Prévia do material em texto
Inserir Título Aqui Inserir Título Aqui Perícia Forense Computacional Coleta de Evidências em Investigação de Crimes Digitais Responsável pelo Conteúdo: Prof. Me. Marcelo Carvalho Revisão Textual: Prof.ª Me. Sandra Regina Fonseca Moreira Nesta unidade, trabalharemos os seguintes tópicos: • Coleta de Evidência Forense e Análises dos Achados; • Coleta de Evidências em Memória; • Coleta de Evidências em Disco; • Conclusão. Fonte: Getty Im ages Objetivo • Apresentar e discutir técnicas de coleta de evidência digital (memória e disco), assim como o ordenamento dessas coletas com base na volatilidade dos elementos computa- cionais envolvidos no incidente em investigação. Caro Aluno(a)! Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o úl- timo momento o acesso ao estudo, o que implicará o não aprofundamento no material trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas. Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns dias e determinar como o seu “momento do estudo”. No material de cada Unidade, há videoaulas e leituras indicadas, assim como sugestões de materiais complementares, elementos didáticos que ampliarão sua interpretação e auxiliarão o pleno entendimento dos temas abordados. Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de troca de ideias e aprendizagem. Bons Estudos! Coleta de Evidências em Investigação de Crimes Digitais UNIDADE Coleta de Evidências em Investigação de Crimes Digitais Contextualização O trabalho de um perito forense computacional envolve atividades de coleta e aná- lise de dados. Partindo de um caso estabelecido, em que o profissional é chamado para comprovar ou refutar uma tese, há a necessidade de especular como ocorreu a participação de um ativo de rede (computador, access-point, roteador etc.) no contexto da investigação. Exercitando os conceitos que vimos nas unidades anteriores, discutire- mos o processo de coleta de evidências comparando o método que será exemplificado com outros possíveis. Também, quando fizermos o processo de análise das evidências, tanto aquelas recolhidas provenientes de disco quanto de memória. Neste sentido, você experimentará o uso de ferramentas que possibilitam a visualização de informações existentes nas coletas, mesmo aquelas não visíveis superficialmente, quando se usam leitores de arquivos ou organizadores de arquivos convencionais. Nessas ferramentas, observaremos dados e meta-dados que possibilitarão ao perito a reconstrução do evento e, caso possível, a evidência comprovando o ilícito em investigação. Neste cenário, o papel do perito é de um especialista que colabora com o processo de resposta à investi- gação, fornecendo provas materiais a serem anexadas ao caso. 6 7 Coleta de Evidência Forense e Análises dos Achados O processo de investigação, dado que o perito forense é convocado a participar para a geração de prova material, em um caso envolvendo ilícito, por exemplo, se inicia definindo atores participantes do incidente. Esta é uma etapa importante, que ocorre em momentos iniciais de sua atuação, quando o perito “entende” o processo, os locais (ambientes físicos), a infraestrutura tecnológica (computadores, redes locais, servidores, nuvem etc.). A identificação de como ocorreu a participação dos atores, neste contexto, tem papel importante no desenrolar da investigação, na medida em que ditará a ênfase ou o foco do perito no caso. Um exemplo típico, para auxiliar no entendimento dessa definição de atores, pode ser vista em um caso exemplo que, aliás, usaremos para ilus- trar os passos práticos de uso de ferramentas abordado nesta unidade. Caso exemplo: Imagine que um perito foi chamado para investigar um caso em que se alega espio- nagem industrial. Note que, inicialmente, quando vista desconectada do objeto da ação e da forma com a qual o ato ocorreu, a obtenção do dado secreto não é necessariamente criminosa. Neste cenário, é importante não só a definição do(s) participantes(s) para fins de responsabilização, mas para ilustrar tecnicamente o ocorrido, definindo-se o ob- jeto sigiloso supostamente apropriado indevidamente, além dos métodos da subtração, envio e/ou divulgação do mesmo. De maneira mais importante, a forma como foi feita a obtenção das informações será a que melhor definirá o caráter criminoso na ação. A imputação de crime fica normalmente atrelada à condição de prova material (a cargo do perito) de evidência de concorrência desleal e/ou uso desautorizado da informação. Do ponto de vista da área jurídica envolvida nesta investigação, a depender do teor do caso, não só a esfera criminal poderá ser invocada, como a cível, de acordo com a evi- dência de atos que forem sendo encontrados pelo perito e associados na investigação. Por isso, a importância do perito imbuir-se dessas informações de contextualização e definição de atores participantes, já no momento inicial da investigação. No Brasil, a Lei 9.279/1996 de propriedade industrial que ilustra o caso, tem o artigo Art. 201 que fala da diligência de busca e apreensão, na qual o oficial do juízo será acom- panhado por perito que verificará, preliminarmente, a existência do ilícito. Em casos de concorrência desleal, vê-se um espelhamento dos artigos relevantes da lei no documen- to da Organização Mundial do Comércio (OMC), intitulado “Acordo Sobre Aspectos dos Direitos de Propriedade Intelectual Relacionados” (TRIPS). Ilustrações comuns para uma investigação na qual esta lei é mencionada, nos altos do inquérito, podem envolver cenas que vemos em filmes de espiões, como o uso de câmeras escondidas, escutas e aparatos gravadores e copiadores em miniatura, mas, mais recentemente, com objetos comumente vistos na bolsa ou maleta de qualquer funcionário. Exemplos típicos incluem pendrives, cartões SSD, aparelhos celulares (como vemos em artigos discutindo aspec- tos de segurança afetados pelo risco oferecido pelo “Bring Your Own Device” – BYOD, onde aparelhos celulares que podem se conectar a redes internas, ou ser usados como 7 UNIDADE Coleta de Evidências em Investigação de Crimes Digitais dispositivos de armazenamento quando conectados a interfaces USB de servidores ou computadores). Também, equipamentos adulterados, como dispositivo mouse, que ao se conectarem com a interface USB, geram uma interrupção como se fosse um periférico comum, mas, na verdade, atuam como um aplicativo de backup, copiando o conteúdo de um diretório específico ou mesmo um drive inteiro da máquina vítima. De uma maneira geral, a tarefa de participação dos atores pode ser executada dife- renciando-os da seguinte forma: • Vítima(s): Indícios computacionais apontam que dados foram subtraídos, detur- pados ou inseridos por terceiro (atacante). O ativo computacional sofreu um ataque e foi alvo cibernético de ação deliberada de atacante(s). • Gateway(s): Indícios computacionais apontam que o ativo foi comprometido, mas não se caracteriza como alvo. O ativo computacional serviu de ponte para que a vítima fosse atingida pelo(s) atacante(s). • Atacante(s): Indícios computacionais apontam que o ativo encaminhou ou contro- lou remotamente artefatos digitais capazes de realizar ações de subtração, deturpa- ção ou inserção de dados em ativo computacional de terceiro (vítima). Note que, inicialmente, ao obter a evidência computacional original ou duplicada para análise, normalmente não se tem ao certo qual papel será atribuído pelo perito àquele ator. De acordo com o teor da documentação fornecida ao perito, como parte dos altos do inquérito, a tese inicial pode ser de que a participação da evidência computa-cional seja classificada como atacante, mas nada impede que, ao longo da investigação, esta possa ser classificada como gateway, ou mesmo vítima. De volta ao nosso exemplo, vamos continuar a contextualização, de forma que pos- samos imaginar as outras atividades iniciais. Neste momento inicial, é importante tam- bém o estabelecimento do perímetro e da infraestrutura que será escopo da análise. Neste nosso exemplo, imagine que o caso ocorreu em uma sala do Data Center, pois há indícios de atividade suspeita capturada por câmeras de vigilância (CFTV) no local. As imagens apontam para a pessoa sob investigação acessando um dos terminais de acesso KVM (keyboard, video and mouse) no rack de servidores (em data centers, é co- mum verificarmos um único terminal de acesso prover interface com vários elementos de rede, incluindo servidores, roteadores, switches etc., naquele rack, ou até mesmo em outros racks na sala) em que se pode observar, apesar do ângulo indireto de observa- ção, dado o posicionamento da câmera, que o suspeito abre inicialmente uma tela clara, evidenciada pelo brilho e reflexo em seus óculos e, em seguida, uma tela preta, durante os 3 minutos em que figura à frente do terminal. Também, neste tempo, é possível visu- alizar que o suspeito leva a mão ao bolso e retira um objeto preto, que depois também fica brilhante por alguns segundos. Perceba que esta estória poderia levar ao perito pressupor várias teses para as linhas de investigação. Por exemplo, a julgar pela sequência de ações capturadas em vídeo, o perito poderia solicitar acesso aos logs de uso do KVM (caso possível), para identificar os últimos acessos e/ou comandos realizados. Considerando que o objeto preto também 8 9 foi apreendido (possivelmente um celular do suspeito), verificar se ele participou da ação com registros de uso de rede Wi-Fi e/ou 4G, solicitando relatório de uso à operadora de telecomunicações em uso pelo telefone. A julgar pelas telas claras exibidas inicialmente, o perito pode imaginar o uso de um gerenciador de arquivos ou mesmo uma tela de navegador que possibilitaria o envio de informações na forma de e-mail ou outro comu- nicador Web. Logs destes serviços podem ser solicitados para comprovar ou afastar essa hipótese. Também, a tela mais escura possivelmente é resultado da execução de coman- dos (command line interface – CLI) e que, portanto, a compactação ou transformação (codificação ou criptografia) da informação subtraída pode ter sido feita para “mascarar” o delito. A definição do perímetro e infraestrutura vão ajudar o perito na definição de quais evidências, inicialmente, serão solicitadas para a investigação do caso. Há uma série de complicadores, como você pode imaginar, conforme vimos nas unidades anteriores. Imagine, por exemplo, que fique comprovado o uso de proxy anônimo, sinais de Wi-Fi privados dificultando o rastreio da comunicação, ou se o Data Center em questão usa conceitos contemporâneos de nuvem, em que não há local específico definido para o armazenamento, que ocorre sob demanda, a depender do servidor que esteja menos carregado. Obviamente, o perito não poderá solicitar acesso ao Data Center, então, como especificar o escopo da investigação? Você pode imaginar outras linhas de investigação e exercitar um cenário hipotético de ação do perito com esse exemplo. O que deve ter ficado claro para você até o mo- mento é certamente a complexidade envolvida na ação do perito. Note que a investi- gação dos artefatos computacionais ainda nem começou, diretamente, mas uma série de habilidades já foram requeridas deste profissional para a montagem das hipóteses e linhas de investigação a seguir. O caso de propriedade industrial, ilustrado em nosso exemplo, não foi escolhido ao acaso. Este tipo de incidente representa uma fatia considerável de investigações envolvendo um perito forense computacional e tem como âmbito de atuação não só ambientes fabris, mas também aqueles “oficiais”, nas distintas esferas de governos. Saiba mais sobre essa lei e os artigos mais relevantes para a tarefa e atribuição do perito em: http://bit.ly/2whitP9 Coleta de Evidências em Memória Para as ilustrações deste e do próximo capítulo, utilizaremos uma máquina vítima com sistema operacional Windows 7 (Computador investigado) e um Kali Linux repre- sentando a máquina do investigador (Computador B). Ambos os computadores foram criados de forma virtual, usando VirtualBox da Oracle. A distribuição Kali, utilizada para os testes e demonstrações citados neste material e vídeos, é distribuída pela Offensive Security, que documenta e distribui o software. A ferramenta de extração (dump) da memória que estudaremos foi a FTK Imager. 9 UNIDADE Coleta de Evidências em Investigação de Crimes Digitais Caso você deseje reproduzir a investigação usando o mesmo cenário, obtenha a máquina virtual Kali para seu laboratório em: http://bit.ly/2whoICz. O programa para realização do dump é distribuído pela Access Data, podendo ser obtido em: http://bit.ly/2wjYsro Obedecendo à ordem de volatilidade (OOV) que vimos nas unidades anteriores, ire- mos primeiro tratar de obter os dados de memória e, em seguida (próximo tópico), dos dados em disco. Observando que a primeira atividade foi a de definição de atores, local (perímetro) e infraestrutura envolvidos, citada no capítulo anterior, neste capítulo, desen- volveremos, a título de exemplo, as atividades 2, 3 e 4 que são: 2) Extrair a memória; 3) Realizar uma cópia da evidência extraída; 4) Analisar a memória contida na cópia. Na atividade dois, iremos introduzir um equipamento de análise (programa FTK Imager, no nosso caso) causando o mínimo de perturbação e interferência possível no objeto sob análise. Em seguida, iremos simular o preenchimento de dados de coleta, indi- cando a identificação do local, perito, ferramenta utilizada, informações de procedimento de guarda da mídia gerada e data. Na atividade três, realizaremos uma cópia da memória e geraremos uma comprovação de integridade desse arquivo gerado. Na atividade quatro, mais técnica, realizaremos a exploração do conteúdo, usando ferramenta específica que analisará padrões e parâmetros específicos, de acordo com o interesse do perito. Você deve ter reparado que estas duas atividades estão alinhadas com os temas de classificação de evidências digitais, cadeia de custódia e requisitos para apresentação em juízo, que vimos na unidade anterior. Caso tenha ficado com dúvidas, ou não tenha compreendido a razão dessa sequência, volte e releia o material. Continuando a investigação, considerando o cenário exemplificado anteriormente, imagine que foram escolhidos ativos computacionais para exame, e que o perito irá extrair as informações contidas em disco (HD ou SSD). Nesta tarefa, para evidenciar o ato ilícito e confirmar a hipótese e linha de investigação adotada, o perito fará a procura por uma palavra-chave (“Top secret”). Essa palavra, caso encontrada em arquivo de um determinado tipo (.pdf) na evidência computacional que será extraída do computador sob análise, será suficiente ligação material, já que o trecho é pertinente ao segredo industrial que se busca provar autoria criminal. Para fins de exemplificação, também trataremos de ilustrar a procura por programas específicos no dump de memória em análise. Esta tarefa serve para que você visualize que o perito procuraria, por exemplo, por resquícios de uso de programas de codificação, compactação ou criptografia de ar- quivos que facilitariam seu envio despercebido, como contextualizamos na estória. Dump de Memória Para a realização do dump de memória (extração do “estado da memória”) que ire- mos analisar, você deve criar um arquivo do tipo PDF (imaginando que este seria a extensão do arquivo que foi subtraído, segundo a queixa contida na investigação). O conteúdo deste arquivo deve ter palavras conhecidas, para que você faça a busca em um segundo momento. Como nesta fase estamos analisando a memória,é importante que você abra o arquivo, simulando sua visualização pelo investigado e posterior envio. 10 11 Lembre-se de que, quando estamos falando de memória RAM, é importante recordar que há duas partes principais, o heap e o stack. Nestes trechos, encontraremos, respec- tivamente, resquícios do arquivo que foi posto em memória pelo leitor (PDF reader, por exemplo) e resquícios dos programas usados antes do envio (codificação, compactação ou criptografia). Note que usei a palavra resquícios repetidamente. Isso foi para enfatizar que o processo de extração dos dados em memória, aqui exemplificado, será realizado por meio de um programa. Considerando que a máquina vítima dificilmente estará lo- gada, e mesmo que estivesse, precisaria reconhecer o pendrive que vamos inserir con- tendo o FTK Imager e executá-lo, todos esses processos mudam o estado da memória. No mundo real da investigação forense, equipamentos especiais seriam inseridos como periféricos ou acoplados à motherboard (placa mãe) do computador, para realizar a extração com interferência mínima. Ilustração do Procedimento Em sua máquina virtual, representando a vítima sob investigação, insira um pendrive contendo o programa FTK Imager. Em seguida, execute o programa. Note que, con- forme visualização da imagem abaixo (Figura 1), o perito irá nomear o arquivo e terá a opção de extrair de forma conjunta o conteúdo de paginação (include pagefile). Como não se sabe qual a configuração e desempenho do computador em análise ainda, é prudente imaginar que parte do conteúdo de memória foi depositada em disco pelo SO, para administrar melhor as demandas de programas com recurso limitado de RAM. Esta informação será complementada em um segundo momento, quando a cópia do disco for realizada (próximo tópico). Figura 1 – Representação do uso do programa FTK Imager, para extração de conteúdo em memória RAM, na máquina investigada Na sequência da atividade dois, um perito realizaria a identificação da mídia que re- ceberia a evidência (Destination path). Normalmente, vê-se o uso de HD/SSD externo para esta tarefa, mas aqui exemplificaremos com o caminho do próprio pendrive que foi inserido com o programa FTK Imager. Para fins de cadeia de custódia, não só o pendrive deverá ser identificado, mas o perito, local de extração, identificação de meto- dologia e equipamentos usados e data-hora. 11 UNIDADE Coleta de Evidências em Investigação de Crimes Digitais Em seguida, como parte da atividade três, o perito realiza o procedimento que irá gerar prova de garantia de integridade do arquivo contendo o dump de memória e uma cópia da evidência digital duplicada como garantia (salvo em outra mídia), vistos nas imagens abaixo (Figura 2 e Figura 3). Note que aqui, estamos exemplificando um caso em que não é possível a obtenção dos itens físicos e, portanto, o perito não terá acesso à evidência digital original. Figura 2 – Representação do uso do programa FTK Imager, para extração de conteúdo em memória RAM, na máquina investigada Figura 3 – Representação do uso do programa FTK Imager, para cópia de conteúdo em memória RAM, na máquina investigada Neste exemplo, usa-se um utilitário do próprio SO da máquina vítima para o cálculo de HASH e geração de arquivo de comprovação de integridade, o certutil (certutil -hashfile [file] MD5). Variações do comando podem usar um HASH mais robusto (SHA 1 ou SHA 2) como pode ser visto na imagem abaixo (Figura 5). 12 13 Figura 4 – Representação do uso do programa FTK Imager, para cópia de conteúdo em memória RAM, na máquina investigada Como o perito normalmente possui diversas mídias para guarda de evidência do caso, uma boa prática é numerar e identificar a unidade o mais detalhadamente possível. No exemplo acima, no campo Unique Description, usam-se qualidades de cor e identifi- cação numérica contidas na mídia onde está sendo feita a guarda da evidência extraída. Figura 5 – Representação da cópia da evidência digital duplicada e verifi cação de integridade Na figura acima, é possível verificar que, ao final do processo de cópia, o FTK Imager exibe um controle de HASH que compara o arquivo que estava sendo copiado e o arquivo de cópia resultante. Uma boa prática para comprovar que a totalidade da memória foi extraída é consultar a capacidade deste recurso por meio da visualização no SO investigado (Figura 6). 13 UNIDADE Coleta de Evidências em Investigação de Crimes Digitais Figura 6 – Representação da visualização da capacidade de memória no computador sob investigação Este processo de verificação de integridade, comparando o HASH informado no momento inicial pelo perito com os obtidos a cada vez que aquela evidência for sendo processada, em novas análises no futuro, é repetido para garantia de que o objeto é o mesmo. A cada nova análise, o perito repete o processo, calculando novo HASH do es- tado atual do objeto (dump de memória, neste caso) comparando com aquele reportado inicialmente. Como requisitos de autenticidade e confiabilidade, todas as provas devem ser demonstradas comprovadamente íntegras e imutáveis desde o momento de sua co- leta, para que sejam aceitas em juízo. Na atividade 4, o perito fará uso de programas para efetuar a análise da memória extraída. Utilizando-se da cópia da memória extraída para análise na atividade 3, nes- te exemplo, demonstraremos o uso da ferramenta volatility, presente na máquina Kali Linux. Como parte da demonstração, iniciaremos com a exploração da ferramenta e de informações iniciais que serão apresentadas assim que executarmos o carrega- mento do arquivo que contém o dump de memória no programa. Na imagem a seguir (Figura 7), cabe destacar, além da versão do programa volatility em uso e informações básicas extraídas do arquivo (caminho para o arquivo, data e hora etc.), a informação de Sugested Profile. Essa informação é crucial no que diz respeito à interpretação dos dados de memória pelo volatility. Isso implica desde a capacidade de reconhecer assi- naturas (padrões conhecidos de malwares para diferenciá-los de processos legítimos), até a possibilidade de execução de determinados parâmetros específicos em comandos de investigação. Esse processo é realizado, automaticamente, quando carregamos um arquivo de memória para análise, mas podemos executá-lo, separadamente, por meio do comando “kdbgscan”. Note que, neste aspecto, diversos profiles seriam compatí- veis com a memória em análise. Uma boa prática, no entanto, é sempre usarmos a primeira sugestão oferecida pelo programa. Neste caso, o parâmetro Win8SP0x64 será usado, mesmo sabendo que, para esta atividade exemplo, usamos Windows 7. 14 15 Figura 7 – Representação da resposta inicial da ferramenta volatility, para análise de memória No passo seguinte da análise (note o parâmetro -profile passado, conforme dito acima ), uma verificação comum seria a listagem de processos ainda ativos no compu- tador investigado quando da extração do dump. Essa operação ajuda no entendimento do estado do computador à época, e permite visualizar usos particulares de programas. Para nosso caso exemplo, a execução do passo, por meio do comando “pslist”, nos possibilitará a visualização de uso de um leitor de PDF, como parte da evidência que nos interessa sustentar como prova material no caso. Note que a execução do coman- do ilustrado abaixo (Figura 8) foi acrescida de comando para exportar os resultados no arquivo “processfrommemory.txt”, a fim de facilitar o trabalho de filtragem, poste- riormente executado pelo perito. Os comandos “pslist”, “psscan” e “pstree” (Kleiman, 2011) são úteis também para identificar o process ID (PID) existente no computador no momento passado, como também a posição de memória a qual ocupou. A ligação entre PIDs é estabelecida por meio da verificação do doubly-linked e ponteiros de cada instrução na memória. Figura 8 – Representação da execução do comando pslist na ferramenta volatility A resposta do comando, possibilitandoa visualização do programa de interesse (nesse caso, AcroRd32.exe), pode ser vista na imagem abaixo (Figura 9). As informações de identificação de processo mostram que ela recebeu o número 2868 e foi inicializada pelo processo 1904. 15 UNIDADE Coleta de Evidências em Investigação de Crimes Digitais Figura 9 – Representação da resposta do comando pslist na ferramenta volatility Um passo comumente executado na sequência da descoberta de um executável de in- teresse identificado no comando “pslist” é a execução do comando “psxview” ( Figura 10), para possibilitar a visualização do horário em que o programa foi encerrado (Kleiman, 2011). Isso porque sabendo que está incorrendo em ilícito, dificilmente o suspeito dei- xará “abertos” os programas que utilizou. No entanto, é trabalho do perito estabelecer uma ordem de eventos, contemplando esses horários de ocorrências registradas no uso da memória, que seja compatível com as hipóteses levantadas na linha de investigação. Figura 10 – Representação da resposta do comando psxview na ferramenta volatility A continuidade da investigação, neste momento, focada na obtenção de mais infor- mações relacionadas ao PDF que buscamos relacionar à ação do suspeito, pode seguir analisando textos específicos ou por meio da procura de arquivos deste tipo. Para a primeira abordagem, um recurso importante disponível no framework volatility, é a possibilidade de realizar o parsing da memória para o formato texto, utilizando o co- mando “strings”. Na sequência de comandos exemplificada abaixo, cat – string – grep (Figura 11) auxiliam o perito a localizar um termo específico no dump em análise. Deve ser informado o termo de procura (representado pelas aspas na imagem) logo após o grep. Note que com esse comando, seria possível procurar nomes de programas ou de arquivos e até mesmo comando de copiar e colar (CTRL+V) e seu conteúdo caso ainda estivesse em memória à época, mas não é possível pesquisar o conteúdo do PDF que nos interessa. 16 17 Figura 11 – Representação da execução dos comandos cat – string – grep para pesquisa de termos de interesse na memória em análise Considerando essa limitação, vamos então lançar mão de outra ferramenta, também disponível no Kali Linux, chamada photorec. Originalmente desenvolvida para recuperar arquivos de imagens acidentalmente removidas do disco, mas que ainda estivessem dispo- níveis em memória em razão de terem sido acessadas e exibidas ao usuário recentemen- te, podemos utilizar esse mesmo princípio para o nosso arquivo PDF, na verdade, para qualquer tipo de arquivo que tivesse sido “carregado“ em memória antes de nosso dump. A execução do comando é bastante simples, como pode ser vista na ilustração abaixo (Figura 12). Inicializamos o programa inserindo o nome do arquivo de memória que desejamos analisar e, em seguida, informamos o tipo de sistema de arquivos em vigor na máquina investigada. Figura 12 – Representação da execução da ferramenta photorec Fica evidente, neste caso, que o perito obteve sucesso em ligar o objeto em análise, com a hipótese de investigação, por meio da evidência de que a palavra-chave estava contida no arquivo acessado pelo suspeito no computador investigado, na hora do evento descrito pelo caso. Para facilitar a compreensão, executamos a atividade exemplo de for- ma que apenas um arquivo “.pdf” estivesse disponível em memória, mas frequentemente na atividade do perito, esta fase demanda a verificação de dezenas de arquivos. 17 UNIDADE Coleta de Evidências em Investigação de Crimes Digitais A ferramenta volatility, disponibilizada na distribuição Kali Linux utilizada para estas de- monstrações, possui uma série de outros recursos e análises de memória não exploradas na breve introdução dada neste capítulo. Saiba mais sobre seu uso em: http://bit.ly/2wjOaHE Coleta de Evidências em Disco O processo de coleta de evidências em disco, quando comparado com o processo envolvendo a memória, é bem mais simples. Tanto em razão de sua menor sensibilidade em relação às interferências e contaminações da evidência por parte do perito, como pela sua menor prioridade em relação ao OOV. Ainda que existam softwares e equipamentos específicos que garantirão um cenário ideal com baixíssima interferência e contaminação, verdade, esta tarefa não difere muito dos processos de backup que realizamos como administradores de sistemas ou redes. Como vimos nas primeiras unidades desta disciplina, comandos simples como fdisk-l e dd if= <entrada> of= <saída> (normalmente executados com padrão de intervalo de leitura de 512 bytes) (Tanenbaum, 2014) podem ser usados, inclusive para enviar a cópia diretamente para outra máquina (do perito, por exemplo) por meio da rede. Contudo, o uso de formatos de saída conhecidos ajudam o trabalho do perito tanto para possibilitar o uso de múltiplas ferramentas em análises da cópia do disco posteriormente quanto para o compartilhamento com outros profissionais em casos que haja necessidade de análise pericial multidisciplinar (TOLEDO; RODRIGUES, 2017) ou mesmo multicêntri- ca (vários países envolvidos, por exemplo). Neste sentido, é importante que esta etapa, quando possível, seja executada resultando em um dos três formatos mais utilizados pela área, o Advance Forensics Format (AFF), Expert Witness Compression Format (EWF) ou dc3dd (BROOKS, 2014). Ilustrando o Processo Neste exemplo, usaremos uma ferramenta “opensource” que pode ser utilizada tam- bém por meio de pendrive e que possibilita o boot por meio dela própria, caso o SO não esteja operacional. Lembrando-se do nosso cenário inicial e processo de dump de memória já realizado, esta atividade ajudará a complementar a investigação não só for- necendo os dados de paginação, caso o sistema estivesse utilizando-se de memória vir- tual, mas na obtenção do próprio arquivo confidencial, escopo central da investigação. Capaz de clonar discos com sistemas de arquivos FAT e NTFS, o OSFClone (que encapsula o comando “dd” citado) é um candidato compatível com o cenário do Windows 7, o qual descrevemos para ilustrar o caso. Uma vantagem importante deste programa e que deve ser considerada pelo perito forense computacional ao escolher o seu kit de programas, é a capacidade de geração de hashes (HASH) para comprovação de integridade individualmente para os arquivos, à medida que os copia. 18 19 Figura 13 – Representação da execução da ferramenta OSFClone Conheça os detalhes de instalação e uso dessa ferramenta usada para a cópia dos dados de disco que usamos, e exercite reconstruindo o cenário exemplo proposto para esta unidade. Atenção para o fato de que em alguns computadores o uso dessa ferramenta como boot será restrito. Nas configurações de boot do computador, verifique se o Unified Extensible Firmware Interface (UEFI) encontra-se habilitado e, caso afirmativo, desligue-o antes de realizar o boot com o OSFClone. Disponível em: http://bit.ly/2whlPBJ Conclusão Nesta unidade, falamos sobre exemplos de atividades do perito forense, no contexto de investigação de campo. Nesta abordagem, ilustramos processos de extração e cópia de evidências digitais para análise, tanto contidas em memória quanto em disco, no computador investigado. Para isso, usamos um cenário fictício de incidente e contextualizamos com uma estória que espero ter ajudado a compreender essas tarefas de forma mais facilitada. Observamos que vários dos passos realizados remeteram àquilo que estudamos con- ceitualmente nas unidades anteriores, principalmente as características de tipos de evi- dências, cadeia de custódia e condições para que estas sejam aceitas em tribunal como prova material. Concluímos com essa unidade uma visão do papel do perito forense computacional, no planejamento e execução de extração de evidências computacionais, alinhadas às hipóteses e linhas de investigação adotadas. Esperamos que tenha gostado e adquirido esses novos conhecimentos. Bons estudos! Abraços.19 UNIDADE Coleta de Evidências em Investigação de Crimes Digitais Material Complementar Indicações para saber mais sobre os assuntos abordados nesta Unidade: Vídeos Comando dd – Clonar HDs, partições e criar imagens de disco e CDs – Linux Entenda o uso do comando dd ilustrado aqui (em Português). https://youtu.be/yYKE17YuO1Q SecIC January 2018: “Memory Forensics with Vol(a|u)tility” Uso geral do framework volatility (em Inglês). https://youtu.be/dB5852eAgpc Virtual Memory: 3 What is Virtual Memory? Memória virtual (em Inglês). https://youtu.be/qlH4-oHnBb8 Leitura Perícia digital: estratégias para analisar e manter evidências íntegras em forense computacional Leitura bastante abrangente e genérica sobre investigação de evidências computacionais: SILVA, T.B.F. Perícia digital: estratégias para analisar e manter evidências íntegras em forense computacional. TCC – Unisul Digital, 2017. http://bit.ly/2wfnxng A hardware-based memory acquisition procedure for digital investigations Leitura interessante sobre o processo de extração de memória para análise pericial: CARRIERA, B.D.; GRAND, J. A hardware-based memory acquisition procedure for digital investigations, Digital Investigation. v.1, n.1 pp 50-60, 2004. http://bit.ly/2woMCMl 20 21 Referências BROOKS, C. L. CHFI – Computer Hacking Forensic Investigator Certification All-in-One Exam Guide, 1. ed. McGraw-Hill Education, EUA, 2014. KLEIMAN, D. The Official CHFI Study Guide (Exam 312-49): for Computer Hacking Forensic Investigator. 1. ed. Syngress, EUA, 2011. TANENBAUM, A. S.; BOS, H. Modern Operating Systems. 4. ed. Englewood Cliffs, NJ, USA: Prentice Hall Press, 2014. TOLEDO, J. C.; RODRIGUES, C. V. A value-based method for measuring performance on Forensic Science service. Gest. Prod., São Carlos, v. 24, n. 3, p. 538-556, 2017. 21