Escolar Documentos
Profissional Documentos
Cultura Documentos
FORENSE COMPUTACIONAL:
Ferramentas Open Source e Análises de Mídias
GOIÂNIA
2018
RENATO ETERNO DE MATOS
FORENSE COMPUTACIONAL:
Ferramentas Open Source e Análises de Mídias
GOIÂNIA
2018
(inserir ficha catalográfica)
RENATO ETERNO DE MATOS
FORENSE COMPUTACIONAL:
Ferramentas Open Source e Análises de Mídias
BANCA EXAMINADORA
_______________________/__/___
Prof. Nome do Professor
Universidade Paulista – UNIP
_______________________/__/___
Prof. Nome do Professor
Universidade Paulista – UNIP
_______________________/__/___
Prof. Nome do Professor
Universidade Paulista UNIP
DEDICATÓRIA
1
Encontrado no dicionário Michaelis da Língua Portuguesa (2010), a palavra Forense significa: “Que
se direciona ao foro judicial/Relativo aos tribunais”.
ABSTRACT
Sensitive or common data recovery is very much needed nowadays due to the huge
use of data storage equipment. This procedure is widely used by ordinary users,
whether individuals or corporations, who have their files lost through accidents, as
well as forensic investigators in search of evidence and / or clues to crimes, whether
digital or not. In this paper we discuss the growth and the need for forensic science
and its mentors, also concepts of Forensic Computing, its birth and its definitions,
current and computational forensic science, topics of Antiforense activities, also the
main types of crimes are discussed and forensic examinations, computer equipment
and media used as tools to support digital crimes, we will deepen the analysis of
Open Source tools for forensics in media (hard drives, pen drivers, among others)
how and in what scenario they can be used, and what results the gains and losses
can have, also showing the great damage that data breach can bring to our lives.
This information was collected in books, specialized magazines, websites and
articles related to the theme and other works with similar contents. In addition to a
case study with the practical application of one of these Open Source techniques and
the impact of this on forensic expertise.
1 INTRODUÇÃO.................................................................................................... 13
2 METODOLOGIA................................................................................................. 15
3 TECNOLOGIA DA INFORMAÇÃO E AMBIENTE VIRTUAL............................ 16
3.1 O Direito Digital no Brasil............................................................................. 17
3.2 Marco Civil da Internet.................................................................................. 19
3.2.1 Histórico do Marco Civil da Internet no Brasil............................................... 20
4 CIÊNCIA FORENSE........................................................................................... 23
5 FORENSE COMPUTACIONAL.......................................................................... 24
5.1 Identificação.................................................................................................. 27
5.2 Preservação.................................................................................................... 27
5.3 Análise............................................................................................................ 28
5.4 Formalização.................................................................................................. 28
6 COLETA DE EVIDÊNCIAS DIGITAIS EM DISPOSITIVOS DE
ARMAZENAMENTO............................................................................................. 29
6.1 Diretrizes para coleta de provas com a RFC 3227..................................... 29
6.2 Volatilidade dos dispositivos e sua ordem................................................ 31
6.2.1 Processos de execução armazenados pela CPU......................................... 31
6.2.2 Memória de periféricos................................................................................. 32
6.2.3 Memória principal do sistema....................................................................... 32
6.2.4 Tráfego e dados de rede.............................................................................. 33
6.2.5 Estado e conexões de rede.......................................................................... 33
6.2.6 Estado do sistema operacional................................................................... 33
6.2.7 Sistema de arquivos..................................................................................... 34
7 SISTEMAS DE ARQUIVOS E ARQUIVOS NTFS............................................. 35
7.1 As características do NTFS.......................................................................... 38
7.2 Estrutura do sistema NTFS........................................................................... 39
7.3 MAC Times ou metadados do sistema de arquivos................................... 40
8 FORENSE EM AMBIENTES NTFS E AS PRINCIPAIS FERRAMENTAS........ 42
8.1 Coleta de evidências em máquinas Post Mortem Analisys............................ 44
8.1.1 Usando o DD: uma ferramenta de comando............................................... 45
8.1.2 GUYMAGER: captura de imagens............................................................... 48
8.1.3 Análise com The Sleuth Kit (TSK) e Autopsy.............................................. 51
8.1.4 Foremost...................................................................................................... 53
8.1.5 Aquisição de imagem de memória RAM...................................................... 54
9 CONCLUSÃO..................................................................................................... 56
REFERÊNCIAS..................................................................................................... 57
13
1 INTRODUÇÃO
ferramentas para os mais diversos tipos de análises de incidentes, sem custo para o
profissional de TI (ELEUTÉRIO; MACHADO, 2011).
Entende-se como software livre, toda ferramenta livre e gratuita que possa ser
usada, independentemente do sistema operacional, podendo ser reutilizada,
distribuída e armazenada, sem qualquer restrição ou cobrança.
Algumas ferramentas são acompanhadas, em sua distribuição, de algum tipo
de licença específica. Dependendo do tipo de licença, disponibiliza-se também o
código fonte, sendo possível fazer qualquer modificação ou comercialização. No
caso dos softwares livres, em sua maioria, a disponibilidade é somente para o uso.
Esclarece-se aqui que, Ciência Forense, significa “a aplicação de princípios
das ciências físicas ao direito na busca da verdade em questões cíveis, criminais e
de comportamento social para que não se comentam injustiças contra qualquer
membro da sociedade” (MANUAL DE PATOLOGIA FORENSE DO COLÉGIO DE
PATOLOGISTAS AMERICANOS, 1990 apud ROCHA, 2018, s. p.).
Por sua vez, a Forense Computacional:
2 METODOLOGIA
vigora, praticamente, até os dias atuais; porém, os transistores não duplicam a cada
ano, e sim, aproximadamente, a cada 18 meses. Essa lei impacta diretamente a
evolução tecnológica, visto que os computadores vêm se tornando cada vez
menores, mais rápidos e eficientes no consumo de energia; e estão presentes em
empresas, escolas, casas etc. (ELEUTÉRIO; MACHADO, 2011).
A internet é como uma grande praça pública; o maior espaço coletivo do
planeta, sendo um conjunto de redes de comunicação em escala mundial, que
dispõe de milhões de computadores interligados pelo protocolo de comunicação
TCP/IP, permitindo o acesso a informações e a todo tipo de dados no ambiente
virtual. Esse ciberespaço apresenta uma variedade de recursos e serviços. Diante
disso, a segurança digital não está garantida (CASSANTI, 2014).
Sabe-se que a utilização de meios tecnológicos facilita a vida das pessoas.
Contudo, o uso indiscriminado e sem cuidados pode trazer prejuízos. Qualquer
pessoa, em qualquer lugar do mundo, a partir do momento em que se conecta à
internet, corre o risco de acessar a conteúdos em páginas publicadas por
criminosos.
De acordo com o Instituto Brasileiro de Geografia e Estatísticas (IBGE),
metade dos brasileiros usa a internet; está conectada, de uma forma ou de outra,
tanto no trabalho como na rua ou em casa. Isso significa que mais de 100 milhões
de pessoas usam a internet no país, sendo o Brasil o quinto país no mundo com o
maior número de usuários de internet (OLIVEIRA; MORGADO, 2016).
No ambiente virtual, as pessoas podem se relacionar com as outras,
trabalhar, comprar, divertir-se. Porém, muitas podem se tornar vítimas de diversos
criminosos, cada vez mais especialistas em crimes virtuais. Desse modo, ressalta-se
que quanto mais informações o usuário tiver acerca do uso seguro dos meios
tecnológicos, menos vulnerável será na rede. A própria internet ensina os usuários a
se defenderem de fraudes, furtos de identidade, invasões de contas bancárias,
clonagens de cartões etc. (BARRETO; BRASIL, 2016).
2
Convenção do Conselho Europeu sobre o Cibercrime, firmada em Budapeste, Hungria, em 23 de
novembro de 2001.
20
3
Encontro realizado em São Paulo.
23
4 CIÊNCIA FORENSE
Ciência forense é uma área que abrange muitas disciplinas, tais como física,
biologia, química, matemática e várias outras ciências de fronteiras, que têm como
objetivo principal dar suporte às investigações relativas à justiça civil e criminal.
Recentemente, as pessoas começaram a perceber o valor da ciência forense no
desvendamento de crimes. Possivelmente, isso seja efeito da enorme quantidade de
informações recebidas diariamente, por meio de jornais, televisão, documentários,
internet e, até mesmo, ficção científica (CHEMELLO, 2006).
Os métodos usados para a identificação humana foram evoluindo através dos
tempos. Os babilônicos, por exemplo, em 2000 a. C., já usavam padrões de digitais
em barro, a fim de acompanharem documentos e de se prevenirem contra qualquer
tipo de falsificação. E os métodos foram evoluindo em todos os sentidos. Em outras
épocas, práticas de marcações com ferro e brasa e mutilações eram usadas para
identificar pessoas que praticavam crimes ou em escravos que fugiam de seus
donos. Nos Estados Unidos da América (EUA), por exemplo, o código de 1700
previa o emprego do ferrete e da mutilação em crimes de rapto ou roubo.
Posteriormente, tem-se o uso do sistema antropométrico (processo ou técnica de
mensuração do corpo humano ou de suas várias partes), introduzido em 1882 por
Alfonse Bertillon, Paris (CHEMELLO, 2006).
Menciona-se, aqui, a dermatoglifia, que é o nome dado aos estudos dos
padrões das cristas dérmicas, ou seja, dos desenhos encontrados nas extremidades
distais das faces ventrais dos quirodáctilos (ponta dos dedos), na face ventral das
mãos (palma da mão) e na face plantar das extremidades ventrais dos artelhos (sola
e dedos do pé); e a datiloscopia, que se refere às digitais presentes nas pontas dos
dedos, a qual é usada pelas autoridades em inquéritos ou acusada em processos.
Ressalta-se que a datiloscopia civil tem por objetivo a identificação de pessoas,
como nas cédulas de identidade. Isso mostra um avanço enorme na ciência forense,
que não para de se desenvolver (CHEMELLO, 2006).
24
5 FORENSE COMPUTACIONAL
Figura 3 – COFEE
5.1 Identificação
5.2 Preservação
5.3 Análise
5.4 Formalização
(RFC, 2002). Nota-se, portanto, que o estado é fundamental para uma análise
correta e sucesso na execução.
habitual é de 512 ou 1024 bytes. A leitura ocorre quando a cabeça do prato está
sobre o setor respectivo.
O gerenciamento de um disco é feito em blocos de dimensões múltiplas dos
setores. A dimensão depende das estruturas do sistema operacional, sendo a
unidade mínima indexada. Além do setor e do bloco, que dependem
respectivamente da organização física do disco e do sistema operacional, existe,
ainda, o segmento ou extend. O segmento é a unidade de reserva de espaço em
disco composto por um conjunto de blocos (MARQUES et al., 2011).
Marques et al. (2011) explicam ainda que os blocos e o segmento são
unidades de gerenciamento que têm por objetivo otimizar o acesso ao disco. Quanto
maior for o bloco, maior a taxa de transferência bruta, pois o tempo de
posicionamento e latência de setores consecutivos é quase nulo, porém a taxa de
transferência efetiva depende do número de bytes dentro do bloco com informação
útil. Portanto, é necessário encontrar um equilíbrio que maximize a taxa de
transferência efetiva. Atualmente, a dimensão de um bloco varia de 4K bytes a 8K
bytes.
O Windows, assim como o Linux, consegue suportar simultaneamente vários
sistemas de arquivos, o que não era possível nos sistemas mais antigos, como o
VMS ou o MS-DOS. Nesses sistemas antigos as partições de um disco eram
gerenciadas pelo mesmo sistema, razão pela qual os sistemas de arquivos se
confundiam com o sistema operacional (MARQUES et al., 2011).
O sistema operacional MS-DOS é uma evolução do sistema CP/M; por isso,
possuem uma estrutura de sistema de arquivos semelhantes. O sistema MS-DOS,
ao invés de possuir um mapa de blocos por arquivo, tem uma tabela de blocos
global compartilhada por todos os arquivos. Desse modo, cada arquivo utiliza
apenas o conjunto de entrada da tabela de blocos que necessita. Os arquivos
grandes utilizam mais entradas da tabela de blocos, enquanto os pequenos, menos.
Essa tabela é tão única nesse sistema e tão representativa da estrutura do sistema
de arquivos que deu origem ao nome do sistema de arquivos mais popular que o
adota: o File Allocation Table (FAT) ou Tabela de Alocação de Arquivos (MARQUES
et al., 2011).
Nos sistemas do tipo FAT, é possível encontrar uma tabela global com uma
entrada para cada um dos blocos de dados disponíveis na partição. A partição
contém três seções distintas, a saber: a Tabela de Alocação; um diretório com os
38
O CAINE possui em sua Distro uma gama de softwares conhecidos e que são
utilizados para a análise forense no Linux, podendo ser utilizados também para uma
análise em imagens adquiridas no Sistema Operacional Windows.
43
perito esteja mais familiarizado e que atenda as suas necessidades. Salienta-se que
há um Procedimento Operacional Padrão (POP), com rotinas e caminhos a serem
seguidos corretamente.
A sua sintaxe é fácil e básica. Por meio dos comandos, solicita-se o local para
salvar e buscar, assim que preciso. Para tanto, é necessária a criação dos diretórios,
a fim de armazenar os arquivos recuperados. Para esse procedimento, deve-se
utilizar as seguintes sintaxes: “mkdir (nome do diretório)”; no caso da imagem, usa-
se o nome recuperação, ficando da seguinte forma: “root@linux:/# mkdir
recuperação”, “root@linux:/# cd recuperacao”, “root@linux:/recuperar#”.
46
4
Wipe significa a função de regravar todo o disco rígido ou qualquer outro dispositivo de
armazenamento com apenas zeros, deletando, assim, todos os dados existentes. Essa função pode
ser usada no DCFLDD, por meio do seguinte comando: dcfldd if=/dev/zero
of=/dev/nome_do_dispositivo.
48
Conhecidos por vários peritos, o The Sleuth Kit (TSK) e o Autopsy consistem
em ferramentas livres para investigação de crimes digitais. Podem ser executadas
em vários sistemas, como Windows, Unix, Linux, OS X, FreeBSD, OpenBSD,
Solaris, entre outros. Essas ferramentas são usadas em sistemas de arquivos NTFS,
FAT, HFS+, Ext2, Ext3 etc. Brian Carrier foi quem as desenvolveu.
O TSK é uma ferramenta usada em linha de comandos; já o Autopsy trabalha
com uma interface gráfica para as ferramentas TSK. O Autopsy executa a análise de
um sistema de forma não intrusiva, integrando, com o TSK, vários Live CDs usados
na computação forense, por exemplo: Helix, BacTrack, FCCU,FIRE, CAINE.
A interface do Autopsy é organizada por camadas. Cada uma dessas
camadas tem função independente para a análise de cada setor da imagem
adquirida. Por sua vez, o TSK é usado em uma interface gráfica em HTML, chamada
Autopsy Forensic Browser. O Autopsy cria um servidor web e, logo após, seus
scripts criam a sua interface por meio de páginas HTML.
A análise realizada nas imagens apresenta dados relativos ao trabalho, tipo,
volume e à funcionalidade do sistema de arquivos; trazem dados acerca da estrutura
dos arquivos, dos nomes de arquivos, dos dados metadados, das unidades de
dados e dos volumes de imagens jpg, gifs etc.
As Figuras 16, 17 e 18 mostram a interface inicial do TSK Autopsy e os
processos de análise forense em uma imagem.
52
8.1.4 Foremost
9 CONCLUSÃO
REFERÊNCIAS
CULTURA DIGITAL. Marco Civil da Internet entra em vigor. 2014. Disponível em:
<http://culturadigital.br/marcocivil/>. Acesso em: 02 mar. 2018.
LEMOS, R. O Marco Civil como símbolo do desejo por inovação do Brasil. In: LEITE,
G. S.; LEMOS, R. Marco Civil da Internet. São Paulo: Editora Atlas, 2014.
MICROSOFT. Visão Geral dos Sistemas de Arquivos FAT, HPFS e NTFS. 2017.
Disponível em: <https://support.microsoft.com/pt-br/help/100108/overview-of-fat-
hpfs-and-ntfs-file-systems>. Acesso em: 26 fev. 2018.
NATIONAL WHITE COLLAR CRIME CENTER. About us. 2018. Disponível em:
<https://www.nw3c.org/>. Acesso em: 03 mar. 2018.
58