Apostila Módulo 4 Bootcamp Analista de Ataque Cibernético

Análise Forense
Bootcamp Analista de Ataque Cibernético
Fabrício Lana Pessoa
Análise Forense – Página 2 de 49
Análise Forense
Fabrício Lana Pessoa
© Copyright do Instituto de Gestão e Tecnologia da Informação.
Todos os direitos reservados.
Análise Forense – Página 3 de 49
Sumário
Capítulo 1. 4
1.1. Perícia e Ciência Forense 4
1.2. Crimes virtuais 6
1.3. Peritos: tipos e funções 10
1.4. Provas, vestígios, indícios e evidências 13
Capítulo 2. 18
2.1. First Responder 19
2.2. Coletando a evidência 20
2.3. Aquisição 21
2.4. Cadeia de custódia 24
Capítulo 3. 26
3.1. Live Analysis 26
3.2. Dump de memória 28
3.3. Aquisição de disco 29
Capítulo 4. 34
4.1. Dump de Memória 34
4.2. Análise forense de imagem de disco 35
4.3. Forense na nuvem 36
4.4. Análise de redes 37
Análise Forense – Página 4 de 49
4.5. Análise de malware 38
Referências......... 40
Análise Forense – Página 5 de 49
Capítulo 1. Criminalística, Perícia e Computação Forense
1.1. Perícia e Ciência Forense
O órgão central de criminalística, responsável pela perícia criminal federal
no Brasil, é o Instituto Nacional de Criminalística (INC), situado em Brasília.
Vinculado à Polícia Federal, ele é responsável por coordenar as atividades de
polícia científica da União, por meio de unidades em todas as capitais do Brasil. O
INC é o órgão de investigação da Polícia Federal.
Figura 1 – INC, referência em criminalística.
Fonte: https://www.apcf.org.br/pericia-criminal/pericia-criminal.
Em seus Estados, cada unidade da federação conta com sua equipe de
polícia técnica ou científica para apoiar e fornecer suporte às investigações das
forças policiais estaduais.
Um dos grandes contribuidores para a área de criminalística foi Edmond
Locard. Podemos dizer até que todo trabalho de perícia decorre da base
estabelecida pelo princípio de Locard. Segundo esse princípio, o indivíduo sempre
Análise Forense – Página 6 de 49
https://www.apcf.org.br/pericia-criminal/pericia-criminal
interage ou deixa marcas no ambiente com o qual se relaciona, conforme detalhado
a seguir.
Princípio de Locard
Em meados do ano de 1910, Edmond Locard, conhecido também como o
Sherlock Holmes da França, um dos pioneiros da Ciência Forense moderna,
estabeleceu o famoso princípio de Locard, segundo o qual “todo o contato deixa um
traço (vestígio)”. De acordo com ele, é impossível que tenha existido uma interação
entre dois “corpos”, sem que qualquer evidência tenha sido deixada ou modificada .1
Quaisquer que sejam os passos, quaisquer objetos tocados, o que
quer que seja deixado, mesmo que inconscientemente, servirá como
uma testemunha silenciosa. Não apenas as suas pegadas ou
digitais, mas o seu cabelo, as fibras das suas calças, os vidros que
ele porventura parta, a marca da ferramenta, a tinta, o sangue ou
sémen que se deixe. Tudo isto, e muito mais, carrega um testemunho
[...]. Esta prova não se esquece. É distinta da excitação do momento.
Não é ausente como as testemunhas humanas são. Constituem, per
se, numa evidência factual. A evidência física não pode estar errada,
não pode cometer perjúrio por si própria, não se pode tornar ausente.
Cabe aos humanos, procurá-la, estudá-la e compreendê-la, apenas
os humanos podem diminuir o seu valor. (LOCARD, 1910)
Desde então, com o estrondoso desenvolvimento científico/tecnológico do
século XX, várias iniciativas e publicações relevantes foram realizadas,
1 Kirk, Paul (1953). Crime Investigation: Physical Evidence and the Police Laboratory.
Análise Forense – Página 7 de 49
https://books.google.com.br/books/about/Crime_investigation.html?id=WYZtAAAAIAAJ&redir_esc=y
impulsionando o desenvolvimento das ciências e perícia forense, tal como
conhecemos hoje.2
1.2. Crimes virtuais
Em geral, por natureza, crimes virtuais são considerados crimes de meio.
Isso quer dizer que não se enquadram em uma nova modalidade ou tipo penal
limitado ao ambiente virtual. Via de regra, a materialização da conduta é virtual, mas
o crime não. Todavia, vemos que os crimes cibernéticos podem ainda ser
classificados como puros, comuns ou mistos :34
1. Crimes cibernéticos puros ou próprios: tem como alvo uma rede, sistema
ou computador, tendo como objetivo danificar equipamentos ou obter acesso
a dados sigilosos. “A informática (segurança dos sistemas, titularidade das
informações e integridade dos dados, da máquina e periféricos) é o objeto
jurídico tutelado” . Exemplo: Ransonware, construído para criptografar5
arquivos do servidor de banco de dados de uma determinada empresa.
5 JESUS, Damásio E. de. Direito Penal. Parte Geral. 21.ed., São Paulo: Saraiva, 1998.
4 https://gschmidtadv.jusbrasil.com.br/artigos/149726370/crimes-ciberneticos
3³
https://ambitojuridico.com.br/edicoes/revista-99/crimes-virtuais-elementos-para-uma-reflexao-sobre-o-
problema-na-tipificacao/
2 Paul Leland Kirk, bioquímica na área forense (1934). “Physical evidence and the police laboratory”
Técnicas para análise na cena do crime, incluindo impressões digitais, fibras, cabelos, sangue, armas
de fogo etc.
Roland Menzel (1970). Identificação de digitais. “Fingerprint Detection With Laser”.
Alec Jeffreys (1985). Primeiro teste de DNA publicado na revista “Nature”, revolucionando os
métodos de identificação forense.
Análise Forense – Página 8 de 49
https://gschmidtadv.jusbrasil.com.br/artigos/149726370/crimes-ciberneticos
https://ambitojuridico.com.br/edicoes/revista-99/crimes-virtuais-elementos-para-uma-reflexao-sobre-o-problema-na-tipificacao/
https://ambitojuridico.com.br/edicoes/revista-99/crimes-virtuais-elementos-para-uma-reflexao-sobre-o-problema-na-tipificacao/
2. Crimes cibernéticos comuns, impuros ou impróprios: utilizam a internet
apenas como meio. Correspondem, portanto, a crimes já tipificados,
realizados agora com auxílio do computador. Exemplo: compartilhamento de
fotos de pornografia infantil. Ou ainda, calúnia, injúria, difamação, ameaça,
furto, extorsão, estelionato etc.
3. Crimes cibernéticos mistos: o uso da internet ou de dispositivos digitais é
uma condição indispensável para a efetivação do crime, embora o objeto
visado seja outro. Exemplo: fraude de acesso à conta bancária por meio da
internet.
Muitas vezes, os delitos cometidos na internet não definem, portanto, a
prática de novos crimes, mas somente um local ou meio para realização de atos já
existentes e cometidos no mundo real, conforme ilustrado e relacionado a seguir :6
▪ Calúnia: insultar a honra de alguém (artigo 138 CP).
▪ Difamação: espalhar boatos eletrônicos sobre pessoas (difamação artigo 139
CP).
▪ Injúria: insultar pessoas considerando suas características ou utilizar
apelidos grosseiros (artigo 140 CP).
▪ Ameaça (artigo 147 CP).
▪ Furto de dados: utilizar dados da conta bancária de outrem para desvio ou
saque de dinheiro (furto artigo 155 CP).
6 https://stj.jusbrasil.com.br/noticias/234770/justica-usa-codigo-penal-para-combater-crime-virtual
Análise Forense – Página 9 de 49
https://stj.jusbrasil.com.br/noticias/234770/justica-usa-codigo-penal-para-combater-crime-virtual
▪ Preconceito ou discriminação: comentar em chats, e-mails e outros, de
forma negativa, sobre raças, religiões e etnias (artigo 20 da Lei n. 7.716 /89).
▪ Pedofilia: enviar ou trocar fotos de crianças nuas (artigo 247 da Lei n. 8.069
/90, o Estatuto da Criança e do Adolescente - ECA).
▪ Furto estelionato, violação do direito autoral, tráfico de drogas ou armas,
incitação ao crime, formação de quadrilha.
A figura abaixo retrata uma prática criminosa bastante comum no ano de
2019, utilizada para obtenção de depósitos de bitcoins, a partir de extorsão
realizada por e-mail.
Figura 2 – Exemplo de “Sextorsion” - Crime de extorsão.
Fonte: https://www.pcrisk.pt/guias-de-remocao/9666-sextortion-email-dash.
Apesar de todos os esforços para punir a prática desses crimes, hackers
vendem serviços abertamente na internet, ironizando as leis e as punições
existentes para os crimes virtuais descritos anteriormente:
Análise