Baixe o app para aproveitar ainda mais
Prévia do material em texto
Perito Digital O principal objetivo do investigador forense computacional ou perito digital é determinar a natureza e os eventos relacionados a um crime ou ato malicioso e localizar quem o perpetrou, seguindo um procedimento de investigação estruturado. Reconstruir o passado, constatar a materialidade e apurar a autoria de incidentes cometidos com o requinte dos bits. Esta é a função da perícia digital ou forense digital, carreira que mescla o profissional com formação jurídica com o profissional em tecnologia da informação e que é crescente na esfera pública e privada, à medida em que conflitos, fraudes, furtos e agressões passam a ser cometidas por intermédio de dispositivos informáticos e telemáticos, de um computador de mesa a um dispositivo móvel celular. O conhecimento necessário para realizar a investigação, atualmente está mais baseado em um conhecimento empírico do que teórico. Isso acaba sendo uma faca de dois gumes, pois para atuar como profissional, o mesmo precisa ter experiência na área; no entanto, esse mesmo profissional, apesar do conhecimento prático, muitas vezes não tem o embasamento teórico necessário para desenvolver ou seguir uma metodologia válida. O investigador, precisa respeitar uma metodologia confiável e válida, para que o processo não sofra qualquer tipo de invalidação por conta de algum passo ou fase mal coordenada, pois isso pode colocar toda uma investigação a perder, posto que suas evidência podem ser tornar provas sem fundamentação legal, e seu relatório não será levado em consideração caso esteja envolvido em um processo judicial. Vale ressalta que para atuar na área deve-se “ter estômago”: “Na verdade tem muito trabalho e tem que ter coragem dependendo do foco de atuação. Existem vários tipos de crimes digitais hoje, desde pedofilia, a drogas e coisas mais pesadas. Daí a importância do investigador, participar de eventos, treinamentos e procurar pesquisar os fundamentos e técnicas dessa área de atuação para realizar os procedimentos de investigação da maneira mais correta possível. É importante que o profissional mantenha uma conduta correta ao longo da investigação, para que todo o processo também não seja invalidado. Para ter sucesso, o perito deve ter o perfil metódico, organizado, com boa memória, autodidata, saber escrever e redigir documentos, ter inglês e espanhol em nível (mínimo) intermediário tanto para ler, escrever ou falar, além de honesto e com muita curiosidade. Os profissionais que atuam na área de forense computacional são indivíduos geralmente chamados de perito por terem um grande nível de conhecimento em computação e por investigarem os crimes de natureza tecnológica. Nesse contexto, esses profissionais devem reunir um conjunto de características, tais como: ● Conhecimento e entendimento profundo de segurança da informação, direito digital e sistemas computacionais, bem como das características de funcionamento de sistemas de arquivos, programas de computador e padrões de comunicação em redes de computadores; ● Familiaridade com as ferramentas, técnicas, estratégias e metodologia de ataques conhecidos, inclusive as que não se tem registo de ter ocorrido, mas que já são vistas como uma exploração em potencial de uma determinada vulnerabilidade de um sistema; ● Faro investigativo para perceber rastros sutis de ações maliciosas – Esmero pela perfeição e detalhes. Sempre deve haver rastros, mesmo que muito sutis; ● Entendimento sobre o encadeamento de causas e consequências em tudo o que ocorre num sistema para construir a história lógica formada por ações maliciosas ou normais que já tenham ocorrido, que estejam em curso e que possam vir a acontecer; ● Conhecimento da legislação envolvida como a legislação básica brasileira, Código Civil, Código Penal, Consolidação das Leis do Trabalho, e principalmente, normas processuais e procedimentais que regulamentam a produção da prova pericial no Brasil; ● Conhecimento das diretivas internas das empresas e instituições envolvidas no processo investigativo, com especial atenção às limitações como diretivas de privacidade, sigilo e escopo ou jurisdição de atuação; ● Cuidado com a manipulação e preservação de provas legais em potencial, pois o que não é visto como prova hoje pode vir a ser uma prova e então é bom ter sido preservada o suficiente para ser aceita em um tribunal; ● Experiência ao examinar os rastros em um incidente perceber o nível de sofisticação e conhecimento de um atacante, especialmente interessante se o atacante usa subterfúgios para parecer menos capaz, como deixar rastros óbvios e parecer um ataque simples para ocultar ações maliciosas muito mais perigosas e muito mais escondidas. Crime(s) Cibernético(s) Um crime cibernético é definido como qualquer ato ilegal envolvendo um computador, seu sistema ou suas aplicações. E para ser tipificado como crime, o ato deve ser intencional, e não acidental. E um crime cibernético possui três diferentes aspectos a serem analisados: ● Ferramentas do crime; ● Alvo do crime; ● Tangente do crime. E o mesmo deve ser de duas categorias diferentes: ● Ataque interno; ● Ataque externo. Exemplos de crimes cibernéticos ● Roubo de propriedade intelectual; ● Avaria na rede de serviço das empresas; ● Fraude financeira; ● Invasão de crackers; ● Distribuição e execução de vírus ou worm. Essa pequena lista, obviamente, não é exaustiva, mas leva em consideração as ocorrências de maior incidência. E a motivação dos ataques podem ser as mais variadas possíveis, como as seguintes: ● Testes, ou tentativas de aprender na prática, por script kiddies; ● Necessidade psicológica; ● Vingança ou outras razões maliciosas; ● Desejo de causar problemas para o alvo; ● Espionagem – corporativa ou governamental. Alguns autores têm concentrado esforços com o intuito de elaborar conceitos sobre o que seria “Crime informático”, temos então definições que tangem o assunto, porém vistos por ângulos diferentes, ao exemplo de (CORRÊA, 2000), onde crimes informáticos seriam: “Todos aqueles relacionados às informações arquivadas ou em trânsito por computadores, sendo esses dados, acessados ilicitamente, usados para ameaçar ou fraudar.” Nota-se neste caso que o autor tem sua preocupação voltada à ocorrência de crimes contra o computador, suas informações arquivadas ou interceptação indevida destes dados. Já segundo (FERREIRA, 2000) crime informático “é uma ação típica, antijurídica e culpável cometida contra ou pela utilização de processamento automático de dados ou sua transmissão”. Verifica-se neste, um conceito mais amplo e abrangente, onde o computador pode ser o bem atacado (bem jurídico) ou o meio pelo qual o criminoso se utiliza para praticar o delito (modus operandi e/ou Sine qua non ). É válido ressaltar que a informática possibilita não somente a prática de crimes novos, como potencializa alguns outros tradicionais tais como o furto, por exemplo. Então haveria assim, crimes cometidos através do computador onde o computador seria a ferramenta para o crime, e os cometidos contra o computador, isto é, contra seus hardwares (parte física do computador como suas peças) e softwares (parte lógica como programas, arquivos etc.) onde o mesmo seria o objeto do crime. (GOMES, 2000) Voltando ao conceito de que crime informático seja uma ação típica, antijurídica e culpável cometida contra ou pela utilização de processamento automático de dados ou sua transmissão. (FERREIRA, 2000) remonta à definição do que seja crime, descrito no capítulo anterior e adota a classificação dada pelos autores estrangeiros Hervé Croze e Yves Biscunth os quais definem duas categorias de crimes informáticos. Os atos dirigidos contra um sistema de informática, por qualquer motivo, verdadeiro núcleo da criminalidade informática, por se tratarem de ações que atentem contra o próprio material informático (suportes lógicos ou dados dos computadores). E os atosque atentem contra outros valores sociais ou outros bens jurídicos, cometidos através de um sistema de informática, que compreenderiam todas as espécies de infrações previstas em lei penal. Classificação e tipificação dos crimes informáticos (PINHEIRO, 2001) classifica crimes informáticos em três categorias distintas, sendo elas: ● O crime virtual puro, que seria toda e qualquer prática criminosa que tenha por alvo único, o computador em si, atacando física ou tecnicamente o equipamento e seus componentes (hardware), incluindo suas informações e sistemas (software), por exemplo, um vírus que apagasse todo o conteúdo armazenado de um computador. ● O crime virtual misto que é aquele em que a utilização da internet é característica sine qua non para a prática do crime, embora o bem jurídico alvo seja alheio ao informático, tais como, por exemplo, um vírus para armazenar senhas digitadas em páginas de bancos na internet (keyloggers) para um futuro acesso e desvio de financeiro indevido. ● O crime virtual comum seria utilizar a informática somente como ferramenta para a efetivação de um crime já tipificado pela lei penal, utilizando-a como um novo meio para o cometimento desta ação delituosa. Tomando por exemplo a pornografia infanto- juvenil já prevista no Estatuto da criança e do adolescente sob o artigo 241, onde antes vinculados em revistas e vídeos, hoje se dá pelo compartilhamento em programas P2P tais como o E-mule e outros, trocas por e-mails, divulgação e sites e diversas outras formas. Já segundo (VIANNA, 2003) crimes dessa natureza se dividem em quatro categorias: ● Crimes informáticos impróprios: seriam aqueles nos quais o computador é usado como instrumento para a execução do crime, mas não há ofensa ao bem jurídico, inviolabilidade da informação automatizada (dados). Exemplos de crimes informáticos impróprios podem ser calúnia (art. 138 do CP Brasileiro), difamação (art. 139 do CP Brasileiro), injúria (art. 140 do CP Brasileiro), todos podendo ser cometidos, por exemplo, com o envio de um e-mail. ● Crimes informáticos próprios: seriam aqueles em que o bem jurídico protegido pela norma penal é a inviolabilidade das informações automatizadas (dados). Como exemplo desse crime temos a interceptação telemática ilegal, prevista no art. 10 da lei 9296/96 (Lei federal Brasileira). ● Delitos informáticos mistos: seriam crimes complexos em que, além da proteção da inviolabilidade dos dados, a norma visa a tutelar bem jurídico de natureza diversa. ● Crimes informáticos mediatos ou indiretos: seria o delito-fim não informático que herdou esta característica do delito-meio informático realizado para possibilitar a sua consumação. Condutas ilícitas Há hoje uma lista grande de crimes informáticos sendo praticados diariamente, e, a cada dia ela se enriquece mais, fato que ocorre devido a explosão do uso de computadores e internet e pelo constante surgimento de novas tecnologias de software e hardware que apresentam vulnerabilidades (exemplo de softwares que são lançados com falha na segurança, permitindo assim exploração dessas vulnerabilidade) ou no caso de novas tecnologias, (como exemplo o surgimento das redes peer-to-peer que possibilitam a transmissão de pornografia infanto-juvenil), (ZANELLATO, 2003) cita, dentre outras condutas: ● a) spamming, como forma de envio não-consentido de mensagens publicitárias por correio eletrônico a uma massa finita de usuários da rede, conduta esta não oficialmente criminal, mas antiética; ● b) cookies, a quem chama “biscoitinhos da web”, pequenos arquivos de textos que são gravados no computador do usuário pelo browser quando ele visita determinados sites de comércio eletrônico, de forma a identificar o computador com um número único, e obter informações para reconhecer quem está acessando o site, de onde vem, com que periodicidade costuma voltar e outros dados de interesse do portal; ● c) spywares, como programas espiões que enviam informações do computador do usuário da rede para desconhecidos, de maneira que até o que é teclado é monitorado como informação, sendo que alguns spywares têm mecanismos que acessam o servidor assim que usuário fica on-line e outros enviam informações por e-mail; ● d) hoaxes, como sendo e-mails que possuem conteúdos alarmantes e falsos, geralmente apontando como remetentes empresas importantes ou órgãos governamentais, como as correntes ou pirâmides, hoaxes típicos que caracterizam crime contra a economia popular, podendo, ainda, estarem acompanhadas de vírus; ● e) sniffers, programas espiões, assemelhados aos spywares, que, introduzidos no disco rígido, visam a rastrear e reconhecer e-mails que circundam na rede, de forma a permitir o seu controle e leitura; ● f) trojan horses ou cavalos de troia, que, uma vez instalados nos computadores, abrem suas portas, tornando possível a subtração de informações, como senhas, arquivos etc. Em seu Oitavo Congresso sobre Prevenção de Delito e Justiça Penal, ocorrido em 1990 em Havana, Cuba, a Organização das Nações Unidas – ONU divulgou uma listagem com os tipos de crimes informáticos. O documento divide os delitos em três macro categorias sendo a primeira: Fraudes cometidas mediante manipulação de computadores, caracterizadas por: ● a) manipulação de dados de entrada, também conhecida como subtração de dados; ● b) manipulação de programas, modificando programas existentes em sistemas de computadores ou enxertando novos programas ou novas rotinas; ● c) manipulação de dados de saída, forjando um objetivo ao funcionamento do sistema informático, como, por exemplo, a utilização de equipamentos e programas de computadores especializados em decodificar informações de tarjas magnéticas de cartões bancários ou de crédito; ● d) manipulação informática, técnica especializada que aproveita as repetições automáticas dos processos do computador, apenas perceptível em transações financeiras, em que se saca numerário rapidamente de uma conta e transfere a outra. A segunda seria falsificações informáticas: ● a) como objeto, quando se alteram dados de documentos armazenados em formato computadorizado; ● b) como instrumento, quando o computador é utilizado para efetuar falsificações de documentos de uso comercial, criando ou modificando-os, com o auxílio de impressoras coloridas a base de raio laser, cuja reprodução de alta qualidade, em regra, somente pode ser diferenciada da autêntica por perito; Os danos ou modificações de programas ou dados computadorizados, também conhecidos como sabotagem informática, ato de copiar, suprimir ou modificar, sem autorização, funções ou dados informáticos, com a intenção de obstaculizar o funcionamento normal do sistema, cujas técnicas são: ● a) vírus, série de chaves programadas que podem aderir a programas legítimos e propagar-se a outros programas informáticos; ● b) gusanos, análogo ao vírus, mas com objetivo de infiltrar em programas legítimos de programas de dados para modificá-lo ou destruí-lo, sem regenerar-se; ● c) bomba lógica ou cronológica, requisitando conhecimentos especializados já que requer a programação para destruição ou modificação de dados em um certo momento do futuro; ● d) acesso não-autorizado a sistemas de serviços, desde uma simples curiosidade, como nos casos de hackers, piratas informáticos, até a sabotagem ou espionagem informática; ● e) piratas informáticos ou hackers, que aproveitam as falhas nos sistemas de seguranças para obter acesso a programas e órgãos de informações; e reprodução não-autorizada de programas informáticos de proteção legal, causando uma perda econômica substancial aos legítimos proprietários intelectuais. Na década seguinte, no Décimo Congresso sobre Prevenção de Delito e Tratamento do Delinqüente, agora ocorrido em Viena, Áustria, a ONU divulgou num comunicado à imprensa, uma lista com mais alguns tipos de crimes informáticos, executados por intermédio do computador,que são: ● a) Espionagem industrial: espionagem avançada realizada por piratas para as empresas ou para o seu próprio proveito, copiando segredos comerciais que abordam desde informação sobre técnicas ou produtos até informação sobre estratégias de comercialização; ● b) Sabotagem de sistemas: ataques, como o bombardeiro eletrônico, que consistem no envio de mensagens repetidas a um site, impedindo assim que os usuários legítimos tenham acesso a eles. O fluxo de correspondência pode transbordar a quota da conta pessoal do titular do e-mail que as recebe e paralisar sistemas inteiros. Todavia, apesar de ser uma prática extremamente destruidora, não é necessariamente ilegal; ● c) Sabotagem e vandalismo de dados: intrusos acessam sites eletrônicos ou base de dados, apagando-os ou alterando-os, de forma a corromper os dados. Podem causar prejuízos ainda maiores se os dados incorretos forem usados posteriormente para outros fins; ● d) Pesca ou averiguação de senhas secretas: delinquentes enganam novos e incautos usuários da internet para que revelem suas senhas pessoais, fazendo-se passar por agentes da lei ou empregados de provedores de serviço. Utilizam programas para identificar senhas de usuários, para que, mais tarde, possam usá-las para esconder verdadeiras identidades e cometer outras maldades, como o uso não autorizado de sistemas de computadores, delitos financeiros, vandalismo e até atos de terrorismo; ● e) Estratagemas: astuciosos utilizam diversas técnicas para ocultar computadores que se parecem eletronicamente com outros para lograr acessar algum sistema geralmente restrito a cometer delitos. O famoso pirata Kevin Mitnick se valeu de estratagemas em 1996, para invadir o computador da casa de Tsotomo Shimamura, expert em segurança, e destruir pela internet valiosos segredos de segurança; ● f) Pornografia infantil: a distribuição de pornografia infantil por todo o mundo por meio da internet está aumentando. O problema se agrava ao aparecer novas tecnologias como a criptografia, que serve para esconder pornografia e demais materiais ofensivos em arquivos ou durante a transmissão; ● g) Jogos de azar: o jogo eletrônico de azar foi incrementado à medida que o comércio brindou com facilidades de crédito e transferência de fundos pela rede. Os problemas ocorrem em países onde esse jogo é um delito e as autoridades nacionais exigem licenças. Ademais, não se pode garantir um jogo limpo, dado as inconveniências técnicas e jurisdicionais para sua supervisão; ● h) Fraude: já foram feitas ofertas fraudulentas ao consumidor tais como a cotização de ações, bônus e valores, ou a venda de equipamentos de computadores em regiões onde existe o comércio eletrônico; ● i) Lavagem de dinheiro: espera-se que o comércio eletrônico seja um novo lugar de transferência eletrônica de mercadorias e dinheiro para lavar as ganâncias do crime, sobretudo, mediante a ocultação de transações. De acordo com (CARPANEZ, 2006) Atualmente, o crime informático mais cometido no mundo é o roubo de identidade. Através desta prática, os crackers apoderam-se de informações particulares da vítima atuando de forma delituosas em várias áreas como compras on-line, transferências financeiras indevidas ou mesmo a apropriação de contas de e-mails ou informações pessoais. Apesar de o primeiro lugar estar muito bem definido, não há informações sobre quais as posições das outras práticas ilícitas no pódio da criminalidade informática. Porém crimes como pedofilia, calúnia e difamação, ameaça, discriminação, espionagem industrial e outros que tem como alvo os direitos humanos configuram delitos de destaque neste ranking. Investigação Digital A forense digital, é uma ciência ou técnica relativamente recente no campo da segurança digital, pois poucas décadas no separam do surgimento do computador de demais dispositivos tecnológicos que poderiam ser utilizados em crimes digitais. Essa ciência inclui a preservação, coleta, confirmação, identificação, análise, cópia e a apresentação de informação sobre a atividade maliciosa. E o processo de investigação é que nos provê as informações necessárias para a análise forense, que vai nos levar à conclusão final que poderá servir até mesmo como base para uma decisão judicial. Investigação digital “Uma série metódica de técnicas e procedimentos para coletar evidências de um sistema computadorizado, de dispositivos de armazenamento ou de mídia digital, que podem ser apresentadas em um foro de uma forma coerente e formato inteligível”. – Dr. H. B. Wolf A investigação digital é um processo onde uma hipótese é desenvolvida e testada para responder algumas questões à respeito de uma ocorrência digital. As informações utilizadas durante a recriação do cenário são coletadas ao longo do processo de investigação em uma de suas fases iniciais. Com tais informações, é possível compreender o que ocorreu, como ocorreu e até mesmo o objetivo por detrás das ações do responsável pelo comprometimento do artefato digital. E a investigação digital tem como objetivo suportar ou desmentir uma hipótese apresentada por uma análise inicial, e muitas vezes superficial, do cenário comprometido. Investigação digital X Forense digital Por mais que pareça incoerente e estranho, a investigação digital difere da forense digital em inúmeros pontos do processo – apesar de o objetivo central ser praticamente o mesmo. A principal diferença entre a investigação digital e a forense digital é a parte legal. Pois em um processo de análise forense existe uma preocupação legal, não só uma preocupação técnica, ao longo de todo o processo. Essa preocupação legal deve-se ao objetivo final de cada uma dessas operações. A análise forense procura chegar numa conclusão final, que permita apresentar um relatório com provas bem fundamentadas e amparadas nas leis vigentes daquele país, pois o mesmo será utilizado para embasar uma decisão judicial, que precisa estar de acordo com os aspectos legais de um processo válido. Do contrário, a investigação não alcançará seu objetivo, que é fundamentar ou desmentir uma hipótese apresentada durante a análise do caso. Pelo fato da forense digital ser algo recente, as interpretações das leis podem mudar, bem como a reação às novas ameaças. O que acaba dificultando o processo de investigação, pois ainda se utiliza leis de um paradigma antigo, para enquadrar crimes ocorridos em um paradigma completamente diferente, com artefatos diferentes, objetivos e métodos diversos. Já a investigação digital tem um foco diverso, mais voltado para as técnicas e ferramentas utilizadas do que ao aspecto legal de um processo judicial. Isso permite ao perito focar seu trabalho em descobrir e analisar as evidências de forma mais técnica e aprofundada, não se preocupando em demasia com os aspectos legais de todo o processo. Problemas concernentes à Forense computacional Como a forense computacional é uma área relativamente nova, até mesmo por conta do pouco tempo da popularização dos computadores, não há possibilidade de perfeição em seus métodos e formas de atuação. Por conta disso, podemos enumerar alguns pontos falhos dessa área, que com o tempo certamente serão melhorados: ● Ainda, é mais uma arte do que ciência; ● Ainda está em seus estados iniciais de desenvolvimento; ● Há pouco conhecimento teórico sobre o qual as hipóteses empíricas são baseadas; ● Há falta de treinamento apropriado; ● Não há padronização de ferramentas. Essas são alguns dos problemas atuais dessa área. No entanto, o desenvolvimento de pesquisas na área, em pouco tempo, resolverão os mesmos. “A forense computacional é o equivalente ao levantamento na cena de um crime ou a autópsia da vítima ”. – James Borek Atualmente, a maioria dos documentos existentes possuem seu equivalente no formato digital, e daqui há algum tempo, os documentos digitais dominarão qualquer tipo de negociação, autenticação, permissão ou qualqueroutra ação legal. Sem contar, que muito do que manipulamos de informação atualmente, está em formato virtual, sem equivalência do mundo físico. Por conta disso, em quatro ou cinco anos, todos os casos judiciais envolverão a análise forense computacional. E como as evidências digitais são delicadas por natureza, é necessário um profissional qualificado e que tenha conhecimento suficiente para realizar a análise forense de um sistema comprometido, ou que possua evidências necessárias ara a comprovação de determinados fato. E o principal objetivo do investigador forense computacional é determinar a natureza e os eventos relacionados a um crime ou ato malicioso, e localizar quem o perpetrou, seguindo um procedimento de investigação estruturado. Esse procedimento de investigação estruturado está baseado em metodologias que definem os passos básicos para o rumo de uma análise, permitindo que o profissional, inclusive, possa organizar seu kit personalizado de ferramentas para facilitar todo o processo. Investigando Servidores Web Os ataques com base em Web geralmente se encaixam em três categorias: ataques contra o próprio servidor (um pedido de acesso), ataques contra o conteúdo (desfiguração do site/defacement) e ataques contra a empresa ou organização (roubo de produto ou informação). Os ataques via Web são frequentes devido à vulnerabilidade no software e autenticação do sistema operacional e os mais comuns são os de desfiguração de site. Em um sistema Web, podem se envolver diferentes tecnologias, tais como: Java, JavaScript, VbScript, Active Server Pages (ASP), Secure Sockets Layer (SSL), Common Gateway Interface (CGI), PHP, HTML, ColdFusion, etc. E os métodos investigativos são facilmente adaptados para qualquer uma dessas tecnologias. Investigações em servidores Web são mais facilmente conduzidas com a assistência de administradores e desenvolvedores do site. Diversos arquivos de log podem ser usados para confirmar ou não se um incidente ocorreu e então determinar o tipo, extensão, causa e origem do incidente. Somente uma entrada no arquivo de log possa talvez não ser suficiente para termos uma imagem do incidente, mas uma série de entradas dá ao investigador um controle do tempo e o contexto necessário para compreender o incidente. Uma compreensão geral do incidente é fundamental para a resposta eficaz. Modus Operandi / Sine Qua Non Modus operandi (MO - Modo de operação) é um termo latino que significa "um método de operação". Refere-se aos comportamentos cometidos por um criminoso com a finalidade de completar com sucesso uma ofensa. O MO de um criminoso reflete como eles cometem seus crimes. É separado dos seus motivos, que tem a ver com o porquê deles cometem seus crimes (Burgess 1997; Turvey, 2002). O MO de um criminoso tem sido tradicionalmente relevante para os esforços de ligação de casos da aplicação da lei. No entanto, também é relevante, pois pode envolver procedimentos ou técnicas que são características de uma determinada disciplina ou campo de conhecimento. Isso pode incluir comportamentos que refletem conhecimentos tanto criminais como não criminais (Turvey, 2002). O MO de um criminoso consiste em comportamentos aprendidos que podem evoluir e desenvolver ao longo do tempo. Pode ser refinado, uma vez que um ofensor se torna mais experiente, sofisticado e confiante. Também pode tornar-se menos competente e menos habilidoso ao longo do tempo, descompensando em virtude de um estado mental em deterioração ou aumento de uso de substâncias que alteram a mente (Turvey, 2002). Em ambos os casos, o comportamento de MO de um infrator é funcional por sua natureza. Na maioria das vezes serve (ou não consegue atender) um ou mais de três propósitos (Turvey 2002): ● Protege a identidade do agressor; ● Assegura a conclusão bem-sucedida do crime; ● facilita a fuga do infrator. Exemplos de comportamentos de MO relacionados a crimes de computador e Internet incluem, mas certamente não estão limitados a (Turvey 2002): Quantidade de planejamento antes de um crime, evidenciado por comportamento e materiais (ou seja, notas tomadas na fase de planejamento sobre seleção de localização e informações potenciais de vítimas, encontradas em e-mails ou revistas pessoais em um computador pessoal). Materiais utilizados pelo infractor na comissão da infração específica (ou seja, tipo de sistema, tipo de conexão, software envolvido, etc.). Presurveillance (pré-vigilância) de uma cena de crime ou vítima (ou seja, monitorando os hábitos de postagem de uma vítima em uma lista de discussão, aprendendo sobre o estilo de vida ou a ocupação de uma vítima em seu site pessoal, contatando uma vítima potencial diretamente usando um alias amigável ou uma pretensão, etc.). Seleção de localização de infração (ou seja, uma mensagem ameaçadora enviada para um grupo de notícias Usenet, uma conversa teve em uma sala de bate-papo de Internet para preparar uma vítima em potencial, um servidor que hospeda materiais ilícitos para distribuição secreta, etc.). Uso de uma arma durante um crime (ou seja, um vírus prejudicial enviado ao PC da vítima como um anexo de e-mail, etc.). Atos de precaução do delinquente (ou seja, o uso de alias, o tempo de roubar em um sistema privado para uso como base de operações, spoofing de IP, etc.). O conhecimento do modus operandi para o perito possibilita-o a ter uma visão melhor sobre o processo da invasão do sistema, podendo, então, antecipar a busca de dados relevantes para uma perícia forense computacional. Sine Qua Non Sine qua non é uma locução adjetiva, do latim, que significa “sem a qual não”. É uma expressão frequentemente usada no nosso vocabulário e faz referência a uma ação ou condição que é indispensável, que é imprescindível ou que é essencial. "Sine qua non" é uma locução com que se qualifica uma cláusula ou condição sem a qual não se conseguirá atingir o objetivo planejado, sem a qual determinado fato não acontece. A expressão “Conditio sine qua non” (Condição sem a qual não) indica circunstância indispensável à validade ou à existência de um ato. É usada nas diversas áreas do conhecimento, entre elas, Direito, Economia, Filosofia e Ciências da Saúde. Vários idiomas fazem uso dessa expressão na sua forma em latim, como o inglês, o alemão, o francês, o italiano, entre outras. No Direito Penal, “conditio sine qua non” é a condição sem a qual não existe o crime, não havendo o “conditio sine qua non”, não há nexo de causalidade, portanto não há crime. Considera-se causa a ação ou omissão sem a qual o resultado não teria ocorrido, conforme dispõe o Art. 13 do Código de Processo Penal: “o resultado de que depende a existência do crime, somente é imputável a quem lhe deu causa. Considera-se causa a ação ou omissão sem a qual o resultado não teria ocorrido”. No latim clássico, a forma correta usa a palavra “condicio” (condição), no entanto é frequentemente usada a palavra “conditio” (fundação): “Conditio sine qua non”. Processos de Análise Forense Uso de artifícios, dentre eles, a ciência forense, com o intuito de elucidar fatos acerca de um determinado ocorrido, de natureza criminal ou qualquer outra onde haja conflito de interesses Fases ● Coleta dos dados; ● Manter integridade; ● Identificar e documentar; ● Exame dos dados; ● Uso de ferramentas técnicas; ● Visa à obtenção de informações relevantes; ● Análise das informações; ● Processamento das informações obtidas na fase anterior; ● Interpretação dos resultados; ● Laudo descrevendo procedimentos e resultados. Ciclo da Investigação Computacional Forense Coleta dos Dados ● Estabelecer Prioridades segundo ○ Volatilidade: dados que podem ser perdidos devem ser priorizados; ○ Esforço: deve-se priorizar as coletas de menos esforço; ○ Valor Estimado: estimar valor relativo para cada provável fonte de dados. ● Preservar Integridade ○ Gerar provas de que os dadosestão íntegros (HASH) ○ Importante para admissibilidade das evidências Exame dos Dados ● Filtrar, avaliar e extrair informações relevantes ● Uso de recursos e ferramentas específicas como: ○ dump de memória volátil; ○ recuperação e análise de de dados persistentes; ○ National Software Reference Library: conjunto de assinaturas de softwares e documentos disponibilizado para filtragem de dados. Análise das Informações ● Interpretação dos dados coletados ○ Identificação dos envolvidos; ○ Estabelecimento de ordem cronológica; ○ Levantamento de eventos e locais; ● Cruzamento de informações que levem a provas concretas ou evidências. Interpretação dos Resultados ● Elaboração de um laudo pericial ○ Conclusão imparcial, clara e concisa; ○ Exposição dos métodos utilizados; ○ Deve ser de fácil interpretação por uma pessoa leiga. Perícia Computacional ● Resposta a incidente de segurança ○ Preparação (pré-incidente) ○ Identificação (incidente) análise forense ○ Contenção (início do pós-incidente) ○ Erradicação ○ Recuperação ○ Acompanhamento ● Responder: ○ O que? ○ Onde? ○ Quando? ○ Como? ● Segundo Dan Farmer, a perícia computacional (forensics) “trata-se da captura e análise de evidências, tanto quanto possível livres de estarem distorcidas ou tendenciosas, de tal forma a reconstruir determinados dados ou o que aconteceu num sistema no passado”; ● O perito deve isolar e assegurar o perímetro, registrando a “cena do crime” da melhor maneira possível, e conduzindo uma busca sistemática por evidências, coletando e armazenando as que encontrar; ● A velocidade das ações é essencial, mas estas devem ser levadas em consideração sem colocar em risco a coleta ou a veracidade das informações; ● O perito também deve ter em mente que qualquer operação executada num sistema, causará alguma perturbação em seu estado; ● Além disso, atacantes hábeis conhecem como as perícias são feitas e podem fornecer informações falsas em locais específicos. ● Outro aspecto importante diz respeito às leis vigentes na jurisdição, e as políticas da organização ou instituição. Estas devem ser levadas em consideração, e respeitadas; ● Sem este procedimento, a coleta de evidências pode ser inócua, ineficaz ou ilegítima. ● Procedimentos para análise forense ○ Criar registro para cada evidência ○ Criar assinatura das evidências (Assistir aula sobre hash). ■ MD5 ■ SHA1 ■ SHA256 ○ Evitar comprometer evidências ○ Criar relatório detalhado da investigação ■ Comandos executados ■ Pessoas entrevistadas ■ Evidências coletadas ● Cadeia de custódia de evidências ○ Registro detalhado do modo como as evidências foram tratadas durante a análise forense, desde a coleta até os resultados finais ○ Este registro deve conter informações sobre quem teve acesso as evidências ou às cópias utilizadas ○ Durante um processo judicial, este registro vai garantir que as provas não foram comprometidas ○ Cada evidência coletada deve ter um registro de custódia associada a ela ● Um registro de custódia deve conter pelo menos os seguintes itens ○ Data e hora de coleta da evidência ○ De quem a evidência foi apreendida ○ Informações sobre o hardware, como fabricante, modelo, número de série etc ○ Nome da pessoa que coletou a evidência ○ Descrição detalhada da evidência ○ Nome e assinatura das pessoas envolvidas ○ Identificação do caso e da evidência (tags) ○ Assinaturas MD5/SHA1 das evidências, se possível ○ Informações técnicas pertinentes https://unotec.com.br/ead/mod/resource/view.php?id=92 ● Durante a busca por evidências, a preservação do estado do sistema é um fator determinante. Sem a preservação do estado, pode acontecer de nunca se saber o passado; ● Desta forma, o perito sempre deve fazer a coleta de dados de acordo com a ordem de volatilidade; ● Como ordem de volatilidade, deve-se considerar coletar primeiramente os dados que forem mais efêmeros. Ordem de Coleta de Evidências ● Durante a realização da captura de dados de perícia, além de seguir a ordem de volatilidade dos dados, deve-se também levar em conta a “cadeia de confiança” do sistema. ● Esta cadeia de confiança está associada com maneira na qual ocorre a execução de um binário dentro de um sistema operacional. ● A cadeia de confiança apresenta a maneira como um sistema é perturbado durante a execução de um comando ou programa. ● Durante a realização de uma perícia será necessário realizar uma reconstrução de eventos passados; ● Entre os métodos a serem aplicados na correlação de eventos, pode-se citar, em ordem de importância, os seguintes procedimentos e técnicas, bem como algumas questões associadas a eles: ● Reconstrução do histórico dos usuários e suas operações. ○ Quais usuários acessaram o sistema numa determinada hora? ○ Qual foi o padrão de uso de uma conta em particular? ● Reconstrução do histórico dos processos executados, ou em execução. ○ Qual o Username, terminal e hora de início da sessão de cada processo? ○ Qual a quantidade de uso de memória e CPU? ○ Quais as linhas de comando de chamada do processo? ○ Qual o estado do processo no momento (running, sleeping, suspended, dead, etc...)? ○ Quais os comandos executados por um processo específico? ○ Quais os comandos dentro de uma sessão específica? ○ Quais as sucessivas instâncias de um processo? ○ Quais as sequências de comandos específicos de um usuário? ○ Quais os processos rodando durante uma determinada janela de tempo? ○ Quais os processos residentes que iniciaram após o tempo de reboot? ● Reconstrução da situação das conexões de rede e roteamento. ○ Qual a data, horário e destino da conexão? ○ Qual o nome do processo de rede e seu ID? ○ Qual o host cliente? ○ Opcional: Qual o usuário cliente? (depende da existência de processo identd). ● Arquivos dos registros de auditoria (logs). ○ Quais as conexões de, e para, um site específico? ○ Quais as conexões para um serviço específico (por exemplo, telnetd ou ftpd)? ○ Quais as sequências sucessivas de conexão de um site (por ex. finger seguido de telnet)? ○ Quais as conexões ocorridas num intervalo de tempo? ● Horários de acesso (ou modificação) de arquivos ou diretórios (M/A/C/times) [14]. ○ mtime = modification time ○ atime = access time ○ ctime = status change time ○ dtime = deletion time (presente em alguns Linux) ○ Estes tempos são associados a qualquer arquivo ou diretório no UNIX, no Windows NT e em outros filesystems. Trazem uma quantidade significativa de informação. ○ Existem cerca de 100.000 arquivos numa máquina Unix, representando 10 Mb de dados de M/A/C/times. ○ Se disponível, é um conjunto de evidências que deve ser seriamente considerado. ● Network Sniffing (se possível). ○ É difícil de detectar. ○ Pode capturar todo o tráfego de rede. ○ Excelente para acompanhar o ataque em andamento ou o retorno do atacante. ○ Útil para controle de danos, e inútil para recuperação de dados. ○ Exige alta capacidade de armazenamento. ○ Dados encriptados são um problema e impossibilitam a aplicação desta técnica. ○ Pode violar a privacidade de outros usuários. É fortemente dependente da política da organização e das leis vigentes. Sistema Multiagente para Perícia Computacional ● Ferramentas atuais não fornecem flexibilidade para analisar grandes volumes de dados ● Procedimentos desejáveis nem sempre são realizados ○ Falta de recursos, tempo, habilidade do agente, etc ● Sistema multiagente: ○ Diversos agentes, podendo agir de forma autônoma, trabalhando no mesmo ambiente para atingir seus objetivos ● Cada agente é especialista em uma tarefa ● Sugerem a melhor ação a ser tomada com base em sua especialização ● Exemplos de especialidades: ○ Logs de servidores web ○ Imagens (detecção de faces, cor de pele, etc) ○ Histório do navegador internet ○ Quebra de senhas ○ Recuperação de arquivos apagados ○ Comparação com conjunto de hashes ●Nem todos especialistas são necessários em um caso específico ○ Agente coordenador ● Agentes podem ter conclusões diferentes ○ Blackboard – Agentes colocam suas “opiniões” em uma estrutura e outro agente decide como resolver o conflito ● Os agentes são criados em forma de árvore ○ Nível 1: Especialista ○ Nível 2: Operacional ○ Nível 3: Tático ○ Nível 4: Estratégico ○ Os níveis debaixo só se comunicam com os seus superiores. ● Em um computador, ficam os especialistas, e o seu coordenador operacional ● Diversos computadores são coordenados por coordenadores táticos ● Os coordenadores táticos são coordenados pelo Gerente estratégico (define quais táticos vão ser utilizados) ● Essa hierarquia permite tratar desde análise de apenas 1 computador, até análise de um gigante número de dados, de forma distribuída. ● Somente agentes necessários “trabalham” ● Os desocupados podem liberar acesso à máquina para outro agente executar tarefas mais “pesadas” ● Desenvolvido em Java ○ Utiliza troca de mensagens ○ Blackboard: Java Expert System shell (Jess) ○ Agentes: Java Agent Development Framework (JADE) ● Análise de HD de 80GB com mais de 50 mil arquivos ● Base de hashes reduzida, com 26 mil hashes ● Resultados ● Resultados ○ Forensic ToolKit 1.7.0.1 (FTK) ■ Média de 58 segundos! ○ Melhor uso dos recursos ○ Mais rápido ○ Respostas mais confiáveis (podem ser utilizados vários especialistas da mesma área) ○ Onde Ficam as Provas Locais onde se podem descobrir informações valiosas para uma investigação em três áreas: ● Espaço de arquivos lógicos: Refere-se aos blocos do disco rígido que, no momento do exame, estão atribuídos a um arquivo ativo ou à estrutura de contabilidade do sistema de arquivos (como as tabelas FAT ou as estruturas inode). ● Espaço subaproveitado: Espaço formado por blocos do sistema de arquivos parcialmente usados pelo sistema operacional. Chamamos todos os tipos de resíduo de arquivos, como a RAM e os arquivos subaproveitados, de espaço subaproveitado. ● Espaço não alocado: Qualquer setor não tomado, esteja ou não em uma partição ativa. Para fins de ilustração, os dados de um disco rígido foram divididos em camadas, parecidas às do modelo de rede OSI. Encontram-se informações com valor de provas em todas essas camadas. O desafio é encontrar a ferramenta certa para extrair as informações. A tabela a seguir mostra as relações entre setores, clusters, partições e arquivos. Isso ajuda a determinar o tipo de ferramenta a ser usada para extrair as informações. Camadas de armazenamento do sistema de arquivos Camada do sistema de arquivos Localização das provas em DOS ou Windows Localização de provas em Linux Armazenamento de aplicativos Arquivos Arquivos Classificação de informações Diretórios e pastas Diretórios Alocação de espaço de armazenamento FAT Inode e bitmaps de dados Formato de blocos Clusters Blocos Classificação de dados Partições Partições Física Setores absolutos ou C/H/S Setores absolutos Cada camada do sistema de arquivos tem um fim definido, para o sistema operacional ou para o hardware do computador. São princípios da forense computacional: sucesso, minimizar a perda de dados, fazer anotações sobre tudo, analisar todos os dados coletados, fazer um relatório sobre as evidências. O Que É Possível com a Forense Computacional? Recuperar dados deletados descobrir quando os arquivos foram modificados, criados, deletados, acessados determinar quais diapositivos e/ou mídias foram conectadas em um computador específico, quais aplicações estão instaladas, mesmo quando elas foram desinstaladas por algum usuário, quais sites um usuário visitou e etc. Media Analysis (Investigative Incident Handling) Media analysis é uma análise estática de cópias de evidência (i.e., imagem de disco), não é coleta de evidências de um sistema, e sim uma análise de evidências. Essa análise pretende gerar relatórios que retratem o que aconteceu e como o crime foi cometido. Media analysis faz uso de várias técnicas e ferramentas que não irão alterar a cena de crime. Portanto, o perito trabalha somente nas cópias de evidências. Evidência Digital – Definições Sinônimo de indício, evidências digitais são informações digitais que determinam se um sistema computacional sofreu algum tipo de infração na política de segurança da empresa; ou que fornecem alguma ligação com a vítima ou o atacante; ou alguma coisa que tende a estabelecer ou refutar um fato. Evidência é tudo que um perito procura. Ainda que o perito consiga recuperar somente 4 bytes, essa informação pode ser usada como uma evidência. O perito precisa ter certeza que cada byte de uma evidência é obtida, analisada e usada para provar ou inocentar alguma alegação, o que faz com que cada informação em posse do perito tenha uma importância crucial. Assim, o volume de informações obtidas e analisadas cresce cada vez mais. Propriedades de uma Evidência Digital Evidências digitais podem ser duplicadas com exatidão a partir de métodos adequados. É possível verificar também se essas evidências sofreram alterações. São voláteis. Se não forem tomadas algumas precauções, as evidências podem ser alteradas e danificar a cena de crime. Melhor Evidência A evidência original é a cópia original da mídia fornecida pelo cliente/vítima fonte de informação. A regra da melhor evidência é a cópia mais completa que tenhamos obtido e que seja a mais próxima da evidência original. Exemplos de evidências digitais: ● documentos; ● ameaças através de e-mails; ● anotações de suicídio e outros crimes; ● softwares maliciosos; ● pornografia infantil (vídeo/fotos); ● evidências de conexões de redes estabelecidas entre computadores; ● mensagens SMS; ● arquivos impressos; ● qualquer dado que possa estar armazenado em dispositivos digitais. Onde ficam as evidências? ● metadados de arquivos; ● arquivos deletados; ● registro do Windows; ● histórico de dispositivos USB; ● arquivos acessados recentemente, URLs, etc.; ● arquivos no Spool de impressão; ● arquivos de hibernação. Princípio da Troca de Locard O princípio da Troca de Locard define que, em um determinado momento em que dois objetos interagem (entram em contato), haverá transferência de material entre os dois. No mundo cibernético, todos que cometem algum tipo de crime cibernético deixam rastros no sistema atacado. No contexto da análise forense computacional, o princípio indica que pode ocorrer a contaminação de provas, não só pelo criminoso, mas também pelo perito no momento da investigação. Portanto, evidências digitais sempre existem. Os rastros de atacantes podem ser difíceis de serem seguidos, mas existem. Perícia Forense para Obtenção de Evidências Diariamente, há diversos tipos de casos de fraudes e crimes (cibercrimes), em que o meio eletrônico foi em algum momento utilizado para esse fim. A missão da perícia forense é a obtenção de provas irrefutáveis, que irão se tornar o elemento chave na decisão de situações jurídicas, tanto na esfera civil quanto criminal. Para tanto, é critico observar uma metodologia estruturada visando à obtenção do sucesso nesses projetos. Identificação Entre os vários fatores envolvidos no caso, é necessário estabelecer com clareza quais são as conexões relevantes como, datas, nomes de pessoas, empresas, órgãos públicos, autarquias, instituições etc., entre as quais foi estabelecida a comunicação eletrônica. Discos rígidos em computadores podem trazer a sua origem (imensas quantidades de informações) após os processos de recuperação de dados. Preservação Todas as evidências encontradas precisam obrigatoriamente ser legítimas para terem sua posterior validade jurídica. Sendo assim, todo o processo relativo à obtenção e coleta de evidências, seja no elemento físico (computadores) ou lógico (mapas de armazenamento de memória de dados), deve seguir normas internacionais. Parte-sesempre do princípio de que a outra parte envolvida no caso poderá e deverá pedir a contraprova, sobre os mesmos elementos físicos, então, o profissionalismo dessas tarefas será crítico na sequência do processo, lembrando sempre que, caso o juiz não valide a evidência, ela não poderá ser reapresentada. Apresentação Tecnicamente chamada de “substanciação da evidência”, a apresentação consiste no enquadramento das evidências dentro do formato jurídico como o caso será ou poderá ser tratado. Os advogados de cada uma das partes ou mesmo o juiz do caso poderão enquadrá-lo na esfera civil ou criminal ou mesmo em ambas. Dessa forma, quando se tem a certeza material das evidências, atua-se em conjunto com uma das partes acima descritas para a apresentação das mesmas. Desligar ou Não o Dispositivo Ao examinar um sistema computacional, o investigador forense está interessado em obter dados para sua investigação que podem estar em dois tipos de memória: Volátil – É aquela que perde seu conteúdo ao ser interrompida sua alimentação elétrica. Em um computador, temos a memória principal, os registradores da CPU e sua memória cache. Apenas a memória principal é de interesse para o investigador forense. Não volátil – Não perde seu conteúdo com a interrupção da alimentação. Os discos rígidos são atualmente o mais comumente usados, mas os discos de memória flash começam a se tornar comuns, tanto em dispositivos como pen drives, como também em substituição aos discos rígidos em notebooks, tablets, telefones celulares e tocadores de música. A experiência e conhecimento técnico do examinador são de fundamental importância, pois qualquer ação descuidada pode levar à perda de informações importantes. Atualmente, o investigador forense enfrenta a difícil tarefa de decidir se desligar um sistema é o modo mais eficiente de coletar potenciais vestígios eletrônicos (WILES; CARDWELL; REYES, 2007). Há poucos anos, o procedimento da Computação Forense se resumia a analisar um disco rígido, não havendo preocupação com o conteúdo de memória, processos em execução e conexões de rede estabelecidas com outras máquinas. Tradicionalmente, os mais experientes investigadores forenses concordavam que a melhor prática era desligar um computador para preservar vestígios e eliminar uma potencial mudança na informação. No treinamento padrão, o “desligue tudo e não modifique nada” era a norma. Esse procedimento é uma prática que vem do mandamento da forense física de não se mexer na cena do crime, mas que não necessariamente se aplica à forense digital, uma vez que a tecnologia de investigação da Computação Forense evolui muito mais rapidamente do que as técnicas tradicionais da forense física. A evolução da tecnologia nos força a confrontar o fato de que algumas vezes é mais vantajoso fazer uma análise com o sistema ligado do que uma análise “post mortem”. O problema é que a análise com o sistema ligado muitas vezes modifica o vestígio, mudando o conteúdo de um disco rígido. Data e hora da criação/modificação de arquivos, chaves de registro (Windows), arquivos de swap e conteúdo de memória são modificados quando se faz uma análise de um sistema ligado. A decisão de desligar ou não a máquina é baseada no conhecimento adquirido e na observação da máquina em si, o que depende muito do objetivo da investigação. Caso não seja feita a análise com a máquina ligada, é importante que os motivos da decisão façam parte do relatório ou laudo da investigação. Por exemplo, ao se encerrar uma planilha de dados ou um navegador, os dados são gravados em disco, permitindo uma investigação posterior. Já encerrar um programa, tal como um cliente de torrent, põe a perder todos os dados das conexões ativas com outros servidores. O conhecimento do investigador é que vai permitir esse discernimento. Torrent: Tecnologia de compartilhamento de arquivos P2P. Além da máquina em si, temos o problema da rede. Como as redes são transportadoras, e não elementos armazenadores, todos os dados devem ser capturados e gravados em tempo real ou serão perdidos para sempre. Segundo Figg e Zhou (2007), isso apresenta uma oportunidade para múltiplos tipos de investigações, que incluem análise de logs, análise de padrões de tráfego em servidores e na própria rede. Esse tipo de investigação aponta para uma análise em roteadores e ataques pela web, incluindo e-mails, esteganografia e dispositivos móveis. Segundo o National Institute of Justice (2010), órgão do governo dos Estados Unidos, a ênfase do investigador forense, nos dias de hoje, é capturar o máximo possível de dados na cena do crime, enquanto os dispositivos ainda estão ligados. Quando lidando com vestígios digitais, os primeiros investigadores a chegar ao local devem ainda observar princípios forenses e princípios gerais, que incluem: ● o vestígio não deve ser modificado quando está sendo coletado, protegido e transportado; ● o vestígio digital só deve ser examinado por aqueles com treino específico; ● tudo que é feito durante a busca, transporte e armazenamento do vestígio digital deve ser totalmente documentado, preservado e tornado disponível para ser revisto. Outro fator em jogo é o tempo. Em uma investigação realizada dentro da empresa, onde o tempo é teoricamente maior, uma análise com a máquina ligada não é um problema. No entanto, em ações efetuadas por peritos em instalações de terceiros, pode ocorrer que o número de máquinas e o efeito “surpresa” não forneçam o tempo necessário para a análise, mesmo que certos detalhes da investigação presentes na memória volátil da máquina possam ser muito relevantes para a investigação. Nestes casos, um dump de memória é executado, copiando para um dispositivo não volátil todos os dados presentes na memória naquele momento. O problema com esse procedimento é a impossibilidade de certificar a fidelidade do conteúdo adquirido. O conteúdo da memória de um computador, e aqui incluímos todos os aparelhos que possuem a mesma arquitetura de processador + memória, modifica-se o tempo todo. O resultado de uma aquisição no tempo t sempre será diferente do resultado no tempo t + 1, o que torna uma comparação virtualmente impossível. Logo, esse resultado pode ser classificado como um vestígio com menor validade como prova. Isto não ocorre com uma mídia em que há técnicas de cópia que levam a um resultado reproduzível e passível de verificação. Logicamente que cada tipo de busca e apreensão influi no tipo de trabalho a ser realizado. Estamos usando o termo de uma forma mais ampla, mas existem ações legais que objetivam a apreensão dos equipamentos e há ações que buscam apenas os vestígios, coletados no local. O planejamento da investigação depende desses fatores. Aquisição e Preservação A aquisição e preservação dos dados na forense computacional Embora as técnicas de investigação da Computação Forense sejam usadas em contextos relacionados às investigações criminais, os princípios e procedimentos são praticamente os mesmos quando utilizados para desvendar qualquer tipo de ataque em uma empresa (ALTHEIDE; CARVEY; DAVIDSON, 2011). Enquanto o tipo de investigação pode variar muito, as fontes dos vestígios geralmente são as mesmas: dados gerados e manipulados por computador. Um dado no computador é, em sua base, uma sequência de 1s e 0s. Em última instância, é essa cadeia que as buscas realizam. https://unotec.com.br/ead/mod/page/view.php?id=64 Por muito tempo, a investigação se concentrou em meios de armazenamento magnéticos e ópticos, o que aumenta a preocupação em coletar dumps de memória em um sistema em execução e do tráfego de dados em redes. O objetivo da investigação forense é encontrar fatos e, por meio deles, recriar a verdade sobre o acontecimento. O examinador descobre a verdade sobre um acontecimento descobrindo e expondo os vestígios que foram deixados no sistema. Esses vestígios podem ser transformados em provas.Em seu trabalho, o investigador digital pode trabalhar com outros dados e informações que, em resultado último, não se converterão em provas para um processo judicial. Nesse trabalho, utilizamos o termo “vestígio” livremente, porém, em uma redação, para uso legal essa distinção pode ser necessária. A sequência de passos e o que será analisado dependem do tipo de incidente. Após uma invasão de um sistema, por exemplo, é necessário analisar uma relativa quantidade de fontes de dados, incluindo conexões na rede, portas utilizadas nessas conexões, arquivos de log, instalação de malwares e programas, arquivos criados, apagados e alterados. No entanto, nem todos os casos envolvem uma análise tão abrangente. Por exemplo, um empregado pode ter acessado sem autorização um diretório contendo arquivos de grande interesse para a empresa em que trabalha. Nesse caso, uma avaliação da memória principal do computador não parece ser necessária. A cópia de um arquivo de log que guarda os acessos ao computador pode conter vestígios suficientes para estabelecer a autoria do delito. Já em outros casos, o acesso pode vir acompanhado de substituição de programas do sistema por outros maliciosos, instalação de bibliotecas espúrias e execução de processos viciados. Nesse caso, uma análise de como o sistema foi manipulado e uma “foto” dos processos em execução podem ser necessárias, o que envolve a análise do sistema ligado e ferramentas para dump de memória. Em qualquer circunstância, o processo a seguir depende do estabelecimento de uma hipótese e da realização um trabalho minucioso e cuidadoso para ver se a suspeita se confirma ou não. Cada investigação deve começar com uma hipótese. Exemplos incluem “esse computador foi invadido”, ou “a esposa de fulano está tendo um caso”, ou “este computador teve seu arquivo de lixo roubado”. O papel do investigador não é provar essas afirmações, mas levantar os vestígios que indicam que essas hipóteses são verdadeiras ou não (ALTHEIDE; CARVEY; DAVIDSON, 2011). O trabalho investigativo depende, em qualquer caso, de dois temas muito importantes na computação forense: a aquisição e a preservação dos dados. As duas atividades são interdependentes, principalmente pelo cuidado em tornar o processo auditável e reproduzível. De nada adianta coletar os dados se estes se perderem total ou parcialmente ou sofrerem modificações, perdendo seu valor como prova, ou, ainda, o trabalho ser questionado. A Computação Forense trabalha com o fato de que qualquer ação em um sistema computacional deixa vestígios. Ações muito simples causam mudança de estado nos registradores da unidade central de processamento, bem como mudança de estado na memória principal. Ações mais complexas têm uma grande possibilidade de deixar impressões mais duradouras, como informações armazenadas em um disco rígido. Segundo Altheide, Carvey e Davidson (2011), podemos fazer analogia com a investigação forense tradicional, quando tanto o arrombamento de uma porta como sua abertura com chave mestra deixam vestígios – mais fortes e mais fracos. Mesmo o ato de limpar os vestígios pode levar à criação de novos vestígios – como o cheiro de água sanitária em uma cena de crime que foi lavada. Comparado a muitos vestígios físicos de que trata a forense tradicional, o conteúdo digital é relativamente muito frágil. É facílimo corromper dados gravados em discos e memórias permanentes, bem como, mais ainda, eliminar vestígios presentes na memória principal de computadores e outros meios voláteis. Sem um cuidado adequado, tanto o conteúdo pode se perder como pode ser corrompido, causando imprecisão no resultado de uma análise. Em recentes estudos, já existe capacidade técnica de usar a unidade de processamento e memória das placas de vídeo mais modernas para uso em ataques, tornando o software malicioso muito difícil de ser localizado. Durante a investigação, também não podem ser negligenciados detalhes como a manutenção de sigilo e invasão de privacidade. Numa investigação conduzida de forma ilegal, os vestígios encontrados podem ser recusados como provas em um processo. Numa investigação forense, a forma com que o trabalho de coleta é feito é tão importante quanto o vestígio em si. Também podemos dizer que a qualidade do resultado da investigação é proporcional ao rigor e à precisão com que o trabalho investigativo é conduzido. Todo o procedimento deve ser documentado, com a descrição do ambiente onde se encontram os equipamentos, fotografias, esquema de ligação das máquinas e inclusão de cada dispositivo coletado na cadeia de custódia. Existe o mandamento maior na Computação Forense que é extrair os vestígios sem causar qualquer alteração no conteúdo original. Além disso, esse conteúdo deve ter seu estado preservado durante toda a investigação: desde o momento que o vestígio é encontrado até o momento em que a investigação se encerra e, talvez ainda, para além, quando contestações podem requerer novo exame de todo o material. O valor do https://unotec.com.br/ead/mod/resource/view.php?id=92 vestígio depende do quanto ele foi preservado. Em certas circunstâncias, a alteração de apenas alguns bits já destrói o vestígio e prejudica drasticamente uma investigação (WRIGHT, 2010). Como já mencionado, uma ferramenta importante usada pelo investigador é a de cadeia de custódia. Nela, são anotadas todas as operações realizadas em um dispositivo ou uma mídia que contém o vestígio, bem como quem o manuseou, quando isso foi feito e o que foi feito. Nem todos os trabalhos realizados em um dispositivo são feitos por apenas uma pessoa. Imagine a necessidade de enviar um disco rígido para ser analisado em um laboratório, seja por um problema de hardware seja por conter um sistema operacional não familiar à equipe. Esse envio deve ser documentado na cadeia de custódia, dando à equipe uma pronta informação de seu destino, datas, o que foi feito e por quem. No momento de apreensão de um dispositivo, uma etiqueta deve conter data e hora, o nome do coletor, de onde o item foi retirado e outros fatos relevantes ao caso, dependendo das políticas e dos procedimentos do time de investigadores (OPPENHEIMER, s.d.). Após isso, o dispositivo deve ser transportado e bem guardado. Um exemplo de trabalho que expressa esse cuidado, utilizado como referência ao redor do mundo, é o guia de boas práticas para a pesquisa, apreensão e exame do vestígio eletrônico, o ACPO Good Practice Guide (7SAFE; METROPOLITAN POLICE SERVICE UK, 2011). Iniciado em 1997, no Reino Unido, o trabalho contou com a participação de agências de investigação e unidades de ciência forense envolvendo vestígio digital, incluindo a Associação de Chefes de Polícia – Computer Crime Working Group. O guia ACPO estabelece quatro princípios essenciais para a abordagem no momento de apreensão e coleta de dados: ● Princípio 1 – Nenhuma ação de algum agente encarregado de trabalhar na investigação pode modificar os dados contidos em um computador ou dispositivo a ser investigado. ● Princípio 2 – No momento em que uma pessoa tem a necessidade de acessar o conteúdo original mantido no dispositivo, computador ou mídia, essa pessoa deve ser competente para tal e ser capaz de explicar a relevância e as implicações de suas ações. ● Princípio 3 – Deve ser criado um registro de todos os passos da investigação. Um examinador independente deve ser capaz de usar esses passos e chegar aos mesmos resultados. ● Princípio 4 – A pessoa a cargo da investigação tem a responsabilidade geral de assegurar que esses princípios sejam condizentes com os preceitos legais aplicáveis. https://unotec.com.br/ead/mod/resource/view.php?id=92 https://unotec.com.br/ead/mod/resource/view.php?id=92 https://unotec.com.br/ead/mod/resource/view.php?id=92 https://unotec.com.br/ead/mod/resource/view.php?id=92 Esses quatros princípios indicam que o processo vai além da coleta dos vestígios, em direçõesque implicam necessidade de rigor na coleta de dados e responsabilidades dos envolvidos. Busca e Apreensão O termo jurídico busca e apreensão (BRASIL, 1973) remete a uma ordem judicial para que coisas ou pessoas sejam localizadas, analisados ou retirados do local para análise posterior. Mesmo que o investigador forense trabalhe internamente em uma equipe de resposta a incidentes, é possível que a empresa seja, em alguma época, alvo de uma ordem de busca e apreensão em seus computadores. Casos como delitos causados por empregados, uma denúncia, mesmo que infundada, de uso de software não licenciado, ou outros motivos fora de controle da empresa, não podem ser totalmente descartados. É normal que pessoal técnico da empresa seja chamado a acompanhar o procedimento e entender o que está acontecendo e muitas vezes até mesmo auxiliando na busca de informações. Recorremos a uma simplificação, pois caracterizar o procedimento de análise posterior, no âmbito judicial, pode ser bastante extenso. No caso de denúncia, não há nenhum aviso prévio no sentido de a empresa apresentar seus comprovantes de compra de licenças. A busca e apreensão é feita e, posteriormente, a empresa tem de se defender da acusação de compra de software não licenciado. Os passos a seguir são exemplos que uma equipe de peritos pode seguir, tanto em uma investigação em campo quanto em uma investigação interna, dando ênfase em alguns pontos e suprimindo outros de acordo com o ambiente e caso analisado. Podemos usar o termo perito como sinônimo de especialista, e não necessariamente como aquele profissional nomeado por um juiz para trabalhar em um processo judicial. Planejamento Qualquer trabalho de busca e apreensão deve ser bem planejado. Durante essa fase, é importante juntar o máximo de informações sobre o local onde o equipamento está instalado, sobre seus usuários e sobre as máquinas em si. Informações como número de computadores, seus modelos, tipos de sistemas operacionais e conexões devem ser previamente conhecidas, para que o investigador ou a equipe de investigadores tenha as ferramentas adequadas em mãos, inclusive, se necessário, com peritos auxiliares contratados para casos em que os sistemas não sejam de domínio da equipe. Outro fator que pode pesar é a existência de um grande número de equipamentos. Pode ser que o tempo disponível para o trabalho não permita analisar todos os computadores in loco. Se esse for o caso, e o tipo de análise permitir, pode ser necessária a escolha de máquinas representativas ou mais importantes, como servidores, a retirada de equipamentos ou de dispositivos, como discos rígidos e unidades de backup para laboratório. Em um caso de perícia sobre uso indevido de licenças, uma empresa de software alegou que uma fábrica estaria usando seu produto em um número maior de máquinas do que o estabelecido no contrato. Essa empresa acionou a justiça. Para o processo, foram nomeados dois peritos que deveriam avaliar cinco fábricas em cinco cidades diferentes. Vale destacar que os honorários dos peritos deveriam ser custeados pelos denunciantes, incluindo despesas de transporte, acomodação, alimentação etc. Devido à natureza do negócio, essas máquinas não poderiam ser analisadas durante o período de trabalho, o que levou a operação para os fins de semana. Observe que dois peritos não dariam conta de estar em cinco lugares ao mesmo tempo, o que daria tempo para a empresa organizar algum tipo de maquiagem. Cada fábrica contava com mais de trinta computadores. Para analisar cada um, a estimativa era de no mínimo trinta minutos, em que uma avaliação do registro (eram máquinas Windows) e listagem de diretórios revelaria a presença da instalação das cópias do software. Porém, um estudo junto ao fabricante do software revelou que cada máquina contendo o aplicativo fazia chamadas a um servidor que mantinha um banco de dados centralizado para as cinco fábricas e que esse servidor continha um log de acesso com identificação de cada máquina. Isso pôde reduzir a estimativa inicial para algo extremamente mais simples, incluindo apenas uma visita. Esse tipo de detalhe técnico nem sempre consta dos laudos do processo. Com um procedimento preparatório, a tarefa pode ser melhor estimada. Dependendo do tipo de busca, a empresa investigada não pode liberar suas máquinas para análise sem que seu trabalho ou processo fabril seja interrompido. Esse tipo de situação varia de caso para caso, e o investigador forense deve estar preparado para agir de acordo com a situação, inclusive contratando auxiliares. No caso de o perito estar trabalhando em um caso judicial, a nomeação de auxiliares deve ser comunicada oficialmente. Em uma empresa, a manutenção de equipamentos de reserva como backups minimiza muito os prejuízos causados por uma interrupção, além de fornecer maior tempo para a investigação forense. Essa preocupação pode constar do Plano de Continuidade de Negócios da empresa. Trabalho em Campo https://unotec.com.br/ead/mod/page/view.php?id=67 Não é sempre que uma máquina invadida pode ser removida para um laboratório a fim de ser examinada. Até porque, em muitas investigações, deve-se interromper minimamente as atividades do ambiente sob análise, reduzindo os prejuízos causados. A equipe deve estar preparada para o trabalho em campo. Exemplos de ferramentas com as quais uma equipe deve contar: ● Ferramentas comuns – um kit contendo chaves Philips, de fenda e Torx; um alicate universal; um alicate de bico; um alicate de corte; e um pincel para limpar poeira são o mínimo necessário. É também aconselhável a utilização de proteção antiestática, que é uma tira que liga a caixa do equipamento ao braço do técnico, neutralizando qualquer diferença de potencial de eletricidade estática entre o aparelho e o corpo. A eletricidade estática é uma das maiores causas de destruição de circuitos eletrônicos. Também uma caixa de plástico para armazenar temporariamente parafusos retirados dos equipamentos facilita bastante o trabalho. Canetas marcadoras de várias cores podem ajudar no momento de marcar cabos para lembrar local e posição ao serem religados posteriormente. ● Ferramentas de identificação – sacos plásticos antiestáticos para armazenar discos rígidos, adesivos, etiquetas, canetas marcadoras. ● Documentação – formulários para anotação de todos os detalhes da operação, bem como para a manutenção da cadeia de custódia. Assistir a vídeo aula sobre cadeia de custódia. ● Câmera fotográfica com filmagem – pode auxiliar ao registrar programas rodando, procedimentos de desligamento de máquinas, para provar o correto shutdown, uma fotografia da máquina e de suas proximidades, configuração do equipamento, conexões elétricas etc. ● Recipientes – sacos plásticos antiestáticos para embalar cada dispositivo a ser removido do local, contendo etiquetas amarradas ou coladas com identificação do item. Existem empresas que produzem embalagens específicas para uso em Criminalística. ● Armazenamento de dados – discos graváveis (CDWR e DVD), HD externo, pen drives USB para cópias de dados entre outros. Esses dispositivos devem estar totalmente vazios. Essa lista é logicamente incompleta e variável com o tempo, pois a tecnologia evolui muito. Há pouco tempo, um disco de 1,44 MB estaria na relação, hoje é peça de museu, mas nada impede que, em uma busca, sejam encontrados tipos antigos de mídia que, dependendo da natureza da investigação, devem ser coletados para análise. O investigador tem de estar preparado para essa hipótese e deve se preparar para ter condições de realizar a leitura e produzir cópias de trabalho. É possível que um dispositivo de gravação de CDWR/DVD se torne obsoleto em pouco tempo. Já existem https://unotec.com.br/ead/mod/resource/view.php?id=92 https://unotec.com.br/ead/mod/resource/view.php?id=92 computadores que sequer possuem unidades de disco, carregando seus softwaresapenas pela rede. Fontes de Vestígios Em algumas circunstâncias, alguns aparelhos podem não parecer importantes para a investigação forense, uma vez que cada vez mais a quantidade de armazenamento aumenta e torna-se mais barato instalar grande quantidade de memória nos dispositivos. ● Desktops, notebooks e tablets – esses são o alvo principal em um local sendo avaliado. Porém, os equipamentos ao seu redor também podem ser repositórios de dados importantes. É possível que a um computador estejam ligadas unidades de armazenamento auxiliares, como discos USB, gravadores de CD-ROM/DVD, hubs de USB com outros dispositivos nem sempre facilmente visíveis. Dependendo do tipo de investigação, todos esses elementos podem requerer seu armazenamento, etiquetagem e transporte. ● Organizadores pessoais (PDA), celulares e smartphones – em um local de investigação, qualquer dispositivo dessa natureza pode ser fonte de vestígios. Um cuidado especial deve ser tomado para que suas baterias não se esgotem, o que pode fazer com que os dados se percam. Por este motivo, a apreensão de fontes é importante em casos de busca e apreensão. ● Unidades de armazenamentos de todos os tipos, como disquetes, CD- ROMs, DVDs, pen drives, cartões de memória flash etc. ● Routers, estação WI-FI, servidores de rede etc. – hoje em dia, é comum que dispositivos de redes com conexão wireless possuem unidades de armazenamento de dados, incluindo discos para backups ou compartilhamento de arquivos.tira o “ ou sem” Deixa so wireless ● Consoles de jogos – os consoles de jogos atuais são máquinas muito avançadas, capazes de trabalhar com muitos tipos de tarefas e possuem também uma grande capacidade de armazenamento. Notícias recentes afirmam que os serviços de inteligência dos Estados Unidos vêm tentando conseguir burlar as barreiras de proteção criptográficas de consoles com a intenção de investigar possíveis armazenamentos de informações terroristas nessas máquinas, pois elas são muito mais protegidas do que os computadores pessoais. ● E-mail – um dos meios mais utilizados para comunicação, é fonte de vestígios importantes. No momento de coletar um e-mail, é necessário incluir o cabeçalho, capturando, assim, a data de envio, a fonte e todos os passos que ele tomou até chegar ao receptor. Existe muita discussão sobre a invasão de privacidade causada pela leitura de um e-mail de um funcionário. ● Internet – a internet é mais um meio em que dados podem ser armazenados, transmitidos e compartilhados. Embora complexa e imensa, ela nada mais é do https://unotec.com.br/ead/mod/page/view.php?id=64 que uma grande rede de computadores. Em última instância, a informação está gravada fisicamente em um ou mais computadores, o que permite que ela possa ser coletada ao serem examinados os dispositivos utilizados para seu armazenamento. Parte dessa informação pode ser volátil, como as mensagens instantâneas. Em investigações especiais, um monitoramento pode ser utilizado para capturar mensagens. ● Redes sociais – contêm diversas informações sobre uma pessoa e seus relacionamentos. O phishing mostra que a manutenção de informações pessoais e de trabalho serve de munição para crimes. ● Páginas na internet – o ideal é utilizar uma ferramenta que “puxe” todo o conteúdo do site. A captura deve ser datada, uma vez que as mudanças são muito rápidas. Outra possibilidade é a captura de telas. ● Tocadores de música – esses dispositivos têm em seu interior grande capacidade de armazenamento, com potencial de serem utilizados para armazenar inclusive arquivos com formatos diferentes daqueles previstos para o aparelho. ● Qualquer dispositivo desconhecido. Essa lista é apenas uma amostra. Novos aparelhos e novas formas de comunicação são inventados e alguns saem de uso. O PDA, por exemplo, tem dado lugar aos celulares sofisticados e tablets, e uma nova fonte de armazenamento pode se tornar importante para a lista em questão de meses. Dos Peritos Conhecidos como Peritos em Computação Forense, o especialista em perícia digital computacional ainda são escassos no mercado brasileiro. Com a área de atuação em segurança da informação crescendo no país, a procura por essa especialização tem crescido gradativamente, assim como a procura por seus serviços. A Computação Forense é uma das áreas da Perícia Forense e está presente no Manual de Patologia Forense do Colégio de Patologistas Americanos, publicado em 1990. A definição para a profissão é a seguinte: aplicação de princípios das ciências físicas ao direito na busca da verdade em questões cíveis, criminais e de comportamento social para que não se cometam injustiças contra qualquer membro da sociedade. Para se comprovar a existência de erros é que existe a figura do perito, alguém com conhecimento técnico suficiente para auxiliar na investigação de casos em sua área de conhecimento. Dentro da Computação Forense existem tipos específicos de perícia e de peritos. Peritos Oficiais – são aqueles que atuam em questões criminais e são, em sua maioria, funcionários públicos concursados. Nessa categoria temos os Peritos Criminar Federais (responsáveis pela esfera federal) e os Criminais Estaduais (resolução de os demais crimes). Pegando como base o Edital do concurso para Perito Criminal Federal de 2013, um perito federal pode ganhar em média R$ 14.037, o mesmo salário de um delegado da Polícia Federal, porém esse valor muda de acordo com a especialidade, cargo e local. Em São Paulo, por exemplo, um concurso também realizado em 2013 era de R$ 7.516,00 e no Mato Grosso do Sul, com base na Lei 3.672/09 o salário de um perito federal é de R$ 3.100,00. Peritos Ad-hoc – também conhecidos como peritos assistentes, esses profissionais atuam tanto suprindo carências das perícias criminais como em demais casos onde não existem peritos oficiais (causas cíveis ou em casos com necessidade de análise laudo). O salário dessa categoria varia bastante e os fatores que mais influenciam são: demanda regional, reconhecimento da profissão e valorização do próprio profissional. No geral, um perito ad-hoc recebe por hora de trabalho. O valor é estipulado por cima e de acordo com o tipo de perícia realizada, necessidades de softwares, periculosidade, pressa do cliente, necessidade de peritos assistentes e quantidade de dados a serem coletados. Pelo Brasil, a média é de R$ 100,00 e R$150,00 (profissionais liberais) até R$ 250,00 (empresas especializadas). Segundo os especialistas é complicado estimar a média salarial, pois há vários campos de inserção do profissional de carreira forense com salários bem distintos a depender do cargo (perito federal, perito estadual, perito judicial, perito particular, entre outros). “Por exemplo, um perito federal, no início de carreira, tem vencimento mensal de aproximadamente R$ 20.000,00, já um perito particular pode ganhar em um único caso pericial os mesmos R$ 20.000,00″. A formação O conhecimento avançado em tecnologia da informação, preferencialmente em redes sociais, sistemas operacionais e aplicações, são alguns dos requisitos necessários para ser um ótimo profissional forense da computação. Não basta ter somente conhecimentos técnicos, é preciso entender também um pouco de questões jurídicas, sobre comportamento e os processos da investigação criminal. Segundo o Código de Processo Civil, Lei 7.270/84 publicada em 1984, é considerado um perito (seja ele oficial ou ad-hoc) o indivíduo que apresentar nível superior e comprovação de especialidade na matéria, sendo hoje muito utilizado cursos de pós-graduação e certificações profissionais específicas. http://www.planalto.gov.br/ccivil_03/leis/1980-1988/l7270.htm Como mostrado na imagem acima pela SBCF, existe o Perito Oficial, o Perito Nomeado e o Assistente Técnico. Vamos estudas as diferenças entre eles: a) PERITO OFICIAL: são aqueles que se tornaram peritos mediante a aprovação
Compartilhar