Escolar Documentos
Profissional Documentos
Cultura Documentos
Tipos de Investigações Com Uso Da Perícia Forense Computacional
Tipos de Investigações Com Uso Da Perícia Forense Computacional
Tipos de Investigações Com Uso Da Perícia Forense Computacional
Apresentação da Unidade
Nesta Unidade, trabalharemos os seguintes tópicos:
• Particularidades e Rotinas do Perito Forense Computacional;
• Descrição Geral da Atividade;
• Coleta de Evidências Computacionais;
• Exame de Evidências Computacionais.
Objetivo
Caro Aluno(a)!
Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o último momento
o acesso ao estudo, o que implicará o não aprofundamento no material trabalhado ou, ainda, a
perda dos prazos para o lançamento das atividades solicitadas.
Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você poderá
escolher um dia ao longo da semana ou um determinado horário todos ou alguns dias e determinar
como o seu “momento do estudo”.
No material de cada Unidade, há videoaulas e leituras indicadas, assim como sugestões de materiais
complementares, elementos didáticos que ampliarão sua interpretação e auxiliarão o pleno
entendimento dos temas abordados.
Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de discussão,
pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de propiciar o contato
com seus colegas e tutores, o que se apresenta como rico espaço de troca de ideias e
aprendizagem.
Bons Estudos!
Videoaula
Assista, a seguir, à videoaula desta Unidade.
Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.
.
Material Teórico
Contextualização
O trabalho de um perito forense computacional pode ser demandado em diferentes circunstâncias
e com propósitos distintos. Nesta unidade, você irá compreender, por meio de exemplos, o seu
trabalho em casos onde houver a necessidade de sua atuação para realização de provas para
sustentar acusações em âmbito criminal.
Neste sentido, é importante perceber que o trabalho do perito forense, que se inicia com a
existência de incidentes de segurança, no escopo dessa unidade, concentra-se na análise da
evidência computacional. O entendimento do papel do perito, neste escopo, se inicia
compreendendo-se que ele, como agente investigador, não deve interferir na evidência, mantendo-
a o mais original possível, para que seja considerada válida e confiável.
Por isso, daremos atenção especial aos tipos de evidências e os cuidados para que estas sejam
aceitas como parte desses processos de investigação criminal nos quais ocorre a investigação por
parte do perito.
É importante notar que este profissional exerce sua atividade em um contexto de múltiplas
pressões e influências externas, que podem influenciá-lo negativamente se mal administradas. Não
se trata apenas de pressão de tempo ou qualidade nos resultados, como vemos em várias outras
profissões. Como retratado na Figura 1, aqui estamos falando de uma vasta cadeia de
influenciadores, principalmente em casos notórios
e com divulgação da imprensa. Permanecer alheio a essas pressões e influências para a conclusão
de um trabalho isento e idôneo é um grande desafio para o perito.
Exemplos de Atividades
Todas as atividades pressupõem que o perito recebeu a autorização/mandado para realização das
coletas e análises nos locais indicados. Trâmites processuais e detalhes estão omitidos para dar
foco a exemplos contendo passos principais.
• Exemplo de rotina: Perito faz uma cópia da página Web, conservando o estado atual da mesma
(possivelmente útil na comparação com artefatos encontrados no computador sob investigação,
como URLs, imagens, CSS, etc.). Em seguida, visita o local do evento e coleta ou copia os dados em
disco e em memória do computador a ser investigado. Observa indícios de compartilhamento, cópia
ou reprodução. Em caso de recuperação de imagens, procura por informações de GPS ou da
câmera fotográfica usada, comprovação de cenas sexuais e estima a idade dos envolvidos. Analisa o
cenário de conectividade da infraestrutura identificando equipamentos, provedor de acesso,
número da linha telefônica ou ID do modem usado na conexão, etc. e extrai logs, quando possível,
desses elementos envolvidos na comunicação. Por último, recebe os dados de acesso do provedor
de internet envolvido na comunicação, contendo os dados de acesso e logs de ações realizadas no
período;
Correio eletrônico
Computador pessoal
• Exemplo de rotina: Perito mede a potência de sinal e abrangência da cobertura da rede Wi-fi sob
análise para determinar locais possíveis de acesso e realização da ação sob análise. Recolhe e
analisa em laboratório os equipamentos Wi-fi envolvidos no contexto, extraindo logs e informações
presentes em disco/SD/ROM e memória. Avalia o roteador Wi-fi, comprovando a possibilidade de
conexão anônima no equipamento e/ou existência de senhas fracas ou autenticação por meio de
provedores (neste último caso, solicita autenticações realizadas no período de tempo investigado
aos provedores);
• Exemplo de contexto (criminal): Rastreio de invasão de sites apontou como origem um Hot-Spot
Wi-fi em aeroporto local;
• Imagem física: informações de todos os segmentos e fragmentos do disco (cópia binária), também
conhecidas como RAW;
• Imagem lógica: cópia de arquivos de diretórios (equivalente aos arquivos que são exibidos pelo
gerenciador de arquivos, ex.: Windows Explorer);
• Cópia seletiva: seleção de documentos ou arquivos de interesse para a investigação.
Classificações de Evidência
Dependendo da acessibilidade dada ao perito, algumas classificações de evidência podem não estar
acessíveis. Por exemplo, a impossibilidade de recolher fisicamente o servidor envolvido no
incidente (pois ele pertence a serviços de outros usuários, por exemplo) pode forçar o perito a
realizar exames apenas com a cópia do original.
• Evidência digital: informações digitais (dados) guardadas ou transmitidas, relacionadas ao
incidente e que possuem valor probatório;
• Itens físicos: objetos que podem ter sido envolvidos no processo de guarda ou transmissão das
informações digitais (dados) relacionadas ao incidente;
• Evidência digital original: objetos físicos que guardavam as informações (dados) relacionadas ao
incidente no momento da coleta (ex.: servidores, computadores, etc.);
• Evidência digital duplicada: uma réplica exata da evidência digital original (normalmente efetuada
pelo perito no local da coleta).
Por fim, a habilidade de tradução e contar a história de eventos suportados pelas evidências
técnicas de forma a propiciar o entendimento de leigos é o que confere a característica de ser
acreditável.
A teoria de Locard diz que o contato de dois itens produzirá uma permuta/transferência, referindo-
se à característica eletrônica (no caso do ativo computacional) em que dois elementos precisam
estar em contato e comunicação para que haja a interação, dessa forma caracterizando a
interferência.
Comparando dois exemplos de coleta, uma em que o perito conecta seu equipamento diretamente
e extrai o conteúdo (gerando I/O e usando os recursos da CPU para o acesso à memória no sistema
operacional ou, dependendo da ferramenta, interagindo com o Direct Memory Access – DMA) e
outra em que ele se conecta via rede para acessar o conteúdo do ativo computacional em análise,
temos dois tipos de interferências distintas sendo geradas. Como o acesso via interface física não
requer login no SO, dependendo da arquitetura da ferramenta, a interrupção de I/O pode prover
acesso à comunicação DMA e acesso aos dados em memória. Já se o mesmo acesso não fornecer
acesso, provavelmente a ferramenta precisará executar algum aplicativo para só então acessar a
memória, interferindo em maior proporção na evidência. No outro exemplo, via Net Car (nc), o
acesso pela rede também pode obter acesso aos dados
de arquivos em disco, mas raramente diretamente na memória. Normalmente, o único componente
que acessa a memória RAM da máquina é a CPU (processador). O recurso DMA permite que outros
componentes também acessem a memória, sem que a CPU tenha que realizar uma “cópia” para
entregar aos solicitantes das interrupções, assim, gerando menor interferência na evidência.
Ordem de Coleta
Outro fator especialmente importante é a ordem de coleta. Chamado de “volatilidade” ou ordem de
volatilidade (OOV), este conceito está relacionado diretamente ao tipo de ativo e sua capacidade
interna de guarda de informações. Ativos que retêm por menos tempo a informação e, portanto,
precisam receber prioridade na coleta de evidências computacionais são chamados altamente
voláteis.
A volatilidade é, no contexto do perito, a propriedade do ativo que pode impedir que ele consiga
ter acesso e analisar a evidência de um dado momento. Ou seja, quanto mais tempo se passa entre
o incidente de segurança relacionado e o momento da investigação do perito, maior a chance de os
dados que seriam necessários para a observação do perito se perderem devido ao efeito de
sobrescrever, conforme citado.
Dilema Forense
Considerando-se a capacidade de interferência do perito na evidência e sabendo-se que o fator
tempo joga contra o profissional forense no sentido de que a sua capacidade de análise tende a
decair a medida que mais tempo se passa entre o incidente de segurança e a investigação, há uma
escolha de procedimento de coleta que é conhecida como dilema forense na literatura
especializada.
De um lado, têm-se a urgência e completude da evidência, que conduzem ao pensamento de que
quanto mais rápido e mais dados se puder obter sobre um caso, maior será a capacidade de análise
e de se reproduzir o que se tinha à época do evento, levando, assim, o perito a observar, por
exemplo, a OOV para o estabelecimento de prioridades nas coletas e seleção de todos os ativos
envolvidos no incidente. Neste cenário, a prioridade é manter os ativos em seu funcionamento
normal, de forma a não interferir na evidência e coletá-la em sua completude, na ordem de
prioridade em relação à volatilidade de seus
componentes (ex.: HS/SD e memória RAM), o mais rapidamente possível.
De outro lado, temos a abordagem focada em preservação e isolamento, com o intuito de segregar
e conter o ambiente de forma que ele não “propague” o sintoma para o restante da rede, aceitando
que ao “desplugar” a máquina da rede e desligá-la, muitos dados serão perdidos e o processo de
investigação será impactado. Perceba que, nessa abordagem, temos o foco no isolamento do
incidente e não no processo de produção de provas e coleta de evidências.
As técnicas antiforenses, envolvendo métodos utilizados para evitar (ou agir contra)
ferramentas de extração/análise de evidências, afetam diretamente a capacidade do
perito forense computacional em coletar essas evidências e produzir provas aceitas e
anexas ao processo. Mais informações sobre essa técnica Acesse
Nesta seção, vamos falar um pouco sobre as diferenças conceituais das análises de informação em
disco e em memória, pois na próxima unidade já teremos uma exploração prática nesse sentido.
Então, você poderá vivenciar a experiência de um caso de uso explorando a coleta e a análise de
dados contidos nas duas mídias.
Como vimos nos tipos de evidência, na seção anterior, quando falamos de análise de arquivos em
disco, nos referindo a dados armazenados, seja em HD, SD ou mídia equivalente, utilizamos
basicamente dois tipos de cópia: uma cópia RAW, também chamada de “bit-a-bit”, que nos
proporciona uma cópia do estado em que o arquivo se encontra na mídia de armazenamento e,
portanto, pode ser considerada mais “fiel”; e outra, utilizando os recursos do SO e sistema de
gerenciamento de arquivos deste, que interpreta as tabelas de alocação e formato configurados,
organiza os dados distribuídos por meio do visualizador e exibe os arquivos e pastas de forma que
possamos copiá-los. Quando realizamos a cópia, via gerenciador de arquivos, além de receber
este “tratamento” de visualização e interpretação pelo SO e aplicativos, a evidência em questão
estará sujeita aos seus controles e restrições. Por exemplo, em uma auditoria envolvendo um
computador conectado à rede corporativa (conectada em um Active Directory – AD), por exemplo,
haverá restrições de autorização e características de compartilhamento impostas por esses
controles. Neste cenário, tanto o Discretionary Access Control (DAC) quanto o Role-based Access
Control (RBAC) podem influenciar a capacidade do auditor, caso haja permissões insuficientes,
diretórios com acesso exclusivo a um usuário, bitlocker ativo, etc.
Como vimos, uma importante tarefa do auditor é construir uma linha de tempo, associando eventos
às evidências encontradas. Em relação aos arquivos, além do conteúdo em si, o perito avalia várias
propriedades de metadados que podem auxiliar na construção da linha do tempo. Uma propriedade
de interesse do perito forense computacional é a análise dos MAC times. Como todos os
metadados de sistemas de arquivos, eles podem ser alterados pelo próprio perito ao observá-los.
Usar o próprio visualizador do SO, portanto, não é o método mais adequado, pois causa essa
“interferência” e “contaminação” na evidência. Alguns utilitários de cópia de arquivos irão
explicitamente setar os MAC times da nova cópia. Já outros vão alterar a propriedade ctimes, que
não será idêntica à do arquivo original que está sendo copiado. A maioria dos SO Linux não irá setar
a propriedade ctimes, por exemplo; já o Windows usando New Technology File System (NTFS) sim.
Normalmente as ferramentas de cópia utilizadas pelos peritos forenses computacionais não causam
essa interferência, mas é importante que você saiba desse aspecto técnico e tenha essa
preocupação com a preservação das provas. O conjunto completo de propriedades MAC times é
composto de:
Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.
Porém, nem sempre o perito terá acesso aos arquivos objeto de sua busca. Aliás, o mais correto
seria dizer que quase nunca terá, na medida que um atacante ou mesmo um usuário corporativo
raramente deixará para trás rastros tão óbvios de seus ilícitos. Mas, então, onde mais procurar por
evidências?
Dois locais particularmente interessantes são a memória virtual e espaços de memória tradicionais,
o heap e o stack.
A paginação é implementada em Sos, normalmente, por hardware específico controlado pela CPU:
Memory Management Unit (MMU). A paginação é obtida através de consulta a tabelas que contêm
os endereços das páginas de memória e os endereços correspondentes das referências na RAM.
Para diminuir a necessidade constante dessa consulta e cópia, há um recurso que funciona como
uma cache especial, chamada Translation Look-Aside Buffer (TLB). Nela, são guardados endereços
mais utilizados, para maximizar o tempo de acesso, já que o acesso a esse buffer é muito mais
rápido quando comparado à memória principal (você já deve ter notado diferença de desempenho
na primeira vez que iniciamos uma tarefa em aplicativo complexo e as vezes subsequentes quando
vamos repetir o trabalho). O “page size”, usado nas tabelas, podem ser configurados Erro! Fonte de
referência não encontrada., mas muito comumente vemos o tamanho default do SO durante as
investigações.
Quando acessamos um desses programas, então, além de acessar e salvar novos arquivos em disco
e, no contexto da análise forense, deixar rastros em forma de arquivos, há também uma porção de
outros rastros em disco que dizem respeito ao uso desse programa, mas no contexto de memória
virtual Erro! Fonte de referência não encontrada., que também devem ser coletados e analisados.
Cabe ao perito associar esses fragmentos de informação em memória virtual, baseado nas
referências de memória dos programas em uso na RAM, à época do delito sob investigação.
Há também a situação em que o perito terá que rastrear as informações ou estados e resíduos de
uso de programa nas porções de memória heap e stack. Exemplos práticos serão abordados nas
próximas unidades, mas, por ora, imagine que não há arquivos e o que resta é a memória RAM e
uma possível evidência de que o usuário (computador investigado que era usado pelo usuário réu
da ação) abriu e visualizou aquele arquivo. O perito, então, procura por visualizadores comuns para
aquele arquivo (ex.: PDF reader) e procura por evidências de seu uso em processos de memória. A
partir de endereços EIP (Ponteiro de instrução), EBP (Ponteiro para a base da memória) e ESP
(Ponteiro para o stack), é possível procurar por referências na memória. Caso estes não tenham sido
alocados para novos processos e programas, posteriormente (por isso a importância em obtermos
rapidamente a evidência e contaminarmos o mínimo possível com novas requisições ao SO)
podemos encontrar resíduos desse PDF e seu conteúdo, suportando a evidência de acusação, por
exemplo.
Acesse
Falamos sobre exemplos de atividades do perito forense no contexto corporativo.
Concluímos com esta unidade uma visão do papel do perito forense computacional na
localização e análise de diferentes tipos de informação residente nos computadores
sob análise.
Entenda, sem muitos detalhes técnicos, qual a função do DMA e como este influencia
o
Acesse
Acesse
Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.
Leitura
SILVA, TBF. Perícia digital: estratégias para analisar e manter evidências íntegras em