidade, o perito deve comprovar que as evi-
dências possuem associação ao incidente. Por exemplo, demonstrando informações de
data-hora e usuários nos eventos e alertas anexados como evidência ao processo em
que estes são acusados. Ainda nesse sentido, o perito deve comprovar que os eventos e
alertas anexados contam toda a sequência temporal sob investigação, ou justifique hiatos
em caso de impossibilidade da reconstrução total, sendo considerada completa (com o
máximo de dados possível).

Ao avaliarmos a propriedade de confiabilidade, o que normalmente se vê (na maioria


das vezes produzida automaticamente pelas ferramentas usadas na coleta de evidências)
é a geração de HASH para a comprovação de integridade do arquivo/conteúdos copia-
dos na investigação.

Por fim, a habilidade de tradução e contar a história de eventos suportados pelas


evidências técnicas de forma a propiciar o entendimento de leigos é o que confere a
característica de ser acreditável.

Uma última propriedade ou característica, relacionada ao ciclo de vida da evidência


(desde o momento que foi coletada até o momento da apresentação e anexo como
prova material), é chamada de cadeia de custódia. Como parte da cadeia de custódia,
devemos observar:
• onde, quando e por quem (perito) a evidência foi recolhida;
• onde, quando e por quem a evidência foi examinada ou manipulada;
• quem possui a custódia da evidência (todos os profissionais que manipularam a
evidência durante todo seu ciclo de vida);
• como foi guardada a evidência (locais e datas).

A coleta de evidências forenses computacionais possui uma característica importan-


te, relacionada à contaminação dos dados (interferências) causada pelo próprio processo
de perícia, que pode impossibilitar ou causar viés nos dados analisados. Ao inserir equi-
pamentos adicionais no objeto em análise, dependendo da interface usada, o simples
fato de gerar I/O ao SO é suficiente para alterar o estado deste objeto e interferir na
possibilidade de conclusões e laudo. Quando um perito observa a evidência coletada,
pode não ser possível reconhecer o estado daquele ativo computacional na época do
evento em análise, pois dependendo do equipamento, as informações novas, geradas
pela interferência do perito, são em quantidade suficiente para sobrepor aquelas que es-
tavam presentes originalmente. O simples fato de “logarmos” em um SO, reiniciarmos
o servidor ou iniciarmos novos aplicativos para visualização de conteúdo e informação
são suficientes para alterar dramaticamente o estado da máquina e, portanto, interferir
na observação do estado original do objeto computacional em análise.

13
13
UNIDADE
Tipos de Investigações com Uso da Perícia Forense Computacional

Figura 2 – Ferramentas para coleta de evidências computacionais


Fonte: archives.fbi.gov

Fenômenos de interferência na coleta de evidências


Aspectos físicos ligados ao fenômeno de interferência e contaminação dos objetos
computacionais pelo observador (perito) são aplicáveis na compreensão desse conceito,
um relacionado ao contato direto (Locard) e o outro quântico (Heisenberg), justificando
a influência pelo simples fato da observação.

Figura 3 – Teóricos da influência do observador: Locard e Heisenberg


Fonte: Adaptado de Wikimedia Commons

O princípio de incerteza na mecânica quântica de Heisenberg (conceito estabelecido


por ele em 1925) fala da impossibilidade de medição conjunta sem que haja interferência
do segundo objeto. Extrapolando para a observação do perito, durante a auditoria, signi-
ficaria dizer que se ele não estivesse observando aquele objeto em particular ele estaria
diferente do modo que se apresenta. Ou seja, o observador interferiu na evidência so-
mente por observá-la. Vale lembrar, no entanto, que essa teoria é percebida em objetos
pequenos e não tem proporção perceptível na escala macro. Dessa forma, ainda que
conheçamos e aceitemos os efeitos, eles podem ser considerados desprezíveis na escala
do trabalho do perito forense computacional. Essa teoria é usada como justificativa por
Heisenberg para explicar a incerteza quântica como “uma influência do observador”.

14
A teoria de Locard diz que o contato de dois itens produzirá uma permuta/transferên-
cia, referindo-se à característica eletrônica (no caso do ativo computacional) em que dois
elementos precisam estar em contato e comunicação para que haja a interação, dessa
forma caracterizando a interferência.

Programa em memory stick (USB)

nCASE ou outro equipamento


especializado
Netcat e remote code execution (RCE)

nc -l -vvv -p <porta> >


<arquivo de destino>

Auditor

Auditando

nc <ip investigador>
<porta> -e /dev/pmem

Figura 4 – Comparação da interferência gerada por uma análise


usando conexão remota ou inserção local de ferramenta
Fonte: Adaptado de Getty Images

Comparando dois exemplos de coleta, uma em que o perito conecta seu equipamen-
to diretamente e extrai o conteúdo (gerando I/O e usando os recursos da CPU para o
acesso à memória no sistema operacional ou, dependendo da ferramenta, interagindo
com o Direct Memory Access – DMA) e outra em que ele se conecta via rede para
acessar o conteúdo do ativo computacional em análise, temos dois tipos de interferên-
cias distintas sendo geradas. Como o acesso via interface física não requer login no SO,
dependendo da arquitetura da ferramenta, a interrupção de I/O pode prover acesso
à comunicação DMA e acesso aos dados em memória. Já se o mesmo acesso não
fornecer acesso, provavelmente a ferramenta precisará executar algum aplicativo para
só então acessar a memória, interferindo em maior proporção na evidência. No outro
exemplo, via Net Car (nc), o acesso pela rede também pode obter acesso aos dados
de arquivos em disco, mas raramente diretamente na memória. Normalmente, o único
componente que acessa a memória RAM da máquina é a CPU (processador). O recurso

15
15
UNIDADE
Tipos de Investigações com Uso da Perícia Forense Computacional

DMA permite que outros componentes também acessem a memória, sem que a CPU
tenha que realizar uma “cópia” para entregar aos solicitantes das interrupções, assim,
gerando menor interferência na evidência.

Ordem de coleta
Outro fator especialmente importante é a ordem de coleta. Chamado de “volatili-
dade” ou ordem de volatilidade (OOV), este conceito está relacionado diretamente ao
tipo de ativo e sua capacidade interna de guarda de informações. Ativos que retêm por
menos tempo a informação e, portanto, precisam receber prioridade na coleta de evi-
dências computacionais são chamados altamente voláteis.

A volatilidade é, no contexto do perito, a propriedade do ativo que pode impedir que


ele consiga ter acesso e analisar a evidência de um dado momento. Ou seja, quanto mais
tempo se passa entre o incidente de segurança relacionado e o momento da investigação
do perito, maior a chance de os dados que seriam necessários para a observação do
perito se perderem devido ao efeito de sobrescrever, conforme citado.

∙ Registradores, cache;
∙ Routing table, ARP cache, process table,
Volatility Order

estatísticas de Kernel, memória;


∙ Arquivos temporários deKernel, memória;
∙ Arquivos temporários e logs temporários;
∙ Mídias estáticas (HD e SD, SAN, BD, etc).

Figura 5 – Ilustração de ordem de volatilidade para coleta em relação aos tipos de ativos
Fonte: Adaptado de RFC 3227

Dilema forense
Considerando-se a capacidade de interferência do perito na evidência e sabendo-se
que o fator tempo joga contra o profissional forense no sentido de que a sua capacidade
de análise tende a decair a medida que mais tempo se passa entre o incidente de se-
gurança e a investigação, há uma escolha de procedimento de coleta que é conhecida
como dilema forense na literatura especializada.

De um lado, têm-se a urgência e completude da evidência, que conduzem ao pensa-


mento de que quanto mais rápido e mais dados se puder obter sobre um caso, maior será
a capacidade de análise e de se reproduzir o que se tinha à época do evento, levando, as-
sim, o perito a observar, por exemplo, a OOV para o estabelecimento de prioridades nas

16
coletas e seleção de todos os ativos envolvidos no incidente. Neste cenário, a prioridade
é manter os ativos em seu funcionamento normal, de forma a não interferir na evidência
e coletá-la em sua completude, na ordem de prioridade em relação à volatilidade de seus
componentes (ex.: HS/SD e memória RAM), o mais rapidamente possível.

De outro lado, temos a abordagem focada em preservação e isolamento, com o in-


tuito de segregar e conter o ambiente de forma que ele não “propague” o sintoma para
o restante da rede, aceitando que ao “desplugar” a máquina da rede e desligá-la, muitos
dados serão perdidos e o processo de investigação será impactado. Perceba que, nessa
abordagem, temos o foco no isolamento do incidente e não no processo de produção de
provas e coleta de evidências.

As técnicas antiforenses, envolvendo métodos utilizados para evitar (ou agir contra) ferra-
mentas de extração/análise de evidências, afetam diretamente a capacidade do perito forense
computacional em coletar essas evidências e produzir provas aceitas e anexas ao processo.
Mais informações sobre essa técnica e exemplos podem ser vistos em: http://bit.ly/2WRl567

Exame de Evidências Computacionais


Como você observou, grande parte das análises do perito forense está relacionada a
evidências de logs de equipamentos de rede, arquivos provenientes de disco ou presen-
tes em memória. Vimos também que, dependendo do tipo de abordagem para a coleta
de evidências, haverá uma interferência maior ou menor do perito forense, realizando
“transferência” e “contaminação” da prova.

Nesta seção, vamos falar um pouco sobre as diferenças conceituais das análises de
informação em disco e em memória, pois na próxima unidade já teremos uma explora-
ção prática nesse sentido. Então, você poderá vivenciar a experiência de um caso de uso
explorando a coleta e a análise de dados contidos nas duas mídias.

Como vimos nos tipos de evidência, na seção anterior, quando falamos de análise
de arquivos em disco, nos referindo a dados armazenados, seja em HD, SD ou mídia
equivalente, utilizamos basicamente dois tipos de cópia: uma cópia RAW, também cha-
mada de “bit-a-bit”, que nos proporciona uma cópia do estado em que o arquivo se
encontra na mídia de armazenamento e, portanto, pode ser considerada mais “fiel”;
e outra, utilizando os recursos do SO e sistema de gerenciamento de arquivos deste,
que interpreta as tabelas de alocação e formato configurados, organiza os dados distri-
buídos por meio do visualizador e exibe os arquivos e pastas de forma que possamos
copiá-los. Quando realizamos a cópia, via gerenciador de arquivos, além de receber
este “tratamento” de visualização e interpretação pelo SO e aplicativos, a evidência em
questão estará sujeita aos seus controles e restrições. Por exemplo, em uma auditoria
envolvendo um computador conectado à rede corporativa (conectada em um Active
Directory – AD), por exemplo), haverá restrições de autorização e características de
compartilhamento impostas por esses controles. Neste cenário, tanto o Discretionary

17
17
UNIDADE
Tipos de Investigações com Uso da Perícia Forense Computacional

Access Control (DAC) quanto o Role-based Access Control (RBAC) podem influenciar
a capacidade do auditor, caso haja permissões insuficientes, diretórios com acesso exclu-
sivo a um usuário, bitlocker ativo, etc.

Como vimos, uma importante tarefa do auditor é construir uma linha de tempo, as-
sociando eventos às evidências encontradas. Em relação aos arquivos, além do conteúdo
em si, o perito avalia várias propriedades de metadados que podem auxiliar na constru-
ção da linha do tempo. Uma propriedade de interesse do perito forense computacional
é a análise dos MAC times. Como todos os metadados de sistemas de arquivos, eles
podem ser alterados pelo próprio perito ao observá-los. Usar o próprio visualizador do
SO, portanto, não é o método mais adequado, pois causa essa “interferência” e “conta-
minação” na evidência. Alguns utilitários de cópia de arquivos irão explicitamente setar
os MAC times da nova cópia. Já outros vão alterar a propriedade ctimes, que não será
idêntica à do arquivo original que está sendo copiado. A maioria dos SO Linux não
irá setar a propriedade ctimes, por exemplo; já o Windows usando New Technology
File System (NTFS) sim. Normalmente as ferramentas de cópia utilizadas pelos peritos
forenses computacionais não causam essa interferência, mas é importante que você
saiba desse aspecto técnico e tenha essa preocupação com a preservação das provas.
O conjunto completo de propriedades MAC times é composto de:
• mtime (tempo de modificação);
• atime (tempo de acesso);
• ctime (tempo de alteração de metadados e tempo de criação).

Os MAC times, assim como outros metadados de arquivos, podem servir ao perito forense compu-
tacional para complementar sua percepção de ações registradas em logs de eventos, por exem-
plo. Mais detalhes sobre a estrutura e propriedades podem ser vistos em: http://bit.ly/2WQoYs6

Porém, nem sempre o perito terá acesso aos arquivos objeto de sua busca. Aliás, o
mais correto seria dizer que quase nunca terá, na medida que um atacante ou mesmo
um usuário corporativo raramente deixará para trás rastros tão óbvios de seus ilícitos.
Mas, então, onde mais procurar por evidências?

Dois locais particularmente interessantes são a memória virtual e espaços de memó-


ria tradicionais, o heap e o stack.

Como o recurso de memória foi um componente caro e limitado a baixas capacida-


des, historicamente, os SOs utilizaram subterfúgios para driblar problemas relacionados
a desempenho e capacidade de carregar grandes quantidades de dados que iriam ser uti-
lizadas sob demanda por programas, mas que não seriam possíveis de alocar no espaço
tradicional da RAM. Neste cenário, a memória secundária (memória virtual) é arquiteta-
da usando-se o disco do computador (HD ou SD, por exemplo). Programas complexos,
que precisam de vários dados, filtros, parâmetros, templates, etc., raramente os usam
ao mesmo tempo e para todas as atividades. Por isso, convém o uso de memória virtual,
permitindo a otimização de recursos.

18
A paginação é implementada em Sos, normalmente, por hardware específico con-
trolado pela CPU: Memory Management Unit (MMU). A paginação é obtida através de
consulta a tabelas que contêm os endereços das páginas de memória e os endereços
correspondentes das referências na RAM. Para diminuir a necessidade constante des-
sa consulta e cópia, há um recurso que funciona como uma cache especial, chamada
Translation Look-Aside Buffer (TLB). Nela, são guardados endereços mais utilizados,
para maximizar o tempo de acesso, já que o acesso a esse buffer é muito mais rápido
quando comparado à memória principal (você já deve ter notado diferença de desempe-
nho na primeira vez que iniciamos uma tarefa em aplicativo complexo e as vezes subse-
quentes quando vamos repetir o trabalho). O “page size”, usado nas tabelas, podem ser
configurados Erro! Fonte de referência não encontrada., mas muito comumente vemos
o tamanho default do SO durante as investigações.

Figura 6 – Ilustração de page size em SO Linux Ubuntu

Quando acessamos um desses programas, então, além de acessar e salvar novos ar-
quivos em disco e, no contexto da análise forense, deixar rastros em forma de arquivos,
há também uma porção de outros rastros em disco que dizem respeito ao uso desse
programa, mas no contexto de memória virtual Erro! Fonte de referência não encon-
trada., que também devem ser coletados e analisados. Cabe ao perito associar esses
fragmentos de informação em memória virtual, baseado nas referências de memória dos
programas em uso na RAM, à época do delito sob investigação.

s { limit base

segment
table

CPU s d

yes
< +

no

trap; addressing error physical memory

Figura 7 – Ilustração de CPU e processo de segmentação e construção de tabela de referência


Fonte: Aadaptada de HENDLER et. al; 2015

19
19
UNIDADE
Tipos de Investigações com Uso da Perícia Forense Computacional

Memória compartilhada (virtual)


Page table Page table

Endereços Endereços

Memória

Figura 8 – Ilustração de mapeamento da memória virtual na tabela


Fonte: Adaptada de TANENBAUM et. al; 2014

Há também a situação em que o perito terá que rastrear as informações ou estados e


resíduos de uso de programa nas porções de memória heap e stack. Exemplos práticos
serão abordados nas próximas unidades, mas, por ora, imagine que não há arquivos e
o que resta é a memória RAM e uma possível evidência de que o usuário (computador
investigado que era usado pelo usuário réu da ação) abriu e visualizou aquele arquivo.
O perito, então, procura por visualizadores comuns para aquele arquivo (ex.: PDF
reader) e procura por evidências de seu uso em processos de memória. A partir de
endereços EIP (Ponteiro de instrução), EBP (Ponteiro para a base da memória) e ESP
(Ponteiro para o stack), é possível procurar por referências na memória. Caso estes não
tenham sido alocados para novos processos e programas, posteriormente (por isso a
importância em obtermos rapidamente a evidência e contaminarmos o mínimo possível
com novas requisições ao SO) podemos encontrar resíduos desse PDF e seu conteúdo,
suportando a evidência de acusação, por exemplo.

Entender o processo de alocação de memória em pilha para instruções de programas du-


rante sua compilação e variáveis globais no stack e dinâmica para variáveis e dados criados
durante a execução do programa (runtime) pode ajudar a entender como o perito pode
atuar em certos casos. Mais detalhes sobre a estrutura e propriedades podem ser vistos
em: http://bit.ly/2WWjex3

20
Falamos sobre exemplos de atividades do perito forense no contexto corporativo.
Nesta abordagem, diferenciamos cenários de atuação, com contextos práticos em casos de
investigação forense em que o perito (acompanhado ou não de outros profissionais peritos
de áreas correlatas) realiza o seu trabalho de acordo com a evidência computacional em
questão e o cenário criminal sob investigação.
Observamos características de tipos de evidências e condições para que estas sejam aceitas
em tribunal como prova material.
Concluímos com esta unidade uma visão do papel do perito forense computacional na loca-
lização e análise de diferentes tipos de informação residente nos computadores sob análise.
Esperamos que você tenha gostado e adquirido esses novos conhecimentos.

21
21
UNIDADE
Tipos de Investigações com Uso da Perícia Forense Computacional

Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:

Livros
Perícia forense computacional: teoria e prática aplicada
FARMER, D. Perícia forense computacional: teoria e prática aplicada. 1ª ed. Pearson:
São Paulo, 2006.

Vídeos
DMA controller basic operation
Entenda, sem muitos detalhes técnicos, qual a função do DMA e como este influencia o
estado da memória (em inglês)
https://youtu.be/ltvpkuQRZao
Virtual Memory: 3 What is Virtual Memory?
Memória virtual (em inglês)
https://youtu.be/qlH4-oHnBb8

Leitura
Perícia digital: estratégias para analisar e manter evidências íntegras em forense computacional
SILVA, TBF. Perícia digital: estratégias para analisar e manter evidências íntegras em
forense computacional. TCC – Unisul Digital, 2017.
http://bit.ly/2WMBNDA

22
Referências
HENDLER, D.; ADLER, M.; ZIVAN, R. Operating systems. 5ª ed. Negev, Israel: Ben
Gurion University, 2015. 445 p.

SÊMOLA, M. Gestão da segurança da informação: uma visão executiva. 2ª ed. Rio


de Janeiro: Elsevier, 2014. 172 p.

TANENBAUM, A. S.; BOS, H. Modern operating systems. 4ª ed. Englewood Cliffs,


NJ, USA: Prentice Hall Press, 2014. 1136 p.

TOLEDO, J. C.; RODRIGUES, C. V. A value based method for measuring performance


on Forensic Science service. Gest. Prod., São Carlos, v. 24, n. 3, p. 538-556, 2017.

23
23