Escolar Documentos
Profissional Documentos
Cultura Documentos
FORENSE COMPUTACIONAL:
Ferramentas Open Source e Análises de Mídias
GOIÂNIA
2018
RENATO ETERNO DE MATOS
FORENSE COMPUTACIONAL:
Ferramentas Open Source e Análises de Mídias
GOIÂNIA
2018
(inserir ficha catalográfica)
RENATO ETERNO DE MATOS
FORENSE COMPUTACIONAL:
Ferramentas Open Source e Análises de Mídias
BANCA EXAMINADORA
_______________________/__/___
Prof. Nome do Professor
Universidade Paulista – UNIP
_______________________/__/___
Prof. Nome do Professor
Universidade Paulista – UNIP
_______________________/__/___
Prof. Nome do Professor
Universidade Paulista UNIP
DEDICATÓRIA
1
Encontrado no dicionário Michaelis da Língua Portuguesa (2010), a palavra “Forense” significa “Que
se direciona ao foro judicial/Relativo aos tribunais”.
ABSTRACT
Sensitive or common data recovery is very much needed nowadays due to the huge
use of data storage equipment. This procedure is widely used by ordinary users,
whether individuals or corporations, who have their files lost through accidents, as
well as forensic investigators in search of evidence and / or clues to crimes, whether
digital or not. In this paper we discuss the growth and the need for forensic science
and its mentors, also concepts of Forensic Computing, its birth and its definitions,
current and computational forensic science, topics of Antiforense activities, also the
main types of crimes are discussed and forensic examinations, computer equipment
and media used as tools to support digital crimes, we will deepen the analysis of
Open Source tools for forensics in media (hard drives, pen drivers, among others)
how and in what scenario they can be used, and what results the gains and losses
can have, also showing the great damage that data breach can bring to our lives.
This information was collected in books, specialized magazines, websites and
articles related to the theme and other works with similar contents. In addition to a
case study with the practical application of one of these Open Source techniques and
the impact of this on forensic expertise.
1 INTRODUÇÃO.................................................................................................... 13
2 METODOLOGIA................................................................................................. 15
3 TECNOLOGIA DA INFORMAÇÃO E AMBIENTE VIRTUAL............................ 16
3.1 O Direito Digital no Brasil............................................................................. 18
3.2 Marco Civil da Internet.................................................................................. 19
3.2.1 Histórico do Marco Civil da Internet no Brasil............................................... 21
4 CIÊNCIA FORENSE........................................................................................... 24
5 FORENSE COMPUTACIONAL.......................................................................... 25
5.1 Identificação.................................................................................................. 28
5.2 Preservação.................................................................................................... 28
5.3 Análise............................................................................................................ 29
5.4 Formalização.................................................................................................. 30
6 COLETA DE EVIDÊNCIAS DIGITAIS EM DISPOSITIVOS DE
ARMAZENAMENTO............................................................................................. 31
6.1 Diretrizes para coleta de provas com a RFC 3227..................................... 31
6.2 Volatilidade dos dispositivos e sua ordem................................................ 33
6.2.1 Processos de execução armazenados pela CPU......................................... 34
6.2.2 Memória de periféricos................................................................................. 34
6.2.3 Memória principal do sistema....................................................................... 34
6.2.4 Tráfego e dados de rede.............................................................................. 35
6.2.5 Estado e conexões de rede.......................................................................... 35
6.2.6 Estado do sistema operacional................................................................... 36
6.2.7 Sistema de arquivos..................................................................................... 36
7 SISTEMAS DE ARQUIVOS E ARQUIVOS NTFS............................................. 38
7.1 As características do NTFS.......................................................................... 42
7.2 Estrutura do sistema NTFS........................................................................... 42
7.3 MAC Times Metadados do sistema de arquivos........................................ 44
8 FORENSE EM AMBIENTES NTFS E AS PRINCIPAIS FERRAMENTAS........ 46
8.1 Coleta de evidências em máquinas Post Mortem Analisys....................... 48
8.1.1 Usando o DD: uma ferramenta de comando................................................ 49
8.1.2 Foremost....................................................................................................... 51
9 CONCLUSÃO..................................................................................................... 53
REFERÊNCIAS..................................................................................................... 54
13
1 INTRODUÇÃO
2 METODOLOGIA
Em 1965, Gordon Moore propôs uma lei audaciosa para a época dizendo que
o número de transistores que podiam ser impressos em uma pastilha (futuro
processador de um computador) dobrava a cada ano. E essa lei proposta por Moore,
vem acontecendo até os dias atuais, porém não duplicando a cada ano, como previu
Moore, e sim a cada aproximadamente 18 meses. E através dessa lei de Moore,
tivemos a consequência direta através de Willian Stallings onde destaca que os
computadores se tornem cada vez menores, mais rápidos e mais eficientes no
consumo de energia. E com tamanha divulgação, necessidade e lazer nos dias de
hoje, os computadores não estão presentes somente em empresas, mas sim na
casa, nas mãos nos veículos e no dia a dia de pessoas de todo o mundo
(ELEUTÉRIO; MACHADO, 2011).
A internet é uma grande praça pública, o maior espaço coletivo do planeta. A
internet é um conjunto de redes de comunicação em escala mundial e dispõe de
milhões de computadores interligados pelo protocolo de comunicação TCP/IP, que
permite o acesso a informações e todo tipo de dados no ambiente virtual. A internet
ou como é chama ciberespaço, carrega uma ampla variedade de recursos e
serviços, fazendo que como no mundo real, essa segurança digital seja tenha uma
ferrenha disputa entre defensores e agressores (CASSANTI, 2014).
A evolução histórica da internet vem ganhando cava vez mais adeptos e
melhorias para seu uso, em 1965 já havia a preocupação coma melhoria de
maquinas para um bom desempenho futuro já prevendo que seria de grande
utilidade nos dias de hoje.
Sabemos que a utilização de meios tecnológicos facilita muito nossa vida,
mas também o uso sem cuidados pode trazer muita dor de cabeça e prejuízos.
Qualquer pessoa, em qualquer lugar do mundo, desde que conectada à rede
mundial de computadores – Internet, o mais poderoso veículo de comunicação da
atualidade, tem o risco de acessar o conteúdo de páginas publicadas por um
criminoso.
De acordo com o Instituto Brasileiro de Geografia e Estatísticas (IBGE):
metades dos brasileiros usam internet, estão conectados, de uma forma ou de outra
tanto no trabalho como na rua, ou em casa, isso significa, mais de 139 milhões de
pessoas, levando o Brasil ao quinto lugar no numero de usuários de internet no
mundo todo (OLIVEIRA; MORGADO, 2016).
18
2
Convenção do Conselho Europeu sobre o Cibercrime, firmada em Budapeste, Hungria em 23 de
novembro de 2001.
20
3
Encontro realizado em São Paulo.
24
4 CIÊNCIA FORENSE
Ciência forense e uma área ampla e que abrange muitas disciplinas tais como
física, biologia, química, matemática e várias outras ciências de fronteiras que tem
como objetivo principal dar suporte as investigações relativas a justiça civil e
criminal. Recentemente as pessoas começaram a se dar conta do valor que se tem
a ciência forense no desvendamento de crimes, isso pode ser efeito da enorme
quantidade de informações que hoje recebemos diariamente, através de jornais,
televisão, documentários, internet e até mesmo ficção cientifica (CHEMELLO, 2006).
Os métodos usados para a identificação humana foram evoluindo com o
passar dos tempos. Os babilônicos, por exemplo, já em 2000 a.C., usavam padrões
de digitais em barro, tudo isso para acompanhar documentos, a fim de prevenir
qualquer tipo de falsificação. E sendo assim os métodos foram evoluindo em todos
os sentidos, lembrando que, em outras épocas, havia praticas de marcações com
ferro e brasa e mutilações, só para lembrar algumas, elas eram usadas para
identificar pessoas que praticavam crimes ou em escravos que fugiam de seus
donos. Um exemplo é nos Estados Unidos da América (EUA), o código de 1700
previa o emprego do ferrete e da mutilação em crimes de rapto ou roubo. Chegou
até a fazer uso, posteriormente, do sistema antropométrico (processo ou técnica de
mensuração do corpo humano ou de suas várias partes), introduzido em 1882 por
Alfonse Bertillon, Paris, até a consagração da datiloscopia em meados do século XX
(CHEMELLO, 2006).
Temos a dermatoglifia que é o nome dado aos estudos dos padrões das
cristas dérmicas, ou seja dos desenhos encontrados nas extremidades distais das
faces ventrais dos quirodáctilos (ponta dos dedos), na face ventral das mãos (palma
da mão) e nas face plantar das extremidades ventrais dos artelhos (sola e dedos do
pé). A datiloscopia, que se refere às digitais presentes nas pontas dos dedos, a qual
é usadas pelas autoridades em inquéritos ou acusadas em processos. Vale lembrar
também a datiloscopia civil, que tem por objetivo a identificação de pessoas como
nas cédulas de identidade, isso mostra um avanço enorme na ciência forense, que
não para de crescer (CHEMELLO, 2006).
25
5 FORENSE COMPUTACIONAL
de vestígios que estão contidos nesse tipo de memória, ele pode usar ferramentas
próprias para realizar a cópia. A ferramenta Computer Online Forensic Evidence
Exractor (COFEE), uma ferramenta desenvolvida pela Microsoft, ele permite capturar
evidências importantes do computador na cena de investigação sobre delitos
cibernéticos. Os dados voláteis tem uma grande importância para uma investigação
de crime digital e o COFEE faz exatamente a análise desses dados voláteis contidos
na memória RAM usando somente um pen drive (ELEUTÉRIO; MACHADO, 2011).
Para obter mais informações sobre o COFEE pode se conectar na página
disponibilizada gratuitamente, conforme Figura 3:
Figura 3 – COFEE
5.1 Identificação
5.2 Preservação
forma convencional, preservando assim as informações ali contidas, para que não
sofram nenhuma alteração, e que possa ser executada a extração por meio de
equipamentos e softwares específicos (ELEUTÉRIO; MACHADO, 2011).
Podendo assim ser realizada a duplicação do equipamento original seguindo
uma das seguintes técnicas computacionais: espelhamento onde se tem uma cópia
exata e fiel dos dados (bit a bit) contidos em um dispositivo de armazenamento
digital para outro, ou imagem onde se trata de um processo quase igual ao
espelhamento, mas em vez de copiar bit a bit, os dados são copiados para arquivos
onde os dispositivos de destino podem receber várias imagens de diversos
dispositivos. Através de equipamento e softwares forenses específicos
(ELEUTÉRIO; MACHADO, 2011).
Por isso, um perito Forense Computacional terá que ter experiência para
saber lidar com a evidência obtida, deverá ser cuidadosamente manuseado e com
total segurança, não podendo ser invalidada, comprometida, danificada e até mesmo
destruída por maus procedimentos cometidos na investigação, e tem que ter o maior
cuidado para que nenhum vírus ou código malicioso seja introduzido em um
computador por uma falha do perito durante uma análise forense (ELEUTÉRIO;
MACHADO, 2011).
5.3 Análise
5.4 Formalização
A RFC ou Request for Comments, para quem não conhece, são documentos
que apresentam notas/normas técnicas, organizacionais e também parâmetros
sobre a internet. Essas notas/normas são discutidas por outra comunidade chama
de IETF – Internet Engineering Task Force, comunidade internacional composta por
32
Por isso é necessário seguir alguns passos para que seja feita a correta aquisição
de provas para ajudar em caso de um incidente de segurança. Apresentarei alguns
procedimentos que seguem a ordem de volatilidade (RFC, 2002).
nessa posição. Cada prato tem duas faces e cada face esta dividida em blocos de
dimensão fixa, denominados setores. Um setor é a unidade mínima de leitura e
escrita em disco. A sua dimensão habitual é de 512 ou 1024 bytes. A leitura
acontece quando a cabeça do respectivo prato esta sobre o setor respectivo.
O gerenciamento de um disco é feito em blocos de dimensões múltiplas dos
setores. A dimensão depende das estruturas do sistema operacional, e é a unidade
mínima que pode ser indexada. Além do setor e do bloco, que dependem
respectivamente da organização física do disco e do sistema operacional, existe
ainda o segmento ou extend. O segmento, explica Marques et al. (2011), é a
unidade de reserva de espaço em disco composto por um conjunto de blocos.
Marques et al. (2011), ainda explica que os blocos e o segmento são
unidades de gerenciamento que tem por objetivo otimizar o acesso ao disco. Ele fala
que quanto maior for o bloco maior também será a taxa de transferência bruta, pois
o tempo de posicionamento e latência de setores consecutivos são quase nulos,
mais a taxa de transferência efetiva depende do numero de bytes dentro do bloco
com informação útil. Por tanto é necessário encontrar um equilíbrio que maximize a
taxa de transferência efetiva. Atualmente a dimensão de um bloco varia entre
4KBytes e 8KBytes.
O Windows como o Linux consegue suportar simultaneamente vários
sistemas de arquivos, o que não era possível nos sistemas mais antigos, como o
VMS ou o MS-DOS. Nestes sistemas antigos as partições de um disco eram
gerenciadas pelo mesmo sistema, razão pela qual os sistemas de arquivos se
confundiam com o sistema operacional (MARQUES et al., 2011).
O sistema operacional MS-DOS é uma evolução do sistema CP/M, motivo
pelo qual possui uma estrutura de sistema de arquivos semelhante. Por isso o
sistema MS-DOS ao invés de possuir um mapa de blocos por arquivo, ele tem uma
tabela de blocos global compartilhada por todos os arquivos. Desse modo cada
arquivo utiliza apenas o conjunto de entrada que necessita da tabela de blocos, os
arquivos grandes utilizam mais entradas da tabela de blocos enquanto os pequenos
menos. Essa tabela é tão única nesse sistema e tão representativa da estrutura do
sistema de arquivos que deu origem ao nome do sistema de arquivos mais popular
que o adota: o sistema de arquivos FAT (Tabela de Alocação de Arquivos – File
Allocation Table) (MARQUES et al., 2011).
41
Encontramos nos sistemas do tipo FAT uma tabela global com uma entrada
para cada um dos blocos de dados disponíveis na partição. A partição contém três
seções distintas: a Tabela de Alocação (Allocation Table), um diretório com os
nomes de todos os arquivos presentes no sistema de arquivos e o restante dividido
em blocos, de igual dimensão, para conter os dados dos arquivos. As entradas da
tabela de alocação com valor zero indicam que o bloco está livre e pode ser utilizado
por outro arquivo. As entradas diferentes de zero indicam que o respectivo bloco faz
parte de um arquivo (MARQUES et al., 2011).
O NTFS (New Technology File System) sistema de arquivos foi criado devido
aos grandes números de problemas de segurança e as limitações que o sistema
conhecido FAT apresentava principalmente para uso em servidores e sistemas de
segurança.
O sistema de arquivos NTFS foi criado para ser um sistema de arquivos
flexível, dinâmico, bastante seguro e com uma grande confiabilidade, sendo que
seus principais conceitos funcionais foram herdados do sistema HPFS (High
Performace File System) (MARQUES et al., 2011).
Segundo o artigo criado no site Suporte da Microsoft (MICROSOFT, 2017), o
HPFS sistema de arquivos, foi utilizado pela primeira vez no SO/2 1.2 da IBM para
permitir um maior acesso a disco rígido de capacidade maior do que os existentes
no mercado daquela época. Além disso, era necessário um sistema de arquivos que
estendesse o sistema de nomeação dos arquivos, organização e segurança para as
enormes demandas crescentes do mercado do servidor de rede. O HPFS mantem a
mesma organização de diretório do FAT, mas inclui uma classificação automática do
diretório baseado em nomes de arquivo. Os nomes de arquivo são estendidos para
até 254 caracteres de byte duplo. O HPFS permite também que um arquivo seja
composto de “metadados” e atributos especiais para permitir uma flexibilidade maior
em termos de suporte a outras convenções de nomeação e segurança. Além disso,
a unidade de alocação é alterada de cluster para setores físicos (512 bytes), o que
reduz muito o espaço em disco perdido. Esse sistema bastante eficiente, perdeu
grande uso juntamente com o OS/2, sendo suportado somente pelo Linux.
42
Além disso, o NTFS tem como metas a confiabilidade que é muito importante
para sistemas de alta demanda e servidores de arquivos, uma plataforma para maior
funcionalidade, requisitos de suporte POSIX (Portable Operating System Interface)
ou seja Interface Portável entre Sistemas Operacionais, que nada mais é que um
conjunto de normas tipo nomeação com diferenciação maiúscula ou minúscula,
carimbo de data e hora adicional, mostrando a hora na qual o arquivo foi acessado
pela última vez, e também tem a remoção de limitações dos sistemas de arquivos
FAT e HPFS (MICROSOFT, 2017).
Sobre o NTFS (2010), o artigo diz que cada registro no MTF tem como
propriedade um cabeçalho onde se encontram as informações básicas descrevendo
o registro do MTF, essas informações estão descritas logo a seguir.
Dados numéricos de sequência usados para verificação de integridade.
Marcador para indicar o primeiro atributo do registro.
Marcador para indicar o primeiro byte livre no registro.
44
Para seu uso, foi criado uma maneira mais fácil, através de links de acesso o
que facilita o uso das ferramentas mais utilizadas encontradas nele, e um outro link
para o acesso as ferramentas (More Tools). A maioria das ferramentas podem ser
usadas para sistemas FATx quanto para sistemas NTFS.
8.1.2 Foremost
9 CONCLUSÃO
54
REFERÊNCIAS
CULTURA DIGITAL. Marco Civil da Internet entra em vigor. 2014. Disponível em:
<http://culturadigital.br/marcocivil/>. Acesso em: 02 mar. 2018.
LEMOS, R. O Marco Civil como símbolo do desejo por inovação do Brasil. In: LEITE,
G. S.; LEMOS, R. Marco Civil da Internet. São Paulo: Editora Atlas, 2014.
MICROSOFT. Visão Geral dos Sistemas de Arquivos FAT, HPFS e NTFS. 2017.
Disponível em: <https://support.microsoft.com/pt-br/help/100108/overview-of-fat-
hpfs-and-ntfs-file-systems>. Acesso em: 26 fev. 2018.
NATIONAL WHITE COLLAR CRIME CENTER. About us. 2018. Disponível em:
<https://www.nw3c.org/>. Acesso em: 03 mar. 2018.
55