Baixe o app para aproveitar ainda mais
Prévia do material em texto
Indaial – 2021 Computação Forense e testes de Invasão Prof.ª Rita de Cássia Cordeiro de Castro 1a Edição Copyright © UNIASSELVI 2021 Elaboração: Prof.ª Rita de Cássia Cordeiro de Castro Revisão, Diagramação e Produção: Centro Universitário Leonardo da Vinci – UNIASSELVI Ficha catalográfica elaborada na fonte pela Biblioteca Dante Alighieri UNIASSELVI – Indaial. Impresso por: C355c Castro, Rita de Cássia Cordeiro de Computação forense e testes de invasão. / Rita de Cássia Cordeiro de Castro – Indaial: UNIASSELVI, 2021. 217 p.; il. ISBN 978-65-5663-852-2 ISBN Digital 978-65-5663-853-9 1. Perícia forense computacional. - Brasil. II. Centro Universitário Leonardo da Vinci. CDD 341 apresentação Olá, acadêmico! Seja bem-vindo ao Livro Didático Computação Forense e Testes de Invasão. Nós iremos abordar diversos temas, primeiramente, começaremos compreendendo o desenvolvimento tecnológico das últimas décadas, entendendo como as aplicações, dispositivos e infraestruturas da Tecnologia da Informação e Comunicação (TIC) têm nos auxiliado nas mais diversas tarefas do cotidiano, seja no ambiente doméstico ou no corporativo. A transformação da comunicação é a mudança social mais importante que vivenciamos nos últimos 40 anos. Seus efeitos vêm causando a chamada Revolução da Tecnologia da Informação. As redes de computadores, os softwares de código aberto e o rápido desenvolvimento da capacidade de comutação e transmissão digital, proporcionaram a expansão da Internet e consequentemente da World Wide Web, isto é, a sigla WWW. Por outro lado, a utilização dessa infraestrutura tecnológica para a prática de crimes como fraudes, roubo de informações e dados pessoais, dentre outros, tem causado prejuízos e transtornos aos diversos usuários, seja pessoas físicas ou jurídicas. Neste livro, iremos apresentar os aspectos fundamentais da perícia forense computacional, também denominada Computação Forense, enquanto ciência que se utiliza de métodos e técnicas de investigação para auxiliar na resolução dos crimes cibernéticos e suas vertentes. Aprenderemos a legislação que a ampara nos processos investigativos e na preservação do princípio da privacidade. Na Unidade 1, abordaremos os conceitos gerais da Perícia Forense Computacional, apresentando sua contextualização histórica e como ela se consolidou como uma modalidade da ciência forense. Dentro do universo da investigação computacional, relacionaremos os tipos de exames periciais e seus procedimentos e traçaremos um panorama do papel do profissional de Computação Forense: o perito. Além disso, abordaremos os aspectos mais relevantes da segurança da informação, elencando seus princípios fundamentais e seus conceitos básicos. Estudaremos as diversas modalidades dos crimes cibernéticos, indicando sua tipificação. Apresentaremos os tipos de ataques mais usuais, demonstrando sua anatomia. Finalizando a unidade, conheceremos as principais ferramentas e técnicas utilizadas pelos ethical hacker. Em seguida, na Unidade 2, estudaremos as técnicas de computação forense e os processos periciais nos mais diversos dispositivos informáticos. Apresentaremos os equipamentos específicos para o processo de duplicação/ aquisição. No cenário da governança da segurança cibernética, relacionaremos as normas para Perícia Forense Computacional, elencando os requisitos para a definição de uma política de segurança alinhada com o processo investigativo, por meio da definição das trilhas de auditoria em sistemas e dispositivos. Finalizaremos abordando os aspectos importantes da legislação aplicada à Forense Computacional, traçando um cenário no direito brasileiro e no direito internacional. Por fim, na Unidade 3, aprenderemos um pouco mais sobre perícias em arquivos nos mais diversos formatos, como textos, imagens e áudios. Apresentaremos um conjunto de ferramentas que possui recursos tecnológicos para realizar perícias nos mais diversos tipos de arquivos e ambientes informáticos. Estudaremos o método que avalia as vulnerabilidades na segurança no ambiente computacional, conhecido como teste de penetração (penetration test – pentest). Abordaremos as metodologias e ferramentas utilizadas em um teste de penetração. Por fim, demonstraremos a sequência de execução de um pentest e analisaremos os logs gerado em um ataque em execução. Bom estudo! Prof.ª Rita de Cássia Cordeiro de Castro Você já me conhece das outras disciplinas? Não? É calouro? Enfim, tanto para você que está chegando agora à UNIASSELVI quanto para você que já é veterano, há novi- dades em nosso material. Na Educação a Distância, o livro impresso, entregue a todos os acadêmicos desde 2005, é o material base da disciplina. A partir de 2017, nossos livros estão de visual novo, com um formato mais prático, que cabe na bolsa e facilita a leitura. O conteúdo continua na íntegra, mas a estrutura interna foi aperfeiçoada com nova diagra- mação no texto, aproveitando ao máximo o espaço da página, o que também contribui para diminuir a extração de árvores para produção de folhas de papel, por exemplo. Assim, a UNIASSELVI, preocupando-se com o impacto de nossas ações sobre o ambiente, apresenta também este livro no formato digital. Assim, você, acadêmico, tem a possibilida- de de estudá-lo com versatilidade nas telas do celular, tablet ou computador. Eu mesmo, UNI, ganhei um novo layout, você me verá frequentemente e surgirei para apresentar dicas de vídeos e outras fontes de conhecimento que complementam o assun- to em questão. Todos esses ajustes foram pensados a partir de relatos que recebemos nas pesquisas institucionais sobre os materiais impressos, para que você, nossa maior prioridade, possa continuar seus estudos com um material de qualidade. Aproveito o momento para convidá-lo para um bate-papo sobre o Exame Nacional de Desempenho de Estudantes – ENADE. Bons estudos! NOTA Olá, acadêmico! Iniciamos agora mais uma disciplina e com ela um novo conhecimento. Com o objetivo de enriquecer seu conhecimento, construímos, além do livro que está em suas mãos, uma rica trilha de aprendizagem, por meio dela você terá contato com o vídeo da disciplina, o objeto de aprendizagem, materiais complemen- tares, entre outros, todos pensados e construídos na intenção de auxiliar seu crescimento. Acesse o QR Code, que levará ao AVA, e veja as novidades que preparamos para seu estudo. Conte conosco, estaremos juntos nesta caminhada! LEMBRETE sumárIo UNIDADE 1 — INTRODUÇÃO À COMPUTAÇÃO FORENSE E SEGURANÇA DA INFORMAÇÃO ................................................................... 1 TÓPICO 1 — CONCEITOS GERAIS DA PERÍCIA FORENSE COMPUTACIONAL ..................................................................................................... 3 1 INTRODUÇÃO .................................................................................................................................... 3 2 O QUE É CIÊNCIA FORENSE ......................................................................................................... 4 2.1 A FORENSE COMPUTACIONAL ............................................................................................... 5 3 INVESTIGAÇÃO FORENSE COMPUTACIONAL ...................................................................... 6 3.1 PRINCÍPIOS BÁSICOS DA FORENSE COMPUTACIONAL .................................................. 7 3.2 TERMOS IMPORTANTES ............................................................................................................. 9 3.3 CADEIA DE CUSTÓDIA ............................................................................................................. 12 4 TIPOS DE EXAMES PERICIAIS EM INFORMÁTICA ............................................................. 13 4.1 BOAS PRÁTICASDURANTE A COLETA DE EVIDÊNCIAS ............................................... 13 4.2 TIPOS DE EXAMES PERICIAIS EM INFORMÁTICA ............................................................ 15 4.3 ELEMENTOS DO PROCESSO DE INVESTIGAÇÃO ............................................................. 16 5 O PROFISSIONAL DE FORENSE COMPUTACIONAL ......................................................... 17 5.1 ATUAÇÃO DO PERITO EM COMPUTAÇÃO FORENSE ..................................................... 17 5.2 A FORMAÇÃO DO PERITO ....................................................................................................... 20 RESUMO DO TÓPICO 1..................................................................................................................... 21 AUTOATIVIDADE .............................................................................................................................. 22 TÓPICO 2 — SEGURANÇA DA INFORMAÇÃO......................................................................... 25 1 INTRODUÇÃO .................................................................................................................................. 25 2 OS PILARES DA SEGURANÇA DA INFORMAÇÃO .............................................................. 25 3 CONCEITOS BÁSICOS DA SEGURANÇA DA INFORMAÇÃO .......................................... 29 3.1 VULNERABILIDADES ................................................................................................................ 30 3.1.1 Vulnerabilidades de software ............................................................................................ 30 3.1.2 Vulnerabilidades de hardware .......................................................................................... 30 3.1.3 Vulnerabilidades de infraestrutura ................................................................................... 31 3.2 AMEAÇAS .................................................................................................................................... 32 3.3 ATIVO DA INFORMAÇÃO ........................................................................................................ 33 3.4 PROBABILIDADE ....................................................................................................................... 34 3.5 INCIDENTE DE SEGURANÇA DA INFORMAÇÃO ............................................................. 34 4 A IMPLEMENTAÇÃO DE UM SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO (SGSI) ................................................................................. 36 5 ARQUITETURA DE SEGURANÇA CIBERNÉTICA ................................................................. 38 5.1 ELEMENTOS FUNDAMENTAIS ............................................................................................... 39 5.2 ELEMENTOS COMPLEMENTARES ......................................................................................... 41 5.3 DESAFIOS DA SEGURANÇA CIBERNÉTICA ........................................................................ 41 RESUMO DO TÓPICO 2..................................................................................................................... 43 AUTOATIVIDADE .............................................................................................................................. 44 TÓPICO 3 — CRIMES CIBERNÉTICOS ......................................................................................... 47 1 INTRODUÇÃO .................................................................................................................................. 47 2 CRIMES COMETIDOS COM USO DO COMPUTADOR ........................................................ 47 2.1 TIPOS DE CRIMES CIBERNÉTICOS ......................................................................................... 48 3 TIPOS DE ATAQUES CIBERNÉTICOS ........................................................................................ 49 3.1 TIPOS DE INVASORES ............................................................................................................... 49 3.1.1 Scripts Kiddies ........................................................................................................................ 50 3.1.2 Hacker ................................................................................................................................... 50 3.1.3 Hacktivistas .......................................................................................................................... 51 3.2 TIPOS DE ATAQUES ................................................................................................................... 52 3.2.1 Ataques ativos ...................................................................................................................... 52 3.2.2 Ataques passivos .................................................................................................................. 52 3.3 MODALIDADES DE ATAQUES ............................................................................................... 52 3.3.1 Negação de serviço ............................................................................................................. 53 3.3.2 Sniffing .................................................................................................................................. 53 3.3.3 Exploração de vulnerabilidades ........................................................................................ 53 3.3.4 Varredura de redes ou Scan ................................................................................................ 54 3.3.5 Man-in-the-middle (MiTM) .................................................................................................. 54 3.3.6 Ataque de Dia Zero ............................................................................................................. 54 3.4 CÓDIGOS MALICIOSOS – MALWARES ................................................................................ 54 3.4.1 Worm (vermes) ..................................................................................................................... 55 3.4.2 Vírus ...................................................................................................................................... 55 3.4.3 Bot .......................................................................................................................................... 55 3.4.4 Spyware .................................................................................................................................. 55 3.4.5 Cavalo de Troia (Trojan) ...................................................................................................... 55 3.4.6 Rootkits ................................................................................................................................... 56 4 A ENGENHARIA SOCIAL E AS FRAUDES CIBERNÉTICAS ................................................ 57 5 ANATOMIA DE UM ATAQUE CIBERNÉTICO ......................................................................... 60 6 FERRAMENTAS E TÉCNICAS DE ETHICAL HACKER ........................................................... 64 LEITURA COMPLEMENTAR ............................................................................................................ 66 RESUMO DO TÓPICO 3..................................................................................................................... 70 AUTOATIVIDADE .............................................................................................................................. 71 REFERÊNCIAS ...................................................................................................................................... 73 UNIDADE 2 — TÉCNICAS DE COMPUTAÇÃO FORENSE E LEGISLAÇÃO ...................... 77 TÓPICO 1 — TÉCNICAS DE FORENSE COMPUTACIONAL .................................................. 79 1 INTRODUÇÃO ..................................................................................................................................79 2 CONCEITOS DE FUNÇÕES HASH E SUA AMPLA APLICAÇÃO NA COMPUTAÇÃO FORENSE ..................................................................................................... 79 2.1 FUNÇÃO HASH ........................................................................................................................... 82 3 A PERÍCIA EM DISPOSITIVOS DE ARMAZENAMENTO COMPUTACIONAL ............. 87 4 EQUIPAMENTOS FORENSES ESPECÍFICOS PARA DUPLICAÇÃO/AQUISIÇÃO ........ 91 RESUMO DO TÓPICO 1..................................................................................................................... 95 AUTOATIVIDADE .............................................................................................................................. 97 TÓPICO 2 — GOVERNANÇA DA SEGURANÇA CIBERNÉTICA .......................................... 99 1 INTRODUÇÃO .................................................................................................................................. 99 2 NORMAS PARA PERÍCIA FORENSE COMPUTACIONAL DO CONTEXTO DA SEGURANÇA CIBERNÉTICA ....................................................................... 99 3 A DEFINIÇÃO DE POLÍTICAS DE SEGURANÇA CIBERNÉTICA .................................... 104 4 ESTABELECENDO E INVESTIGANDO TRILHAS DE AUDITORIA EM SISTEMAS ....................................................................................................... 108 4.1 INVESTIGANDO E ESTABELECENDO TRILHAS DE AUDITORIA EM SISTEMAS ........... 110 4.2 APLICABILIDADE DE UMA TRILHA DE AUDITORIA .................................................... 112 RESUMO DO TÓPICO 2................................................................................................................... 115 AUTOATIVIDADE ............................................................................................................................ 117 TÓPICO 3 — LEGISLAÇÃO APLICADA À FORENSE COMPUTACIONAL ...................... 119 1 INTRODUÇÃO ................................................................................................................................ 119 2 A PERÍCIA FORENSE COMPUTACIONAL NO DIREITO INTERNACIONAL .............. 119 3 A JURISPRUDÊNCIA NACIONAL E ESTRANGEIRA .......................................................... 124 4 A PERÍCIA FORENSE COMPUTACIONAL NO DIREITO BRASILEIRO ........................ 126 LEITURA COMPLEMENTAR .......................................................................................................... 131 RESUMO DO TÓPICO 3................................................................................................................... 136 AUTOATIVIDADE ............................................................................................................................ 138 REFERÊNCIAS .................................................................................................................................... 141 UNIDADE 3 — PERÍCIA EM ARQUIVOS E TESTES DE INVASÃO..................................... 145 TÓPICO 1 — PERÍCIA EM ARQUIVOS ....................................................................................... 147 1 INTRODUÇÃO ................................................................................................................................ 147 2 PERICIANDO ARQUIVOS ........................................................................................................... 147 2.1 TIPOS DE EXAME (ANÁLISE AO VIVO X ANÁLISE OFF-LINE) ................................... 151 2.2 PERÍCIA EM VÍDEOS ................................................................................................................ 153 2.3 PERÍCIA EM ÁUDIOS .............................................................................................................. 155 2.4 PERÍCIA EM IMAGENS ............................................................................................................ 156 2.5 FERRAMENTAS PARA PERÍCIA EM ARQUIVOS............................................................... 157 RESUMO DO TÓPICO 1................................................................................................................... 161 AUTOATIVIDADE ............................................................................................................................ 163 TÓPICO 2 — TESTE DE INVASÃO – PENTEST .......................................................................... 165 1 INTRODUÇÃO ................................................................................................................................ 165 2 PENTEST ............................................................................................................................................ 165 2.1 PENTEST E A ANÁLISE DE VULNERABILIDADES ........................................................... 167 2.1.1 Gestão de Vulnerabilidades ............................................................................................. 168 3 ELEMENTOS QUE COMPÕEM UM PENTEST ........................................................................ 170 4 METODOLOGIAS E FERRAMENTAS PARA PENTEST ........................................................ 172 5 FERRAMENTAS DE ATAQUE E DEFESA ................................................................................. 177 RESUMO DO TÓPICO 2................................................................................................................... 179 AUTOATIVIDADE ............................................................................................................................ 181 TÓPICO 3 — ANALISANDO UM TESTE DE INVASÃO ......................................................... 183 1 INTRODUÇÃO ................................................................................................................................ 183 2 ANÁLISE DE UM TESTE DE INVASÃO ................................................................................... 183 3 DEMONSTRAÇÃO DE UM TESTE DE INVASÃO ................................................................. 186 4 ANÁLISE E AVALIAÇÃO DE VULNERABILIDADES E RISCO ......................................... 188 5 ANÁLISE DE LOGS ........................................................................................................................ 189 6 IDENTIFICANDO UM ATAQUE EM EXECUÇÃO ................................................................. 191 LEITURA COMPLEMENTAR .......................................................................................................... 198 RESUMO DO TÓPICO 3................................................................................................................... 201 AUTOATIVIDADE ............................................................................................................................ 203 REFERÊNCIAS .................................................................................................................................... 205 1 UNIDADE 1 — INTRODUÇÃO À COMPUTAÇÃO FORENSE E SEGURANÇA DA INFORMAÇÃO OBJETIVOS DE APRENDIZAGEM PLANO DE ESTUDOS A partir do estudo desta unidade, você deverá ser capaz de: • compreender os principais conceitos na área de computação forense; • entender o papel do profissional de forense computacional; • reconhecer a importância da governança da segurança cibernética; • distinguir tipos de crimes cibernéticos; • identificar os tipos de ataques cibernéticos. Esta unidade está dividida em três tópicos. No decorrer da unidade, você encontrará autoatividades com o objetivo de reforçar o conteúdo apresentado. TÓPICO 1 – CONCEITOS GERAIS DA PERÍCIA FORENSE COMPUTACIONAL TÓPICO 2 – SEGURANÇA DA INFORMAÇÃO TÓPICO 3 – CRIMES CIBERNÉTICOS Preparado para ampliar seus conhecimentos? Respire e vamos em frente! Procure um ambiente que facilite a concentração, assim absorverá melhor as informações. CHAMADA 2 3 TÓPICO 1 — UNIDADE 1 CONCEITOS GERAIS DA PERÍCIA FORENSE COMPUTACIONAL 1INTRODUÇÃO Prezado acadêmico, neste tópico abordaremos os conceitos gerais da Perícia Forense Computacional, veremos que a utilização de ambientes informáticos cresceu de forma exponencial nas últimas duas décadas, os crimes praticados nesses ambientes também tiveram sua escalada assustadora. A Figura 1 apresenta os tipos de exames constantes dos processos de investigação dos crimes digitais. Métodos e procedimentos oriundos da criminalística foram adaptados e adequados para a investigação dos crimes praticados no ciberespaço com auxílio de dispositivos informáticos ou que contenham informações em meio digital. O subtópico a seguir não tem como objetivo esgotar o assunto sobre o campo da Perícia Forense Computacional, pois este possui muitas vertentes, principalmente, quando se trata de investigações de crimes que são aperfeiçoados a cada dia. FIGURA 1 – PERÍCIA FORENCE COMPUTACIONAL FONTE: Adaptada de Eleutério e Machado (2019) UNIDADE 1 — INTRODUÇÃO À COMPUTAÇÃO FORENSE E SEGURANÇA DA INFORMAÇÃO 4 A perícia forense computacional alicerça-se em princípios e metodologias que devem seguir padrões rígidos para que a cena na qual o delito foi cometido não sofra qualquer tipo de alteração. Assim como a preservação da integridade das evidências encontradas. Daí a razão para que o profissional executor da perícia, o perito em computação forense, deve ter um conhecimento aprofundado nas mais diversas tecnologias que compõem o ambiente computacional. Para sua atuação, é desejável uma formação sólida, com certificações na área e um forte senso ético. A Figura 2, a seguir, apresenta, de forma resumida o principal objetivo da computação forense e seu propósito. FIGURA 2 – OBJETIVO E PROPÓSITO DA COMPUTAÇÃO FORENSE FONTE: Adaptada de Eleutério e Machado (2019) Esperamos que você aproveite o tema aqui abordado e siga nas leituras e pesquisas complementares. 2 O QUE É CIÊNCIA FORENSE Os pilares nos quais uma ciência se constrói devem possuir bases fundamentadas em metodologias e técnicas que permitam a construção do conhecimento de tal forma que se alcance a verdade dos fatos. Deve-se basear na hierarquização, organização e síntese dos conhecimentos, por meio de modelos e princípios gerais, que incluam as leis, as teorias, os postulados etc. TÓPICO 1 — CONCEITOS GERAIS DA PERÍCIA FORENSE COMPUTACIONAL 5 FIGURA 3 – PRINCÍPIO DE LOCARD FONTE: A autora A aplicabilidade dos métodos de pesquisa de determinado campo da ciência respalda-se no esforço de pesquisadores e estudiosos, que, ao longo do tempo, esforçaram-se para desenvolver um conjunto consolidado de procedimentos para sua utilização em bases científicas. Segundo Silva, (2020, p. 1), “O desenvolvimento da Ciência Forense vem percorrendo um longo caminho desde a antiguidade, em que as investigações criminais levavam em consideração as confissões e testemunhos das pessoas, pois as práticas forenses não eram padronizadas”. No entanto, um marco importante na sua trajetória evolutiva é atribuído ao pioneiro Edmond Locard (1877-1966), que sistematizou a investigação criminal, ao propor a teoria da transferência, a qual estabelece métodos para recolhimento e análise de vestígios. A teoria de Locard afirma que quando dois corpos entram em contato, eles deixam vestígios ou traços de si uns nos outros (VALENTIM; TOGNOLI, 2020, p. 6). Com sua teoria, Locard contribuiu com os estudos das impressões digitais. Locard formulou, ainda, o princípio básico da ciência forense, em que afirma que todo contato deixa uma marca, o que ficou conhecido como o princípio de Troca de Locard. Os métodos sistematizados por Locard dão suporte à atividade de investigação até os dias atuais, sendo aprimorados com tecnologias cada vez mais avançadas. A Figura 3 representa os elementos constantes da teoria de Locard aplicada aos crimes cibernéticos. 2.1 A FORENSE COMPUTACIONAL De maneira geral, podemos definir a Ciência Forense como um “conjunto de métodos e técnicas científicas aplicadas para a resolução de crimes” (SILVA, 2020, p. 1, grifo nosso), formando, assim, um arcabouço para apoio à investigação nas mais diversas modalidades de delitos e atividades criminosas. UNIDADE 1 — INTRODUÇÃO À COMPUTAÇÃO FORENSE E SEGURANÇA DA INFORMAÇÃO 6 Sendo assim, com os avanços no uso das mais diversas tecnologias digitais, seja a informática, a computação de alto desempenho ou a comunicação móvel, surge a Perícia Forense Computacional. Baseada nos preceitos da Ciência Forense, a Perícia Forense Computacional, segundo Eleutério e Machado (2019, p. 12), [...] tem como objetivo determinar a dinâmica, a materialidade e autoria de ilícitos ligados à área de informática, ambientes computacionais e seus dispositivos, tendo como questões principal a identificação e o processamento de evidências digitais em provas materiais de crime, por meio de métodos técnicos-científicos, conferindo-lhes validade probatória em juízo. Nos próximos subtópicos, iremos nos aprofundar nos conceitos da Perícia Forense Computacional e seus procedimentos metodológicos. ESTUDOS FU TUROS 3 INVESTIGAÇÃO FORENSE COMPUTACIONAL Já sabemos que a Perícia Forense Computacional se utiliza de métodos e procedimentos oriundos da Ciência Forense, consequentemente, da ciência criminalística, para realização de investigações de crimes praticados em ambientes informáticos ou computacionais. Ela se consolida em um conjunto de aplicações, técnicas, ferramentas e procedimentos, que juntos irão construir a materialidade de um crime cibernético. A seguir, iremos abordar os principais princípios que norteiam seus procedimentos periciais. A Figura 4 apresenta as etapas constantes de um processo de investigação forense digital de forma resumida. No decorrer da unidade, abordaremos os elementos chaves do processo de investigação. TÓPICO 1 — CONCEITOS GERAIS DA PERÍCIA FORENSE COMPUTACIONAL 7 FIGURA 4 – A INVESTIGAÇÃO FORENSE FONTE: A autora 3.1 PRINCÍPIOS BÁSICOS DA FORENSE COMPUTACIONAL Segundo Hassan (2019, p. 20), “a perícia computacional forense, baseia se no conhecimento científico para coletar, analisar, documentar e apresentar evidências digitais relacionadas a crimes no computador”. Os objetivos de todas essas etapas que são norteados por normas e padrões de referência, é saber o que foi feito, quando foi feito e quem fez. Para se alcançar os resultados satisfatórios a que se propõe uma investigação forense é necessário a implementação de padrões rigorosos que, segundo Hassan (2019, p. 20), “atendam ao interrogatório cruzado no tribunal. O que inclui a obtenção de dados (tanto estáticos quanto voláteis), de maneira legalmente válida”. Ao utilizar uma classificação generalizada, a perícia computacional forense divide-se em dois segmentos, que se sustentam, em parte, na volatilidade dos dados e no estado operacional da cena do crime, a saber: a Live forensics, que ocupasse do estado operacional dos dispositivos e dos dados voláteis, que possui um tempo de vida curto; e a perícia post-mortem, que, segundo Hassan (2019, p. 35, grifo nosso), “trata-se de um cópia espelho das informações armazenadas eletronicamente (Electronically Stored Information – ESI), a partir da unidade de disco rígido de um computador, de um celular, de um tablet ou PDA, ou de outra mídia de armazenamento (como CDs/DVDs e pendrives), entre outros locais, de maneira sistemática”, tendo seu foco a análise de documentos digitais. UNIDADE 1 — INTRODUÇÃO À COMPUTAÇÃO FORENSE E SEGURANÇA DA INFORMAÇÃO 8 A Figura 5, a seguir, apresenta a ordem de investigação dos dados em um ambiente informático de acordo com a volatilidade de cada dispositivo, como preconiza os procedimentos para execução de uma perícia dotipo live forensics. FIGURA 5 – ORDEM DE VOLATILIDADE PARA UM SISTEMA TÍPICO FONTE: Adaptada de ABNT (2013) A coleta das evidências nesses dispositivos deverá ser realizada seguindo a ordem de volatilidade do tempo de vida dos dados. Em um processo investigativo não devemos menosprezar os dados arquivados nesses componentes, pois muitas vezes poderemos encontrar informações valiosas que comprovem a autoria do delito. Segundo Lopes (2018, p. 27), o processo de investigação forense computacional pode ser composto pelas etapas a seguir, podendo variar de nomenclatura entre autores. • coleta dos dados; • exame; • análise; • relatório. TÓPICO 1 — CONCEITOS GERAIS DA PERÍCIA FORENSE COMPUTACIONAL 9 No Subtópico 4.3, veremos um pouco mais das etapas do processo de investigação forense computacional, e também na Unidade 2, quando iremos abordar as normas e padrões de referência que estabelecem princípios orientadores para a coleta e tratamento de evidências digitais. ESTUDOS FU TUROS Por ora, abordaremos os princípios da Perícia Forense Computacional, originários da criminalística, que devem ser garantidos e observados em uma investigação, principalmente pelo perito. Encontraremos referências a estes princípios em Queiroz e Vargas (2010), Eleutério e Machado (2019) e Hassan (2019): • Princípio da objetividade: o perito, principal executor da investigação, deve esclarecer a finalidade dos exames em seu laudo, esclarecendo qual conduta foi adotada e qual tipo de informação ele deve procurar neste ponto, a equipe de investigação define as diretrizes e o escopo do trabalho de forma objetiva. • Princípio da especificidade: para resguardar este princípio, o perito deve utilizar as ações e buscas especificadas no início da investigação que, por conseguinte, estejam documentadas. Não se deve direcionar ações técnicas que não estejam previamente documentadas. • Princípio da síntese: é a capacidade que o perito deve possuir de consolidar e demonstrar todo o conjunto de informações coletadas durante o procedimento pericial. Um cuidado especial deverá ser dado ao uso de definições dos termos técnicos oriundos da tecnologia da informação. Lembre-se que nem todos tem conhecimentos dos termos da informática. • Princípio da máxima preservação: o perito deve fazer uso, sempre que possível, de técnicas menos invasivas visando à preservação da prova analisada. • Princípio da celeridade: visa priorizar todos os procedimentos técnicos que tenham como função garantir o estado das coisas. Neste caso específico, o perito utiliza o que chamamos de ordem de volatilidade, analisando o material mais volátil para o menos volátil, de forma a garantir a preservação de evidências importantes. 3.2 TERMOS IMPORTANTES Antes de prosseguir, vamos aprender a diferenciar o significado de conceitos da Forense Computacional que certamente aparecerão em uma perícia. Por exemplo, em uma investigação, a equipe envolvida trabalha buscando identificar vestígios, indícios ou evidências de um crime que o autor tenha deixado. Segundo Aguiar (2019), esses elementos poderão dar materialidade e indicar a autoria do delito, sendo eles: UNIDADE 1 — INTRODUÇÃO À COMPUTAÇÃO FORENSE E SEGURANÇA DA INFORMAÇÃO 10 • Vestígio: segundo Aguiar (2019, p. 12), “[...] é qualquer sinal, objeto ou marca que possa, supostamente, ter relação como o criminoso”. • Evidência: segundo Aguiar (2019, p. 12), “[...] é o vestígio que após analisado tecnicamente pela perícia, constata-se ter ligação com o crime”. • Indício: o Código de Processo Penal considera indício a circunstância relacionada com o delito que pressupõe a existência de outras circunstâncias ou vestígios. Tal definição encontra se no Art. 239 do CPP (BRASIL, 1941). Daremos especial atenção às evidências encontradas, destacando características que deverão ser observadas em um procedimento investigativo, sendo necessário analisar a sua relevância e importância no contexto ou escopo dos fatos ocorridos. A identificação de evidências exige um conhecimento aprofundado do perito. A Figura 6 representa o registro de logs do sistema, em geral, uma fonte importante de vestígios de crimes virtuais, uma vez que registra atividades suspeitas no ambiente. FIGURA 6 – VESTÍGIOS FONTE: A autora Vejamos, agora, os parâmetros que medem o valor da evidência e que devem ser observados no processo pericial (PINHEIRO, 2021, p. 125): • Admissibilidade: ter condições de ser usada no processo. • Autenticidade: ser certa e de relevância para o caso. • Materialidade: é a capacidade da evidência em ajudar a reproduzir os fatos ocorridos. • Credibilidade: que é a clareza, de fácil entendimento e interpretação. • Confiabilidade: não devem existir dúvidas sobre sua veracidade e autenticidade. TÓPICO 1 — CONCEITOS GERAIS DA PERÍCIA FORENSE COMPUTACIONAL 11 Além disso, devemos compreender, ainda, que as evidências digitais são classificadas em dois tipos, a saber: evidências físicas e evidências demonstrativas, detalhadas a seguir. • Evidências físicas: são vestígios coletados no local do delito, que se relacionam diretamente com o crime. Segundo Hassan (2019, p. 36), “[...] são evidências criadas pelo usuário com uso de um dispositivo digital”. Devido às particularidades dos crimes em ambientes informáticos, as evidências físicas são preservadas a partir da adoção de procedimentos que garantam a integridade das informações em meio digital. Na Unidade 2 veremos as normas que estabelecem os procedimentos para tratamentos das evidências. Em um cenário de investigação de crimes cibernéticos, citamos como evidência física um computador ligado rodando softwares envolvidos no delito. Neste caso, o equipamento não poderá ser desligado para que a evidência não seja destruída ou que a cena seja contaminada. O perito usará procedimentos específicos, que veremos mais adiante, para preservar a evidência neste caso. • Evidências demonstrativas: originalmente produzidas a partir da evidência física. Segundo Hassan (2019, p. 36) “este tipo de evidência digitais são criadas por máquinas e dispositivos digitais”, tais como, logs de computadores, logs de roteadores, registros de logs, dados em cache e registradores, dentre outros, uma vez que se originam das evidências físicas, tais como computadores e seus periféricos. Segundo Hassan (2019, p. 40), “[...] a evidência digital deve ser examinada somente por profissionais treinados que tenham a habilidade e o conhecimento necessário manipular dados sensíveis. Qualquer manipulação errada na evidência poderá destruir toda a investigação”. Devido à diversidade de dados, é possível que alguma evidência importante possa passar despercebida, somente um profissional bem treinado será capaz de encontrá-la. Para Aguiar (2019), toda e qualquer informação digital capaz de determinar que houve uma intrusão ou que se caracterize como alguma ligação entre o atacante poderá ser considerada como uma evidência. A Figura 7 relaciona algumas das principais fontes de evidência em um sistema computacional. No caso da Perícia Forense Computacional, as fontes de evidências podem ser as descritas a seguir – esta lista não é definitiva, tudo vai depender do escopo e do cenário do delito, que para Hassan (2019, p. 36) são: • dispositivos de armazenagem na CPU (registradores e caches); • memória de periféricos (roteadores, switches, impressoras etc.); • memória principal; • tráfego da rede; • dispositivos de armazenagem secundária; • logs de utilização do sistema operacional; • trilhas de auditoria nos sistemas; • aparelhos celulares e tablets, dentre outros. UNIDADE 1 — INTRODUÇÃO À COMPUTAÇÃO FORENSE E SEGURANÇA DA INFORMAÇÃO 12 FIGURA 7 – FONTES DE EVIDÊNCIA FONTE: A autora 3.3 CADEIA DE CUSTÓDIA A apreensão envolvendo dispositivosinformáticos deve levar em conta a diversidade de ambientes e equipamentos, que de alguma forma pode armazenar vestígios e evidências do delito. Portanto, é de suma importância a aplicação dos procedimentos da cadeia de custódia. No contexto legal, cadeia de custódia visa resguardar as evidências físicas ou eletrônicas por meio do registro da documentação cronológica ou histórica que registra a sequência de custódia, controle, transferência, análise e disposição (BRASIL, 2013). Nos registros de custódia, deve ficar estabelecido quem, como e onde os elementos foram manuseados e analisados, garantindo assim que não houve adulteração das provas. Segundo Eleutério e Machado (2019), o perito deve seguir quatro etapas básicas para que se dê início a cadeia de custódia, a saber: • O que apreender? • Como apreender? • Como descrever o material apreendido? • Como acondicionar e transportar o material apreendido? Para garantir que os procedimentos da cadeia de custódia sejam observados, o perito deve ser capaz de descrever claramente como a evidência foi encontrada, como ela foi tratada e tudo o que aconteceu com ela. A NBR ISO/IEC 27037:2013, que veremos na Unidade 2, serve como orientação para essa tarefa. Dessa forma, devem ser documentados: TÓPICO 1 — CONCEITOS GERAIS DA PERÍCIA FORENSE COMPUTACIONAL 13 • onde, quando e por quem a evidência foi descoberta e coletada; • onde, quando e por quem as evidências foram tratadas ou examinadas; • quem teve a custódia da evidência, durante o período; • como foi armazenado; • quando a evidência mudou de custódia, quando e como ocorreu a transferência (inclui números de envio etc.). A RFC 3227 (BREZINSLI; KILLALEA, 2002), embora seja um documento de referência antigo, estabelece princípios orientadores para a coleta de evidência, além de descrever os elementos da cadeia de custódia para crimes informáticos. Veremos na Unidade 2 os procedimentos para execução da cadeia de custódia, em consonância com as normas vigente que definem as etapas para sua realização. O não atendimento rigoroso de suas etapas poderá comprometer a investigação na sua totalidade e, consequentemente, invalidar provas perante o juiz. 4 TIPOS DE EXAMES PERICIAIS EM INFORMÁTICA Agora que já conhecemos alguns dos princípios que devem ser seguidos pelo perito em um procedimento pericial, vamos começar a detalhar melhor os procedimentos e técnicas utilizadas em uma investigação de Forense Computacional. 4.1 BOAS PRÁTICAS DURANTE A COLETA DE EVIDÊNCIAS Como visto, a perícia forense computacional busca recuperar, por meio de um processo de investigação, informações, que possam ser evidências de um delito, em dispositivos digitais. O processo forense inclui quatro etapas: coleta, exame, análise e relatórios. No entanto, é preciso definir um código de boas práticas para que as evidências não percam seu valor por descuido ou ausência de conhecimento do perito. Brezinsli e Killalea (2002), em sua RFC 3227, oferecem diretrizes para coleta e arquivamento de evidências digitais. A RFC 3227 estabelece procedimentos para a coleta de evidências digitais com base na volatilidade dos dados. A cadeia de custódia envolve a coleta, manuseio e armazenamento seguro de evidências, conforme fluxo representado na Figura 8. UNIDADE 1 — INTRODUÇÃO À COMPUTAÇÃO FORENSE E SEGURANÇA DA INFORMAÇÃO 14 FIGURA 8 – FONTES DE EVIDÊNCIA FONTE: Adaptada de Brezinsli e Killalea (2002) Devemos lembrar que o sucesso da investigação depende do correto manuseio das evidências encontradas, bem como a preservação de todos os dados obtidos. Cabe ressaltar que as práticas aqui recomendadas estão propostas na sua integridade na RFC 3227 (BREZINSLI; KILLALEA 2002, p. 2, tradução nossa): • observe se o local possui uma política de segurança, consulte o pessoal responsáveis pela resposta a incidente; • capture uma imagem do sistema; • seja organizado e anote datas, horários e o máximo de informações relevantes possível. Observe o fuso horário correto. As notas e impressões devem ser assinadas e datadas; • evite modificar ou atualizar os tempos de acesso aos arquivos e diretórios; • a coleta da evidência deve ser realizada antes da análise; • utilize procedimentos automatizados, além de uma metodologia que respalde sua coleta. Você pode ler a RFC 3227 na íntegra, em: https://bit.ly/3ixmeIJ. DICAS TÓPICO 1 — CONCEITOS GERAIS DA PERÍCIA FORENSE COMPUTACIONAL 15 4.2 TIPOS DE EXAMES PERICIAIS EM INFORMÁTICA Devido ao aumento da demanda para investigações em ambientes informáticos, é preciso estabelecer uma padronização para realização dos exames nos diversos equipamentos, dispositivos, sistemas e aplicações. Eleutério e Machado (2019) relacionam os tipos de exames de perícia forense computacional nas seguintes modalidades: • Exame e procedimentos em locais de crime de informática: segundo Eleutério e Machado (2019), este tipo de exame caracteriza-se pelo mapeamento, identificação e correta preservação dos equipamentos computacionais apreendidos, objetivando a preservação das evidências para posterior exame em laboratório. • Exame em dispositivos de armazenamento computacional: são os mais solicitados, consistindo em analisar arquivos, sistemas e programas instalados nos diversos meios de armazenamento computacional. • Exames em aparelhos de telefone celular: utiliza ferramenta de extração de dados capaz de recuperar dados apagados e informações armazenadas. • Exame em mensagens eletrônicas (e-mails): correspondem basicamente à análise das propriedades das mensagens eletrônicas, com vistas a identificar hora, data, endereço IP e outras informações do remetente da mensagem. • Exames em sites da internet: consistem principalmente na verificação e cópia dos conteúdos existentes em sites e servidores remotos dos mais variados serviços. Segundo Brezinsli e Killalea (2002, p. 2), “[...] para cada dispositivo, uma abordagem metódica deve ser adotada, que segue as diretrizes estabelecidas em seu procedimento de coleta, exame, análise e resultados obtidos”. No ciclo de investigação forense, as etapas, do procedimento pericial, englobam as fases descritas na Figura 9, coleta, exame, análise e resultados obtidos. FIGURA 9 – CICLO DA INVESTIGAÇÃO DE FORENSE COMPUTACIONAL UNIDADE 1 — INTRODUÇÃO À COMPUTAÇÃO FORENSE E SEGURANÇA DA INFORMAÇÃO 16 FONTE: Adaptada de <https://bit.ly/3Bdgbjb>. Acesso em: 21 jun. 2021. 4.3 ELEMENTOS DO PROCESSO DE INVESTIGAÇÃO As etapas listadas no Subtópico 3.1 são definidas em vários padrões de referência, no Brasil temos a NBR ISO/IEC 27037:2013, que propõe diretrizes para identificação, coleta, aquisição e preservação de evidência digital. O Internet Engineering Task Force (IETF) adota como padrão a Request for Comments (RFC) 3227, que apresenta diretrizes para coleta e arquivamentos de evidências digitais. Nos Estados Unidos o National Institute of Standards and Technology (NIST), agência reguladora federal, propõe a padronização por meio da sua norma NIST-800-86 (Guia para Integração de Técnicas Forense e Resposta a Incidente). Agora, iremos conhecer um pouco melhor cada uma dessas etapas, que, juntas, compõem parte dos procedimentos de investigação. Coleta dos dados: nesta fase, o perito deve ater-se aos cuidados com a integridade do material coletado. Para isso, o perito pode contar com uma variedade de softwares (ferramentas) que o auxiliarão no processo de coleta, garantindo a adequação aos padrões internacionais que prevê os requisitos para garantia da integridade da evidência digital. Segundo Brezinsli e Killalea (2002) o procedimento de coleta deve ser o mais detalhado possível. Deve ser inequívocos e deve minimizar a quantidade de decisão necessáriadurante o processo de coleta. Nesta etapa o perito deve realizar uma captura física da unidade de armazenamento, ou seja uma cópia bit a bit, que fideliza a imagem coletada (HASSAN, 2019). Exame: nesta fase, o trabalho do perito relaciona-se com a aplicação de métodos, para a recuperação, preservação e organização dos dados obtidos na coleta. Então, nesta etapa, o uso de ferramentas para forense computacional, como o EnCase, Sleuth Kit e o Forensics Toolkit (FTK), é importante, pois certificam a adoção de procedimentos cientificamente comprovados e inquestionáveis. Convém ressaltar que todo “o processo de exame é realizado na imagem forense ou disco que foi duplicado na cena do crime” (LOPES, 2018, p. 29). TÓPICO 1 — CONCEITOS GERAIS DA PERÍCIA FORENSE COMPUTACIONAL 17 Análise: nesta etapa, o conteúdo dos arquivos de imagem forense é, de fato, analisado. Aqui o perito deverá aplicar seu conhecimento no uso das diversas ferramentas de análise forense computacional, “com o objetivo de encontrar evidências escondidas” (HASSAN, 2019, p. 45). Para auxiliar na etapa de análise, encontramos no mercado ferramentas especializadas, como o EnCase, Sleuth Kit, o Volatily e o Forensics Toolkit (FTK), dentre outras. O uso de tais ferramentas maximiza o tempo de análise do material coletado, além de certificar que os requisitos de boas práticas em computação forense foram respeitados, pois são concebidas em conformidade com os padrões de referência internacional. Resultado: trata-se da última fase do procedimento de investigação forense computacional, caracterizado pela escrita da redação e apresentação do relatório que contém o laudo pericial. Para Eleutério e Machado (2019, p. 109) “a redação do laudo pericial, é o momento em que serão organizadas todas as informações levantadas durante o processo de investigação”. Por ser o documento que será apresentado ao juiz, o laudo deverá ter uma redação clara, coerente e caso haja a necessidade de utilização de termos técnicos será preciso explicá-los. Neste momento, o perito deverá exercer sua capacidade de síntese, pois o texto deverá conter o detalhamento das evidências, os métodos utilizados, “descrevendo os procedimentos, técnicas e ferramentas que foram utilizadas” (HASSAN, 2019, p. 319). O laudo deverá contar ainda com anexos, onde serão inseridas toda a documentação gerada. 5 O PROFISSIONAL DE FORENSE COMPUTACIONAL O profissional habilitado a conduzir e executar perícias e investigações em ambientes computacionais é o Perito em Computação Forense. Dentre suas atribuições, está a análise de ambientes digitais (sistemas, hardwares, softwares e mídias) objetivando a detecção de delitos, fraudes e outras tantas modalidades de crimes cibernéticos. A intervenção do perito em ambientes informáticos, onde possa ter ocorrido um delito, nesses sistemas é necessário realizar o levantamento de evidências, que servirão como comprovação de um crime. As evidências digitais, possuem a particularidade de se perder com muita facilidade, devido a sua característica volátil. Assegurar sua integridade é papel do perito, que precisar ter conhecimento das ferramentas e procedimentos para esta finalidade. Cabe ressaltar que o perito deve obedecer aos princípios, já mencionados, da perícia forense computacional em todas as etapas do procedimento investigatório. 5.1 ATUAÇÃO DO PERITO EM COMPUTAÇÃO FORENSE Dentre as diversas atribuições que um perito em computação forense lida no decorrer do seu trabalho podemos citar, segundo Eleutério e Machado (2019, p. 12), “[...] peritos elaborarão o laudo pericial, no qual descreverão minuciosamente o que examinarem e responderão aos quesitos formulados”. UNIDADE 1 — INTRODUÇÃO À COMPUTAÇÃO FORENSE E SEGURANÇA DA INFORMAÇÃO 18 Nos processos de coleta e análise, o perito deve respeitar os princípios vistos no Subtópico 3.1, atentando para a máxima preservação que garante a mínima interferência no ambiente periciado, o que exige destreza no manuseio das ferramentas utilizadas para esses propósitos. Com relação ao respeito e atendimento às leis e legislação específica, o quesito que irá garantir a legitimidade e licitude da prova é uma questão central, uma vez que somente uma evidência adquirida dentro dos procedimentos padronizados poderá ser aceita em juízo, servindo como prova legalmente válida para solucionar um crime. Em outras palavras, o perito forense computacional deve reunir conhecimentos de áreas como direito, uma vez que deverá conhecer a legislação atualizada, da informática (no trato com as ferramentas, aplicações e manuseio do hardware), além do domínio da escrita, para elaboração dos laudos, relatórios e formulação dos quesitos. A atuação do perito em computação forense pode ser realizada das seguintes formas: • Perito judicial ou perito nomeado: nomeado pelo juiz, são profissionais especialistas da área, de nível universitário, devidamente inscritos no órgão de classe competente. Sendo sua convocação respaldada pelo Código de Processo Civil, que foi alterado pela Lei nº 13.105, de 16 de março de 2015, que acrescenta os parágrafos a seguir. Art. 156 [...] § 1º - Os peritos serão escolhidos entre profissionais de nível universitário, devidamente inscritos no órgão de classe competente, respeitado o disposto no Capítulo VI, seção VII, deste Código. § 2º - Os peritos comprovarão sua especialidade na matéria sobre que deverão opinar, mediante certidão do órgão profissional em que estiverem inscritos. § 3º - Nas localidades onde não houver profissionais qualificados que preencham os requisitos dos parágrafos anteriores, a indicação dos peritos será de livre escolha do juiz” (BRASIL, 2015). • Assistente técnico: trata-se de um profissional especialista em informática, geralmente da área de computação forense, contratado por uma das partes em um processo civil, para formulação de quesitos que exijam domínio da linguagem técnica e conhecimento para interpretação dos termos. Sua atuação é garantida pelo Código de Processo Civil, no Art. 159: “§ 3º Serão facultadas ao Ministério Público, ao assistente de acusação, ao ofendido, ao querelante e ao acusado a formulação de quesitos e indicação de assistente técnico” (BRASIL, 2015). • Perito oficial: pode ser nomeado judicialmente, desde que seja ocupante de cargo público (concursado), atuando como peritos especialistas em informática da polícia, seja civil (do estado) ou federal (BRASIL, 1941). • Consultor: profissionais especialistas em informática, que atuam em empresas privadas na função de auditores de sistemas, por exemplo, ou consultores independentes, podem proceder uma investigação, quando contratados para tal (LOPES, 2018). Tendo seu relatório final o mesmo peso que um parecer perante a corte da lei. TÓPICO 1 — CONCEITOS GERAIS DA PERÍCIA FORENSE COMPUTACIONAL 19 O infográfico apresentado na Figura 10 apresenta informações sobre a classificação e funções desempenhadas pelo perito em um processo de investigação. FIGURA 10 – PAPEIS DO PERITO FORENSE FONTE: Adaptado de Lopes (2018, p. 12) https://www.shutterstock.com/pt/image-photo/investigation-crime-inspector-takes-fingerprints-suspect-527027803 UNIDADE 1 — INTRODUÇÃO À COMPUTAÇÃO FORENSE E SEGURANÇA DA INFORMAÇÃO 20 5.2 A FORMAÇÃO DO PERITO Para atuar profissionalmente como perito em forense computacional, faz-se necessária a junção de habilidades específicas, iniciando-se por um curso superior na área e certificações que complementam o perfil do profissional. Vejamos, a seguir, algumas características do perfil profissional do perito em computação forense. • Conhecimento em informática, funcionamento dos sistemas operacionais, infraestruturacomputacional, sistemas de arquivos, dentre outros. • Conhecimento dos domínios da segurança da informação, principalmente da gestão de vulnerabilidade, redes de computadores, mecanismos e serviços de segurança cibernética. • Conhecimento dos princípios do direito eletrônico e digital. • Domínio das ferramentas, técnicas e metodologias da perícia forense computacional. • Familiaridade com a leitura de logs e registros de trilha de auditorias. • Pensamento lógico. • Conhecimento das leis envolvidas. No Brasil, são ofertadas diversas certificações que capacitam o profissional a atuar como perito em forense computacional, bastando uma busca rápida na web para encontrar diversas empresas provedoras das certificações. Por exemplo, a Computer Hacking Forensic Investigator (CHFI) da EC-Council é uma certificação que prepara o profissional para a condução de auditorias que visam prevenir futuros incidentes. Recomenda-se também a System Administration, Networking, and Security Institute (SANS). No Brasil, é impossível não mencionar o Grupo Perícia Forense Aplicada à Informática, que, há bons anos, cumpre sua missão de reunir e servir de apoio aos profissionais de forense digital. Que tal conhecer um pouco mais da formação de hacker ethical. Verifique o UNI DICAS que preparamos para você referente ao tema. • CHFI – Computer Hacking Forensic Investigator: https://www.eccouncil.org/. • GCFA – GIAC Certified Forensic Analyst: https://www.sans.org/cyber-security-courses/. • GCFE – GIAC Certified Forensic Examiner: https://www.sans.org/cyber-security-courses/. DICAS https://www.eccouncil.org/ https://www.sans.org/cyber-security-courses/ https://www.sans.org/cyber-security-courses/ 21 Neste tópico, você aprendeu que: • Os princípios que norteiam os processos de investigação de uma perícia forense computacional são oriundos da criminalística. Esses foram adaptados e adequados para a investigação dos crimes praticados no ciberespaço e/ ou praticados com auxílio de dispositivos informáticos ou que contenham informações em meio digital. • A ordem de volatilidade dos componentes analisados em om procedimento de Forense Computacional é uma recomendação de boas práticas, que visa garantir o estado das coisas. Então, a etapa de coleta se iniciará do dispositivo que possui maior volatilidade de seus dados, para o de menor volatilidade. • Os padrões de referência auxiliam o perito na escolha dos procedimentos metodológicos, que respaldarão o resultado da perícia. Uma vez que o laudo pericial é o documento que será apresentado ao juiz. O qual deverá ter uma redação clara, coerente e, caso haja a necessidade de utilização de termos técnicos, será preciso explicá-los. • As etapas básicas de um procedimento investigativo são executadas com o auxílio de ferramentas para forense computacional, desenvolvidas para dar celeridade e conformidade ao processo. • O mercado oferece certificações para os profissionais que queiram se especiali- zar e atuar como perito extrajudicial. • Os peritos judiciais são servidores públicos de carreira, concursados para exercer esta função. RESUMO DO TÓPICO 1 22 1 Com base nos preceitos da Perícia Forense Computacional, dentre os quais se incluem a determinação da dinâmica, a materialidade e autoria de ilícitos ligados à área de informática, em ambientes computacionais e seus dispositivos. Temos como questões principais a identificação e o processamento de evidências digitais, como provas materiais de um crime. Sobre os procedimentos técnicos e científicos adotados em uma perícia, assinale a alternativa CORRETA: a) ( ) As evidências encontradas durante o procedimento pericial, por meio de métodos técnicos-científicos, conferem validade probatória em juízo. b) ( ) As evidências encontradas durante o procedimento pericial, por meio de métodos técnicos-científicos, não conferem validade probatória em juízo. c) ( ) Se as evidências, ao serem coletadas, não tiveram a ordem de volatilidade observada, não confere validade em juízo. d) ( ) As evidências encontradas fora do escopo delineado pela equipe conferem validade probatória em juízo, uma vez que se caracteriza como princípio da materialidade. 2 Considera-se os princípios da Perícia Forense Computacional, originários da criminalística, que devem ser garantidos e observados em uma investigação, a saber: princípio da objetividade, da síntese e da especificidade. Com base nas definições de tais princípios, analise as sentenças a seguir: I- O princípio da objetividade se relaciona ao requisito para esclarecer a finalidade dos exames no laudo, estabelecendo qual conduta foi adotada e qual tipo de informação ele deve procurar. II- O princípio da especificidade se relaciona com ações e buscas, mesmo que essas diligências não estejam documentas no escopo da investigação. III- O princípio da síntese se relaciona com a capacidade que o perito deve possuir de consolidar e demonstrar todo o conjunto de informações coletadas durante o procedimento pericial. Assinale a alternativa CORRETA: a) ( ) As sentenças I e II estão corretas. b) ( ) Somente a sentença II está correta. c) ( ) As sentenças I e III estão corretas. d) ( ) Somente a sentença III está correta. AUTOATIVIDADE 23 3 No contexto legal, a cadeia de custódia visa resguardar as evidências físicas ou eletrônicas por meio do registro da documentação cronológica ou histórica que registra a sequência de custódia, controle, transferência, análise e disposição. No processo de coleta de uma evidência, em uma cena de crime em um computador que ainda está ligado, em que você precisa preservar o máximo de vestígios possíveis, a utilização de boas práticas é essencial. Seguindo os procedimentos inerentes da cadeia de custódia e aplicando as melhores práticas, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Não desligue o computador. Documente o passo a passo de todo o processo, anotando data, hora e checando o fuso horário do local. ( ) No caso de o computador estar ligado, desligue-o, desconecte todos os cabos de energia, embale cuidadosamente o computador, etiquete com dados da cena do crime e leve tudo para o laboratório. ( ) Seja organizado. Anote datas, horários e o máximo de informações relevantes possível, incluindo os logs de acesso ao computador. Observe a hora constante no sistema operacional. As notas e impressões devem ser assinadas e datadas. Assinale a alternativa que apresenta a sequência CORRETA: a) ( ) V – F – F. b) ( ) V – F – V. c) ( ) F – V – F. d) ( ) F – F – V. 4 Disserte sobre os procedimentos investigativos que o perito deve adotar em um cenário de crime de posse, transmissão e/ou produção de pornografia infanto-juvenil. 5 Em um cenário de buscas e apreensões de informática, o tipo de investigação é um fator a ser considerado para a tomada de decisão sobre apreender ou não determinados equipamentos computacionais. Supondo que a investigação é sobre a falsificação de documentos com impressão, disserte sobre os princípios que o perito deve observar para a apreensão e análise dos equipamentos envolvidos no delito. 24 25 TÓPICO 2 — UNIDADE 1 SEGURANÇA DA INFORMAÇÃO 1 INTRODUÇÃO Prezado acadêmico, antes de iniciarmos nossos estudos, vamos compreender a importância da segurança da informação no contexto forense computacional, campo que ganhou destaque e importância nos últimos anos devido ao aumento de utilização das TICs. A área é decorrente da expansão do uso de dispositivos informáticos e especialmente pela utilização das redes de dados que, por meio de tecnologias como a Internet da Coisas (Internet of Things – IoT), que possuem a capacidade cadavez maior de coletar, processar, armazenar e compartilhar grandes quantidades de informações digitais. Esse volume de dados, que cresce exponencialmente, necessita de infraestruturas computacionais cada vez mais seguras. Isso porque, quanto mais informações digitais são coletadas e compartilhadas, mais sua proteção torna-se essencial, pois transformam-se em alvo potencial para a prática de diversas modalidades de crimes. O subtópico a seguir tem como objetivo estabelecer uma ligação dos conceitos do campo da segurança da informação com os preceitos da Computação Forense, uma vez que um ambiente computacional inseguro possibilita a prática de crimes informáticos, principalmente em um ambiente organizacional. Devido à natureza da nossa disciplina, daremos ênfase à proteção de informações armazenadas em meios digitais, aqui denominada segurança cibernética. Veremos que a principal motivação para as violações de ambientes digitais é a rentabilidade nas negociações de informações pessoais ou corporativas. As invasões e ataques a sistemas no mundo inteiro vêm causando enormes prejuízos financeiros, que vão muito além da substituição de um dispositivo roubado ou da recuperação de uma base de dados sequestrada por hackers – vítimas de roubo ou vazamentos de dados, empresas e indivíduos têm suas reputações destruídas e perdas financeiras irreparáveis. 2 OS PILARES DA SEGURANÇA DA INFORMAÇÃO Por trás de um ataque cibernético ou de uma invasão não autorizada a sistemas, pode haver uma infinidade de motivações, como veremos no tópico sobre crimes cibernéticos. 26 UNIDADE 1 — INTRODUÇÃO À COMPUTAÇÃO FORENSE E SEGURANÇA DA INFORMAÇÃO No entanto, seja qual for esta motivação, seja política, ideológica, financeira etc., sempre restarão danos monetários, podendo ser em forma de perda patrimonial ou algum tipo de impacto negativo na reputação da empresa. Reforçar barreiras de segurança, para minimizar impactos negativos e diminuir as vulnerabilidades no ambiente computacional é papel da Segurança Cibernética. Em termos gerias, podemos definir a Segurança Cibernética como o esforço contínuo para proteger sistemas em rede e todos os dados de usos não autorizados ou prejudiciais (NBR ISO/IEC 27032:2015). Mas qual seria nosso papel dentro da Segurança Cibernética no dia a dia? Responderemos esse questionamento baseado em três cenários: indivíduo; empresa; e Estado. Vejamos detalhadamente, a seguir. • Como indivíduo/cidadão/usuário final: você precisa proteger sua identidade, seus dados e seus dispositivos de computação. Uma das opções é exercendo seu direito de exigir que as organizações que mantêm algum tipo de relacionamento protejam seus dados adequadamente de acordo com a Lei Geral de Proteção de Dados (LGPD). • Como parte integrante de uma empresa (no ambiente corporativo): é responsabilidade de todos proteger as informações corporativas, a reputação da organização, os dados e os clientes da empresa. Para isso, a empresa adotará os padrões e normais que orientam como implementar um Sistema de Gestão de Segurança da Informação (SGSI). • Como Estado: prover leis e recursos para proteção da segurança nacional e o bem-estar dos cidadãos, assim como planos de contingência e recuperação para as infraestruturas críticas, que podem ser alvos potencial de criminosos cibernéticos. Antes de prosseguirmos, cabe aqui uma referência da LGPD (Lei Geral de Proteção de Dados), Lei nº 13.709, de 14 de agosto de 2018 (BRASIL, 2018), que dispõe sobre o tratamento de dados pessoais, inclusive, nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Segundo Pinheiro (2021, p. 20): [...] a LGPD é um novo marco legal brasileiro de grande impacto, tanto para as instituições privadas como para as públicas, por tratar da proteção dos dados pessoais dos indivíduos em qualquer relação que envolva o tratamento de informações classificadas como dados pessoais, por qualquer meio, seja por pessoa natural, seja por pessoa jurídica. É uma regulamentação que traz princípios, direitos e obrigações relacionados ao uso de um dos ativos mais valiosos da sociedade digital, que são as bases de dados relacionados às pessoas. A LGPD regula o tratamento dos dados dos usuários, principalmente em operações que manipulam de alguma forma seus dados pessoais. Segundo Pinheiro (2021, p. 36), tais operações podem ser de “coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, TÓPICO 2 — SEGURANÇA DA INFORMAÇÃO 27 distribuição, processamento, arquivamento, armazenamento, edição, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”. Para a LGPD, dados pessoais (BRASIL, 2018, s. p.) é “toda informação relacionada a uma pessoa identificada ou identificável, não se limitando, portanto, a nome, sobrenome, apelido, idade, endereço residencial ou eletrônico”, nesta categoria estão incluídos “dados de localização, placas de automóvel, perfis de compras, número do Internet Protocol (IP), dados acadêmicos, histórico de compras, entre outros” (PINHEIRO, 2021, p. 36). A LGPD trata, também, dos dados pessoais sensíveis, que segundo Pinheiro (2021, p. 36-37), são: [...] dados que estão relacionados a características da personalidade do indivíduo e suas escolhas pessoais, tais como origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente a saúde ou a vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. A LGPD prevê, ainda, que os dados passem por um processo de anonimização, que, segundo Pinheiro (2021, p. 37), é “a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo”. A LGPD é uma iniciativa para proteger os dados dos usuários de uso abusivo, prevendo penalidades para seu vazamento, quando da insuficiência de controles para sua segurança. A LGPD em seu Capítulo VII, trata da Segurança e da Boas Práticas, regulando o Sigilo de Dados em seu Art. 46, que especifica: Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. § 1° A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6° desta lei (BRASIL, 2018). Segundo Pinheiro (2021, p. 129), “no âmbito da promoção da segurança da informação, os processos e procedimentos devem assegurar a disponibilidade, integridade e confidencialidade de todas as formas de informação, ao longo de todo o ciclo de vida do dado”. Garantindo que a segurança dos procedimentos seja assegurada por todos os agentes, estabelecendo, fundamentalmente, a preservação da trilha de auditoria para fins de apuração. Assim, em processo de investigações no ambiente 28 UNIDADE 1 — INTRODUÇÃO À COMPUTAÇÃO FORENSE E SEGURANÇA DA INFORMAÇÃO corporativo, as orientações da LGPD, com relação à aderênciaàs boas práticas, é um instrumento que agrega valor e respaldo jurídico aos procedimentos de forense digital. Vimos que a LGPD dispõe sobre a segurança das informações, no tocante a proteção dos dados pessoais dos indivíduos. Em termos práticos, esse objetivo será alcançado por meio da implementação de controles que envolvem, também, a Segurança Cibernética. De modo geral, a segurança da informação engloba os preceitos da Segurança Cibernética, que é definida por Beal (2005, p. 1), como “[...] o processo de proteger informações das ameaças para a sua integridade, disponibilidade e confidencialidade”. Essas características são tão relevantes que são consideradas os pilares da segurança da informação, conhecidos também como seus princípios básicos, ou objetivos fundamentais, representados na Figura 11. A seguir, apresentaremos a definição de cada um desses objetivos segundo Stallings e Brown (2014): • Confidencialidade de dados: garante que informações privadas ou confidenciais não fiquem disponíveis e nem sejam reveladas a indivíduos não autorizados. • Privacidade: “[...] garante que os indivíduos controlem ou influenciem quais informações sobre eles podem ser coletadas e armazenadas, e por quem e para quem tais informações podem ser reveladas” (STALLINGS; BROWN, 2014, p. 1). • Integridade de dados: “[...] garante que iformações e programas sejam alterados somente de maneira especificada e autorizada” (STALLINGS; BROWN, 2014, p. 1). • Integridade de sistemas: “[...] garante que um sistema desempenhe sua função pretendida de maneira incólume, livre de manipulação não autorizada do sistema, seja deliberada, seja inadvertida” (STALLINGS; BROWN, 2014, p. 1). • Disponibilidade: relaciona-se com o pleno funcionamento dos sistemas, garantindo sua operação sem interrupções. Os mecanismos e aplicações que promovem a disponibilidade dos sistemas trabalham para evitar que usuários não autorizados comprometam os serviços providos pelo ambiente. • Autenticidade: relaciona-se com fato de assegura que a informação não sofreu qualquer tipo de alteração da fonte até seu destino final. TÓPICO 2 — SEGURANÇA DA INFORMAÇÃO 29 FIGURA 11 – PILARES DA SEGURANÇA DA INFORMAÇÃO FONTE: A autora Conhecidos como tríade da segurança da informação, esses três conceitos podem ser encontrados mais frequentemente na literatura sobre o assunto, reunindo características que garantem a segurança de dados e informações. Quando um dos princípios são afetados por algum tipo de ameaça, sinalizamos que houve um incidente de segurança. Para garantir o máximo de segurança, possível aos ambientes computacionais, resguardando seus usuários de danos indesejáveis, é preciso que as medidas de segurança visem ao atendimento aos princípios da segurança da informação. 3 CONCEITOS BÁSICOS DA SEGURANÇA DA INFORMAÇÃO Manter uma infraestrutura computacional segura e a salvo das diversas ameaças advindas do espaço cibernético não é uma tarefa fácil. A adoção de uma metodologia para identificação dos riscos se torna, então, uma questão central, sendo a gestão de riscos uma etapa importante no desenho e concepção de um ambiente seguro na organização. Para você conhecer um pouco dos riscos de segurança da informação, veja o UNI que preparamos. 30 UNIDADE 1 — INTRODUÇÃO À COMPUTAÇÃO FORENSE E SEGURANÇA DA INFORMAÇÃO No Brasil, a NBR ISO/IEC 27005:2019 estabelece uma metodologia para gestão de riscos de segurança da informação. O âmbito de sua aplicação pode ser na organização como um todo, ou em partes, como os processos de um departamento, uma aplicação de Tecnologia da Informação (TI) ou uma infraestrutura de TI. IMPORTANT E Segundo Fontes (2020, p. 94), “[...] o objetivo principal da Gestão de Riscos de Segurança da Informação é minimizar os riscos que permitem que ameaças interfiram na utilização, pelos usuários, da informação ou dos recursos de informação para o atendimento aos objetivos corporativos”. A seguir, são apresentados os principais conceitos relacionados a gestão de riscos de segurança. 3.1 VULNERABILIDADES Vulnerabilidades de segurança são fragilidades existentes no ambiente computacional, seja no hardware ou no software. São as chamadas brechas de segurança, um ponto fraco que poderá ser explorado por agentes mal- intencionados. A maioria dos ataques conhecidos tem sua origem na exploração de uma vulnerabilidade. 3.1.1 Vulnerabilidades de software Este tipo de vulnerabilidade normalmente é introduzido por erros no código do aplicativo ou sistema operacional. Algumas brechas de segurança surgem sem que os desenvolvedores de software se deem conta, ou seja, passam despercebidas. Por isso, aplicar os patches de atualização são extremamente importantes, pois são correções de vulnerabilidades. 3.1.2 Vulnerabilidades de hardware Este tipo de vulnerabilidade, frequentemente, relaciona-se com falhas de projeto de hardware. Biryukov (2015) identifica cinco vulnerabilidades de hardware por ordem de criticidade e exposição a ameaças. • A líder das vulnerabilidades de hardware está presente no módulo Double- Data-Rate (DDR) Dynamic Random Access Memory (DRAM), difícil de se resolver, pois não é possível de solucionar via reparações de softwares. Origina-se na geometria computacional, que continua a diminuir, com isso os elementos TÓPICO 2 — SEGURANÇA DA INFORMAÇÃO 31 de hardware soldados no chip se aproximam uns aos outros e começam a interferir. Nas memórias dos chips atuais esse fenômeno pode resultar em uma espontânea mudança nas células de memória quando recebem um pulso elétrico de células próximas. • Nos Hard Disk (HD), o firmware do controlador pode conter erros graves, que podem conceder controle total do disco a um invasor. Esta vulnerabilidade não tem correção, ao ser detectada, a solução é a destruição física do disco. • Este bug relaciona-se com porta USB universal que vinha habilitada no MacBook. Esta vulnerabilidade permite injetar um código malicioso no controlador do dispositivo USB (seja de um pen drive ou um teclado, ou qualquer outra coisa). Nenhum antivírus, incluindo os produtos mais poderosos, é capaz de detectá- lo. Esta vulnerabilidade já foi corrigida nos dispositivos novos. • Outra vulnerabilidade específica de porta, visando a Thunderbolt (padrão de comunicação Intel e Apple, amplamente utilizado em interfaces para conexão entre computadores e dispositivos como HDs externos e monitores), que permite o controle dos dispositivos por um agente malicioso. • As vulnerabilidades de Basic Input/Output System (BIOS), antes bem comuns, foram resolvidas com a Unified Extensible Firmware Interface (UEFI), com o objetivo de que as medidas de segurança estejam no lugar correto com os recursos de inicialização segura. Verifique o UNI NOTA que preparamos para você, que traz o conceito de Exploit. Exploit é o termo usado para descrever um programa escrito para utilizar uma vulnerabilidade conhecida. O ato de usar um exploit contra uma vulnerabilidade é conhecido como um ataque. NOTA Com base nessa falha, foi criado um exploit chamado Rowhammer, que ajuda um invasor a ter o controle do computador infectado. Embora os exploits de hardware sejam mais comuns em ataques altamente específicos, a proteção contra malware tradicional e o reforço da segurança física são proteções suficientes. 3.1.3 Vulnerabilidades de infraestrutura Este tipo de vulnerabilidade diz respeito às fragilidades que podem ser encontradas na infraestrutura do ambiente, como a ausência de um plano de manutenção dos equipamentos, computadores sem a proteção adequada contra 32 UNIDADE 1 — INTRODUÇÃO À COMPUTAÇÃO FORENSE E SEGURANÇA DA INFORMAÇÃO malwares, cabeamento da rede expostos, ausência de proteção contra
Compartilhar