Escolar Documentos
Profissional Documentos
Cultura Documentos
na Rede Mundial
Gustavo Pinto Vilar
Perito Criminal Federal
gustavopintovilar@gmail.com
About me...
• Perito Criminal Federal da Polícia Federal - MJSP.
• Formado em Processamento de Dados e Ciência da Computação pela Associação
Paraibana de Ensino Renovado.
• Pós-graduado em Docência do Ensino Superior pela Universidade Federal do Rio de
Janeiro.
• Atuou no Serviço Público como Papiloscopista Policial Federal e também como Policial
Rodoviário Federal.
• É Oficial da Reserva de 2ª classe do Exército Brasileiro no posto de Primeiro Tenente da
Arma de Cavalaria.
• Trabalhou como Analista de Sistemas na multinacional Xerox do Brasil,
• Foi coordenador de informática na TV Cabo Branco (afiliada da Rede Globo).
• Coautor e revisor dos livros Tratado de Computação Forense, Ciências Forenses - Uma
Introdução Às Principais Áreas Da Criminalística, Polícia científica transformando
vestígios em evidências à luz da cadeia de custódia.
OBJETIVO DA DISCIPLINA
Fornecer subsídios para que o aluno possa, após
uma compreensão inicial dos conceitos,
metodologias e técnicas, aprofundar-se nos
estudos relacionados ao local na Rede Mundial
(Internet).
METODOLOGIA DE ENSINO
➢ HISTÓRICO DA INTERNET
➢ ANÁLISE DE E-MAILS
➢ ANONIMIZADORES
AVALIAÇÃO
➢ HISTÓRICO DA INTERNET
➢ ANÁLISE DE E-MAILS
➢ ANONIMIZADORES
História da Internet
➢ A Internet começou a ser desenvolvida após a 2ª Guerra Mundial, em virtude da
Guerra Fria entre Estados Unidos e URSS.
História da Internet
➢ A 2ª Guerra Mundial
➢ Considerada o marco inicial para a chamada Sociedade da Informação.
➢ Acúmulo de conhecimento adquirido em função de estratégias de guerras e da
necessidade de comunicação segura fomentou o desenvolvimento de
ferramentas e códigos que viabilizassem a circulação de informações no meio
militar sem o risco de vazamento que pudesse colocar toda a estratégia em
perigo.
História da Internet
➢ A Guerra Fria
➢ Com o fim da 2ª Guerra, o estabelecimento da Guerra Fria e o mundo marcado
por guerras pontuais com dois polos de comando, a comunicação e a
transmissão de informação passam a ser fator estratégico na política mundial.
➢ O Departamento de Defesa dos EUA desenvolve uma ferramenta capaz de fazer e manter a
comunicação entre as bases militares americanas mesmo que sua sede, o Pentágono, fosse
atingido por um ataque nuclear.
História da Internet
➢ A ArpaNet
➢ Surge a ArpaNet em 1969. Durante a Guerra Fria surgiram
outros importantes inventos hoje por nós utilizados. Na
década de 70 surgem os primeiros computadores pessoais. A
Intel equipa os primeiros microcomputadores com 256 bytes
de memória. E também surgem os primeiros sistemas de
posicionamento global (GPS, em inglês), criados
originalmente para orientar mísseis e guiar tropas por
lugares ermos.
➢ Em 1969 a ArpaNet é apresentada pela empresa Advanced
Research and Projects Agency (ARPA). Seu desenvolvimento
teve por objetivo permitir que os departamentos de pesquisa
fossem conectados uns aos outros.
História da Internet
História da Internet
E-mail (1971)
História da Internet
➢ E-mail
➢ Ray Tomlinson era engenheiro na BBN (Bolt Beranek & Newman), empresa contratada pelo
Departamento de Defesa dos EUA em 1968 para implantar a ARPANet.
➢ Tudo começou em 1971 como uma brincadeira, quando Tomlinson começou a enviar
mensagens a si próprio e aos seus colegas. Tomlinson somou as funcionalidades dos
programas SNDMSG (send message) e do Readmail, para ler correio eletrônico.
➢ Tomlinson também trabalhava no projecto CPYNET, usado para transferência de arquivos
entre computadores ligados em rede. Decidiu juntar os dois programas
➢ Em Março de 1972, Ray Tomlinson escreveu um programa de e-mail adaptado à rede
Arpanet, com as funções send e read, motivado pela necessidade dos técnicos da
ARPANET de ter um fácil mecanismo de comunicação.
➢ Dois anos mais tarde, um estudo indicava que 75% de todo o tráfico de dados na ARPANET
eram e-mails
História da Internet
TCP/IP (1974)
História da Internet
➢ TCP/IP
➢ De 1973 a 1974, o grupo CERF de redes de pesquisas de Stanford trabalhou
os detalhes da ideia do protocolo TCP/IP, resultando em sua primeira
especificação
➢ O protocolo deveria ser capaz de identificar e encontrar a melhor rota
possível entre dois sites (locais), além de ser capaz de procurar rotas
alternativas para chegar ao destino, caso qualquer uma das rotas tivesse
sido destruída. O objetivo principal da elaboração de TCP/IP foi na época,
encontrar um protocolo que pudesse tentar de todas as formas uma
comunicação caso ocorresse uma guerra nuclear.
História da Internet
Modem para PC (1977)
História da Internet
Domain Name System – DNS (1984)
História da Internet
➢ DNS
➢ Domain Name System (Sistema de Nomes de Domínios), funciona como um
sistema de tradução de endereços IP para nomes de domínios
➢ Existem duas formas de acessar uma página na internet: pelo nome de
domínio ou pelo endereço IP dos servidores nos quais ela está hospedada.
Para que você não precise digitar a sequência de números no navegador
sempre que quiser visitar um site, o DNS faz o trabalho pesado de traduzir
as palavras que compõem o URL para o endereço IP do servidor.
História da Internet
História da Internet
➢ WWW
➢ No final da década de 1980, mais especificamente no ano de 1989, Tim
Berners-Lee, cientista do Conselho Europeu de Pesquisas Nucleares, cria
uma nova forma de ver a ARPANET que acabou revolucionando
completamente este meio
➢ A invenção de Berners-Lee nada mais foi do que o WWW, ou seja, World
Wide Web. Este sistema nasceu para ligar as universidades entre si para
que os trabalhos e pesquisas acadêmicos fossem utilizados mutuamente
em um ambiente de contribuição dos lados envolvidos. Este cientista
também é responsável pelo desenvolvimento de duas ferramentas
indispensáveis para a Internet: o código HTML e o protocolo HTTP.
História da Internet
História da Internet
➢ A Internet no Brasil e a RNP
➢ No Brasil, os primeiros embriões de rede surgiram em 1988 e ligavam
universidades do Brasil a instituições nos Estados Unidos
➢ Em 1989, o Ministério da Ciência e Tecnologia lança um projeto pioneiro, a Rede
Nacional de Ensino e Pesquisa (RNP). Existente ainda hoje, a RNP é uma
organização de interesse público cuja principal missão é operar uma rede
acadêmica de alcance nacional.
➢ Em 1995, o governo resolveu abrir o backbone e fornecer conectividade a
provedores de acesso comerciais. A partir dessa decisão, surgiu uma discussão
sobre o papel da RNP como uma rede estritamente acadêmica com acesso livre
para acadêmicos e taxada para todos dos outros consumidores. Com o
crescimento da Internet comercial, a RNP voltou novamente a atenção para a
comunidade científica.
História da Internet
História da Internet
➢ CGI.br
➢ Criado pela Portaria Interministerial nº 147 de 31 de maio de 1995, o Comitê Gestor
da Internet no Brasil (CGI.br) é a estrutura multissetorial responsável por
coordenar e integrar as iniciativas relacionadas ao uso e funcionamento da
Internet no Brasil. Desde a edição do Decreto Federal nº 4.829, de 3 de setembro
de 2003, suas atividades envolvem, entre outras questões, o estabelecimento de
diretrizes estratégicas e técnicas sobre o funcionamento da Internet, execução do
registro de Nomes de Domínio, alocação de Endereços IP e administração do
ccTLD .br. Desde 2005, a partir da Resolução nº 001, de 21 de outubro de 2005, seu
braço executivo é o Núcleo de Informação e Coordenação do Ponto BR (NIC.br).
História da Internet
História da Internet
História da Internet
História da Internet
História da Internet
PRINCIPAIS TÓPICOS
➢ HISTÓRICO DA INTERNET
➢ ANÁLISE DE E-MAILS
➢ ANONIMIZADORES
Crimes na Internet
A Internet é segura?
39/10
Instantâneo
40/10
Instantâneo
41/10
Em 1 minuto...
42/10
Transgressões pela Internet
➢ HISTÓRICO DA INTERNET
➢ ANÁLISE DE E-MAILS
➢ ANONIMIZADORES
Definição de Perícia
Segundo o dicionário Aurélio, perícia significa tanto
habilidade, destreza, conhecimento quanto vistoria ou
exame de caráter técnico especializado
• Art. 156. O juiz será assistido por perito quando a prova do fato depender
de conhecimento técnico ou científico.
Embora o art. 155 do Código de Processo Penal (CPP) prescreva que o “O juiz formará sua
convicção pela livre apreciação da prova [...]”, e o art. 182 do mesmo diploma legal registre
que “O juiz não ficará adstrito ao laudo, podendo aceitá-lo ou rejeitá-lo, no todo ou em parte”,
é certo que a prova material tem uma importância destacada tanto na elucidação dos
crimes quanto na decisão do juiz.
Importância da perícia
Art. 169. Para o efeito de exame do local onde houver sido praticada a infração, a
autoridade providenciará imediatamente para que não se altere o estado das coisas até a
chegada dos peritos, que poderão instruir seus laudos com fotografias, desenhos ou
esquemas elucidativos.
Parágrafo único. Os peritos registrarão, no laudo, as alterações do estado das coisas e
discutirão, no relatório, as consequências dessas alterações na dinâmica dos fatos.
Principais perícias no CPP
2. Perícias de Laboratório
4. Avaliação Econômica
5. Perícias de Incêndio
6. Perícias Documentoscópicas
Art. 174. No exame para o reconhecimento de escritos, por comparação de letra, observar-
se-á o seguinte:
I - a pessoa a quem se atribua ou se possa atribuir o escrito será intimada para o ato, se for
encontrada;
II - para a comparação, poderão servir quaisquer documentos que a dita pessoa reconhecer
ou já tiverem sido judicialmente reconhecidos como de seu punho, ou sobre cuja
autenticidade não houver dúvida;
Principais perícias no CPP
6. Perícias Documentoscópicas
Tipifica:
– Invasão de dispositivo informático
– Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de
informação de utilidade pública
– Falsificação de cartão
Análise da Lei 12.737/12
(LEI CAROLINA DIECKMANN)
Elaborado por
Flúvio Cardinelle O. Garcia
Lei 12.965/14
(Marco Civil da Internet)
Principais pontos:
– Neutralidade da rede, garantindo tratamento isonômico aos pacotes de dados;
– Provedores de aplicativos deverão armazenar, por seis meses, os registros de acesso
de seus usuários;
– Provedores de conexão deverão manter a guarda dos registros de conexão pelo prazo
de um ano.
Lei 12.965/14
(Marco Civil da Internet)
Principais definições:
Art. 5º Para os efeitos desta Lei, considera-se:
– I - internet: o sistema constituído do conjunto de protocolos lógicos, estruturado em escala mundial para uso público e
irrestrito, com a finalidade de possibilitar a comunicação de dados entre terminais por meio de diferentes redes;
– II - terminal: o computador ou qualquer dispositivo que se conecte à internet;
– III - endereço de protocolo de internet (endereço IP): o código atribuído a um terminal de uma rede para permitir sua
identificação, definido segundo parâmetros internacionais;
Lei 12.965/14
(Marco Civil da Internet)
Principais definições:
Art. 5º Para os efeitos desta Lei, considera-se:
– IV - administrador de sistema autônomo: a pessoa física ou jurídica que administra blocos de endereço IP específicos e
o respectivo sistema autônomo de roteamento, devidamente cadastrada no ente nacional responsável pelo registro e
distribuição de endereços IP geograficamente referentes ao País;
– V - conexão à internet: a habilitação de um terminal para envio e recebimento de pacotes de dados pela internet,
mediante a atribuição ou autenticação de um endereço IP;
Lei 12.965/14
(Marco Civil da Internet)
Principais definições:
Art. 5º Para os efeitos desta Lei, considera-se:
– VI - registro de conexão: o conjunto de informações referentes à data e hora de início e término de uma conexão à internet, sua
duração e o endereço IP utilizado pelo terminal para o envio e recebimento de pacotes de dados;
– VII - aplicações de internet: o conjunto de funcionalidades que podem ser acessadas por meio de um terminal conectado à internet; e
– VIII - registros de acesso a aplicações de internet: o conjunto de informações referentes à data e hora de uso de uma determinada
aplicação de internet a partir de um determinado endereço IP.
LGPD
(Lei Geral de Proteção de Dados)
Dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por
pessoa natural ou jurídica de direito público ou privado, para proteger os
direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento
da personalidade da pessoa natural
LGPD - Objetivos
Aprovação – agosto/2018
Adequação – agosto/2020 (MP 869/18)
LGPD – Anonimização
As multas previstas para o descumprimento variam de 2% do faturamento bruto até R$ 50 milhões (por
infração)
Responsabilidades e Penalidades
Os diferentes agentes envolvidos – controlador e operador – podem ser solidários por incidentes de segurança
e/ou o uso indevido e não autorizado dos dados, ou pela não obediência com a lei. A responsabilidade do
operador pode ser limitada às suas obrigações contratuais e de segurança da informação
Podem ser aplicadas advertências, multas, ou até a proibição total ou parcial de atividades relacionadas ao
tratamento de dados.
Conceito de Prova
Origina-se do latim probatio, podendo ser traduzida como experiência, verificação, exame,
confirmação, reconhecimento, confronto.
Num sentido comum, significa tudo aquilo que pode levar ao conhecimento de um fato, de uma
qualidade, da existência ou exatidão de uma coisa.
Como significado jurídico, representa os atos e os meios utilizados pelas partes e reconhecidas pelo
Juiz como sendo a verdade dos fatos alegados.
Conceito de Prova
Stumvoll, 2014.
Formas da Prova
– Indireta: caso afirme outro fato do qual, por via de raciocínio, se chega ao que se deseje
provar.
Meios de Prova no CPP
Definição:
"uma das espécies do gênero instrumento público notarial, por cujo meio o tabelião de notas acolhe e
relata, na forma legal adequada, fato ou fatos jurídicos que ele vê e ouve com seus próprios sentidos,
quer sejam fatos naturais quer sejam fatos humanos, esses últimos desde que não constituam negócio
jurídico". (SILVA, João Teodoro da. Ata Notarial Sua utilidade no cenário atual Distinção das Escrituras Declaratórias. In:
SOUZA, Eduardo Pacheco Ribeiro de (coord.), Ideal Direito Notarial e Registral. São Paulo: Quinta Editorial, 2010, p. 33.)
https://prezi.com/8ivkvuundh3e/ata-notarial/
https://prezi.com/8ivkvuundh3e/ata-notarial/
https://prezi.com/8ivkvuundh3e/ata-notarial/
https://prezi.com/8ivkvuundh3e/ata-notarial/
https://prezi.com/8ivkvuundh3e/ata-notarial/
https://prezi.com/8ivkvuundh3e/ata-notarial/
https://prezi.com/8ivkvuundh3e/ata-notarial/
https://prezi.com/8ivkvuundh3e/ata-notarial/
https://prezi.com/8ivkvuundh3e/ata-notarial/
https://prezi.com/8ivkvuundh3e/ata-notarial/
https://prezi.com/8ivkvuundh3e/ata-notarial/
https://prezi.com/8ivkvuundh3e/ata-notarial/
https://prezi.com/8ivkvuundh3e/ata-notarial/
https://prezi.com/8ivkvuundh3e/ata-notarial/
https://prezi.com/8ivkvuundh3e/ata-notarial/
https://prezi.com/8ivkvuundh3e/ata-notarial/
https://prezi.com/8ivkvuundh3e/ata-notarial/
https://prezi.com/8ivkvuundh3e/ata-notarial/
https://prezi.com/8ivkvuundh3e/ata-notarial/
Situações comuns que merecem registro adequado
Situações comuns que merecem registro adequado
Situações comuns que merecem registro adequado
Exemplos de Potenciais Atividades Desenvolvidas Pela
Internet
MONTAGEM DA ESTAÇÃO PERICIAL VIRTUAL
MONTAGEM DA ESTAÇÃO PERICIAL VIRTUAL
➢ HISTÓRICO DA INTERNET
➢ ANÁLISE DE E-MAILS
➢ ANONIMIZADORES
WEB
WEB
Deep Web
➢ HISTÓRICO DA INTERNET
➢ ANÁLISE DE E-MAILS
➢ ANONIMIZADORES
Camadas, protocolos e
endereçamento na internet
CAMADA DE APLICAÇÃO
• Via navegador
• Permitem a troca de mensagens e arquivos
• Quebra de sigilo
Páginas WEB
Sub-roteiro
– Provedores de Internet
– A Internet como um local de crime
– Objetivos da análise de sítios de internet
– Preservação de sítios de internet
– Serviços de whois
– Geolocalização de endereço IP
Análise de sítios
• WayBack Machine
Análise de sítios - wget
Wget é um aplicativo gratuito para recuperação de conteúdo através dos protocolos HTTP,
HTTPS, FTP e FTPS.
– Disponível em versões Linux e Windows
– Possui interface de linha de comando (CLI)
Análise de sítios - wget
Análise de sítios - Httrack
Para tentar identificar o autor do crime (autoria), pode ser utilizado o serviço de Whois.
– Para domínios no exterior, podem ser utilizados os serviços disponíveis nos endereços
http://who.is ou http://whois.domaintools.com
Análise de sítios - Whois
Análise de sítios - Whois
Análise de sítios - Whois
Análise de sítios - Whois
Análise de sítios - Whois
Análise de sítios
Outros sítios de Whois:
– http://www.whois.sc
– http://www.dnsstuff.com
– http://www.arin.net
– http://www.ripe.net
– http://www.apnic.net
– http://www.mil.net
– http://www.netsol.com
– http://www.geektools.com/whois.php
Análise de sítios
Após a obtenção das informações de Whois, deve-se identificar o local em que o sítio
está hospedado.
Para isso, é necessário efetuar a resolução de endereços IP para um determinado
domínio (consulta DNS). Podem ser utilizados:
– Ping
– Nslookup
Análise de sítios
Com a identificação do local onde o sítio está hospedado, deve ser feita
nova consulta ao Whois, para identificar o responsável pelo local em que
o sítio está hospedado.
Análise de sítios – ping
Análise de sítios - nslookup
Análise de sítios - nslookup
Análise de sítios
Georreferenciamento do endereço IP
– https://www.maxmind.com/pt/locate-my-ip-address
– https://www.maxmind.com/en/geoip-demo
➢ ANÁLISE DE E-MAILS
➢ ANONIMIZADORES
Roteiro
215
Como identificar o autor de um e-mail
– No Google:
• Abrir a mensagem
• Nas opções da mensagem, escolher “Mostrar Original”
– No Yahoo
• Clique no ícone “Mais” sobre a mensagem
• Selecione a opção “Visualizar mensagem raw” do menu.
Como encontrar os cabeçalhos de um e-mail
– Por todos os servidores que a mensagem de e-mail passa, ela recebe um carimbo com data e
hora (timestamp)
Por onde um e-mail passou
– Com base nessas informações, deve-se consultar o serviço WHOIS para levantar os
dados cadastrais das empresas responsáveis pelos domínios e endereços IP envolvidos
– Quando um e-mail é encaminhado para outro endereço, os cabeçalhos se perdem,
criando-se outros novos
Preservação dos dados
– Não há lei que obrigue os provedores a preservarem os dados por tempo certo
– Necessidade de celeridade nas investigações, para se evitar a perda dos dados
– Necessidade de preservação dos dados, enquanto não se conseguem as Ordens Judiciais
Informações presentes nos e-mails
Quem
Endereço de e-
enviou o e- mail
Endereço IP Contexto
mail?
Possui
Corpo da Lista de Registros no
conteúdo mensagem
Anexos
contatos calendário
relevante?
Estrutura dos e-mails
– Componente essencial pois fornece o envelope que uma mensagem utiliza para
chegar ao destino correto
– Funciona como um registro de viagem, pois informa:
• de onde saiu
• qual o momento
• as rotas por onde passou
• quando chegou
Cabeçalho
– Existe uma grande quantidade de campos, mas o perito deve se concentrar nos dados
que podem ligar uma mensagem a um computador
– Deve-se ter muito cuidado pois grande parte do cabeçalho pode ser forjado
Cabeçalho
– Além dos campos “De”, “Para”, “CC”, “CCO”, “Assunto” e “Data”, existem 4 cabeçalhos
adicionais que devem ser investigados:
• Message-ID
• Received
• X-Originatin-IP (ou X-IP)
• X-Mailer
Cabeçalho
– Message-ID – informado pelo servidor de e-mail de origem e consiste em um identificador único
adicionado no nome do servidor com um símbolo de “@”
– É semelhante a um número de rastreamento da mensagem e é registrado (logado) pelos
servidores que recebem a mensagem
– Pesquisas nos logs dos servidores por esse campo fornecem evidências da passagem da
mensagem
Cabeçalho
– Message-ID – são utilizados para agrupar mensagens formando uma “conversa”
– Existem dois outros campos opcionais (“References” e “In-Reply-To”) que ajudam no
agrupamento das mensagens através de seu ID
– Como o identificador é único, ele é um ótimo termo de pesquisa para auxiliar na identificação de
mensagens relevantes
Cabeçalho
– Received – você pode rastrear por onde a mensagem passou olhando os registros de
“Received” começando pelo registro mais próximo ao corpo da mensagem indo para o
mais distante (esse é o caminho da mensagem)
– Cada servidor no caminho adiciona uma entrada “Received” contendo o IP, nome do
servidor, data, horário e fuso
Cabeçalho
– É possível que sejam forjadas alguns desses registros, entretanto aqueles criados pelos
servidores devem ser confiáveis
– Exemplo:
Received: from NAM01-BY2-obe.outbound.protection.outlook.com (mail-by2nam01on0096.outbound.protection.outlook.com. [104.47.34.96])
by mx.google.com with ESMTPS id v74si12815843pfd.77.2017.11.06.12.25.15
for <rodrigolange@gmail.com>
(version=TLS1_2 cipher=ECDHE-RSA-AES128-SHA bits=128/128);
Mon, 06 Nov 2017 12:25:18 -0800 (PST)
Cabeçalho
– X-Mailer – exemplo
X-Mailer: YahoomailWebService/0.8.116.338427
Cabeçalho
Essa mensagem foi enviada por Kelly J. Weadock a partir do endereço de email
kelly@litware.com.
Cabeçalho - exemplos
To: <anton@proseware.com>
Cc: <tim@cpandl.com>
Isto indica a data e a hora em que a mensagem de e-mail foi enviada, com base no relógio do
computador do remetente.
Cabeçalho - exemplos
MIME-Version: 1.0
Este parâmetro especifica a versão do protocolo MIME que foi usada pelo remetente. Extensões Multi função para Mensagens de Internet
(sigla MIME do inglês Multipurpose Internet Mail Extensions) é uma norma da internet para o formato das mensagens de correio
eletrônico.
O protocolo básico de transmissão de e-mail pela Internet, SMTP, suporta apenas 7-bit de caracteres ASCII. Isto limita as mensagens de
e-mails, incluindo somente os caracteres usados na língua inglesa.
Cabeçalho - exemplos
MIME-Version: 1.0
O MIME provê mecanismos para o envio de outros tipos de informações por e-mail, incluindo caracteres não utilizados no idioma inglês,
usando codificações diferentes do ASCII, assim como formatos binários contendo imagens, sons, filmes, e programas de computador.
MIME é também um componente fundamental de comunicação de protocolos como o HTTP, que requer que os dados sejam transmitidos
em contextos semelhantes a mensagens de email, mesmo que o dado a ser transmitido não seja realmente um e-mail.
Cabeçalho - exemplos
Content-Type: multipart/mixed
Este é um cabeçalho MIME adicional. Ele informa aos programas de e-mail compatíveis com
MIME o tipo de conteúdo esperado na mensagem.
Cabeçalho - exemplos
Esta informação indica que a mensagem foi enviada pelo Microsoft Office Outlook com uma
versão de compilação 12.0.4210
Cabeçalho - exemplos
Esta entrada indica o software de e-mail (software MIME OLE) usado pelo remetente.
Cabeçalho - exemplos
Thread-Index: AcON3CInEwkfLOQsQGeK8VCv3M+ipA==
Return-Path: kelly@litware.com
Message-ID: MAILbbnewS5TqCRL00000013@mail.litware.com
Este número foi atribuído à essa mensagem (pelo mail.litware.com) para fins de identificação.
Esta ID estará sempre associada à mensagem.
Cabeçalho - exemplos
Este é um carimbo de data e hora colocado na mensagem quando ela passa pela primeira vez
por um servidor executando o Microsoft Exchange.
Estrutura do e-mail
• Mas permitem identificar informações sobre o remetente da mensagem, como seu IP, através da
inclusão de uma figura na mensagem original, que será carregada a partir de um servidor web
• A figura deve ser a mais discreta possível
• Geralmente sua resolução é de apenas 1 pixel
• Ex: Get Notify (http://www.getnotify.com)
Serviços de e-mail anônimo
➢ ANÁLISE DE E-MAILS
➢ ANONIMIZADORES
“Navegar é preciso; viver não é preciso“ —
Pompeu
Que evidências podem ser encontradas?
Quais sítios Pastas de Sites
foram visitados?
Histórico Cache Cookies
recuperação sugeridos
Quantas vezes
um sítio foi Histórico Cookies
visitado?
Quando um
Pastas de
sítio foi Histórico Cookies Cache
visitado? recuperação
Quais sítios
foram salvos Favoritos
pelo Usuário
Foi feito
Pasta de
download de Cache
algum arquivo? Downloads
Podem ser
identificados Auto- Pastas de
nomes de
Cookies Cache
completar recuperação
usuários
Pelo que o
Auto-
usuário estava Cache
procurando? completar
Fonte: SANS
Navegadores de Internet
Utilizado como padrão, pois muitos conceitos utilizados pelo Internet Explorer aplicam-se
também ao Google Chrome e Mozilla Firefox.
Internet Explorer (IE)
8.1, Server 8, Server 7, Server Vista, Server
Ano 10, Server 2016 Server 2003 XP
2012 R2 2012 2008 R2 2008
Sim,
IE 11 2013 Incluído Incluído - - - -
com SP1
Sim, com
IE 10 2012 - - Incluído - - -
SP1
Sim, com
IE 8 2009 - - - Incluído Sim Sim, com SP2
SP2/SP3
Sim, com Sim, com
IE 7 2006 - - - - Incluído
SP1/SP2 SP2/SP3
IE 6 2001 - - - - - Incluído Incluído
Internet Explorer (IE)
Principais versões
– IE6 e IE7 – sistemas desatualizados (Windows XP)
– IE8 – lançada em 2009; padrão no Windows 7
– IE9 – lançada em 2011
– IE10 – lançada em 2012; padrão no Windows 8
– IE11 – lançada em 2013, com o Windows 8.1
– Edge – lançada em 2015, com o Windows 10
Internet Explorer (IE)
%USERPROFILE%\AppData\Local\Microsoft\Windows\History\History.IE5
Histórico
%USERPROFILE%\AppData\Local\Microsoft\Windows\History\Low\History.IE5
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies
Cookies
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies\Low
\Software\Microsoft\Internet Explorer\Intelliforms
=> Senhas do autocompletar criptografadas.
=> Informa por quantos dias o histórico é mantido e a pasta onde está
armazenado.
CHAVES E VALORES RELACIONADOS AO
INTERNET EXPLORER (EXEMPLOS)
COOKIES
C:\Users\[User Name]\AppData\Roaming\Microsoft\Windows\Cookies\Low
Internet Explorer (IE)
Arquivos Index.dat
– Da versão 4 até a 9, a maioria das informações era armazenada em arquivos “Index.dat”, tais
histórico, cookies, cache, histórico de download, etc.
– Registros apagados podiam ser recuperados.
– Formato binário mantido o mesmo desde a versão 4
– Difíceis de serem apagados pelo usuário, pois sempre estavam em uso e bloqueados (IE permite
apagar)
Internet Explorer (IE)
Histórico, metadados
%USERPROFILE%\AppData\Local\Microsoft\Windows\Webcache\WebCacheV*.dat
de cache e de cookies
%USERPROFILE%\AppData\Local\Microsoft\Windows\
Temporary Internet Files\Content.IE5
Cache
%USERPROFILE%\AppData\Local\Microsoft\Windows\
Temporary Internet Files\Low\Content.IE5
%USERPROFILE%\AppData\Roaming\Microsoft\Windows
\Cookies
Cookies
%USERPROFILE%\AppData\Roaming\Microsoft\Windows
\Cookies\Low
Histórico de Download %USERPROFILE%\AppData\Local\Microsoft\Windows\Webcache\WebCacheV*.dat
Internet Explorer (IE)
Histórico, metadados
%USERPROFILE%\AppData\Local\Microsoft\Windows\Webcache\WebCacheV*.dat
de cache e de cookies
%USERPROFILE%\AppData\Local\Microsoft\Windows\
INetCache\IE
Cache
%USERPROFILE%\AppData\Local\Microsoft\Windows\
INetCache\IE
%USERPROFILE%\AppData\Roaming\Microsoft\Windows
\INetCookies
Cookies
%USERPROFILE%\AppData\Roaming\Microsoft\Windows
\INetCookies\Low
Histórico de Download %USERPROFILE%\AppData\Local\Microsoft\Windows\Webcache\WebCacheV*.dat
Internet Explorer (IE)
Arquivos WebCacheV*.dat
– Consolida grande quantidade de dados armazenados anteriormente em vários arquivos Index.dat
– Utiliza o formato Extensible Storage Engine (ESE). Esse é o mesmo formato utilizado pelo Exchange e Windows
Search.
– Existem arquivos “container.dat" em pastas familiares tais como "History.IE5", "Temporary Internet Files", e
"Content.IE5“, mas todos metadados desses arquivos foram movidos para o arquivo WebCacheV*.dat.
Internet Explorer (IE)
Arquivos WebCacheV*.dat
– A base de dados pode estar em dois estados: “Dirty Shutdown” ou “Clean Shutdown”
– Como exemplo, para consultar o estado da base de dados “WebCacheV01.dat”, pode ser executado o comando:
esentutl /mh WebCacheV01.dat
Internet Explorer (IE)
Arquivos WebCacheV*.dat
– O estado “Dirty Shutdown” pode impedir que algumas ferramentas possam acessar os registros nessa base de dados.
– Para corrigir esse estado no arquivo “WebCacheV01.dat”, por exemplo, deve ser executado o comando:
esentutl /r V01 /d
– A opção “/d” utiliza apenas os arquivos de Log na pasta atual
Exercício
1) Copiar o arquivo WebCacheV01.dat, localizado na pasta %USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache,
para a pasta c:\TEMP
2) Verificar o estado da base de dados
3) Se ela estiver em estado “Dirty”, corrigir e verificar novamente
Internet Explorer (IE)
Resolução
1) Copiar o arquivo WebCacheV01.dat, localizado na pasta %USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache,
para a pasta c:\TEMP. Como o arquivo está bloqueado, pode ser utilizado o FTK Imager, por exemplo
2) Verificar o estado da base de dados. esentutl /mh WebCacheV01.dat
3) Se ela estiver em estado “Dirty”, corrigir e verificar novamente. esentutl /r V01 /d
Internet Explorer (IE)
– AppCache_n – MSysLocales
– AppCacheEntry_n – MSysObjects
– Container_n – MSysObjectsShadow
– DependencyEntry_n – MSysObjids
– HstsEntry_n – Partitions
– LeakFiles
Internet Explorer (IE)
Histórico
– Excelente para analisar o perfil do usuário
– Os registros dos sítios visitados são armazenados com data e horário
• Os detalhes são registrados para cada conta de usuário
• Registra o número de visitas
• Também armazena o acesso a arquivos locais
– Utilizado pelo navegador para autocompletar
Internet Explorer (IE)
Histórico
– Armazenado em diversos arquivos Index.dat (IE4-IE9) ou no arquivo WebCacheV*.dat (IE10+)
– A chave do registro do SO determina o tempo em que os registros são armazenados:
SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\URL History
– Facilmente manipulado/limpo pelo usuário
Internet Explorer (IE)
Histórico
Pode fornecer as seguintes informações:
– Quais sítios o usuário visitou nos últimos X dias (X é o número de dias em que o histórico é armazenado)
– Quais arquivos foram acessados nos últimos X dias
– A conta do usuário utilizada para acessar o sítio
– A data e horário em que houve a última visita a um sítio
– Quantas vezes cada sítio foi visitado
Internet Explorer (IE)
Histórico
Nas versões IE5-9, o Sistema Operacional mantinha arquivos de histórico nos arquivos Index.dat, armazenadas em pastas
com o nome no seguinte formato:
MSHIST01<Ano_Início><Mês_Início><Dia_Início><Ano_Fim><Mês_Fim><Dia_Fim>
MSHIST01<Ano_Início><Mês_Início><Dia_Início><Ano_Fim><Mês_Fim><Dia_Fim>
Assim, a pasta “MSHist012017092320170930” se refere ao histórico entre 23/09/2017 e 30/09/2017.
Internet Explorer (IE)
Histórico
Os principais campos presentes nas tabelas Container_n:
– Data de modificação (ModifiedTime) – fornece a data e horário da primeira vez que um objeto foi criado.
– Data de acesso (AccessedTime) – fornece a data e horário em que o objeto foi acessado pela última vez.
– Quantidade de acessos (AccessCount) – registra o número de vezes em que um objeto URL foi acessado. Algumas
vezes é inconsistente.
– URL – é o recurso sendo rastreado.
Internet Explorer (IE)
Histórico
Uma informação importante é que o Histórico não registra apenas navegação da Internet. Ele registra também o acesso a
arquivos locais e remotos (mesmo que não tenham sido acessados pelo navegador).
RESPOSTA AOS QUESITOS 20 a 24 - (PREVISÃO 40 MIN)
Histórico de navegação
– A ferramenta NirSoft BrowsingHistoryView permite acessar informações de histórico de navegação dos
aplicativos Internet Explorer, Mozilla Firefox, Google Chrome e Safari.
Ferramentas
Histórico de navegação
Ferramentas
Histórico de navegação
– A ferramenta NirSoft
BrowsingHistoryView permite
selecionar qual navegador será
analisado bem como apresenta
diversas outras opções para
seleção dos dados (F9).
Internet Explorer (IE)
Conta Microsoft
Se um usuário logar em um computador com uma conta da Microsoft e utilizar o Edge, todos os dispositivos irão sincronizar
o histórico de navegação.
Assim, é difícil analisando apenas o banco de dados para saber qual computador foi utilizado para navegação. Assim, saber
o computador utilizado pelo usuário no momento em que o sítio foi acessado é muito importante.
Internet Explorer (IE)
Navegação InPrivate
Segundo a Microsoft (https://privacy.microsoft.com/pt-BR/windows-10-microsoft-edge-and-privacy):
“Quando você usa o Microsoft Edge no modo InPrivate, as informações de navegação, como cookies, histórico e arquivos
temporários, não são salvas no seu dispositivo após o encerramento da sua sessão de navegação.”
Internet Explorer (IE)
Navegação InPrivate
Pode ser recuperada a última sessão de navegação se ela foi InPrivate:
C:\Users\uuuuu\AppData\Local\Packages\Microsoft.MicrosoftEdge_xxxxx\AC\MicrosoftEdge\User\Default\Recovery\Active\y
yyyyy.dat
Onde:
uuuuu – nome do usuário
xxxxx – código aleatório
yyyyy – identificador GUID da sessão (ex: {663CF6A7-74FB-4DC6-857D-DAA87D8637C1}
Internet Explorer (IE)
Cache
– É o local onde são armazenados os componentes de páginas de Internet gravados localmente para
agilizar as visitas subsequentes.
– Fornece provas do que o usuário estava acessando em um determinado momento
– O tamanho padrão do cache é de 250MB, limitado a aproximadamente 60.000 itens
Internet Explorer (IE)
Cache
Fornece provas do que o usuário estava acessando em um determinado momento:
– Sítios que estavam sendo acessados
– Arquivos que o usuário visualizou em determinado sítio
– O cache é vinculado a um determinado usuário
– São registrados quando o sítio foi salvo pela primeira vez e visualizado pela última vez
Internet Explorer (IE)
Cache
Pastas de cache: IE5-IE9
TemporaryIE10+
INetCache
Internet Files
Content.IE5 IE
• IEYFMNCP • 4KD85H0Q
• UIQWMVNT • MFAD2Q94
• H83J6CVT • LA74C03Y
• 7YTMADQP5 • 9U2K33B3
Internet Explorer (IE)
Cache
Os arquivos de cache são renomeados, sendo inserido um sufixo apresentando “[n]”, onde n é a
enésima cópia do arquivo com o referido nome, para evitar colisão de nomes.
Internet Explorer (IE)
Cache
Até o IE9, o arquivo Index.dat é fundamental para reconstrução do cache:
– registra a URL visitada
– identifica o path do arquivo salvo e a referência dele na URL
– armazena no campo Type o motivo da existência daquele registro:
• URL – indica que uma URL foi acessada em um pedido normal
• LEAK – falha em apagar o arquivo de cache em virtude do arquivo estar bloqueado
• REDR – página visitada, causando um redirecionamento (não salvo no cache)
• HASH – um índice de hash do conteúdo do cache
Internet Explorer (IE)
Cache
– Cabeçalhos HTTP (request e response)
– Informações de datas e horários
Internet Explorer (IE)
Internet Explorer (IE)
Internet Explorer (IE)
Cache
Principais campos na tabela de cache:
– FileName – nome do arquivo no disco (inclusive com [n])
– FileSize – tamanho do arquivo no disco
– SecureDirectory – índice da pasta onde o arquivo está salvo no disco (resultado do campo
SecureDirectories)
– AccessCount – número de vezes que o arquivo de cache foi utilizado pelo navegador
– URL – identifica a origem de cada arquivo de cache
Internet Explorer (IE)
Cache
– CreationTime (só existe no WebCacheV*) – momento de criação do arquivo de cache (UTC)
– AccessedTime (Last Accessed no Index.dat) – último momento em que o conteúdo do cache foi visualizado pelo usuário
(UTC)
– ModifiedTime (Last Modified no Index.dat) – último momento em que o conteúdo foi modificado no servidor de arquivos
(UTC)
– ExpiryTime (Expiration no Index.dat) – utilizado pelo navegador para identificar entradas muito antigas no cache (UTC)
Internet Explorer (IE)
– CreationTime (só existe no WebCacheV*) – momento de criação do arquivo de cache (UTC)
– AccessedTime (Last Accessed no Index.dat) – último momento em que o conteúdo do cache foi visualizado pelo usuário (UTC)
– ModifiedTime (Last Modified no Index.dat) – último momento em que o conteúdo foi modificado no servidor de arquivos (UTC)
– ExpiryTime (Expiration no Index.dat) – utilizado pelo navegador para identificar entradas muito antigas no cache (UTC)
– Last Checked (só existe no Index.dat) – quando um arquivo é requisitado, o navegador compara com a última versão no sítio
Ferramentas
Cache de navegação
– A empresa NirSoft desenvolveu várias ferramentas para acesso de informações presentes no cache de
navegação dos seguintes navegadores:
• IE – IECacheView
• Mozilla Firefox – MZCacheView
• Google Chrome – ChromeCacheView
• Ópera – OperaCacheView
• Safari – SafariCacheView
Ferramentas
Cache de navegação
Internet Explorer (IE)
Cookies
Existem dois tipos:
– Persistentes – ficam gravados no disco
– Sessão – ficam apenas em memória e são mantidos apenas durante a sessão de navegação
Internet Explorer (IE)
Cookies
– Pequenos arquivos de texto (<4KB) que registram informações selecionadas pelos desenvolvedores
do sítio
– Podem fornecer as seguintes informações:
• Sítio acessado
• Conta do usuário que acessou o sítio
• Datas e horários de criação, modificação e último acesso dos arquivos de cookies (mantidos no sistema de
arquivos)
• Outros dados presentes no cookie
Internet Explorer (IE)
Cookies
Várias atualizações no IE e no Windows modificaram o funcionamento dos cookies:
– Windows 7 criou as pastas “Low”
– IE 9.0.2 passou a utilizar nomes pseudo-aleatórios nos cookies
– Windows 8.1 passou a utilizar a pasta para armazenar os cookies:
%USERPROFILE%\AppData\Local\Microsoft\Windows\INetCookies
(era %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies )
Internet Explorer (IE)
Cookies
Principais campos (no Index.dat e WebCacheV*.dat)
– FileName – nome do arquivo do cookie no disco
– URL – endereço do sítio que gerou o cookie. A conta local do usuário que gerou o cookie é armazenada como parte da URL (ex:
Maria@barbie.com)
– AccessCount (anteriormente chamada de Hits) – indica o número de vezes que o cookie foi utilizado pelo sítio
– CreationTime (apenas no WebCacheV*.dat) – a primeira vez que o cookie foi salvo no disco
Internet Explorer (IE)
Cookies
Principais campos (no Index.dat e WebCacheV*.dat)
– ModifiedTime – última vez em que o sítio fez modificações no cookie ou quando ele foi criado. Registrado em UTC
– AccessedTime – indica a última vez em que o cookie foi enviado ao sítio que o originou
– ExpiryTime – indica o momento, registrado no cookie pelo sítio que o criou, em que o cookie não será mais considerado válido.
Registrado em UTC
– Last Checked (apenas no Index.dat) – indica a última vez em que o cookie foi checado se estava expirado (ExpiryTime)
Ferramentas
Cookies
– A empresa NirSoft desenvolveu várias ferramentas para acesso de informações presentes nos cookies de
navegação do IE, Mozilla Firefox e cookies criados por componentes Flash:
• IE – IECookiesView
• Mozilla Firefox – MZCookiesView
• Flash – FlashCookiesView
Ferramentas
Cookies
Internet Explorer (IE)
Download
– O local padrão para salvar um arquivo que é baixado (feito download) pelo navegador é o valor
“Download Directory”, localizado na chave “NTUSER\Software\Microsoft\Internet Explorer”
– Por padrão, o dado é “%USERPROFILE%\Downloads” (até o Windows XP, era
“%USERPROFILE%\Desktop”)
Internet Explorer (IE)
Download
– A partir da versão 9, o IE passou a utilizar um gerenciador de downloads completo.
– As informações de download passaram a ser armazenadas no registro, na chave
“%USERPROFILE%\AppData\Roaming \Microsoft\Windows\IEDownloadHistory\”
Internet Explorer (IE)
Download
São armazenadas as seguintes informações:
– Nome do arquivo
– Tamanho do arquivo
– URL de origem
– URL
– Destino do download
– Tempo de download
Internet Explorer (IE)
Download
Os registros podem ser apagados pelos usuários de diversas formas:
– Selecionados individualmente e removidos pelo botão “X”
– Toda lista pode ser limpa através do botão “Limpar lista”
– No menu “Opções de Internet” do IE, existe uma opção para apagar o histórico de downloads
Internet Explorer (IE)
Download
Como os cabeçalhos são salvos em formato Hexadecimal, podem ser convertidos para obtenção da URL. Para
isso podem ser utilizados:
– https://www.branah.com/ascii-converter
– Extensão para Firefox LeetKey
– Plugin Hex Conversion para Notepad++
O acesso ao cabeçalho e da URL pode permitir, por exemplo, a identificação de senhas utilizadas para abertura
de arquivos cifrados
Internet Explorer (IE)
Auto-completar
Na chave “NTUSER\Software\Microsoft\Internet Explorer\TypedURLs” do registro do Windows são armazenados
os últimos 25 endereços digitados pelo usuário no IE9 e, a partir do IE10, são registrados os últimos 50
endereços.
Esses registros indicam que o usuário ativamente quis acessar determinada URL, pois não são gravados os
cliques em endereços, mas apenas o que efetivamente o usuário digitou
Internet Explorer (IE)
Auto-completar
–
Internet Explorer (IE)
Auto-completar
O IE10 também registra a última vez em que a URL digitada foi utilizada, salvando essas informações na chave
do registro “NTUSER\Software\Microsoft\Internet Explorer\TypedURLsTime”
Internet Explorer (IE)
Auto-completar
Internet Explorer (IE)
Auto-completar
Internet Explorer (IE)
Favoritos
Fornece uma perspectiva dos interesses do usuário do computador
Informações que podem ser obtidas:
– Conta do usuário
– URL
– Título da página
– Data de criação e de último acesso
Cuidado: nem todo link registrado como Favorito foi criado pelo usuário
Internet Explorer (IE)
Favoritos
São criados arquivos de atalho de Internet (extensão .url) na pasta “%USERPROFILE%\Favorites”
Internet Explorer (IE)
Favoritos
Ferramentas
Favoritos
A ferramenta NirSoft FavoritesView permite a consulta aos favoritos do Internet Explorer e do Mozilla Firefox.
Internet Explorer (IE)
– Essa funcionalidade pode ser desabilitada via GPO ou alterando para “1” o valor “NoReopenLastSession”,
presente na chave “HKCU\Software\Policies\Microsoft\Internet Explorer\Recovery”
Internet Explorer (IE)
Senhas armazenadas no IE
– A partir do IE10, o Windows armazena, as credenciais (nome de usuário e senha) de acesso a sítios
de Internet em um sistema denominado “Windows Vault”, uma espécie de cofre dos dados.
Internet Explorer (IE)
Senhas armazenadas no IE
Os dados armazenados são separadas em dois tipos:
– Usuário
• %USERPROFILE%\AppData\Local\Microsoft\Vault\{GUID}
• %USERPROFILE%\AppData\Roaming\Microsoft\Vault\{GUID}
– Sistema
• \Windows\System32\config\systemprofile\AppData\Local\Vault\{GUID}
• \Windows\System32\config\systemprofile\AppData\Roaming\Vault\{GUID}
Internet Explorer (IE)
Senhas armazenadas no IE
– Essas informações estão cifradas com as credenciais de acesso do Windows (nome de usuário e
senha do SO)
– Se essas credenciais do SO são conhecidas, a forma mais fácil de recuperar esses dados é através
da execução de uma ferramenta, tal como a NirSoft WebBrowserPassView, em uma máquina
virtual.
– Se as credenciais não forem conhecidas, será necessária a utilização de aplicativos de quebra de
senha
Ferramentas
Revisão
Artefato Localização
Histórico WebCacheV*.dat ou Histórico no Index.dat
Cache WebCacheV*.dat ou Cache no Index.dat
Cookies WebCacheV*.dat ou Cookies no Index.dat
Favoritos Arquivos .url
Histórico de
WebCacheV*.dat ou IEDownloadHistory Index.dat
Download
URLs digitadas Registro
Auto-completar WebCacheV*.dat ou Histórico no Index.dat
Senhas de Internet Área protegida
Edge Browser
• Arquivo de histórico:
– \Users\user_name\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.
dat
Versões
– Versão 1.5 – lançado em 2005 e dificilmente é encontrado
– Versão 2 – lançado em 2006 e dificilmente é encontrado
– Versão 3 – lançado em 2008
– A partir da Versão 4 – passou a adotar um acelerado processo de novas versões (a versão atual é a 56)
Mozilla Firefox
Histórico
– O Firefox mantém um maior registro de histórico de navegação que o IE. Os principais campos, gravados na
tabela “places.sqlite”, são:
• URL – endereço acessado
• Title – título da página
• Visit_count – quantidade de vezes que o sítio foi acessado
• Typed – se foi o usuário que digitou o endereço ou foi acessado por um link
• Last_visit_date – data e horário da última visita
• Hidden – a página foi acessada com alguma ação do usuário ou não
Ferramentas
Histórico de navegação
– A ferramenta NirSoft BrowsingHistoryView permite acessar informações de histórico de navegação dos
aplicativos Internet Explorer, Mozilla Firefox, Google Chrome e Safari.
Ferramentas
Histórico de navegação
Mozilla Firefox
Cache
– O Firefox utilizou a mesma estrutura de cache até a versão 32. Até a versão 31, a base de dados utilizada era
muito complicada, e é mais seguro utilizar alguma ferramenta especialmente criada para essa finalidade.
– A partir da versão 32, o Firefox passou a adotar uma implementação mais simples.
Mozilla Firefox
Cache
– Até a versão 31 no Windows XP, os dados eram encontrados na pasta “%USERPROFILE%\Local
Settings\Application Data\Mozilla\ Firefox\Profiles\<número_aleatório>.default\Cache”.
– Em computadores com Windows Vista ou superior, na pasta
“%USERPROFILE%\AppData\Mozilla\Firefox\Profiles\<número_aleatório>.default\Cache”.
Mozilla Firefox
Cache
– A partir da versão 32, os dados podem ser encontrados na pasta
“%USERPROFILE%\AppData\Local\Mozilla\Firefox\Profiles\<número_aleatório>.default\cache2”
Mozilla Firefox
Cache
– Os principais metadados armazenados, a partir da versão 32, são:
• URL – endereço de onde o conteúdo foi obtido
• Fetch count – quantas vezes o conteúdo foi acessado
• Filename – nome do arquivo
• Content Type – tipo do arquivo (jpg, gif, JavaScript, etc)
• File size – tamanho do arquivo
• Last Modified Time – última vez em que o conteúdo foi armazenado no cache
• Last Fetched Time – última vez em que o conteúdo foi utilizado do cache
Mozilla Firefox
Cookies
– Até a versão 2, o Firefox gravava as informações de cookies no arquivo “cookies.txt”
– A partir da versão 3, as informações relacionadas a cookies são armazenadas, pelo Firefox, no arquivo
“cookies.sqlite”.
– Não são mantidos, como no IE, arquivos individuais. O Firefox armazena todas as informações na referida
tabela.
Mozilla Firefox
Cookies
– Os principais metadados armazenados são:
• BaseDomain – domínio de onde originou-se o cookie
• Name – nome do atributo
• Value – valor do atributo
• lastAccessed – data e horário do último acesso ao cookie
• creationTime – data e horário de criação do cookie
• isSecure – o cookie foi gerado em um a conexão segura?
Mozilla Firefox
Downloads
– Da versão 3 até a versão 25, as informações de download eram armazenadas no arquivo SQLite denominado
“downloads.sqlite”.
– A partir da versão 26, o Firefox passou a armazenar os registros dos arquivos que foram baixados (download)
na base de dados SQLite com o nome “places.sqlite”, em uma tabela denominada “moz_annos”
Mozilla Firefox
Downloads
– A partir da versão 26, a tabela denominada “moz_annos” utiliza os campos “Anno_atribute_id” para várias
informações:
• 7 – localização onde o arquivo foi salvo
• 8 – nome do arquivo
• 9 – registra se o download teve sucesso (1) ou não (0)
– Para saber a origem do arquivo, deve ser cruzado o campo “place_id” da tabela “moz_annos” com o campo
“id” da tabela “moz_places”
Mozilla Firefox
Histórico de download
A ferramenta NirSoft FirefoxDownloadsView permite a consulta aos downloads realizados pelo Mozilla Firefox.
Ferramentas
Histórico de download
Mozilla Firefox
Favoritos
– Até a versão 2 do Firefox, os Favoritos eram armazenados em um arquivo, em formato HTML, com o nome
“bookmarks.html”. Algumas informações não eram apresentadas quando esse arquivo era visualizado em um
navegador de Internet.
– A partir da versão 3, o Firefox passou a armazenar os favoritos em um arquivo de base de dados SQLite com
o nome “places.sqlite”, em uma tabela denominada “moz_bookmarks”.
Mozilla Firefox
Auto-completar
– As informações de auto-completar estão armazenadas no arquivo em formato SQLite “formhistory.sqlite”.
Mozilla Firefox
Revisão
Artefato Firefox 1.5 e 2 Firefox 3+
Histórico history.dat places.sqlite
Histórico de
downloads.rdf places.sqlite
Download
formhistory.sqlite
Auto-completar formhistory.dat
places.sqlite
Google Chrome
Google Chrome
Informações
– Lançado em Dezembro de 2008
– Localização dos artefatos
• Windows XP: %USERPROFILE%\Local Settings\Application Data\Google\Chrome\User Data\Default
• Windows Vista: %USERPROFILE%\Appdata\Local\Google\Chrome\user Data\Default
Google Chrome
Informações
– A grande maioria dos artefatos são gravados em bancos de dados no formato SQLite.
– O Chrome grava as informações de datas e horários no formato WebKit
Google Chrome
Favoritos
O Chrome armazena os Favoritos em um arquivo no formato JSON com o nome “Bookmarks” (sem extensão).
Google Chrome
Histórico
– O Chrome armazena os registros de sítios acessados no arquivo de banco de dados SQLite com o nome
“History”.
– Após aproximadamente 3 meses, os dados são movidos para o arquivo “Archived History”. Essa tabela
registra uma quantidade menor de informações que a tabela “History”. Esse artefato foi removido a partir da
versão 37.
Google Chrome
Revisão
Artefato Nome do arquivo Formato
Histórico History, Top Sites, Archived History SQLite
Histórico de
History SQLite
Download
– Provedores Proxy
• Contornar restrições geográficas de conteúdo (Ex: Netflix, YouTube, etc)
• Manter usuários anônimos
• Ex: https://www.hidemyass.com/proxy
Anonimizadores
– VPN
• Virtual Private Network
• Permitem o acesso a uma rede corporativa por meio de um "túnel virtual" acessível a partir de uma rede pública
compartilhada
• Geralmente, todo o tráfego é direcionado para o "túnel virtual"
• Recentemente, também passaram a ser utilizadas para contornar restrições geográficas e garantir a navegação anônima do
usuário
• Geralmente, um provedor oferece o serviço de Proxy gratuitamente, com limitação de largura de banda e oferece a VPN
com um serviço pago
Anonimizadores
– VPN
• Devem ser usados com muita cautela
– Todo o tráfego é direcionado para o provedor
• Recentemente, foi divulgado que vários provedores "gratuitos" injetavam propagandas nas
páginas web visitadas, além de monitorar o comportamento do usuário para melhorar essas
propagandas
Anonimizadores
– TOR - The Onion Router
• Oferecer acesso seguro aos usuários
• Oferecer liberdade de comunicação, dificultando a perseguição por regimes autoritários
• Atua na camada de aplicação, redirecionando e cifrando o tráfego para uma rede de servidores voluntários
• Como não existem requisitos mínimos de hardware e banda dos voluntários, o tráfego é lento
Anonimizadores
– TOR - Tipos de nós
• Entrada: Servidor que é acessado diretamente pelo cliente TOR
• Trânsito/Relay: Servidores intermediários que fazem o roteamento entre os nós de entrada
e de saída
• Saída: Servidor responsável entregar os pacotes ao destino final
•
Anonimizadores
– TOR - Mais informações
– O tráfego entre o nó de saída e o destino está em texto claro
– Navegador TOR
• Necessário para acessar a rede
• Versão modificada do Mozilla Firefox
• Não requer instalação
• Vem configurado com o modo privado por padrão
The Onion Router (TOR)
The Onion Router (TOR)
The Onion Router (TOR)
– Conjunto gratuito de aplicativos criados para garantir segurança e anonimato
– Também permite a disponibilização de serviços (ex: Blog) garantindo segurança e anonimato ao
servidor
– Principais usuários:
• Pessoas sob censura
• Pessoas que querem anonimato
• CRIMINOSOS
The Onion Router (TOR)
– Funciona criando vários caminhos (circuito) por onde a informação trafega cifrada,
impedindo a análise do tráfego
– Cada nó do circuito não sabe a origem ou o destino da conexão, apenas conhece o nó
anterior e o próximo nó
– Só funciona com TCP
– Por eficiência, o TOR troca o circuito para conexões a cada 10 minutos
The Onion Router (TOR)
The Onion Router (TOR)
The Onion Router (TOR)
The Onion Router (TOR)
The Onion Router (TOR)
Serviços Ocultos (TOR)
Serviços Ocultos (TOR)
Serviços Ocultos (TOR)
Serviços Ocultos (TOR)
Serviços Ocultos (TOR)
Serviços Ocultos (TOR)
Serviços Ocultos (TOR)
Serviços Ocultos (TOR)
Serviços Ocultos (TOR)
The Onion Router (TOR)
The Onion Router (TOR)
The Onion Router (TOR)
Ross Ulbricht
Dread Pirate Roberts
Preso em 2013
The Onion Router (TOR)
Caso da bomba em Harvard
E-mail (https://www.guerrillamail.com/)
http://torstatus.blutmagie.de/
shrapnel bombs placed in:
science center
sever hall
emerson hall
thayer hall