Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 DOCUMENTOSCOPIA COMPUTACIONAL FORENSE 1 Sumário FACUMINAS ............................................................................................ 3 1. INTRODUÇÃO ............................................................................ 4 2. EVOLUÇÃO TECNOLOGICA .......................................................... 5 2.1 A complexidade e a evolução da computação ............................... 6 3. TERMINOLOGIA E CONCEITOS BÁSICOS DA COMPUTAÇÃO FORENSE 8 4. NORMAS TÉCNICAS E PROCEDIMENTOS EM COMPUTAÇÃO FORENSE 12 4.1 Normas técnicas........................................................................... 13 4.2 Procedimento Operacional Padrão (POP) ou Norma Operacional Padrão (NOP) ............................................................................................... 15 5. OS CRIMES CIBERNÉTICOS E SEUS VESTÍGIOS ................ 16 5.1 Aspectos e temas abordados no Tratado de Computação Forense Identificação, Isolamento, Coleta e Preservação do Vestígio Cibernético .... 18 6. EXAMES ................................................................................... 18 6.1 Exames em Mídias de Armazenamento ....................................... 19 6.2 Exames em Locais de Internet ..................................................... 19 6.3 Exames em Redes de Computadores e Dados de Interceptação Telemática .................................................................................................... 19 6.4 Exames em Imagens Digitais ....................................................... 19 6.5 Exames em Constatação de Pornografia Infanto-juvenil .............. 20 6.6 Exames em Computação Embarcada .......................................... 20 6.7 Exames em Equipamentos Computacionais Portáteis e de Telefonia Móvel ............................................................................................................ 20 6.8 Exames em Computação na Nuvem ............................................ 21 6.9 Exames em Detecção de Intrusão ............................................... 21 6.10 Exames em Malwares ................................................................ 21 7. PROCEDIMENTOS FORENSES .............................................. 22 8. TÉCNICAS ANTI FORENSE ..................................................... 23 8.1. Criptografia .................................................................................. 24 8.2. Esteganografia ............................................................................ 25 2 8.3. Particularidades de sistemas de arquivos ................................... 26 8.3.1. Alternate Data Streams (ADS) ................................................. 27 8.4. Sanitização de discos .................................................................. 27 8.4.1. Wipe ......................................................................................... 28 9. CONCLUSÃO ............................................................................ 29 REFERENCIAS .................................................................................. 30 3 FACUMINAS A história do Instituto FACUMINAS, inicia com a realização do sonho de um grupo de empresários, em atender à crescente demanda de alunos para cursos de Graduação e Pós-Graduação. Com isso foi criado a FACUMINAS, como entidade oferecendo serviços educacionais em nível superior. A FACUMINAS tem por objetivo formar diplomados nas diferentes áreas de conhecimento, aptos para a inserção em setores profissionais e para a participação no desenvolvimento da sociedade brasileira, e colaborar na sua formação contínua. Além de promover a divulgação de conhecimentos culturais, científicos e técnicos que constituem patrimônio da humanidade e comunicar o saber através do ensino, de publicação ou outras normas de comunicação. A nossa missão é oferecer qualidade em conhecimento e cultura de forma confiável e eficiente para que o aluno tenha oportunidade de construir uma base profissional e ética. Dessa forma, conquistando o espaço de uma das instituições modelo no país na oferta de cursos, primando sempre pela inovação tecnológica, excelência no atendimento e valor do serviço oferecido. 4 1. INTRODUÇÃO “A Forense Computacional pode ser estabelecida como a ciência que estuda a aquisição, preservação, recuperação e análise de dados que estão em formato eletrônico e armazenados em algum tipo de mídia computacional.” A Computação Forense é a subdivisão da Criminalística que tem como objetivo a análise de vestígios cibernéticos, incorporando os elementos que os orbitam. Esse aspecto a torna uma área multidisciplinar, que engloba diferentes áreas das Ciências Forenses. Isso pode ser visto diariamente nos Institutos de Criminalística, onde os peritos de informática interagem com os peritos de áreas como contabilidade e audiovisual. Essa cooperação acompanha o próprio movimento de migração do analógico para o digital visto na sociedade moderna. Até pouco tempo atrás, os peritos daquelas áreas analisavam livros-caixa e fitas VHS. Atualmente, examinam relatórios eletrônicos extraídos a partir de sistemas contábeis e vídeos codificados no formato H.264. A própria documentoscopia, que tradicionalmente lidava apenas com documentos em papel, hoje já trata de arquivos assinados com certificados digitais e montagens feitas eletronicamente. Indo além, a evolução tecnológica faz com que a Computação Forense permeie áreas nunca antes imagináveis como: a balística, ao tratar da fabricação caseira de armas de fogo por meio de impressoras 3D; a medicina, em função da análise de dispositivos médicos, como marca passos; e a perícia em acidentes de trânsito, que pode contar com o auxílio da eletrônica embarcada. Outro aspecto envolve a atualização tecnológica, uma vez que os computadores estão cada vez mais presentes no nosso dia a dia, seja por meio de um simples relógio de pulso, que hoje tem mais poder de processamento do que o computador que auxiliou o pouso do homem na lua, ou seja através do conceito de “Internet das Coisas” (Internet of Things – IoT), que está revolucionando a forma com que interagimos com os objetos ao nosso redor. Esse acontecimento de capilaridade tecnológica é chamado de computação ubíqua ou pervasiva, que representa a evolução da área, que 5 passou dos grandes computadores que ocupavam inteiras para os dispositivos portáteis, tão comuns atualmente. É relevante frisar que, apesar da tecnologia estar presente no ambiente forense, os profissionais não devem se lançar cegamente em sua direção. Ao contrário, precisam se dedicar a estudá-la para tomar consciência de sua amplitude e potencialidade. “É difícil dizer o que é impossível, pois a fantasia de ontem é a esperança de hoje e a realidade de amanhã”. Segundo Eleutério e Machado (2011), exames forenses na área de informática podem ser realizados em dispositivos de armazenamento, em aparelhos de telefone celular, em sites da internet, entre outros. Galvão (2013) ressalta, no entanto, que na maior parte das vezes a perícia tem como objetivo a análise de dados armazenados em dispositivos de armazenamento (discos rígidos, CDs, DVDs, cartões de memória, etc.). Tarefas envolvendo computadores e redes aumentam em ritmo acelerado. Ações ilícitas utilizando esses meios, também. Segundo o Centro de Estudos, Resposta e tratamento de Incidentes de Segurança no Brasil (CERT.br), o número de fraudes na internet cresceu 6.513% no país entre 2004 e 2009. Em 2013, foram 352.925 incidentes reportados ao CERT.br (CERT, 2014). Dado o aumento dos incidentes e fraudes envolvendo meios computacionais, há a necessidade de técnicas investigativas para a apuração dessas atividades ilícitas. A perícia forense computacional buscaa coleta e a análise de dados e informações, ou seja, de vestígios digitais deixados na ocorrência de uma atividade criminosa ou fraudulenta envolvendo meios computacionais (ERBACHER; CHRISTIANSEN; SUNDBERG, 2006). 2. EVOLUÇÃO TECNOLOGICA A evolução da tecnologia está junto desde sempre a evolução humana. Na esfera computacional não é diferente, seu ritmo de evolução é acentuado e aumenta cada vez mais. A busca é pelo desenvolvimento de novas tecnologias 6 da informação, pela disseminação do acesso à internet, pela promoção de novas demandas e correspondência com novas ofertas tecnológicas. O avanço da computação e da comunicação em rede proporciona conforto às pessoas. A realização de uma tarefa escolar pode ser feita de forma online (através da internet). O estudo e formação em um curso pode ser EaD (Educação à Distância). A compra de um produto pode ser realizada pelo site (página web). Enfim, atividades que antes eram executadas presencialmente, agora podem ser feitas de qualquer lugar e a qualquer hora, inclusive crimes. No caso de prática de crime, o Código de Processo Penal Brasileiro (BRASIL, 1941) determina que: quando a infração deixar vestígios, será indispensável o exame de corpo de delito (artigo 158); o exame de corpo de delito e outras perícias serão realizados por perito oficial (artigo 159); os peritos elaborarão o laudo pericial, no qual descreverão o que examinarem e responderão aos quesitos formulados (artigo 160). Na computação, os vestígios de um crime são digitais (em forma de bits), podendo ser encontrados em dispositivos de armazenamento ou trafegando em rede. De acordo com Eleutério e Machado (2011), na maioria dos casos, exames forenses nesses dispositivos resultam em uma excelente prova técnica e os laudos produzidos tornam-se peças fundamentais para o convencimento do juiz na elaboração da sentença. 2.1 A complexidade e a evolução da computação Segundo a 27ª pesquisa anual do uso de TI 20162 realizada pelo Centro de Tecnologia de Informação Aplicada da FGV-EAESP existem no Brasil cerca de 244 milhões de dispositivos conectáveis à internet, ou seja, mais de um dispositivo por habitante. O cenário atual indica que cerca de 77 mil brasileiros sofrem ataques cibernéticos por dia e, provavelmente por falta de educação tecnológica ou conhecimentos de Computação Forense, apenas 21% deles denunciam o ataque. 7 São cerca de 2.100 ataques/hora a sistemas governamentais, fato que foi alvo de pauta do Fórum Econômico Mundial, no qual seus líderes colocaram os ataques cibernéticos, a incidência massiva de fraude, o roubo de dados e a desinformação digital entre os 10 maiores riscos às Nações. Chamam a atenção as cifras referentes aos custos dos crimes cibernéticos. De acordo com o relatório da Allianz Global Corporate & Specialty foram 7,7 bilhões de dólares só no Brasil, ou seja, se trata de campo promitente para os profissionais atuantes na prevenção, reposta a incidentes e remediação dos crimes cibernéticos. Os avanços tecnológicos amplificaram significativamente as possibilidades de comércio, comunicação e relacionamento interpessoal, porém, a formação de profissionais e a educação tecnológica não acompanhou o ritmo desse vertiginoso crescimento. O trabalho da Perícia Forense Computacional demanda, além de profissionais capacitados e investimentos em soluções de TI, tempo para execução dos respectivos exames. Dessa forma, os profissionais que atuam em Computação Forense terão que lidar com a variação das complexidades dos exames periciais. Nesse contexto, alguns fatores se mostram preponderantes: Fator humano: Se relaciona à capacidade humana de compreensão e tratamento da informação, dos vestígios e suas análises em nível de raciocínio, 8 deduções e conclusões. O fator humano é afetado por diversas variáveis como estado emocional, cansaço, sono, calor e outros; Fator tecnológico: Diz respeito às facilidades e dificuldades impostas pela tecnologia, especialmente no tocante à velocidade de processamento da informação (tempo) como também na limitação de tamanho das mídias de armazenamento atuais (espaço); Fator legal: Se conecta aos parâmetros impostos pela legislação no tratamento do vestígio cibernético, já que a análise desse deve obedecer, além dos princípios científicos, os ditames de ordem legal e processual. Mesmo diante da evolução do processamento e armazenamento de informações, previstas pelas Leis de Moore, em que o número de transistores colocados em um circuito integrado dobraria a cada dois anos , e Kryder , em que a densidade e a capacidade de armazenamento dos discos rígidos dobrariam de tamanho entre 18 e 24 meses, o ser humano pode não ser capaz de processar as informações e produzir resultados em tempo hábil de forma a atender à legislação pertinente. 3. TERMINOLOGIA E CONCEITOS BÁSICOS DA COMPUTAÇÃO FORENSE Alguns termos foram empregados e padronizados na Computação Forense a fim de consolidar a terminologia pericial, assim sendo, alguns conceitos e terminologias pertinentes para a leitura deste material serão apresentados a seguir: • Algoritmo de hash criptográfico (função de hash criptográfico): função matemática cujo resultado é um valor de tamanho fixo, gerado a partir de uma entrada de tamanho arbitrário. Na Computação Forense, os arquivos geralmente são utilizados como parâmetros de entrada dessas funções, o que permite identificar se dois ou mais arquivos possuem conteúdos idênticos. Outra 9 característica importante das funções hash é a unidirecionalidade, ou seja, a partir de seu resultado é impraticável produzir o parâmetro de entrada. Muito usados no controle de integridade de arquivos e mídias de armazenamento, haja vista a baixíssima probabilidade de dois arquivos distintos submetidos à mesma função produzirem o mesmo resultado; • Análise live (análise a quente, análise online, análise viva ou live analysis): tipo de análise realizada diretamente no equipamento questionado com o sistema operacional em funcionamento. É destinada à análise do dispositivo e dos dados em tempo de execução. Tal análise, apesar de aumentar a superfície de exposição da evidência e alterá-la de forma involuntária, pode ser a única forma de identificar e salvaguardar a evidência de natureza volátil. Deve ser aplicada de acordo com as técnicas recomendadas para o tipo específico de equipamento e evidência, sendo que os procedimentos realizados durante o exame devem ser documentados; • Análise post-mortem (análise a frio, análise offline, análise morta ou dead analysis): tipo de exame realizado quando se deseja aumentar o grau de preservação da evidência questionada. Nesse tipo de exame, opta-se por criar uma imagem forense (cópia exata) da evidência, protegendo-a contra gravações involuntárias. Esse tipo de perícia é o mais recomendado quando não há necessidade de preservação dos dados voláteis presentes em um determinado equipamento no momento de sua arrecadação ou quando a presença de criptografia nas mídias secundárias não for detectada; • Análise Forense Computacional: tipo de análise realizada em dispositivos computacionais, tanto em software quanto em hardware, com foco na análise de evidências cibernéticas, a fim de trazer à tona elementos indicativos de autoria, materialidade e dinâmica de fatos, geralmente relacionados a violações legais; 10 • Antiforense: recurso usado para encobrir a existência, quantidade e a qualidade de evidências de determinado recurso computacional. Também pode objetivar dificultar a análise das evidências ou torná-la impraticável; • Arquivo Composto (ou Arquivo Container): arquivo binário cujo conteúdo é formado por outros arquivos, como os arquivos compactados e os utilizados pelas suítes Libre Office e MicrosoftOffice; • Arquivo Imagem (Imagem Pericial ou Imagem Forense): arquivo que contém a cópia exata da mídia submetida a exame. Dependendo das opções escolhidas pelo perito durante o processo de cópia, o arquivo pode ser fragmentado em arquivos menores ou pode ser compactado. Sua integridade é garantida pelas funções de hash; • Cadeia de Custódia: registro detalhado de todos os passos, pessoas, ambientes, mídias e informações direta ou indiretamente relacionadas à perícia. É fundamental para instrumentar o processo e dar suporte a investigações ou contestações posteriores, sem que todo o processo pericial seja comprometido. Esse assunto teve suas diretrizes e procedimentos estabelecidos na portaria número 82, de 16 de julho de 2014 da Secretaria Nacional de Segurança Pública do Ministério da Justiça - SENASP/MJ; • Computação na nuvem: termo utilizado para caracterizar os serviços de internet que oferecem recursos computacionais, como processamento e armazenamento, situados em servidores cuja localização geográfica é transparente para o cliente; • Criptografia: estudo e aplicação de métodos que transformam a informação plana e aberta em um conjunto de dados ininteligíveis às partes não autorizadas. Tem como principal objetivo permitir a troca de mensagens sigilosas em um ambiente inseguro; 11 • Deep Web: é o termo dado à parte da internet cujo conteúdo não está indexado pelos serviços de busca mais populares, como o Google. O acesso, geralmente, é feito por meio navegação anônima. Está repleta de páginas com conteúdo de caráter clandestino, como pornografia infantil e comércio ilegal de drogas; • Duplicação Pericial (Duplicação Forense): é o processo de aquisição de uma evidência cibernética, na qual é realizada a cópia bit a bit de determinada informação, resultando na criação de um arquivo imagem ou de uma mídia duplicada; • Imagem Digital: arquivo criado ou editado por meio eletrônico, geralmente máquinas fotográficas digitais ou softwares como o Adobe Photoshop; • Intrusão: atividade de caráter voluntário, que leva à violação das políticas de segurança da informação de uma organização, podendo ter origem local ou remota; • Laudo (Parecer Técnico): documento técnico científico de caráter formal, elaborado pelo perito. Apresenta o resultado da análise pericial de modo compreensível aos interessados e responsáveis pelo julgamento do mérito, dispensando-os da necessidade de conhecimento técnico aprofundado e reduzindo o risco de interpretação equivocada por parte dos mesmos. Para alcançar esse objetivo, o documento pode ser enriquecido com ilustrações, fotografias e croquis, visando a facilitação de seu entendimento; 12 • Malware: programas especificamente desenvolvidos para executar ações danosas e atividades maliciosas em um computador; • Mídia Questionada (Mídia de Prova): é a mídia objeto da investigação. Os tipos mais comuns são pendrives, discos rígidos externos ou inseridos em computadores, bem como as mídias ópticas; • Mídia de Destino: suporte para o qual o conteúdo das mídias questionadas é copiado, de modo a preservá-las contra alterações não intencionais; • Vestígio Cibernético (Vestígio Digital): qualquer informação de valor probatório que tenha sido armazenada ou transmitida em meio digital e que pode ser utilizada para comprovação de um crime. Na Computação Forense, um computador pode ser o meio ou o alvo de uma atividade criminosa, cabendo ao analista pericial a coleta de vestígios que possam levar à autoria dos delitos cometidos; • Wipe: técnica empregada para apagamento seguro de mídias. Usada principalmente para reutilização de mídias de apoio aos exames periciais, evitando que informações anteriormente existentes contaminem uma nova análise pericial. 4. NORMAS TÉCNICAS E PROCEDIMENTOS EM COMPUTAÇÃO FORENSE No Brasil, a legislação não é taxativa quanto ao uso de normas, regimentos ou procedimentos específicos, bem como não exige titulação ou certificação do profissional que atua na área de Computação Forense. Aliás, 13 cumpre destacar, que os profissionais da área de informática sequer têm conselho profissional, a exemplo dos conselhos de engenharia ou medicina. Porém, o Código de Processo Penal (CPP) exige que o perito oficial ou nomeado tenha curso superior e faça uso de métodos aceitos pela comunidade científica. Em especial nos órgãos de perícia oficial, o perito, além de ter que ser aprovado em concurso público, deve atender a exigências como ter formação superior específica e participar de curso de formação oficial. O profissional deve seguir regras impostas através de Instruções Normativas, Procedimentos Operacionais Padrão, Manuais e certificações profissionais e de laboratórios. Já nas perícias ad hoc, são considerados o notório saber, a titulação, as certificações e a reputação do profissional. Em Computação Forense segue-se a teoria da hierarquia das normas, na qual a está legislação constitucional está no topo da pirâmide e na base estão os documentos infraconstitucionais. Neste capítulo serão abordados os documentos mais usados como o Procedimento Operacional Padrão SENASP/MJ, a ISO/IEC 27037/2013 e ISO/IEC 27000. Bem como, as certificações mais populares na área. 4.1 Normas técnicas Quando se trata de qualquer tipo de regramento ou ordenamento deve-se ter em mente a balança da Justiça, ou seja, sempre deve haver uma forma de pesar qual regramento deve ser aplicado no caso concreto. Na Computação Forense não é diferente, pois o profissional se depara com uma imensidão de normas oficiais, normas técnicas e procedimentos operacionais, sejam eles nacionais ou internacionais, sendo que, em um dado momento, deve escolher qual tem melhor aplicação. No âmbito público, as normas só se tornam impositivas quando regulamentadas, porém, o perito sempre tem a autonomia técnico-científica. O exemplo mais claro disso é a não obrigatoriedade de o perito seguir rigorosamente normas técnicas, a exemplo da ISO/IEC 27037/2013, senão por regulamento do órgão de perícia oficial. 14 Importante ressaltar que Regulamento Técnico é um documento normativo, de uso obrigatório, que dispõe sobre processos, métodos periciais e requisitos técnicos, incluindo as disposições administrativas cabíveis. Poderá ainda, normatizar o uso de terminologia, estrutura de laudos, etc. Sendo assim, os Regulamentos Técnicos são emitidos por autoridades competentes a nível federal, estadual e municipal, bem como podem ser emitidos em âmbito privado. Tendo no âmbito público especial função de regulamentar a utilização de normas e procedimentos. Entre os documentos que tratam das perícias de informática, alguns como Regulamentos Técnicos, Procedimento Operacional Padrão e Normas Técnicas merecem desataque, pois são documentos oriundos do consenso e aprovados por uma instituição reconhecida, que fornece regras, diretrizes ou características para produtos ou processos e métodos de produção conexos, cujo cumprimento e adoção são voluntários . O consenso deriva de grupos de trabalho que têm a participação de especialistas e são abertos a comunidade interessada, sintetizando os conhecimentos de ciência, tecnologia e prática, em uma norma. Diferente do Regulamento Técnico, a norma tem aplicação voluntária, ou seja, a Norma Técnica só é obrigatória quando referendada por um ato jurídico. No âmbito da Computação Forense, as normas podem ser divididas de acordo com sua abrangência a nível de associações: nacionais, regionais e internacionais. Essas normas são editadas e emitidas por associações, como a Associação Brasileira de Criminalística, a Sociedade Brasileira de Ciências Forenses, a International Society of Forensic Computer Examiners, etc. No nível nacional as normas são editadase emitidas pelo organismo nacional de normalização, que deve ter legitimidade para editar e publicar normas e, ainda, reconhecimento e consenso das instituições e da comunidade cientifica. No Brasil, podemos citar a Associação Brasileira de Normas Técnicas (ABNT), que foi responsável pela tradução da norma ISO/IEC 27037/2012. No nível regional, as normas são editadas e emitidas por entidades como a AMN- -Mercosul, COPANT e CEN, que incluem um conjunto de países próximos ou uma região. 15 Finalmente, no nível internacional, as normas são editadas e emitidas por organismos internacionais como a ITU, ISO e IEC, que têm abrangência mundial. 4.2 Procedimento Operacional Padrão (POP) ou Norma Operacional Padrão (NOP) O principal objetivo do POP é padronizar e minimizar os riscos na execução de tarefas relativas a Computação Forense. Ou seja, um POP bem feito e atualizado é instrumento fundamental da qualidade e eficiência da perícia. Em Computação Forense, o POP aumenta a previsibilidade dos resultados esperados e minimiza os riscos, inclusive aqueles decorrentes de imperícia e negligência. Também permite selecionar e fazer uso adequado das ferramentas forenses e demais recursos tecnológicos. No Brasil, o ato normativo que tem maior amplitude é a obra denominada “Procedimento Operacional Padrão: Perícia Criminal”, publicada pelo Ministério da Justiça, através da Secretaria Nacional de Segurança Pública. Esse documento traz uma padronização mínima para as perícias criminais em todo território nacional e lança luz sobre a área de computação em quatro POPs: • Exame Pericial de Mídia de Armazenamento Computacional: tem a finalidade de orientar o profissional de perícia da área de computação a realizar exames que envolvam dados contidos em mídias de armazenamento computacional, como os discos rígidos, pendrives e cartões de memória; • Exame Pericial de Equipamento Computacional Portátil e de Telefonia Móvel: serve como um guia para o perito realizar exames que envolvam computadores portáteis e telefones móveis como, por exemplo, celulares e tablets; • Exame Pericial de Local de Informática: apresenta orientações ao profissional que realizará exames que envolvam locais de informática ou que demandem a análise do vestígio cibernético in loco; 16 • Exame Pericial de Local de Internet: tem a finalidade de orientar o perito de informática a investigar crimes ocorrido ou auxiliados pela internet. 5. OS CRIMES CIBERNÉTICOS E SEUS VESTÍGIOS Os crimes compreendendo equipamentos computacionais vêm aumentado, impulsionados pelas facilidades disponibilizadas pela tecnologia, pela velocidade da comunicação e pela própria especialização dos criminosos. Por envolver questões técnicas específicas, a justiça necessita de um profissional capaz de auxiliar a apuração dos crimes que envolvem o uso de computadores. Para a Symantec, a criminalidade cibernética pode assumir muitas formas e ocorrer em qualquer hora ou lugar. Da mesma forma, os criminosos cibernéticos usam métodos diferentes, segundo suas habilidades e seus objetivos. A definição de crime cibernético, ainda de acordo com Symantec, é qualquer delito em que tenha sido utilizado um computador, uma rede ou um dispositivo de hardware. O computador ou dispositivo pode ser o agente, o facilitador ou o alvo do crime. O delito pode ocorrer apenas no computador ou fora dele. Para compreender melhor a ampla variedade de crimes cibernéticos, é necessário dividi-los em duas categorias gerais. Na primeira, o computador é apenas uma ferramenta de auxílio aos criminosos, que praticam crimes conhecidos, como sonegação fiscal, compra de votos em eleições, tráfico de entorpecentes e falsificação de documentos. Ou seja, se o dispositivo computacional não existisse, tal crime poderia continuar a ser praticado, utilizando outros meios. Já no segundo tipo, o computador é a peça central para o empreendimento do crime. Fraudes bancárias pela internet, compartilhamento 17 de pornografia infantil por redes sociais e pichação de um site governamental são exemplos de crimes que não existiriam sem o uso de computadores. No Brasil, foi a Lei 12.737/2012, sancionada em 2 de dezembro de 2012, que promoveu alterações no Código Penal Brasileiro, acrescentando-lhe os artigos 154-A e 154-B, a fim de tipificar os chamados delitos ou crimes informáticos praticados em âmbito nacional. Como o crime cibernético pode uma gama muito ampla de transgressões, a compreensão de suas várias vertentes é essencial para identificar a ação mais adequada para ser adotada em um determinado caso. Assim, é necessário recorrer a profissionais especializados, com amplo conhecimento em computação, segurança da informação, direito digital e outras áreas afins. Esse profissional deve ser capaz de identificar a autoria, a materialidade e a dinâmica de um crime praticado com auxílio da tecnologia. Em um local de crime convencional, um vestígio pode significar um instrumento deixado no ambiente ou um fio de cabelo. Na informática, no entanto, os vestígios são digitais – zeros e uns, que poderão representar os mais diversos tipos de informação, como conversas online, histórico de navegação e programas maliciosos. 18 5.1 Aspectos e temas abordados no Tratado de Computação Forense Identificação, Isolamento, Coleta e Preservação do Vestígio Cibernético Um dos maiores desafios na Computação Forense é delimitar a abrangência de um determinado cenário criminoso, no qual a principal evidência é a informação digital. A correta identificação, isolamento, coleta e preservação dos vestígios dessa natureza são fatores imprescindíveis para se chegar à autoria e à materialidade do crime. Uma vez que esses vestígios não são confinados em perímetro bem definido, mas espalhados em uma série de ambientes que precisam ser devidamente tratados, o leitor precisa enriquecer o seu cabedal de conhecimento com relação aos aspectos básicos do trato do vestígio cibernético, desde a busca e à manutenção da cadeia de custódia. 6. EXAMES Essa é a fundamental seção do laudo pericial, onde o perito irá especificar exatamente todos os procedimentos realizados na análise. Quais as técnicas utilizadas para a recuperação dos arquivos, quais ferramentas foram necessárias, qual sistema operacional foi aplicado e qual sistema existia no disco analisado, quais foram os meios usados na preservação do material questionado e outros diversos procedimentos que foram efetivamente utilizados. Durante todo o laudo e aconselhável ao perito evitar ao máximo o uso de palavras técnicas, de modo que pessoas com pouco entendimento sobre os meios e procedimentos forense utilizados na análise entendam claramente o resultado do laudo. Porém essa seção e a única que permite ao perito a utilização dos termos mais técnicos, pois é aqui que explica e garante toda a integridade dos procedimentos realizados. E onde também, o perito busca respostas para os quesitos ou dúvidas levantadas no início das investigações pela autoridade solicitante (ELEUTERIO, MACHADO, 2011). 19 6.1 Exames em Mídias de Armazenamento Análise de discos rígidos, pendrives e mídias ópticas estão entre os tipos exame pericial mais comuns realizados nos Institutos Periciais e Polícias Científicas. Portanto, saber como lidar com os vestígios armazenados nesses dispositivos é primordial para o trabalho do perito de informática. 6.2 Exames em Locais de Internet Entender como os serviços de internet se comportam e a natureza dos protocolos envolvidos no processo de comunicação e distribuição de informações é de fundamental importância para proceder os exames em ambientes dessa natureza. 6.3 Exames em Redes de Computadores e Dados de Interceptação Telemática Com o aumento da conectividadedo mundo moderno, as redes de computadores se tornaram fundamentais para praticamente qualquer tipo de comunicação, ocasionando em milhões de bytes de dados sigilosos transmitidos diariamente por esse meio. Como o crime organizado também utiliza a internet para realização dos mais variados delitos, o Profissional da Computação Forense tem como desafio coletar e examinar essa grande massa de dados, extraindo evidências relevantes para a investigação. Outra questão importante é a volatilidade desse tipo de informação. 6.4 Exames em Imagens Digitais O avanço programas de edição de imagens e a popularidade dos dispositivos móveis equipados com câmeras digitais abriu um leque de possibilidades para a perícia em imagens digitais. O conhecimento dessa área pode, inclusive, ser aplicado em outros ramos da perícia, como a 20 documentoscopia. As técnicas, quando devidamente aplicadas, permitem a extração de informações úteis para as investigações. 6.5 Exames em Constatação de Pornografia Infanto-juvenil A Constatação de Pornografia Infanto-juvenil representa um grande desafio à perícia forense. Aliado ao aumento dos casos investigados, está a evolução de técnicas que e ferramentas que fortalecem o anonimato dos criminosos envolvidos. Além de tratar das questões legais, separando o que é transtorno e o que é crime. 6.6 Exames em Computação Embarcada Os sistemas embarcados são cada vez mais comuns no cotidiano das pessoas e empresas. Com o advento da “Internet das Coisas” e dos dispositivos portáteis, a tendência é que os sistemas embarcados se tornem onipresentes. Por esse motivo, os dispositivos embarcados são fontes ricas em informações que podem auxiliar na elucidação de crimes. Devido às características desses dispositivos, esse tipo de exame pode permear as mais diversas áreas das Ciências Forenses, como perícias em veículos, aeronaves e equipamentos médicos. 6.7 Exames em Equipamentos Computacionais Portáteis e de Telefonia Móvel Dispositivos móveis estão presentes na vida de quase todas as pessoas, principalmente, na forma de telefones celulares e tablets. Assim, o exame pericial desses equipamentos pode fornecer evidências e informações preciosas para uma investigação. No entanto, a grande diversidade de marcas, modelos e sistemas operacionais, bem como o ciclo de vida muito rápido desses produtos, oferece um desafio considerável para os peritos de Computação Forense. Diferentemente dos métodos clássicos de exame de computadores, não existe 21 um método à prova de falhas para a realização de perícias em dispositivos móveis. 6.8 Exames em Computação na Nuvem A mudança de paradigma da computação tradicional para a Computação na Nuvem, fez com que itens logicamente relacionados possam estar geograficamente separados. Isso tornou possível o acesso a praticamente todo o tipo de informação a partir de qualquer dispositivo computacional. Entretanto, poucos são os usuários que se preocupam com a segurança dessas informações, preferindo confiar cegamente nas empresas que fornecem serviços dessa natureza. Por essa razão, a segurança de todos esses dados compartilhados vem sendo estudada arduamente por pesquisadores. Nesse contexto, o perito Forense Computacional tem a responsabilidade de enfrentar um novo desafio. 6.9 Exames em Detecção de Intrusão A exploração de vulnerabilidades para invasão de sistemas, redes, dispositivos móveis e até mesmo ambientes em nuvem é uma prática crescente e preocupante em um mundo altamente conectado. Se, por um lado, essa conectividade cria um ambiente de compartilhamento de informações em uma velocidade que não para de crescer, ao mesmo tempo traz novas preocupações e desafios. 6.10 Exames em Malwares Devido ao aumento da quantidade de dispositivos computacionais conectados, a distribuição de programas maliciosos associados à prática criminosa cresce diariamente. Consequentemente, o exame desse tipo de aplicativo é cada vez mais comum. Adicionalmente, a alta diversidade de métodos distintos de atuação faz com que os exames periciais desse tipo criem novos desafios aos especialistas em Computação Forense. 22 7. PROCEDIMENTOS FORENSES A realização de uma perícia forense é justificada pela busca de uma melhor compreensão de um determinado evento, encontrando e analisando outros fatos e eventos relacionados ao objeto de análise. Para alcançar esse objetivo, Kent et al. (2006) sugere que a perícia siga um processo forense composto por quatro etapas: coleta, extração, análise e apresentação. O processo sugerido pode ser utilizado para perícias forenses em diversas áreas científicas, inclusive em computação. A perícia forense computacional não segue procedimentos rígidos bem definidos (KENT et al., 2006). Assim, o processo pode ser seguido e ajustado para a realização de uma perícia adequada às características dos dispositivos de armazenamento computacional a serem apreendidos e periciados (JUNIOR; MOREIRA, 2014). A figura ilustra as etapas do processo forense (KENT et al., 2006) em um contexto computacional. 23 a) Coleta: O objetivo da primeira etapa é identificar, isolar, etiquetar, registrar e coletar os dados e evidências físicas relacionadas com o incidente que está sendo investigado, enquanto estabelece e mantem a integridade das provas. b) Exame: Identificar e extrair as informações relevantes a partir dos dados coletados utilizando ferramentas e técnicas forenses adequadas. c) Análise: Analisar os resultados do exame para gerar respostas úteis para as questões apresentadas nas fases anteriores. d) Relatório (Resultados)(Apresentação): Inclui encontrar relevância para o caso. Nessa etapa também é redigido o laudo pericial, o qual deve ter conclusão imparcial, clara e concisa; deve ter exposto os métodos utilizados na perícia, e deve ser de fácil interpretação por uma pessoa comum, de conhecimento médio. 8. TÉCNICAS ANTI FORENSE Muitas adversidades podem ser encontradas durante as etapas de um processo investigatório. Adversidades estas, comumente conhecidos pelo termo Anti Forense computacional. A anti forense pode ser aplicada através de métodos de ocultação, codificação ou exclusão de evidências, tendo como objetivo interferir nos resultados da investigação forense computacional. A utilização de criptografia, esteganografia, sanitização de discos e utilização de propriedades não utilizadas comumente por diferentes sistemas de arquivos são algumas formas de aplicação desse tipo de prática. Além das complicações diretas, existem também as indiretas, que surgem com o passar do tempo, como os avanços tecnológicos. Devido ao surgimento diário de novidades tecnológicas computacionais e eletrônicas, as expectativas são de que a área passe por diversos desafios, visto que técnicas de coleta e 24 análise de dados devem ser sempre inovadas para que possam acompanhar a evolução tecnológica. Como um exemplo desse tipo de desafio, temos o aumento da quantidade de arquivo. Além dos avanços tecnológicos, como se não bastassem, existem ainda os entraves impostos pela falta de tipificação da legislação brasileira. A inexistência de leis eficientes que tipifiquem os crimes digitais faz com que os crimes virtuais permaneçam sem a devida punição, além do fato de que não há uma reparação concisa dos danos às vítimas. A seguir, serão explicados os tópicos citados neste capítulo. 8.1. Criptografia A Criptografia é uma área da criptologia que tem por objetivo esconder o significado original de algo. Para que um texto seja criptografado, são necessários os seguintes elementos: 1. Mensagem: mensagem original que se deseja transmitir; 2. Cifra: chave utilizada na conversão da mensagem original em código; 3. Código: resultado da conversãoda mensagem original utilizando a cifra. Muito usada quando se deseja garantir a privacidade dos dados, a criptografia atualmente utiliza algoritmos matemáticos complexos para transformar a mensagem em código. Esta difere do cálculo de código hash por possuir dois sentidos, ou seja, pode-se obter o conteúdo original da mensagem a partir do código final gerado. 25 Existe uma área da criptologia chamada criptoanálise que trata do estudo de técnicas e metodologias para se obter a mensagem original a partir do código criptográfico gerado mesmo sem ter a cifra (chave) usada na criptografia. Rainbow Tables são muito utilizadas por peritos para lidar com a segurança por criptografia. Esta consiste em comparar diversos códigos pré compilados armazenados em tabelas com as combinações de caracteres do código criptográfico, levando então a encontrar a mensagem original. No entanto, é muito importante que o perito realize buscas no computador questionado por possíveis softwares que apliquem criptografia em arquivos ou textos, pois, assim pode ser obtido o algoritmo utilizado na criptografia, facilitando assim, a tentativa em se descriptografar o texto ou arquivo. 8.2. Esteganografia A esteganografia é o estudo de técnicas que possam ser utilizadas para esconder uma mensagem ou o seu verdadeiro conteúdo. Esta difere da criptografia, pois, a criptografia torna ilegível o conteúdo da mensagem enquanto a esteganografia esconde este verdadeiro conteúdo em meio a outro. Estas duas técnicas quando combinadas podem levar o perito despreparado a concluir erroneamente o seu laudo, afetando assim o curso da investigação. A vantagem da esteganografia perante a criptografia é que o conteúdo real da mensagem pode estar dentro de outro tipo de arquivo, no entanto o perito que está analisando o artefato pode não dedicar esforço e tempo na busca pela real mensagem caso não perceba algo de diferente no arquivo. Existem atualmente diversas técnicas utilizadas na esteganografia, algumas mais complexas que as outras. Um arquivo com uma mensagem esteganografada pode ser descoberto utilizando algumas das seguintes técnicas: 26 - Busca por palavras chaves: Caso a mensagem esteja gravada sequencialmente dentro do arquivo, poderá ser obtido resultado através dessa técnica; - Valor hash do arquivo: Caso sejam comparados os valores hash atual do arquivo e o original do fabricante, pode ser identificado que existem diferenças entre o conteúdo dos mesmos; - Tamanho de arquivo: Caso um arquivo esteja muito maior do que comumente seria, por exemplo, se a imagem do plano de fundo de tela do Sistema Operacional estiver com 100MB, existe um forte indício de que existem mais informações no conteúdo deste arquivo que não são originais da imagem; - Arquivos instalados: Analisando os arquivos instalados no computador questionado, pode ser encontrado o software utilizado na esteganografia. Dessa forma, o perito pode obter informações do tipo de técnica utilizada para então focar esforços na tentativa de descobrir a mensagem original. A esteganografia é também comumente utilizada por empresas que desejam preservar o seu direito autoral ou rastrear a distribuição de arquivos. 8.3. Particularidades de sistemas de arquivos Os sistemas de arquivos são conjuntos de estruturas lógicas e rotineiras que permitem ao Sistema Operacional controlar o acesso aos discos rígidos. Os Sistemas Operacionais por sua vez, utilizam e compreendem certos tipos de sistemas de arquivos. Esta tarefa tornou-se ainda mais complicada com a evolução tecnológica à medida em que é expandida a capacidade de discos, tecnologias por eles utilizadas e aumento no número de arquivos e acessos à estes. Existem diversos sistemas de arquivos utilizados, alguns mais simples como o FAT16 e o FAT32, e outros mais complexos, com recursos mais sofisticados como o NTFS, EXT3 e ReiserFS. 27 Além das propriedades dos sistemas de arquivos comumente utilizadas pelos Sistemas Operacionais, existem ainda algumas particularidades que diferenciam os sistemas de arquivos uns dos outros, e que muitas vezes não são interpretadas pelo Sistema Operacional, como é o caso da propriedade ADS (Alternate Data Streams) do NTFS. 8.3.1. Alternate Data Streams (ADS) A propriedade do sistema de arquivos NTFS chamada Alternate Data Streams (ADS) permite que mais de um fluxo de dados (conteúdo do arquivo) seja adicionado a um nome de arquivo. O padrão utilizado para acessar os diversos fluxos de dados é: <nomedoarquivo>:. Por padrão, o ADS não é listado nas ferramentas da Microsoft Windows Explorer e como resultado dos comandos “dir” ou “ls”. Quando se realiza a cópia de um arquivo com ADS para outro sistema de arquivos que não suporta esta propriedade, como o FAT32, por exemplo, ou quando é feito o envio do arquivo por e-mail deste arquivo, o conteúdo alternativo de dados (ADS) é perdido, preservando-se apenas o conteúdo principal. Ferramentas como o Streams da Microsoft e o LADS da Heysoft são ferramentas de plataforma Windows para tratar ADS. 8.4. Sanitização de discos A sanitização de discos consiste em apagar toda e qualquer informação armazenada em um disco. Quando um disco é formatado ou um arquivo é excluído, o Sistema Operacional apenas informa ao sistema de arquivos que o espaço em disco reservado para armazenar o conteúdo daquela partição do disco está liberado e pode ser utilizado, no entanto, os dados permanecem gravados em disco e podem ser recuperados utilizando técnicas específicas para recuperação de 28 dados, como o Data Carving, conforme foi apresentado em capítulos anteriores. Estes dados apagados persistem no disco até que o Sistema Operacional os sobrescreva, no entanto, devido a um projeto de alto desempenho do sistema de arquivos que procura evitar a realização de movimentos do cabeçote do disco, os dados tendem a ser armazenados lado a lado no disco, minimizando a fragmentação de arquivos no disco. Simplificando, quanto mais recente ocorreu a exclusão do arquivo, maior é a probabilidade de recuperá-lo. 8.4.1. Wipe O processo de wipe consiste em apagar, bit a bit, toda a área reservada para alocação de um arquivo. Os dados contidos nos setores apagados são normalmente substituídos por zeros ou valores aleatórios. Desta maneira, não são recuperados por engano quaisquer dados adicionais no disco. O Departamento de Defesa dos Estados Unidos criou uma metodologia chamada DoD 5220.22-M para sanitização de discos. Segundo o National Industrial Security Program (1994), essa metodologia consiste em realizar três tipos diferentes de escritas em cada byte endereçável do disco: 1. Escrever “zeros” (0x00) e verificar o que foi escrito. 2. Escrever “uns” (0xff) e verificar o que foi escrito. 3. Escrever valores aleatórios e verificar o que foi escrito. Existem outras técnicas de wipe que sobrescrevem toda a área designada com caracteres específicos até sete vezes. Segundo o National Institute of Standards and Technology (2006), “a maioria das mídias atuais podem ser efetivamente sanitizadas com apenas uma sobrescrita”. No entanto, assim como a técnica wipe pode ser utilizada na limpeza de discos, também pode ser utilizada como uma técnica anti forense para apagar vestígios de um crime. 29 9. CONCLUSÃO Computação forense é a fonte para encontrar a evidência da cena do crime através das evidências digitais. Segundo a pesquisa de diversos autores, a computação forense é a busca da verdade nos vestígios computacionais. A equipe forense também tem muitas ferramentas diferentes disponíveis para trabalhar em vários tipos de crimes. A equipe forense computacional trabalha em processo básico que inclui a identificação, coleta, preservação, análise e relatório. Este processo funciona de forma muito eficientepara investigação. Pode-se concluir que a computação forense deve estar preparada para assumir a responsabilidade de identificar e preservar possíveis vestígios digitais deixados durante a realização de qualquer crime envolvendo tecnologia computacional e eletrônica, relatando a materialidade, a dinâmica e a autoria dos delitos, além de sempre considerar a legislação vigente ao manipular, preservar e analisar os artefatos. 30 REFERENCIAS ABDULLAH, M. Advances in Computer Forensics. IJCSNS. V. 8, N. 2, Fevereiro, 2008. BATTULA, B. et al. Techniques in Computer Forensics: IJS. V. 3, 2000. Código de Processo Penal. decreto lei nº 3.689, de 03 de outubro de 1941. Disponível em: http://www.planalto.gov.br/CCIVIL/Decreto-Lei/Del3689.htm. ELEUTÉRIO, PMS. ; MACHADO, MP. - Desvendando a Computação Forense. Novatec Editora, ISBN: 978-85-7522-260-7. São Paulo/SP. Jan/2011. ERBACHER, R. F.; CHRISTIANSEN, K.; SUNDBERG, A. Visual Network Forensic Techniques and Processes. In: ANNUAL SYMPOSIUM ON INFORMATION ASSURANCE, 1 ., 2006, Albany. Proceedings of the 1 st. Annual Symposium on Information Assurance. Albany: University at Albany, 2006. p. 72 - 80. FARMER, Dan; VENEMA, Wietse. Pericia forense computacional, teoria e pratica aplicada; Tradução Edson Furmankiewicz, Carlos Schafranski, Docware Traduções Técnicas; Revisão Técnica Pedro Luís Próspero Sanchez. São Paulo: Person Prentice Hall, 2007. GALVÃO, R. K. M. Introdução à análise forense em redes de computadores: São Paulo: Novatec, 2013. JUNIOR, C. C. N. M.; MOREIRA, J. Roteiro Investigativo em Perícia Forense Computacional de Redes: Estudo de Caso. T.I.S. - Tecnologias, Infraestrutura e Software, São Carlos, v. 3, n. 1, p. 11-23, Jan./Abr., 2014. 31 KENT, K. et al. Guide to integrating forensic techniques into incident response: recomendations of the National Institute of Standards and Technology. Special publication. Gaithersburg: NIST, 2006. LILLARD,T. et al. Digital forensics for network, internet and cloud computing: Burlington: Syngress, 2010. MACHADO, MP. ; ELEUTÉRIO, PMS. - Computação Forense e a Perícia Criminal - A Informática a Serviço da Justiça. Revista SBC Horizontes, v. 4, n. 1, p. 19-24. Abr/2011. PINHEIRO, D. O. Um estudo experimental das ferramentas de engenharia reversa aplicadas às vulnerabilidades do software. 42 f.Monografia, UFCE, Quixadá,2013 YASINCAC, A.; MANZANO, Y. Policies to enhance computer and Network Forensics. IEEE. 2001. https://cgi.br/noticia/cert-br-divulga-balanco-das-notificacoes-de- incidentes-de-seguranca-recebidas-em-2013/400
Compartilhar