Escolar Documentos
Profissional Documentos
Cultura Documentos
Inserir ForenseAqui
Inserir Título Aqui
Computacional
Produção e Gerenciamento de Evidências Computacionais
Revisão Textual:
Prof. Me. Natalia Conti
Produção e Gerenciamento de
Evidências Computacionais
Objetivos
• Detalhar processos de análise e observação de evidências digitais assim como a guarda e
gerenciamento das mesmas;
• Demonstrar ferramentas e atuação prática do profissional perito forense em atuação
com casos exemplo.
Caro Aluno(a)!
Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o úl-
timo momento o acesso ao estudo, o que implicará o não aprofundamento no material
trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas.
Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você
poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns
dias e determinar como o seu “momento do estudo”.
Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de
discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de
propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de
troca de ideias e aprendizagem.
Bons Estudos!
UNIDADE
Produção e Gerenciamento de Evidências Computacionais
Contextualização
Após a análise inicial do perito em evidências digitais coletadas, é comum que ape-
nas partes da tese e linha de investigação fiquem comprovadas, demandando novas
análises para que seja possível o entendimento do ocorrido em um escopo mais am-
plo, permitindo a visualização sequencial de eventos e contexto.
A atividade do perito, que pode ser segmentada em várias fases, com objetivos
distintos, pode ser realizada com base em prioridades estabelecidas para investigação,
mas comumente ocorrem guiadas pelas descobertas de evidências. Isto é, em última
instância, mesmo tendo um plano delineado para a coleta e análise das evidências, é
o aparecimento de artefatos que leva à procura por outros e ordena a sequência de
investigação conduzida pelo perito.
6
Introdução
Como na unidade anterior tivemos a oportunidade de evidenciar o acesso a um
arquivo proibido, caracterizando a hipótese e linha investigativa conduzida no caso,
nesta unidade realizaremos análises adicionais para completar as informações da in-
vestigação. Lembre-se que é papel do perito também atentar para a característica de
completude da evidência para que seja aceita para apresentação em juízo (FARMER,
2006). Completar a sequência de eventos relacionados ao caso é o principal objetivo
desta coleta de evidências complementar. Neste sentido, servem os dois primeiros
capítulos desta unidade para que pensemos que outras características podem ser ob-
servadas, obtidas do dump de memória realizado anteriormente, para que seja possível
perceber, de forma mais precisa, as atividades realizadas no computador investigado.
Observe que os achados complementares podem ou não ser imputados ao suspeito
no caso. Focaremos nossos exemplos de análise e procura de evidência no dump de
memória realizado na unidade anterior, já que a procura por arquivos e conteúdos em
disco é mais trivial.
7
7
UNIDADE
Produção e Gerenciamento de Evidências Computacionais
É importante conhecer os locais onde residem arquivos de configuração do SO, para extrair
informações específicas quando necessário. Também é importante conhecer a lista de APIs,
binários e/ou executáveis presentes em uma determinada versão/distribuição de um SO.
Veja exemplo desta lista em SO Windows, disponível em: https://symc.ly/31JRRoq
Como o registro oferece suporte para User Access Control (UAC) e informação de
controle de integridade, informações relacionadas ao controle de acesso também ficam
disponíveis ao perito. Para fins de auditoria e, aqui descrito, análise forense, o acesso a
este receptáculo (Há dois principais receptáculos de interesse ao perito: NETUSER.DAT
\Software\Microsoft\Windows\Shell\Bags e UsrClass.dat \Local Settings\Software\
Microsoft\Windows\Shell\Bags) irá nos informar sobre detalhes de alcance a uma de-
terminada pasta/arquivo.
8
Ao acessar o receptáculo, o perito poderá visualizar uma árvore de estrutura conten-
do o caminho da “navegação” entre diretórios e acesso a arquivos executada e arma-
zenada na subkey BagMRU, conforme ilustrado abaixo (Figura 2). Neste exemplo, esta
subkey poderia mostrar o caminho do arquivo PDF que analisávamos em UsrClass.dat\
Local Settings\Software\Microsoft\Windows\Shell\BagMRU\0\0\2\0\1. Os núme-
ros após a tag BagMRU indicam a estrutura de navegação interna (Drives/Diretórios/
Subdiretórios, etc). Continuando a análise, avaliar a subkey MRUListEX do shellbag,
poderia informar ao perito qual a ordem de acesso (“navegação de diretórios”) o suspeito
executou para chegar até a pasta de destino onde o PDF foi encontrado. Ele já sabia do
local? Pesquisou antes?
Como já sabemos que o arquivo que estávamos procurando (ilustrado pelo texto “top
secret” em um PDF) encontrava-se carregado na memória do computador em análise
e fomos felizes em recuperá-lo integralmente para anexar como prova, agora podemos
sondar informações adicionais sobre ele. Podemos iniciar identificando um espaço de
memória de interesse, identificado pelo uso de um processo, em específico. Se você se
recorda da unidade anterior, havíamos identificado um processo associado ao uso de um
leitor de PDF. Se quiséssemos extrair a porção de memória específica desse processo,
poderíamos executar, em sequência, os comandos “pslist” e “memdump” (no exemplo,
especifica-se o -p para identificar o processo do leitor de PDF que interessa ao perito),
conforme vemos ilustrado na imagem abaixo (Figura 3).
9
9
UNIDADE
Produção e Gerenciamento de Evidências Computacionais
Existem vários outros comandos do framework volatility, os quais não exploramos aqui. É
recomendável que você conheça todos, tanto para entender o uso (que informações aporta
para a investigação), quanto ntaxe do comando propriamente. Veja a lista atualmente dis-
ponível em: http://bit.ly/321GZTc
Shellbags servem para auxiliar o perito na investigação de várias outras formas, além da-
quelas brevemente ilustradas aqui. Saiba mais em: http://bit.ly/31TZYif
10
Evidências de uso da Rede
Seguindo com a exploração do caso exemplo, agora que já estudamos um pouco
a evidência de dump de memória do ponto de vista da localização do arquivo foco da
investigação, com comprovação do acesso e visualização e comprovações secundárias
para melhor contextualizar a sequência de atos, vamos concentrar nossa atenção no
uso de recursos de comunicação via rede. Se você se recorda da estória que caracteri-
zava o evento, as imagens de vídeo CFTV do data-center sugeriam que o suspeito tinha
acessado um browser ou alguma tela clara da qual vimos o reflexo da luz projetada pelo
monitor, possivelmente tentando enviar o arquivo confidencial para o beneficiário da es-
pionagem industrial. Para comprovar ou refutar essa nova hipótese, vamos lançar mão
de novos comandos do framework Volatility, específicos para rede.
11
11
UNIDADE
Produção e Gerenciamento de Evidências Computacionais
Como é possível perceber, o perito agora possui indícios de uso de rede na data-hora
do incidente, provenientes do endereço do computador investigado na rede local do data-
-center 10.0.2.15/24. Note também, que esta evidência também aponta para o uso de
navegador (possivelmente webmail?), o que, até o momento, sustentaria aquela tese ini-
cial indicada inicialmente pela filmagem das ações do suspeito em frente ao computador.
Como é possível perceber, no entanto, só um dos endereços possui registro de respon-
sável junto à IANA (será que o segundo servidor foi “montado” temporariamente apenas
para executar a ação e depois removido para deixar menor quantidade de rastros?).
Agora que sabemos que houve acesso Web, vamos focar mais atenção nesse aspecto,
verificando uso de navegadores (browsers) no computador analisado. Também buscare-
mos por resquícios de informações de navegação. Novamente vamos demonstrar aqui
a parte da pesquisa envolvendo memória apenas. Isso porque a visualização do uso do
navegador por meio de dados provenientes do disco é mais simples. Também porque
em vários casos de investigação, nota-se que um dos primeiros procedimentos realiza-
dos pelo autor da ação investigada (suspeito) trata de apagar as informações e histórico,
cache e downloads, assim como muitas vezes até logs e registros internos no SO.
12
É importante que você conheça a estrutura de configuração de navegadores diversos
(browsers) para encontrar, mais facilmente, informações pertinentes ao caso, residentes
também em disco. Após identificar o navegador, visite o site do fornecedor e pesquise
a estrutura de pastas e locais específicos de guarda de configurações. Veja exemplo do
navegador Firefox em: https://mzl.la/31SzQ7q
Caso você deseje reproduzir os comandos aqui exemplificados e obter os mesmos resul-
tados, efetue o download das imagens de teste (dumps de memória), representadas nas
figuras, em: http://bit.ly/2YbL8Bq.
Perceba que o comando grep utilizado, na sequência do “pslist” que havíamos usado
em outros exemplos anteriormente, tem a função de filtrar apenas o processo de interesse.
13
13
UNIDADE
Produção e Gerenciamento de Evidências Computacionais
14
Estado de Segurança (Detecção de Malware)
Para finalizar nossa demonstração de exemplos de atividade do perito forense com-
putacional, em sua ação analisando dumps de memória, vamos agora explorar no-
vamente a classificação dos atores, mencionada anteriormente. Lembre-se que, nesse
sentido, o perito precisa determinar (agora no caso do computador investigado) se ele
assumiu papel de vítima, gateway ou atacante no cenário investigado.
Para isso, ainda que já tenhamos coletado evidências suficientes para suportar a
tese de culpabilidade do suspeito, que assumimos inicialmente como hipótese, precisa-
mos afastar a possibilidade de que o computador tenha sido “invadido” e “controlado”
remotamente (ROBERTSON et al., 2016). Perceba que este é um passo importante,
pois a tese se apoia no fato de que o suspeito que estava à frente da máquina nas
filmagens é o responsável pelos atos. No entanto, o que se pôde coletar de evidên-
cias até o momento (desconsiderando aquelas que ponderamos serem potencialmente
alcançáveis por meio da requisição dos dados de acesso aos provedores/servidores
identificados) não liga, de forma indubitável, o suspeito e as evidências de acesso e
tentativa de envio do arquivo contendo conteúdo confidencial.
Para afastar a possibilidade de dúvida, o perito então procede com uma análise
de segurança do sistema operacional em busca de infecções que possam fragilizar as
provas já coletadas. Isso, porque em se comprovando a existência de vírus, malware,
root-kits, backdoors, ou outras formas de controle da máquina, as evidências perdem
a força esperada como prova material. Ainda que o perito pudesse se aprofundar na
busca de responsabilização de terceiro (que não o suspeito do caso), caso o controle
remoto fosse comprovado, caracterizando o papel do computador como gateway ou
vítima, aqui focaremos apenas na atividade decorrente do relato principal no caso.
15
15
UNIDADE
Produção e Gerenciamento de Evidências Computacionais
Como você deve ter percebido, estes dois comandos requerem muita atenção do pe-
rito e, principalmente, demandam por uma comparação manual, que além de suscetível
a erro, é extremamente trabalhosa.
16
Figura 14 – Ilustração da resposta do comando malfind
Na sequência do seu uso, o perito gera um HASH dos processos suspeitos, identifi-
cados pelo “malfind” e verifica em bases de conhecimento de antivírus e afins. Neste
exemplo, submetido ao site virustotal.com que resultou ser um falso-positivo (Figura 15).
Conclui-se, portanto, que o computador investigado não possui indícios de infecção e
que, portanto, o perito pode classificá-lo como vítima, no contexto do caso.
Gerenciamento da Evidência
A tarefa de gerenciamento de evidências digitais, como vimos em outras unidades,
envolve uma série de atividades. Da mesma forma como vemos em filmes de investiga-
ção, quando os primeiros a chegar ao local do crime “isolam o local” para investigação
17
17
UNIDADE
Produção e Gerenciamento de Evidências Computacionais
18
Outro ponto importante é a própria solicitação de serviço. Esta serve para determi-
nar escopo e contribuições esperadas do perito forense computacional e também serve
de apoio para solicitação de mandados de busca, a serem autorizados pelo juiz do caso.
Conforme ilustrado na imagem abaixo (Figura 17), é possível observar que na própria
solicitação de serviço, requisitando o trabalho do investigador forense, há uma instrução
explícita de anexar os logs da cadeia de custódia da(s) evidência(s).
Produção de Relatórios
O processo de produção de relatórios é um passo importante para transmitir, ade-
quadamente, o trabalho de investigação realizado pelo perito forense computacional.
Este passo deve ser conduzido cuidadosamente, não apenas pensando em formatos
padrão, mas na importância da semântica e linguagem usada no texto. O uso de
jargões e expressões populares deve ser evitado, dando lugar a colocações que expri-
mam, com precisão, a descrição do ocorrido e permitam uma visão clara do parecer
do perito. De maneira geral, esta fase de produção textual, no que diz respeito ao
conteúdo, deve ser escrita pensando em informar: a) dados do investigador (perito); b)
dados de identificação do caso/incidente; c) descrição do caso, hipótese(s) e linha(s) de
investigação; d) delimitação do escopo de local e infraestrutura analisado; e) metodolo-
gia, achados e artefatos extraídos; f) classificação dos atores; g) resultado das análises
e provas materiais a serem anexadas ao caso (sustentando ou refutando hipóteses); e
h) conclusões do perito. Note que, nessa organização, há uma ênfase inicial em des-
crever os processos e métodos utilizados. Isso é feito, propositalmente, a fim de dar
ao leitor o claro entendimento de rigor da análise. De maneira comum, esta parcela
19
19
UNIDADE
Produção e Gerenciamento de Evidências Computacionais
do documento serve como uma espécie de resumo executivo, que vai permitir ao juiz
ou solicitante do relatório que possa decidir sobre a necessidade fragilidade/robustez
da análise, decidindo, por exemplo, solicitar exames complementares ou mesmo uma
segunda opinião. Neste sentido, é importante que haja uma espécie de “disclaimer”
informando limitações processuais ou técnicas encontradas pelo perito, no curso de sua
investigação, que o tenham impedido de realizar um fluxo ótimo de trabalho ou que
tenha imposto limitação ao seu poder de observação e julgamento. Deve ficar claro ao
leitor, viés(es) percebidos durante o processo que por ventura possa(m) influenciar na
precisão da análise.
20
Os processos de investigação de evidência, com o objetivo de extrair informação secundá-
ria, são igualmente importantes àqueles que vimos na unidade anterior, focados primaria-
mente na comprovação da hipótese e linha investigativa. Isso, porque é requisito da prova,
para que seja aceita em juízo, que esta conte a história e sequência de eventos, de forma
completa e relacionada ao incidente investigado.
Aqui vimos diversos exemplos de comandos, com objetivos específicos de demonstrar
“como” ocorreram os eventos e “de que forma” o suspeito se comportou, em relação às
ações realizadas no computador investigado.
Também revisitamos o assunto de gerenciamento de evidência, com vistas na produção de
relatório e preocupação especial com a validade das provas, de modo a diminuir a chance
do trabalho do perito forense computacional ser invalidado, devido à falha procedural mal
documentada ou executada.
Esperamos que tenha gostado e adquirido esses novos conhecimentos.
21
21
UNIDADE
Produção e Gerenciamento de Evidências Computacionais
Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:
Livros
Interpreting Evidence: Evaluating Forensic Science in the Courtroom
ROBERTSON, B; VIGNAUX GA, BERGER, CEH. Interpreting Evidence: Evaluating
Forensic Science in the Courtroom. 2 ed, Wiley, Oxford, 2016.
Vídeos
Threat Hunting: Memory Analysis with Volatility
Examinando coletas de evidências por meio da ferramenta Volatility (em inglês).
https://youtu.be/dp-XIC1CPzI
Computação Forense e a Carreira de Perito - Gilberto Sudré
https://youtu.be/Q2mfTZs0LKk
Evidence Collection & Preservation | Crime Scene Sketching - UCO Forensic Science Institute
Preservação de evidências e cenas de investigação (em Inglês).
https://youtu.be/Od0yP81kqrg
Leitura
Forense Digital – Perícia Forense Computacional
Artigo descrevendo etapas básicas da investigação forense.
http://bit.ly/2Y9wdbd
22
Referências
FARMER, D. Perícia Forense Computacional. Teoria e Prática Aplicada. 1ed,
Pearson, São Paulo, 2006.
NCJ 199408. Forensic Examination of Digital Evidence: A Guide for Law Enfor-
cement. 1 ed. Office of Justice Programs National Institute of Justice, 2004. 91 p.
23
23