Análise em redes de computadores

Apresentação
As redes de computadores são o meio de comunicação do século XXI, e a internet é o melhor
exemplo de uma rede de computadores. Dados fluem pela internet por diversos meios, como
páginas web, e-mails, chats, redes sociais, entre outros.

A internet, como o mundo real, está cheia de ameaças, como os ataques cibernéticos, executados
por criminosos que buscam falhas (vulnerabilidades) principalmente em elementos como
roteadores e switches, explorando o tráfego de dados para coletar informações de forma mal-
intencionada.

Portanto, a probabilidade de um crime cibernético é alta tanto nas redes corporativas quanto
pessoais. Sendo assim, na ocorrência de um crime cibernético, a análise em redes de computadores
se torna necessária.

Nesta Unidade de Aprendizagem, você vai aprender a identificar os itens que podem ser periciados
numa rede de computadores, além das metodologias usadas para isso, entendendo como analisar
vestígios.

Bons estudos.

Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados:

• Identificar os itens que podem ser periciados e suas peculiaridades.

• Descrever a metodologia e as ferramentas para examinar a internet.
• Explicar a análise dos vestígios.
 Infográfico
Na metodologia da computação forense, a fase de coleta de dados se preocupa não somente em
coletar os dispositivos que contenham os dados, mas também garantir que os princípios de
integridade e autenticidade não sejam violados. Logo, ferramentas de geração de imagens ".iso" das
unidades de armazenamento são essenciais para preservar esses princípios.

Veja no Infográfico algumas ferramentas que podem ser utilizadas para gerar imagens ".iso" de
unidades de disco de armazenamento.
Aponte a câmera para o
código e acesse o link do
conteúdo ou clique no
código para acessar.
 Conteúdo do livro
A internet é uma grande rede mundial que conecta outras redes, como aquelas pessoais ou
corporativas. Assim, uma rede se conecta a diversos dispositivos, como computadores, notebooks,
smartphones, entre outros.

As ameaças numa rede de computador exploram as vulnerabilidades nos elementos de rede ou no

dispositivo de usuários, em busca de falhas que possibilitem ações mal-intencionadas, como furto
de informações.

Diante desse cenário, e após crimes cibernéticos cometidos, a computação forense deve ser
aplicada principalmente para contextualizar e entender o crime.

No capítulo Análise em redes de computadores, base teórica desta Unidade de Aprendizagem,

identifique os elementos periciáveis de rede, entenda a metodologia e as ferramentas usadas na
análise, e também aprenda a descrever a análise de vestígio.

Boa leitura.
FORENSE
COMPUTACIONAL
Análise em redes
de computadores
Paulo Sérgio Pádua de Lacerda

OBJETIVOS DE APRENDIZAGEM

> Identificar os itens que podem ser periciados e as suas peculiaridades.

> Descrever a metodologia e as ferramentas para realizar os exames na in-
ternet.
> Explicar a análise dos vestígios.

Introdução
Desde os anos 1990, a internet vem se popularizando. Como todo acontecimento
disruptivo, trouxe enormes ganhos para a humanidade, mas veio acompanhada
por desafios igualmente significativos. Crimes cibernéticos e fraudes resulta-
ram da grande circulação de dados e da vulnerabilidade das redes. Quando há
grande quantidade de equipamentos conectados em uma rede local, o número
de informações circulantes permite diversas combinações, que aumentam de
maneira exponencial a fragilidade da rede. Para manter a integridade e o bom
funcionamento de uma rede local, o monitoramento via software ou aplicações
de segurança, como a criptografia, são recomendados.
Dentro das relações estabelecidas entre os dispositivos, a criptografia de
dados merece destaque. Trata-se de uma aplicação segura para a transmissão
e o armazenamento de dados, sendo considerada a arte de embaralhar uma
informação com o objetivo de manter princípios de segurança, como confidencia-
lidade e integridade de dados. Os dados são criptografados por um algoritmo com
funções matemáticas que criam funções hash (cadeia de caracteres) codificadas,
que dificultam a leitura da informação por um cibercriminoso.
2 Análise em redes de computadores

Nesse contexto, a criptoanálise é utilizada pelo sujeito ativo do delito ou

criptoanalista para decifrar uma mensagem criptografada. São utilizadas di-
versas técnicas para descobrir a mensagem cifrada por meio de um algoritmo
de criptografia. De forma geral, a quebra de uma criptografia é, perante a lei,
um ato ilegal, e os cibercriminosos fazem uso dessas técnicas com o objetivo de
um ataque cibernético.
Neste capítulo, vamos explicar qual é o propósito da criptoanálise. Além disso,
vamos descrever as ferramentas para o uso da criptoanálise e por que existe a
análise de vestígio em dados criptografados. Do ponto de vista prático, a análise
em redes de computadores se presta a analisar os pontos críticos que tornam
vulneráveis o acesso à informação e, por consequência, possíveis fraudes. Além
disso, conhecer os conceitos e fundamentos mais importantes relacionados às
redes de computadores permite distinguir o que pode ser periciado e com qual
finalidade.

Redes de computadores e os seus

componentes
Uma rede de computadores é uma infraestrutura que interliga dois ou mais
computadores. No século XXI, quando se estabeleceu de maneira mais re-
conhecida a chamada Era da Internet, é possível se referir a uma rede de
computadores como algo que serve para interligar dois ou mais dispositivos
eletrônicos por um meio de comunicação. Essa comunicação pode se dar,
por exemplo, por fio, ondas ou energia elétrica. Assim, uma rede de computa-
dores é composta não somente de dispositivos físicos, como computadores,
tablets e smartphones, mas também de protocolos de comunicação e servi-
ços a eles associados. Quando há meios físicos associados, a informação é
transmitida por eles (COMER, 2016).
Os sistemas de computadores, como a internet, por exemplo, são formados
por computadores e dispositivos em rede. O compartilhamento e o fluxo
de informações fazem com que exista uma enorme mobilidade de dados e
informações entre lugares distantes em um período menor que segundos.
A conexão formada pelas redes ultrapassa qualquer território, de modo que
mapear o fluxo da informação desde a origem até o final se torna um desafio.
Quanto ao conteúdo, há alguns métodos de análise e perícia que possibilitam
a obtenção dessas informações de forma parcial ou total.
 Análise em redes de computadores 3

Essa rede única permite que os dispositivos conectados acessem os

serviços de rede por meio da internet. Além disso, possibilita que
princípios como compartilhamento e interatividade utilizados pelas aplicações
como redes sociais, e-mails e jogos on-line possam ser executados e usados
pelos usuários conectados à rede.

O crescimento das redes de computadores aconteceu, principalmente,

no final da década de 1980, com o surgimento da internet, e acompanhou as
necessidades diárias dos usuários. Hoje, diversos serviços são ofertados via
internet, pela grande rede de computadores mundial. Por meio desses ser-
viços, os usuários pagam contas, fazem compras, compartilham informações
e visualizam notícias (COMER, 2016).
Uma rede de computadores é, porém, algo complexo, englobando diversos
assuntos associados à computação, como protocolos, dispositivo eletrônicos e
serviços. Com o objetivo reduzir a complexidade, facilitar os estudos, acelerar
a evolução, padronizar interfaces e garantir a interoperabilidade, além da
engenharia modular, a International Organization for Standardization (ISO)
criou um modelo de camadas conhecidos como modelo OSI (open systems
interconnection) (COMER, 2016). Esse modelo é composto de sete camadas
que definem os protocolos de atuação, bem como serviços ou dispositivos.
O modelo de sete camadas é representado no Quadro 1.

Quadro 1. As sete camadas do modelo OSI

Encapsulamento/
Número da Nome da Descrição dos itens
protocol data
camada camada da camada
unit (PDU)

7 Aplicação Data Camada de usuário, onde

os serviços de rede são
oferecidos ao usuário.

6 Apresen- Data Camada responsável

tação pela representação de
dados, criptografia,
descriptografia, compressão
e descompressão de dados.

(Continua)
4 Análise em redes de computadores

(Continuação)

Encapsulamento/
Número da Nome da Descrição dos itens
protocol data
camada camada da camada
unit (PDU)

5 Sessão Data Estabelece, gerencia e

encerra sessões. Mantém
sessões de comunicação
entre aplicativos da camada
host.

4 Transporte Segmento Fornece uma entrega

confiável de segmentos
entre pontos em uma rede.
Fornece, ponta a ponta,
transporte confiável,
verificação de erros e
controle de fluxo.

3 Rede Pacote Fornece conectividade e

seleção de caminho com
base em endereços IP
(internet protocol). Fornece
endereçamento, roteamento
e entrega de pacotes entre
pontos em uma rede.

2 Enlace Frame Fornece uma conexão de

dados ponto a ponto direta
confiável. Fornece acesso
à mídia e endereçamento
com base em endereços
MAC (media access control)
físicos.

1 Física Sinal (bits) Converte os dados no

fluxo de pulsos elétricos
ou analógicos que vai
realmente cruzar a
transmissão médium e
supervisiona a transmissão
dos dados.

Note que os dados são encapsulados de forma diferentes, dependendo da

camada. Nas camadas 7, 6 e 5, os dados são conhecidos como data (dados).
Porém, na camada de transporte, os dados são divididos em pequenas partes,
conhecidas como segmentos. Na camada de rede, os dados são encapsulados
 Análise em redes de computadores 5

em forma de pacotes. Viram frames (quadros) na camada de enlace e, por

fim, são transmitidos em forma de sinal (bits) por meio do meio físico (cabo,
onda, energia elétrica).
Antes, a internet era usada somente para fins de pesquisa pelas universi-
dades americanas e pelo departamento de defesa dos Estados Unidos. Nesse
cenário, o modelo OSI era compatível com a rede. Entretanto, com o surgimento
da internet comercial no fim da década de 1980, houve uma necessidade de
uma adequação do modelo de camadas OSI para um modelo mais adequado
à internet. Então, surgiu o modelo de camadas TCP/IP (transmission control
protocol/internetworking protocol) (TANENBAUM; WETHERALL, 2011). Esse mo-
delo é composto de somente quatro camadas, conforme descrito no Quadro 2.

Quadro 2. As quatro camadas do modelo TCP/IP

Encapsulamento/
Número da Nome da protocol data Descrição dos itens
camada camada unit (PDU) da camada

4 Aplicação Data Fornece serviços ao

usuário, como e-mail
eletrônico, transferência
de arquivos e login
remoto.

3 Transporte Segmento Fornece a entrega de

uma mensagem de um
programa/aplicativo em
execução no hospedeiro
para outro.

2 Rede Pacote Proporciona a entrega de

(internet) pacotes do host de origem
para o host de destino.

1 Enlace e Frame/bits Fornece uma interface

física com o físico da rede.
Formata os dados para
o meio de transmissão e
endereços dados para a
sub-rede com base em
dados físicos e endereços
de hardware. Fornece
erro de controle de dados
entregues na rede física.
6 Análise em redes de computadores

Observe, no Quadro 2, que o modelo TCP/IP de camadas oferece uma

compatibilidade com o modelo OSI. A camada de aplicação basicamente
engloba as camadas 7, 6 e 5 do modelo OSI, e a camada 1 engloba as camadas
1 e 2 do modelo OSI. Já as camadas 3 e 4 são equivalentes nos dois modelos.
Cada camada do modelo OSI compreende uma série de protocolos, serviços
e dispositivos. Cada camada tem a sua própria função e sempre se relaciona
com a camada adjacente. Por exemplo, no modelo OSI, a camada 7 somente
se relaciona com a camada 6, mas a camada 6 se relaciona com a camada 5 e
7. Já a camada 1 somente se relaciona com camada 2 e assim sucessivamente
para todas as camadas de ambos os modelos.
Agora, vamos diferenciar os protocolos e dispositivos associados a cada
camada. Vamos usar, como exemplo, o modelo OSI de sete camadas. Veja o
Quadro 3.

Quadro 3. Protocolos e dispositivos associados a cada camada

Número da Nome da
camada camada Dispositivos Protocolo

7 Aplicação Computador „  Simple mail transport

protocol (SMTP)
„  Terminal emulation
protocol (Telnet)
„  File transfer protocol (FTP)
„  HyperText transfer protocol
(HTTP)
„  Post office protocol (POP)

6 Apresentação Computador „  ASCII (texto)

„  JPEG (imagem)
„  GIF (imagem)
„  MPEG (som/vídeo)

5 Sessão Computador „  Session control protocol

(SPC)
„  Remote procedure call
(RPC), da Unix

4 Transporte Computador „  Transmission control

protocol (TCP)
„  User datagram protocol
(UDP)
(Continua)
 Análise em redes de computadores 7

(Continuação)

Número da Nome da
camada camada Dispositivos Protocolo

3 Rede Roteador/ „  IP
switch „  IPX, RIP, IGRP, OSPF
multicamada

2 Enlace Switch, ponte „  Ethernet/IEEE 802.3

(bridge) e (inclui fast ethernet), do
placa de rede Institute of Electrical and
Electronics Engineers
(IEEE)
„  802.3z (Gigabit ethernet)
„  Token ring/IEEE 802.5
„  Fiber distributed data
interface (FDDI), do
American National
Standards Institute (ANSI)
„  High-level data-link control
(HDLC)
„  Point-to-point protocol
(PPP)
„  Frame relay

1 Física Hub, „  EIA/TIA-23, da Electronic

repetidor, Industry Association e
cabo par da Telecommunications
trançado, Industry Association
cabo coaxial, „  EIA/TIA-449
fibra ótica, „  V.35
ondas „  100BaseTX
(bluetooth, „  Wi-fi — IEEE 802.11b/g/n
wireless,
satélite)
e energia
elétrica

O Quadro 3 apresenta, além dos dispositivos físicos, como computador

e roteador, alguns protocolos utilizados na comunicação entre dispositivos
na internet. Exemplos incluem o protocolo HTTP, que é usado para a navega-
ção entre páginas, e os protocolos POP e SMTP, usados para recebimento e
envio de dados por e-mail. Também contém o protocolo básico da internet,
o protocolo IP, que carrega as informações em forma de pacotes e é utilizado
pelo roteador.
8 Análise em redes de computadores

Elementos auditáveis em uma rede de computadores

Antes de descrever os dispositivos que podem ser auditáveis na computação
forense, vamos explicar como funcionam os tipos de ataques que podem
acometer uma rede de computadores.
A arquitetura de interconexão de sistemas abertos (OSI) X.800 é um con-
junto de padrões relativos à segurança da informação. Esses padrões têm sido
desenvolvidos pela International Telecom Union (ITU-T), órgão responsável
pelo desenvolvimento de padrões relativos a telecomunicações, com o pa-
trocínio da Organização das Nações Unidos (ONU). Os padrões se referem a
ataques de segurança e a mecanismos e serviços de segurança (ASSOCIAÇÃO
BRASILEIRA DE NORMAS TÉCNICAS, 2013).
As ameaças a uma rede de computadores podem ser divididas em duas:
ataques passivos e ataques ativos (ARAÚJO, 2020). Ataques passivos têm a
finalidade de observar ou monitorar a comunicação entre usuários de rede
de computadores. O objetivo do adversário é capturar informações ou obter o
padrão do fluxo de informações. Porém, esse tipo de ataque não faz qualquer
alteração na informação, então é mais difícil de detectar. Os ataques passivos
podem ser divididos nos dois tipos a seguir descritos.

1. Divulgação não autorizada do conteúdo da mensagem: nesse caso,

o cibercriminoso pode capturar o texto cifrado e tentar decifrá-la por
força bruta ou por sofisticadas técnicas de criptoanálise.
2. Análise do padrão de tráfego: nesse ataque passivo, o cibercriminoso
tem o objetivo de identificar o padrão de tráfego, como a frequência
e o comprimento das mensagens sendo transmitidas.

Por sua vez, os ataques ativos, diferentemente dos ataques passivos,

alteram o fluxo da informação e o seu conteúdo, e criam novos fluxos. Esses
tipos de ataques podem ser divididos da seguinte forma.

„ Masquerade (disfarce): nesse tipo de ataque, uma entidade C (compu-

tador, por exemplo) passa por uma entidade A durante a comunicação
entre a entidade A e a entidade B. Nesse caso, C consegue capturar
as sequências de autenticação de A e envia mensagens para B como
se fosse a entidade A.
„ Replay (replicação): esse tipo de ataque envolve uma captura de um
pacote de dados e a retransmissão, produzindo um efeito não auto-
 Análise em redes de computadores 9

rizado. Assim, altera propriedades do pacote capturado, como, por

exemplo, a data do envio.
„ Modificação de mensagens: envolve a captura de um fluxo de dados,
alterando-o e, em seguida, transmitindo-o ao destinatário pretendido
para produzir um efeito não autorizado. A alteração pode envolver
modificação, exclusão, anexação ou reordenação do fluxo de dados.
„ Deny of service (DoS, ou negação de serviços): a ideia desse tipo de
ataque é parar serviços de rede de computadores oferecidos aos usuá-
rios, como, por exemplo, deixar inoperante um site. A ideia é saturar
os serviços com diversas mensagens de solicitações, de forma que o
servidor não consiga atender e o serviço seja paralisado. Uma evo-
lução desse serviço é o ataque DDoS (ataques de negação de serviço
distribuído).

A computação forense visa a, por meio de procedimentos, analisar e

documentar o contexto de incidente de segurança da informação (ARAÚJO,
2020). Em uma rede de computadores, alguns elementos podem ser auditáveis
por um profissional forense, como os descritos na sequência.

„ O fluxo de dados da informação: profissionais forenses podem usar

ferramentas para analisar o fluxo de dados da rede de computadores e
verificar, por exemplo, se há aumento do fluxo, sinalizando um ataque
externo.
„ Dispositivos de interconexão: todo dispositivo de uma rede de compu-
tadores que tem um sistema operacional, como roteadores e switches
multicamadas, pode sofrer ataques aos seus sistemas operacionais a
fim de danificar a rede de computadores.
„ Pacote: os pacotes carregam a informação ao longo de uma rede de
computadores. Esses pacotes geralmente são capturados e hackeados
de forma que o seu conteúdo seja alterado com propósitos danosos
à rede de computadores ou ao sistema.
„ Dispositivos finais: conhecidos como endpoints, consistem em qual-
quer dispositivo utilizado por um usuário para ter acesso à rede de
computadores, como smartphones, computadores, tablets, etc. Esses
dispositivos podem ser contaminados e, então, auditados por profis-
sionais forenses.
„ Serviços: os serviços são as aplicações utilizadas pelo usuário em uma
rede de computadores, como serviços de e-mail, de navegação entre
10 Análise em redes de computadores

páginas, de autenticação de usuários, de streaming de vídeo e áudio,

etc. Esses serviços geralmente estão associados a protocolos, como, por
exemplo, o serviço de download que está associado ao protocolo FTP.
„ Servidores: servidores são os computadores que oferecem serviços de
redes, como servidores de e-mail, de autenticação, de download, etc.

Há diversos outros dispositivos que também podem ser auditáveis em uma

rede de computadores, como câmera digitais, dispositivos de biometria, disco
de armazenamentos de informação (discos rígidos), etc. No entanto, devido à
complexidade de uma rede de computadores, ferramentas são necessárias
para fazer auditorias. A próxima seção apresenta ferramentas e métodos
utilizados como suporte à computação forense.

Metodologia e ferramentas da computação

forense
Nas últimas décadas, devido à importância da comunicação via internet,
a segurança da informação ganhou bastante notoriedade entre os profissionais
da computação (MARAS, 2015). A computação forense aplicada a uma rede de
computadores tem a finalidade de fazer uma análise em dados, informações
e vestígios visando a contextualizar o incidente de segurança ocorrido. Após
a análise, o profissional estará apto a apontar falhas e vulnerabilidades
que comprometem a rede e podem ser exploradas por cibercriminosos em
atividades fraudulentas e danosas.
As ameaças podem ser realizadas interna ou externamente a uma rede
de computadores. Ameaças internas ocorrem diretamente de usuários com
acesso à rede corporativa da empresa e que fazem o ataque diretamente à
rede. Já em uma ameaça externa, o cibercriminoso explora uma vulnerabilidade
da rede, mas acessando-a remotamente.

Um incidente de segurança da informação ocorre quando um dos

princípios que formam os pilares de segurança é quebrado. Os pilares
da segurança da informação são disponibilidade, integridade e confidencialidade.
Você pode encontrar dados estatísticos de incidentes reportados e divulgados
no site do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança
no Brasil (CERT.br).
 Análise em redes de computadores 11

Os questionamentos a seguir estão intrinsecamente relacionados ao

incidente de segurança e à computação forense (ARAÚJO, 2020).

„ O que ocorreu? Esse questionamento visa a definir que tipo de ataque

ocorreu. Por exemplo, paralização do servidor via ataque de negação
de serviço.
„ Por que ocorreu? O objetivo desse questionamento é identificar o
motivo que incentivou o cibercriminoso a cometer o crime.
„ Quando ocorreu? Esse questionamento visa a descobrir a timeline do
incidente, ou seja, o momento que o incidente ocorreu.
„ Como ocorreu? O objetivo desse questionamento é reconhecer de que
forma ocorreu o incidente.

Destes, diversos outros questionamentos podem derivar, como os listados

na sequência.

„ Qual é o impacto do ataque?

„ Quem foi o autor do ataque?
„ Qual foi o passo a passo (lógica) do ataque?
„ Qual foi o nível de acesso alcançado pelo cibercriminoso?
„ Há planos de recuperação de incidentes?
„ Há planos de continuidade de negócios?

Esses questionamentos fazem parte da metodologia aplicada pelo pro-

fissional forense quando um incidente de segurança da informação ocorre.
Conforme Kent et al. (2006), algumas fases são inerentes ao processo
pericial. São elas:

1. a coleta de dados;
2. a extração dos dados;
3. a identificação dos dados;
4. a apresentação das evidências.

Na fase de coleta de dados, o profissional recolhe todos os dispositivos que

podem ser fonte de dados, como computadores, smartphones, equipamentos
de rede, dispositivos de armazenamento, servidores, etc. A ideia é coletar os
dispositivos que podem conter evidências de digitais e, ao mesmo tempo,
preservar a integridade dos dados. Essa fase ocorre logo após a detecção
do incidente de segurança.
12 Análise em redes de computadores

Extração dos dados é fase da perícia que visa a extrair o conteúdo da

informação, mas sempre preservando a integridade do material coletado.
Geralmente, cópias forenses são realizadas como forma de preservar as
fontes originais. À extração, segue-se a identificação dos dados, cuja finali-
dade é fazer uma análise dos dados extraídos. Trata-se da etapa em que são
identificados as pessoas, os locais e os eventos, reconstruindo-se a cena.
O objetivo é gerar conclusões ou respostas úteis aos questionamentos das
etapas anteriores. O resultado dessa fase é a determinação das raízes do
incidente.
Na última fase, a apresentação das evidências, o profissional forense
elabora um relatório documentando apresentando os resultados obtidos
nas fases anteriores. Nessa fase, são elaborados documentos que detalham
minuciosamente todo o processo das fases anteriores. Um laudo é elaborado
a fim de traduzir e formalizar as impressões compreendidas e captadas pelo
profissional sobre o crime cibernético ocorrido.
Há, basicamente, dois tipos de metodologias:

1. a análise post-mortem, que é realizada em dados não voláteis, ou seja,

dados que estão armazenados em mídias fixas, como discos rígidos,
compact disk, pendrivers, etc., que ficam armazenados mesmo após
o desligamento do dispositivo;
2. a análise em tempo real (live), em que os dados são analisados com
o dispositivo ligado.

Embora existam as metodologias, há diversas ferramentas úteis, conheci-

das como network forensic analysis tools (NFAT), que podem ser aplicadas em
uma análise forense em redes de computadores. As funções básicas dessas
ferramentas incluem captura de tráfego e análise do pacote capturado.
Por exemplo, sniffers são ferramentas usadas para inspecionar e capturar
dados no tráfego de uma rede de computadores. Existem diversos tipos de
ferramentas sniffers, como NetworkMiner, tcpdump e Wireshark. A Figura 1
mostra uma imagem da ferramenta Wireshark capturando o tráfego de de-
terminada rede. O tráfego é capturado via interface física (placa de rede),
wireless ou cabeada. As ferramentas sniffers são úteis para dados voláteis.
 Análise em redes de computadores 13

Figura 1. Ferramenta sniffer: Wireshark.

Outro exemplo são as ferramentas de dump de memória. Dump de memória

é a extração de uma imagem da memória do dispositivo, como um computador
ou tablet. Com a técnica de dump de memória, é possível verificar a relação
entre processos em execução, identificando, por exemplo, se determinado
processo foi iniciado por outro processo e quando foi iniciado. Também é
possível identificar quais portas (sockets), bibliotecas e chaves de registros
estavam sendo usadas pelos processos em execução; ou seja, consegue-se
mapear como era o funcionamento do sistema na hora do dump de memó-
ria. Ferramentas como dd, para plataforma Linux, e mdd, para plataforma
Windows, são exemplos de aplicativos usados para um dump de memória.
A Figura 2 ilustra um arquivo de despejo na plataforma Windows. Arquivos
de despejo são arquivos de dump de memória que têm extensão .dmp. No
caso da plataforma Windows, esse arquivo depende de outro aplicativo para
ser lido (dumpchk).
14 Análise em redes de computadores

Figura 2. Arquivo dump.

Observe que há uma série de informações exibidas pelo arquivo dump,

como o tipo de máquina (MachineImageType, i386), o número de processadores
(NumberProcessor, 1), a versão dos mínimos (MinorVersion, 1057), o nome do
arquivo (FileName, memory.dmp), etc.
Outros exemplos de ferramentas são listados a seguir.

„ snort: ferramenta de detecção de intrusão em redes, captura e registro

(logs) de pacotes.
„ nmap: ferramenta de escaneamento de portas, auditoria e exploração
de rede.
„ hascalc: ferramenta para cálculo, comparação e validação de hash de
criptografia.
„ dd_rescue: ferramenta de recuperação de dados em unidade de
armazenamento.
„ OpenVPN: ferramenta de transferência de dados. Cria redes virtuais
privadas para transferência de arquivos.
„ NTLast: ferramenta para auditoria de sistemas.
„ IPTables: firewall para redes de computadores.
 Análise em redes de computadores 15

Há, também, ferramentas para a análise de dados, como Weka, uma ferra-
menta para a mineração de dados, e a PE tools, usada para engenharia reversa.

Engenharia reversa é o processo de analisar um programa na ten-

tativa de criar uma representação dele em um nível mais alto de
abstração do que o código-fonte. Assim, é um processo de recuperação do
projeto. As ferramentas de engenharia reversa extraem informações do projeto
de dados, da arquitetura e procedural com base em um programa existente.

Vimos, até aqui, que a computação forense estuda as características

intrínsecas associadas a incidentes ocorridos em um sistema computacional.
Também vimos que, pelo uso de metodologias e ferramentas, podem ser ge-
radas evidências que podem ser aplicadas em meios legais e judiciais. Porém,
muitas vezes vestígios são deixados pelo cibercriminosos. Esses vestígios
podem ser analisados, apoiando a identificação de evidências.

Análise de vestígios
Os vestígios são as digitais encontradas nos crimes cibernéticos. Esses ves-
tígios podem ser encontrados em unidades de armazenamento ou por meio
do tráfego da rede de computadores. Técnicas e ferramentas forenses são
utilizadas com o intuito de encontrar esses vestígios e identificar evidências
de um crime cibernético.
A seguir, veremos as análises de vestígios utilizadas para desvendar crimes
cibernéticos.

Análise de vestígio em unidades de armazenamento

As unidades de armazenamento local ou na nuvem são repositórios de dados
usados para guardar informações em forma de arquivos. Na fase de coleta de
dados, algumas técnicas e ferramentas são utilizadas visando a preservar os
dados armazenados. Elas são conhecidas como técnicas de espalhamento e
imagem. Ambas as técnicas são utilizadas para duplicar fielmente uma unidade
de armazenamento preservando, por exemplo, as propriedades MACTimes
dos arquivos (ELEUTÉRIO; MACHADO, 2011).
16 Análise em redes de computadores

O espelhamento é a técnica que duplica uma unidade de armazenamento.

Para tal procedimento há necessidade da unidade espelho ser de tamanho
igual ou superior a unidade a ser espelhada, além de ser um disco totalmente
vazio, sem conteúdo. Já a técnica de imagem faz uso de um aplicativo que gera
uma imagem, ou seja, um arquivo, geralmente de extensão ‘.iso’, que contém
todas as informações da unidade de armazenamento.
Com o objetivo de manter as informações duplicadas inalteradas, algumas
ferramentas são utilizadas pelos analistas de vestígios como os bloqueadores
de escrita e duplicação forense como ICS Write Protect Card Reader utilizada
em cartões de memória e Forensic Bridge Tableau usada em discos, Symantec
Norton Ghost usado para criação de imagens ou espelhamento de discos
(ELEUTÉRIO; MACHADO, 2011).

Análise de vestígio em memórias voláteis

As memórias voláteis são as memórias que armazenam as informações so-
mente enquanto o dispositivo está ligado. Após desligar o equipamento,
o conteúdo dessa memória é perdido. Essas memórias são conhecidas como
memórias RAM (COMER, 2016). Esse tipo de coleta é realizada somente em
dados voláteis que estão armazenados em memória. Os dump de memória
realizado por aplicações como dd, para plataforma Linux, ou mdd, para plata-
forma Windows, é utilizado para analisar os possíveis vestígios deixados pelos
ataques à rede, mas, principalmente, as memórias dos servidores de rede.

Análise de vestígio em dispositivo de rede

Os dispositivos de rede podem armazenar informações importantes sobre
as ameaças externas a uma rede de computadores. Os firewalls são dispo-
sitivos de proteção, mas também criam históricos e arquivos de registros
(logs) sobre dados que por eles passam. Firewalls podem ser de dois tipos:
hardware e software. Ambos possuem arquivos de logs que registram os
eventos indesejáveis em uma rede de computadores.
Além dos firewalls, existem os sistemas de detecção de intrusão conhecidos
como IDS (intrusion detection system). Esses sistemas consistem em progra-
mas cujo objetivo é monitorar a rede em busca de alguma atividade danosa,
maliciosa, que viole as políticas de segurança (ELEUTÉRIO; MACHADO, 2011).
As informações são coletadas por meio de um sistema central de gerencia-
mento de eventos e as informações são armazenadas em forma de arquivos
de log.
 Análise em redes de computadores 17

Além dos firewalls e IDS, existem os IPS (intrusion prevent system), que
são reativos, ou seja, armazenam as informações de ataque, mas também
impedem que ataques possam ser realizados com base nos tipos de ameaças.

Análise de vestígio no tráfego de redes

O tráfego de rede consiste nas informações em forma de dados que são
enviadas pela rede de computadores. O tráfego da rede pode ser capturado,
e as informações capturadas podem ser analisadas em outra fase do processo
forense. Esse tráfego deve ser capturado por ferramentas como Wireshark.
Com o Wireshark, por exemplo, pode-se analisar características do pacote,
como o endereço IP de origem e destino, o tipo de protocolo utilizado, as
portas de destino e origem, entre outras informações. A ferramenta tcpdump,
assim como o Wireshark, é utilizada para a captura do tráfego de redes de
computadores (TANENBAUM; WETHERALL, 2011).

Análise de vestígio em arquivos protegidos

e apagados
Muitas vezes, os cibercriminosos criptografam os arquivos-alvo infectados
visando a dificultar as análises forenses. Por exemplo, pode-se utilizar técnicas
como RainBow Tables ou força bruta para identificar os valores de hash nos
arquivos criptografados. Já a ferramenta Ontrack Easy Recovery é usada para
recuperar arquivos apagados pelos cibercriminosos.

Paulo é o profissional responsável pelo parque tecnológico da em-

presa KA Empreendimentos Imobiliários. A empresa possui uma rede
interna composta por diversos dispositivos endpoints, como tablets, notebooks e
smartphones, dispositivos de rede, como roteadores wireless e gateways, e servi-
dores de serviços, como servidores de autenticação, de e-mails, web e de arquivos.
A infraestrutura física da rede interna sempre atendeu aos requisitos do
negócio da empresa. Entretanto, esta semana, Paulo está enfrentando um de-
safio. A rede interna está lenta, causando problemas no envio e no recebimento
de dados e no uso das aplicações desenvolvidas em plataforma web. Então,
Paulo necessita encontrar uma ferramenta de análise de rede que solucione o
problema enfrentado na comunicação dos dados, além de capacitar e realizar
otimizações na rede interna da empresa. Nesse caso, Paulo optou pelo uso da
ferramenta sniffer Wireshark. Essa ferramenta permite que ele faça uma análise
do tráfego da empresa pela captura do tráfego (dados), bem como a análise
estatística desse tráfego, e reconheça padrões da atividade da rede.
18 Análise em redes de computadores

Desse modo, Paulo fez um acompanhamento no tráfego da rede filtrando por

pacotes específicos, como TCP, SMTP e UDP, entre outros testes. Por fim, após
acompanhamento do tráfego da rede com a ferramenta Wireshark, detectou
um aumento de operações do protocolo TCP para um determinado IP interno
da rede da empresa (servidor web), caracterizando um ataque de negação de
serviços. Assim, Paulo fez as correções necessárias no firewall de entrada da em-
presa, além de uma reconfiguração no endereçamento IP de toda a organização.
Com essas medidas, a rede interna voltou ao normal e os ataques de negação
de serviços foram solucionados.

Na Era da Internet, o mundo é uma enorme rede de computadores. Assim,

a internet tem papel fundamental nos negócios empresariais e pessoais dos
usuários. Hoje, todas as aplicações dependem da conexão com a internet
para envio e recebimento de dados, bem como para compartilhamento dos
dados entre usuários conectados.
Por estarem conectadas à internet, redes de computadores pessoais ou
corporativas são passíveis de ataques de malwares, como negação de serviços.
Diante desse cenário, incidentes ocorrem, e a computação forense deve ser
aplicada para fins de elucidação dos incidentes.
No intuito de contextualizar os crimes cibernéticos, a perícia forense deve
ser realizada por profissionais com conhecimento das metodologias e técnicas
de análise dos dados em dispositivos auditáveis. Assim, a análise em redes
de computadores tem, como resultado, a materialização e documentação da
dinâmica dos delitos cometidos por cibercriminosos.

Referências
ARAÚJO, S. Computação forense. Curitiba: Contentus, 2020.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISSO/IEC 27037:2013: tecno-
logia da informação – técnicas de segurança – diretrizes para identificação, coleta,
aquisição e preservação de evidência digital. Rio de Janeiro: ABNT, 2013. (E-book).
COMER, D. E. Redes de computadores e internet. 6. ed. Porto Alegre: Bookman, 2016.
ELEUTÉRIO, P. M. S.; MACHADO, M. P. Desvendando a computação forense. São Paulo:
Novatec, 2011.
KENT, K. et al. Guide to integrating forensic techniques into incident response: recomen-
dations of the National Institute of Standards and Technology. Gaithersburg: Nist, 2006.
MARAS, M. H. Computer forensics: cybercriminals, laws, and evidence. 2nd ed. Burlington:
Jones & Bartlett Learning, 2015.
TANENBAUM, A. S.; WETHERALL, D. Redes de computadores. 5. ed. São Paulo: Pearson,
2011.
 Dica do professor
Muitas vezes é necessário analisar os sistemas infectados por ataques de malware em tempo de
execução, ou seja, com o sistema ligado. A técnica mais usada para essa análise é o dump de
memória.

Diversas ferramentas podem ser executadas para gerar um arquivo de imagem da memória de um
sistema infectado, principalmente em redes de computadores.

Conheça na Dica do Professor a ferramenta dd, utilizada na plataforma Linux para gerar arquivos
de imagem de memória.

Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.
 Na prática
Uma rede de computadores é composta por diversos equipamentos; por exemplo: dispositivos
finais de usuários, como notebooks e computadores, e dispositivos de interconexão de redes, como
roteadores, switches e servidores.

Servidores são os computadores que oferecem serviços aos usuários conectados a uma rede de
computadores, como serviços de e-mail, aplicações web, serviços de autenticação de usuários, entre
outros. Ataques de negação de serviços, conhecidos como "DoS", geralmente buscam servidores de
rede como alvo.

Veja Na Prática como um técnico de infraestrutura encontrou uma solução para ataques de
negação de serviços nos servidores de uma empresa.
Aponte a câmera para o
código e acesse o link do
conteúdo ou clique no
código para acessar.
 Saiba +
Para ampliar seu conhecimento no assunto, veja a seguir as sugestões do professor:

Webinar: a importância da análise de vulnerabilidade

Erros de programação, má configuração ou falha humana por falta de orientação no uso de
recursos são alguns exemplos que podem vulnerabilizar a segurança num ambiente corporativo.
Este vídeo ilustra todas essas situações, sendo uma ótima fonte de conhecimento sobre segurança
nos equipamentos de rede.

Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.

Endereços IP: endereçamento com classe

Os dados monitorados no tráfego de rede são encapsulados na camada 3 do modelo open systems
interconnection (OSI) ou transmission control protocol (TCP) via internet protocol (IP). Por padrão,
endereços IP de 32 bits se dividem em classes. Uma leitura do Capítulo 4 da obra Protocolo TCP/IP
vai te ajudar a compreender as informações contidas nos pacotes capturados.

Conteúdo interativo disponível na plataforma de ensino!

Comandos Linux – comando tcpdump

Nos sistemas operacionais do tipo Unix, o tcpdump coleta um despejo bruto do tráfego de rede.
Neste artigo, entenda comandos com exemplos de uso da ferramenta, descrição e sintaxe.

Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.