Baixe o app para aproveitar ainda mais
Prévia do material em texto
Os crimes cibernéticos são uma atividade criminosa presente em todos os níveis da sociedade (pessoal, privado, governamental), crescendo constantemente em nível mundial. 2 - HISTÓRIA DA COMPUTAÇÃO FORENSE O surgimento dos crimes cibernéticos está associado ao advento dos computadores pessoais e, principalmente, com o advento da internet. 1º computador eletrônico: ENIAC (eletronic numerical integrator and computer) fevereiro/1946 - John E e John M. Electronic Control Company mark I: funcionamento eletromecânico a internet foi inicialmente desenvolvida para o exército 12/agosto/1981, IBM lançou 1º computador pessoal (IBM 5150) (popularização tecnologia) desenvolvida na década de 60, em 1992 o cientista Tim Berners-Lee criou a World Wide Web(www). A origem do termo “cibercrime” ocorreu em Lyon, na França, no fim da década de 1990, em uma reunião de um subgrupo das nações do G8, chamado de “Grupo de Lyon”. discussão referente a crimes promovidos por meios eletrônicos através da propagação de informações pela internet. há relatos de crimes cibernéticos desde a década de 1960. cibercrimes têm, como característica primordial, a utilização da internet como meio de serem praticados os crimes em suas mais diversas formas. análise forense digital, computação forense ou ciência forense computacional, como a aplicação de técnicas de investigação científica para a elucidação dos crimes e ataques digitais. computação forense é um ramo da ciência forense digital. determinar a dinâmica, a materialidade e autoria de ilícitos ligados à área de informática, tendo, como questões principais, a identificação e o processamento de evidências digitais em provas materiais de crime por meio de métodos técnico-científicos, conferindo validade probatória em juízo 1984, FBI lançou o Magnet Media Program, o primeiro programa forense digital oficial em uma agência policial. a especialização/profissionalização da perícia digital nos anos 90/00 surgiu em reação a duas realidades desagradáveis: 1- a disseminação da pornografia infantil on-line; 2- as guerras no Afeganistão e no Iraque, (tropas USA capturavam laptops e telefones de inimigos e precisavam extrair informações úteis) Outro marco foi em 2006, quando as Regras do Processo Civil dos EUA foram revisadas para implementar regime obrigatório de descoberta eletrônica 3- OS CRIMES CIBERNÉTICOS crime cibernético é todo crime cometido utilizando tecnologia digital. 1970 - roubo de informação/tecnologia dos computadores (poucos roubos a bancos) 1990 - roubos de informações das empresas e pessoais. surgem os vírus, hackers, as leis para proteger os usuários do novo mundo. ● worm: notificações de atividades maliciosas relacionadas com o processo automatizado de propagação de códigos maliciosos na rede. ● DoS – Denial of Service: notificações de ataques de negação de serviço. atacante usa computador para tirar de operação um serviço/computador/rede. ● invasão: ataque bem-sucedido que resulta no acesso não autorizado a um computador ou rede. ● web: caso particular de ataque objetivando o comprometimento de servidores web ou desfigurações de páginas na internet. ● scan: notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos/quais serviços disponibilizados. amplamente utilizado para identificar potenciais, permite associar possíveis vulnerabilidades aos serviços habilitados em um computador. ● fraude: qualquer ato enganoso com intuito de lesar outrem/não cumprir determinado dever. engloba as notificações de tentativas de fraudes. todos os ambientes correm o risco de ataques cibernéticos (carros modernos - centrais multimídias com internet [IoT], smartphones, computadores, casas inteligentes [IoT], robôs de limpeza, robôs industriais, ERP [Enterprise Resource Planning], Internet Banking e tantas outras tecnologias) 4 - SOCIEDADE PLUGADA ● A tecnologia está integrada/dependente da TI/internet. ● Importante atualizar constantemente hardwares e softwares (são profissões do futuro, sendo que, em cinco a dez anos, muitas das profissões atuais desaparecerão). ● cibercrimes crescerão e serão mais sofisticados. ● explosão do uso das tecnologias pela sociedade. ● As pessoas serão importantes para funções pensantes/funções repetitivas e operacionais serão feitas por máquinas. no Brasil, 2020: ● 5 computadores para cada 6 habitantes. (174 milhões de computadores em uso) ● 220 milhões de celulares inteligentes, 2+ por habitante. ● 3% da base mundial de computadores, telefones, TVs e smartphones. (EUA têm 4% da população mundial/10% da base desses dispositivos) sobre o IoT: ● 42% das empresas analisadas é de alta importância (previsão de que, nos próximos 3-5 anos, cresce para 76%) ● times diversos conduzem a IoT nas empresas. No Brasil, em 26% das companhias, as iniciativas ficam sob responsabilidade de times multidisciplinares. ● 35% das empresas brasileiras e 24% das latino-americanas contam com alguma iniciativa de IoT. ● principais benefícios da adoção da IoT são: ○ redução de custos ○ agilidade ○ eficiência operacional. sobre a internet: ● 126,9 milhões de brasileiros usaram regularmente em 2018. ● regiões urbanas = 74% da população. ● 49% da população teve acesso em 2018. ● na camada mais pobre do Brasil, 48% respondeu que usa a internet. ● 48% adquiriu/usou serviço on-line em 2018. Manter a segurança online é uma tarefa que nenhuma entidade/governo tem solução perfeita. há muito que se pode fazer para intensificar a prevenção: ● Construir capacidades de aplicação da lei para cobrir brechas jurídicas ● Fortalecer a cooperação internacional/ diálogo entre governos, INTERPOL, empresas e a sociedade civil. TÓPICO 2 2 FUNDAMENTOS CONCEITUAIS RELACIONADOS AOS CRIMES CIBERNÉTICOS espaço cibernético: instauração de uma rede de todas as memórias informatizadas e de todos os computadores. novo espaço de interação humana que já tem uma importância enorme, nos planos econômico/científico (essa importância vai ampliar a vários outros campos). Cybercrime: palavra dada a uma grande variedade de práticas com objetivo de fraudar a segurança de eletrônicos ou redes governamentais/empresariais. pode ser: - vírus para identificar e-mails (venda de mailing) - invasão de sites - material pornográfico (infantil) - fraudes bancárias - violação propriedade intelectual - propagação de mensagens difamatórias - insultos. Um computador pode possuir três papéis no cenário de um crime: 1. alvo direto do criminoso; 2. instrumento para efetivação do ato; 3. valioso repositório de evidências para a investigação. 2.1 TERMOS RELACIONADOS À TI hardware: tecnologias físicas (computador/ componentes/periféricos). computador 1 - Aquilo que calcula baseado em valores digitais; 2 -Máquina que recebe, armazena e/ou processa dados, em pequena/grande escala, de forma rápida, conforme um programa específico; arquitetura/organização do computador: CPU (Central Processing Unit): parte mais importante do computador, responsável pelo funcionamento. Controla todas as partes e periféricos instalados, sua configuração depende do seu uso. Podem existir componentes específicos e configurações simples/avançadas. A CPU, geralmente, faz parte da “placa-mãe” do computador. softwares são classificados de duas formas: ● de sistema: programas que permitem a interação do usuário com a máquina. Windows/Linux. ● de aplicativo: programas cotidianos do usuário(realização de tarefas, editores de texto, planilhas, navegador) Há uma diversidade de softwares, com nos smartphones, os apps são os aplicativos de celulares que podem ser baixados na Play Store/App Store. 2.2 TERMOS RELACIONADOS AOS CIBERCRIMES Ciberpirata: indivíduo que invade computadores para fins ilegais (fraudar sistema telefônico, copiar programa de computador/material audiovisual/fonográfico sem autorização do autor para comercialização ou uso pessoal) Cracker: era usada para definir a pessoa que usava seu conhecimento de tecnologia para o crime. Crackear é disponibilizar umaversão pirateada de um software após a quebra da proteção que impede o uso de cópias piratas. Hacker: alguém com amplo conhecimento tecnológico e que gosta de mexer com sistemas de informação (sem julgamento de valor). white hat: especialista em cibersegurança, conhece as técnicas do cibercrime e usa para o desenvolvimento de sistemas mais seguros. empresas pagam recompensas white hats que descobrem vulnerabilidades em seus sistemas, desde que não explorem com fins malignos. Malware: qualquer tipo de software maligno. Vírus: software maligno escondido dentro de um programa aparentemente inofensivo, capaz de se replicar sozinho, Trojans: não se replicam de forma automática. Rootkits: utilizam técnicas para esconder sua operação do sistema, permitindo que haja funcionamento silencioso por muito tempo, aumentando a eficácia do ataque. Phishing: originada da palavra “fishing”, método de ataque onde se joga uma isca e torce para que o alvo morda o anzol. (enviar email para a vítima se passando por uma empresa, falando que é necessário fazer algum procedimento, o email conta com um link, no qual a vítima é orientada a digitar seu login e senha, estes que são enviados diretamente para o hacker) Deep Web: tudo não catalogado por ferramentas de busca (Google),qualquer tipo de material inacessível sem uma senha. Com o tempo, o termo Deep Web ficou famoso por uma de suas aplicações, conhecida, mais precisamente, como Darknet. Darknet: parte da internet que não pode ser acessada sem o navegador Tor (vendedores de drogas, assassinos de aluguel, pedófilos e, basicamente, todo tipo de gente que pode se beneficiar do anonimato proporcionado pela fortíssima criptografada rede). a Darknet é parte da Deep Web, já que as páginas não são catalogados por buscadores. Adware: Advertising Software projetado para apresentar propagandas. retorno financeiro para aqueles que desenvolvem software livre ou prestam serviços gratuitos. considerado um tipo de spyware, caso monitore os hábitos do usuário, direcionando as propagandas que serão apresentadas. Antivírus: programa/software desenvolvido para detectar/anular/eliminar do computador, vírus e códigos maliciosos. Backdoor: programa que permite, ao invasor, retornar ao computador comprometido. Normalmente, o programa é colocado de forma a não ser notado. Cavalo de Tróia: programa recebido como presente (cartão virtual, álbum de fotos, jogo) que, além de executar funções para as quais foi projetado, também executa funções maliciosas sem o conhecimento do usuário. Certificado digital: arquivo assinado (digital) que contém dados de uma pessoa/instituição, utilizado para comprovar sua identidade. Código malicioso: todos os programas que executam ações maliciosas em um computador (vírus, worms, bots, cavalos de troia, rootkits). Endereço IP: número único para cada computador conectado à internet, composto por uma sequência de quatro números que variam de 0 até 255, separados por “.”(192.168.34.25.) Firewall: dispositivo constituído pela combinação de software e hardware, utilizado para dividir e controlar o acesso entre redes de computadores. Fake News: informações falsas divulgadas principalmente por redes sociais. Spam: e-mails não solicitados que são enviados para muitas pessoas. conteúdo comercial é referenciado como UCE (Unsolicited Commercial E-mail). Spyware: programa que se instala para roubar senhas/informações, não é reconhecido como vírus, já que não há nenhum dano nos arquivos. Vírus: programa/parte malicioso, se propaga inserindo cópias de si mesmo e se tornando parte de outros programas/arquivos, depende da execução do hospedeiro para se tornar ativo e iniciar o processo de infecção. Worm: programa se propaga automaticamente através de redes, enviando cópias de si mesmo para outros computadores. o worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se propagar. Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores. QUESTÕES Encontre os conceitos de phreakers e carders, hackers que precisamos ficar de olho. 2.3 TERMOS RELACIONADOS AO USUÁRIO/VÍTIMA Na vitimologia dos crimes cibernéticos temos ● vítimas diretas: atingidos diretamente pelo crime (extorsão de dinheiro/sequestro de imagens íntimas). Se for uma família, temos vítimas indiretas, que são a própria família. ● vítima indireta: tem o computador usado, sem que saiba, para execução/suporte para a realização de crimes cibernéticos. ● sujeitos ativos: cometem diretamente o crime, são usadas várias formas de falsificar a autoria. ● sujeitos passivos: pode ser qualquer pessoa que sofre algum dano. 2.4 TERMOS JURÍDICOS Lei nº 12.737, 30/novembro/2012, descreve o crime de invasão de dispositivo informático: Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita os fundamentos dos crimes cibernéticos estão baseados em: ● Base: hacker, tecnologia de informação, meio tecnológico(computador, nuvem, smartwatch). ● Parte virtual: internet, provedores, sites, dark web ● Partes lesadas: usuários, empresas, governos e instituições gerais. A base de fundamentação do crime cibernético está no cibercriminoso e em seu computador, e a base secundária no computador do lesado/ na internet. 3 TIPOLOGIA DE CRIMES CIBERNÉTICOS puro: condutas ilícitas que competem à parte física/virtual do computador misto: praticados via internet comum: utiliza a internet como mero instrumento A tipificação mais conhecida são crimes virtuais. principais exemplos são: • Roubo/uso de identidades com finalidade maliciosa (falsidade ideológica): um dos mais comuns, os piratas virtuais ludibriam vítimas para obter informações pessoais e realizar golpes financeiros. • Ameaça: realizadas por e-mail, posts e apps de relacionamento. • Crimes contra a honra (injúria e difamação): divulgação de fake news/calúnia que podem prejudicar a reputação da vítima. • Discriminação: divulgação de informações preconceituosas • Distribuição de pornografia: a distribuição/ divulgação de pornografia/nudes, cenas de sexo, nudez sem consentimento da vítima. • Pedofilia: uso de redes sociais para encontrar com menores de idade, que são sequestrados. • Crimes virtuais contra mulheres: distribuição de fotos/vídeos pessoais, perseguições, ofensas, difamação e assédio. • Pirataria: comercialização/distribuição não é autorizada/sem direitos autorais. • Apologia ao crime: criminoso cibernético, cria páginas/perfis na internet, estimula pessoas à prática de crimes diversos. BALEIA AZUL começa com desafios fáceis, prende a pessoa, até que se começam os pedidos mais difíceis. O jogo usa a fragilidade das crianças, a origem do nome poderia estar associada ao hábito das baleias de encalhar nas praias em grupo. O jogo estabelece 50 desafios por dia, que culminam com o suicídio. o curador pode responder por lesão corporal ou homicídio. Como provas há o uso de lâminas para escrever códigos, cortar os lábios, desenhar uma baleia no antebraço. A vítima precisa enviar fotos ao curador, que provem a realização dos objetivos. No caso das meninas, ainda são pedidos registros delas em suas roupas íntimas, mostrando as lesões. A vítima acorda de madrugada para assistir filmes de terror selecionados por 24 horas, fica nas margens de pontes/telhados. Os desafios são obrigatórios, mas há quem tente sair. Os curadores fazem crer que sabem tudo sobre as vítimas/famílias após terem se infiltrado nos seus computadores. • Violação de direitos autorais (PLÁGIO): cópia de textos/informações sem a indicação da fonte. • Golpes em vendas (e-commerce): todos os golpes realizados pela internet, por lojas virtuais ou pessoas físicas, relacionados a vendas de produtos ou serviços.• Golpes bancários: estão mais ligados a pessoas do que a instituições bancárias. As pessoas têm subtraídas suas informações, para roubo e uso de identidades, para realização de golpes bancários. 4 AS FUNÇÕES DO SABER NA ANTECIPAÇÃO DO CRIME CIBERNÉTICO A prevenção é o melhor caminho, além de trabalhar com softwares originais, evitar acessar e instalar piratas, não acessar e-mails e apps não confiáveis e navegar em sites seguros (https.) ter um antivírus atualizado. QUESTÕES descreva um exemplo de crime cibernético que ocorreu nos últimos anos. TÓPICO 3 2 LEGISLAÇÃO APLICADA O primeiro marco regulatório foi o tratado definido na Convenção de Budapeste, 2001, possui quatro capítulos: Terminologia, Medidas a Nível Nacional, Cooperação Internacional e Disposições Finais. é composto por 48 artigos. A Constituição Federal de 1988 traz os principais pontos para garantir a proteção e segurança dos indivíduos. Cada um tem o direito de gozar da sua intimidade e da sua vida privada: 5º Todos são iguais perante a lei nos termos seguintes: I- homens e mulheres são iguais; II- ninguém é obrigado a fazer/deixar de fazer algo; III- ninguém será submetido à tortura, tratamento desumano; IV- livre manifestação do pensamento, vedado o anonimato; V- direito de resposta, além da indenização; VI- livre exercício de cultos religiosos; VII- assistência religiosa de internação coletiva; VIII- ninguém será privado de direitos por crença religiosa/convicção filosófica/política; IX- livre expressão da atividade intelectual independentemente de censura; X- inviolável a intimidade, vida privada, honra e a imagem; XIV- acesso à todos informação; Atualmente, as duas principais leis que tratam do cibercrime são a Lei Carolina Dieckmann, e a segunda é a Lei Marco Civil da Internet. 2.1 LEI Nº 12.737 – CAROLINA DIECKMANN 30/novembro/2012 O Decreto nº 2.848, 7/dezembro/ 1940 - Código Penal fica acrescido dos seguintes arts. Invasão de dispositivo informático Art. 154-A. Invadir dispositivo informático alheio, com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular: detenção, 3 meses a 1 ano, multa. quem produz, distribui, vende dispositivo/ programa com o intuito de permitir a prática aumenta a pena, de ⅙ a ⅓ se resulta prejuízo econômico. Se houver obtenção de conteúdo privado, segredos comerciais/industriais: reclusão, 6 meses a 2 anos, multa, se não constitui crime mais grave. aumenta a pena de ⅓ a ⅔ se houver divulgação, comercialização dos dados obtidos 2.2 LEI Nº 12.965 – “MARCO CIVIL DA INTERNET” A Lei nº 12.965, 23/abril/2014, considerada o Marco Civil da Internet, surgiu da necessidade de regular as relações sociais e comportamentos referentes ao uso da internet. 3 A LEGISLAÇÃO E O CRIME CIBERNÉTICO Devido às diversas camuflagens do malware fica difícil de descobrir a origem, principalmente pelos diversos provedores que percorreu até infectar o computador em questão. BRASIL JÁ É CONSIDERADO UM POLO DO CIBERCRIME O cybercrime gera, anualmente, um prejuízo de quase $600b para empresas no mundo todo, representa 0,8% do PIB mundial. Na América Latina, a estimativa é de $15-30b. Esses números podem ser muito maiores, grande parte dos prejuízos não é oficialmente registrada. Os custos são calculados referente à perda de propriedade intelectual nas empresas, fraudes on-line e crimes financeiros, danos à reputação das marcas. Se considerar o mundo todo, o país é a 2º principal fonte e o 3º alvo. Além da implementação de medidas de segurança básicas e tecnologias de defesa, é preciso criar políticas sérias de combate ao cibercrime e promover cooperação entre agências internacionais. UNIDADE 2 Ao analisar um crime cibernético, é preciso estar ciente da: ● preparação. ● coleta de provas/análise ambiental. ● análise laboratorial. ● Fechamento pericial (relatórios, arquivamento). O perito tomar os cuidados para manter a cadeia de custódia: ao ter conhecimento da prática, a autoridade policial deve: I- conservar as coisas, até a chegada dos peritos; II- colher/apreender as provas liberadas; as evidências dos crimes cibernéticos apresentam: a) formato complexo (arquivos, dados digitalizados); b) são voláteis; c) misturadas aos dados legítimos. 2 PRÁXIS DO PERITO CIBERNÉTICO O rol de provas não é taxativo, portanto, qualquer meio poderá ser utilizado, desde que não atente contra a moralidade e não viole a dignidade humana, revestido de legalidade e não produzido por meios ilícitos. prova ilícita: obtida com infringência. A prova ilegítima: produzida com infringência a dispositivos de natureza processual. A inadmissibilidade abarca tanto a prova ilícita quanto a legítima. o perito criminal deve agir dentro dos princípios apresentados: 1- LEGALIDADE: forma geral de agir e diz que todos os atos e fatos levantados devem ser com formato e nos limites da lei. 2- IMPESSOALIDADE: não se influenciar por fatores pessoais, independência é fundamental para a interpretação dos resultados, agindo imparcial na identificação dos fatos. 3- MORALIDADE: Constituição Federal, a confiança na boa-fé, na honradez, deve zelar pela moralidade. 4- DIGNIDADE HUMANA: supremacia da dignidade humana, proteger todo cidadão de constrangimento, principalmente em crimes de cunho sexual. 5- EFICIÊNCIA: perseguir padrões de excelência para a produção das provas. 3 PROCEDIMENTOS PERICIAIS EM AMBIENTES FÍSICOS Um local de crime de informática é um local de crime com equipamentos computacionais que podem ter relação com o delito investigado, a análise está no ambiente físico do computador, dispositivos de memória e armazenagem, buscando provas dos crimes virtuais. passos para os procedimentos periciais em um ambiente de crime: 1 - Preservar as condições do local de crime, isolando-o de forma efetiva, se preciso, utilizar força policial. 2 - Fazer uma avaliação do isolamento e preservação. 3 - Analisar e definir a melhor forma para processar o local, deve haver 2+ peritos para executar a perícia. 4 - Identificar o melhor método para a realização da busca de vestígios. No ambiente físico, para procura de provas gerais, sugere-se utilizar a busca em linha, linha cruzada, espiral ou quadrante. 5 - Marcar os vestígios encontrados e identificá-los de forma detalhada. 6 - documentar todos vestígios e eletrônicos no local, deverão ser identificados por meio de fotografia, descrição narrativa (escrita, áudio ou vídeo), e croqui do ambiente. 7 Em centrais de crimes virtuais, computadores de criminosos cibernéticos de ponta, precisa-se identificar armadilhas. 8 - Coletar os vestígios de acordo com as técnicas adequadas para preservar as características de cada item. 9 - Guardar materiais coletados em lugar seguro, até o momento do transporte para o laboratório. 10 - Checar se o levantamento das provas é suficiente. 11 - Encaminhar todo o material coletado para o laboratório forense. 13 Verificar, com a equipe e o laboratório, se todos os pontos levantados são suficientes para a análise pericial. 4.1 PROCEDIMENTOS PERICIAIS EM HARDWARE, PERIFÉRICOS E DISPOSITIVOS DE ARMAZENAMENTO No processo de coleta de provas é preciso identificar/catalogar/recolher equipamentos computacionais e ter claro o objetivo/foco da investigação. Para preservar os discos rígidos, recomenda-se embalá-los em sacos de material antiestático para evitar perigos relacionados ao magnetismo, este que pode comprometer a memória da mídia. Também é recomendado utilizar plástico para minimizar os efeitos dos impactos. As mídias ópticas devem ser preservadas, principalmente, nas trilhas, na parte inferior dos discos, em que estão armazenados os dados. É preciso utilizar capas que evitem o atrito e, por consequência, que arranhem as trilhas do disco/disquete. na preservação de dispositivos, como pendrives, cartões de memória, sempre manter em um local limpo, seco, longe de altas temperaturas, vibrações e de campos magnéticos. Os computadores devem permanecer como estão, processos de inicialização/desligamento do computadormodificam diversos arquivos enquanto outros são lidos, podendo modificar as evidências. na perícia laboratorial do hardware, deve fazer uma cópia backup da memória do computador. Depois, realizar as demais perícias necessárias. existem dois tipos de hardwares para a análise laboratorial: os que chegam de forma íntegra (perfeitas condições), grande maioria que chega sinistrada, parte menor Antes de iniciar as análises da perícia dos hardwares íntegros, precisa fazer verificação visual para a eliminar de qualquer surpresa. Muitos criminosos jogam o celular em lugares com água, tentando danificar o aparelho, mas se esquecem de que muitos aparelhos têm proteção à água e conseguem ficar imersos por tempo determinado. os celulares com certificação IP67/IP68, são resistentes à água, e podem ser submersos em até um metro, e por 30 minutos. Todo equipamento ou dispositivo com memória, deverá ter uma cópia chamada de imagem, mantendo o seu formato integral para não corromper a prova original. consiste em duplicar as informações de um dispositivo de armazenamento, porém, o destino de gravação dessas informações é um arquivo. a técnica de geração de imagem de um dispositivo possui certas vantagens ao espelhamento: ● Possibilidade de copiar todo o dispositivo de armazenamento interno ou apenas uma partição. ● O dispositivo-destino pode ser utilizado para armazenar as informações de mais de um dispositivo-origem. ● Possibilidade de compactar o conteúdo do arquivo de imagem, a cópia deve ser fiel aos dados contidos no dispositivo original. 5 PROCEDIMENTOS PERICIAIS NA DEEP WEB, NUVEM E OUTROS MEIOS VIRTUAIS Há dificuldades de detecção e perícia sem uma boa delação ou descobrimento de portas e senhas para acesso aos caminhos até os programas e sites criminosos. Outro caminho utilizado pela polícia é se passarem por cibercriminosos com perfis fakes que se aproximam e descobrem criminosos da Deep Web. O QUE É FORENSE DIGITAL Responsável pela investigação de evidências tecnológicas, a preservação, coleta, análise e resultados das evidências digitais. Computação Forense Um dos ramos mais tradicionais, fundamenta-se nas metodologias de coleta/análise de evidência e é confundida com a própria Forense Digital. Forense em Dispositivos Móveis Mais recente, maiores dificuldades de acesso ao dispositivo, tema complexo devido ao uso de dados pessoais e corporativos nos mesmos espaços. Forense Digital em Redes Análise de tráfego de rede com foco no dado em trânsito, não armazenado. Forense em Internet das Coisas conectar dispositivos cotidianos à internet, abrindo possibilidades para ataques e investigação. Forense em Banco de Dados verificar metadados em servidores, transações no banco, identificar desvio de padrões e indícios de fraudes financeiras. QUESTÕES 1 Descreva por que a cadeia de custódia é tão importante em um processo de crime cibernético. TÓPICO 2 2.1 PROCEDIMENTOS PREPARATÓRIOS PARA PERÍCIAS EM CAMPO Para execução de perícia em campo o perito deve ter em mãos alguns materiais. UFED TK é a novidade da Cellebrite no LAAD 2014, tecnologia capaz de extrair provas criminais até de celulares que tiveram sua memória deletada. um laboratório de criminalística digital portátil capaz de extrair, decodificar e analisar informações físicas e lógicas contidas em celulares, smartphones, tablets ou aparelhos de GPS. 2.2 PROCEDIMENTOS INICIAIS NA CENA DO CRIME ● realizar a primeira avaliação do local. ● Definir as condições de trabalho. pode ser solicitado um especializado para essa função. ● Paramentar-se adequadamente. ● Realizar varredura em busca de provas físicas e fazer mapa do local com a localização das provas. ● Verificar equipamentos ligados ao crime. ● Verificar se estão energizados, segurança. ● Preparar equipamentos periciais necessários (câmera, notebook). 2.3 PROCEDIMENTOS OPERACIONAIS NA CENA DO CRIME ● Identificar todos os dispositivos (computadores, celulares). ● identificação do local das provas (fotos) preencher formulário de custódia. ● Verificar condições do equipamento. ● acondicionar a prova para encaminhamento ao laboratório forense. PROCEDIMENTO OPERACIONAL PADRÃO (POP) 1 ABREVIATURAS E SIGLAS DNS(Domain Name Server): IP: Internet Protocol TOR: The Onion Router 2 RESULTADOS ESPERADOS Padronização dos exames periciais de local de internet. 3 MATERIAL • Equipamento computacional com softwares forenses. • Conexão de internet desvinculada da rede corporativa da instituição pública ou utilização de navegação anônima (TOR). 4 PROCEDIMENTOS 4.1 AÇÕES PRELIMINARES determinar a viabilidade do exame: • Informar-se a respeito do tipo de delito e das peculiaridades do local. • Caso exija navegação anônima, conferir se endereço IP não está vinculado a órgão pericial. 4.2 EXAME • coletar vestígios deixados pela prática de infração penal com a utilização da internet. 4.2.1 Exames de IPs e nomes de domínios: • Dados de registro em sites especializados (whois). • Rastreamento de rota de tráfego (traceroute). • DNS reverso, identificar o domínio qualificado para a respectiva faixa de endereços (nslookup). • Informações gerais da origem. • Autoridade requisitante deve oficiar ao provedor responsável pela faixa de IP. 4.2.2 Exames de mensagens de correio eletrônico: determinar a real origem de uma mensagem eletrônica. Os campos “Received” devem ser verificados quanto à: • Consistência dos horários de envio e recebimento. • Consistência entre o endereço IP e o domínio. • Ordem dos campos no cabeçalho. Atentar, ainda, para os seguintes campos: • X-Sender-IP/X-Originating-IP: é preenchido pelo servidor de webmail no envio, indicando o endereço IP do remetente. • DKIM-Signature/DomainKey-Signature: mecanismos de autenticação que podem ser utilizados para verificar a integridade de uma mensagem. 4.2.3 Exames de sítios de internet: preservar o conteúdo de um sítio na internet. Se o sítio da internet não estiver acessível, recomenda-se: • Realizar tentativas em dias posteriores. • Consultar sítios especializados em registrar o histórico da internet • O conteúdo de interesse deve ser salvo no formato digital original. É importante registrar a data e hora dos exames e o endereço IP utilizado para acessar. 4.3 ELABORAÇÃO DO LAUDO descrição/apresentação dos exames efetuados dos procedimentos/métodos. Tópicos a serem observados: • Descrever os exames de forma proporcional à complexidade. • Especificar os softwares utilizados somente quando essencial. • Descrever técnicas periciais e não os detalhes. • Para mídia anexa ao laudo, explicar que foram submetidos a uma função de hash para fins de garantia de integridade. 4.4 GERAÇÃO DE MÍDIAS ANEXADAS normatizar a criação de mídia anexa ao laudo. A vantagem é possibilitar que um grande volume de dados seja anexado ao laudo. • Recomenda-se a utilização de mídia não regravável,(CDs/DVDs). • A integridade dos dados deve ser garantida por hash (SHA-512). Permite-se checagem futura. • A mídia anexa deve conter um arquivo contendo os hashes de todos os arquivos existentes. • Não se recomenda a gravação de programas de cálculo de hash na mídia anexa gerada, exceto quando objeto dos exames. 5 PONTOS CRÍTICOS cuidados necessários durante os exames: • Priorizar este tipo de perícia, a volatilidade dos dados. • dados cadastrais apresentados pelos sites especializados (whois) podem ser falsos. Esses dados são conferidos. • durante a investigação, que se oculte a origem da navegação. 6 ESTRUTURA BÁSICA DO LAUDO • Preâmbulo • Histórico (opcional) • Objetivo • Material • Exame • Considerações Técnico-Periciais (opcional) • Conclusão/Resposta aos Quesitos • Anexos (opcional) * Função de hash: algoritmo que gera a transformação de uma grande quantidade de informações em uma pequena sequência de bits (hash). 2.4 PROCEDIMENTOS OPERACIONAIS DE ENTREGA DAS PROVAS AOS LABORATÓRIOS FORENSES Os principais passos são: • Todas as provas devem ser entregues ao responsável pela análise/recebimento dos materiais, deve-se optar pelo mais crítico. 3 O AMBIENTE DO CRIME CIBERNÉTICOconsiderando o meio de acometimento do crime: • Direto no equipamento/rede: está em desuso. • Via internet: meio mais usual. • Misto: grande foco de execução pela internet, mas precisa do ambiente físico para conclusão. Um internauta desavisado entra em um site falso e executa a compra online e o pagamento através de meios bancários. O elo físico é o boleto. O ransomware é um tipo de malware de criptografia que sequestra e bloqueia arquivos e pastas do computador da vítima. O desbloqueio da máquina só é feito mediante pagamento de um resgate em Bitcoin. O Cry Brazil é um vírus que criptografa e sequestra os arquivos do computador e troca o papel de parede do Windows com uma mensagem em português pedindo resgate para liberar os documentos. Os principais softwares de segurança conseguem barrar a atuação do vírus, só que a proteção só é válida se os programas estiverem atualizados. 4 VITIMOLOGIA DO CRIME CIBERNÉTICO O estudo da criminologia sempre leva a dois elementos comuns em todos os crimes, quem é o sujeito da ação do crime e quem é a vítima. A vítima é um alvo que se mostra preferencial, Embora o criminoso atue com vontade criminosa, a conduta só será dirigida àqueles objetos que estiverem no ciberespaço, que gerem interação com ele e não estejam protegidos. É a única que pode incorporar instrumentos de autoproteção aos seus bens jurídicos, já que, no ciberespaço, os instrumentais formais e institucionalizados de proteção praticamente não existem. 5 RACIONALIDADE CIENTÍFICA PARA PERÍCIAS EM CRIMES CIBERNÉTICOS As racionalidades são fundamentais para peritos criminais, pois apenas uma parte dos cibercrimes é conhecida, ponta de um iceberg. Em muitos casos não abrimos um BO na delegacia. A conotação da racionalidade científica está associada a diversos fatores: • Raciocínio lógico. • Desenvolvimento de hipóteses. • Realização de pesquisas sobre o assunto. • Pensar, planejar antes de realizar. • Trabalho com ferramentas de análises laboratoriais (programas forenses de análises). • pesquisa do problema (análise bancos de dados). • Solução baseada em fatos (provas forenses). • Busca incansável da verdade. A racionalidade científica é comum na solução de crimes, principalmente em crimes cibernéticos. Em muitos casos, a pesquisa/análise dos dados obtidos dos computadores e ambientes virtuais exige o esforço hercúleo do investigador para identificar os verdadeiros envolvidos. PRINCIPAIS EXAMES FORENSES EM INFORMÁTICA os principais exames forenses de informática são: • em locais de crime de informática: mapeamento, identificação e preservação dos equipamentos computacionais. • em dispositivos de armazenamento: exames periciais mais solicitados e devem analisar arquivos, sistemas e programas instalados em dispositivos de armazenamento digital de dados. são compostos de quatro fases (preservação, extração, análise e formalização) • em aparelhos de telefone celular: Extração dos dados desses aparelhos, recuperar, além de formalizar as informações armazenadas em suas memórias. • em sites da internet: verificação/cópia de conteúdo, na internet, sites e servidores remotos, trata-se da investigação do responsável do domínio de site/endereço IP. • em mensagens eletrônicas (emails): análise das mensagens eletrônicas. necessário identificar hora, data, endereço IP. TÓPICO 3 2 LABORATÓRIO DE PERÍCIAS FORENSES EM CIBERCRIMES Para padronização de produtos/softwares para a montagem de um laboratório forense cibernético, utiliza-se um padrão mais completo com equipamentos de marcas confiáveis e de padrão internacional: 1. computador com processador i9 de última geração, final H (processamentos profissionais) com placa de vídeo Nvidia Geforce Asus Dual Rtx 2080 Ti 11gb Gddr6 352 bit + cooler de resfriamentos para laboratórios mais simples. 2. estação forense TechBiz Forense Digital (Harpia), possui várias opções de configuração e otimização conforme a necessidade do laboratório. 3. dispositivo para instalação dos HDs. empresa Products, a Família RTX Tray Free. 4. duplicadores/bloqueadores de disco (criar imagens dos dispositivos de memória para que não se percam dados por manuseio). 5. equipamento para análise e extração de dados de celulares(UFED) Touch Ultimate. 3 SOFTWARES DE PERÍCIA COMPUTACIONAL Os exames devem seguir um processo definido e devem ser realizados nas duplicatas idênticas dos dados originais (nunca deverá ser usado o material original coletado na cena do crime ou ambiente investigado). Um dos primeiros pontos a ser trabalhado em um dispositivo de memória é a duplicação Quando preciso analisar os diversos tipos de armazenamento digital de dados, garantir a total integridade do conteúdo em todo o processo, utilizar a função hash. A função Hash é um método de criptografia unidirecional, uma sequência de bits gerada por um algoritmo, em geral, representada em base hexadecimal, que permite a conversão em letras e números (0 a 9 e A a F). como o tamanho da sequência de bits gerada é limitado, não passando de 512 bits, valores hash iguais para informações originais diferentes, Os algoritmos de hash mais usados, atualmente, são: o MD5 (128 bits), o SHA-1 (160 bits), o SHA-256 (256 bits) e o SHA-512 (512 bits). • Os softwares principais softwares utilizados: • algoritmo Secure Hash Algorithm 512 bits: transforma uma mensagem de entrada de qualquer tamanho, gerando uma saída de tamanho fixo de 512 bits, com o cálculo a partir do conteúdo dessa mensagem. • Verificação da integridade FSUM: qualquer programa compatível com o algoritmo SHA-512 pode ser utilizado. O processo de verificação envolve duas etapas 1- cálculo da integridade do arquivo “hashes.txt”; 2- cálculo da integridade dos arquivos contidos na mídia óptica. • Ferramentas de análise EnCase Forensic: uma das melhores ferramentas, referência no mercado. É utilizado para encontrar evidências em um cibercrime. • Ferramentas de análise Forensic ToolKit: software produzido pela AccessData, similar ao EnCase, possui as principais funcionalidades que um perito busca para a realização de exames em computadores e dispositivos de armazenamento de dados. Das principais funcionalidades, é possível citar: a indexação de dados, Data Carving, recuperação de arquivos, visualização de imagens e de mensagens eletrônicas, separação por tipos de arquivos, utilização de Known File Filter (KFF), filtros de seleção, pesquisas por palavras chave etc. • Indexador e Processador de Evidências Digitais IPED: software idealizado por um perito da DPF (Departamento da Polícia Federal). Dois pontos importantes são: a ótima velocidade do processamento do conteúdo da mídia e a rapidez da função OCR (Optical Character Recognition, tecnologia para reconhecer caracteres a partir de um arquivo de imagem). escrito em Java. UNIDADE 3 O mundo físico está em competição com o virtual, a maioria dos sites e serviços é séria e busca sempre a segurança para usuários, mas existem cibercriminosos que infectam até mesmo esses sites. O perito forense, ao realizar uma perícia computacional, visa achar a dinâmica operacional, a materialidade dos fatos através das ferramentas de análise, buscando identificar a autoria de ilícitos. 2 BASES: HABILIDADE E PERFIL Todo perito criminal precisa passar por um treinamento de TI, precisa saber o que fazer se há um computador/celular ligado, com a cadeia de evidências cibernéticas para não gerar problema de confiabilidade judicial das provas. 2.1 CONHECIMENTOS NECESSÁRIOS É impossível o domínio de todas as áreas e suas subdivisões no campo da informática. Em 1965, Gordon Moore propôs uma lei que o número de transistores que podiam ser impressos em uma pastilha (futuro processador de um computador) dobrava a cada ano. Nos dias atuais, isso realmente vem acontecendo, porém, a cada 18 meses. Como consequência direta da Lei de Moore, os computadores se tornam cada vez menores, mais rápidos e mais eficientes no consumo de energia. Para os leigos, a velocidade de processamento desses chips (I-9, I-7, I-5, I-3,) tem crescido muito, abrindo novas possibilidadesem todas as áreas da informática. Atualmente, estão sendo encontrados casos de crimes cibernéticos via IoT, e um foco dos cibercriminosos são os dispositivos móveis, principalmente os smartphones, para roubar informações do proprietário e senhas bancárias. 2.2 HABILIDADES NECESSÁRIAS Trabalhar e processar provas e vestígios em crimes cibernéticos são pontos importantes. Uma habilidade importante é saber identificar a vida útil, ou seja dos dados arquivados em dispositivos. grau de volatilidade. habilidades são adquiridas quando observamos outros indivíduos fazendo a tarefa, ou por orientação na execução de um trabalho quando colocado em prática. habilidades importantes são: • Destreza em analisar e manipular hardwares. • Identificar anomalias nos hardwares. • Saber montar, desmontar e instalar hardwares. • Identificar condições seguras/inseguras. • Saber manusear e embalar hardwares. • Analisar e manipular hardwares em equipamentos. • Analisar softwares identificando trilhas e áreas de registro do crime. • dominar tecnologias de ambientes virtuais. • Saber trabalhar com softwares forenses. 2.3 PERFIL PROFISSIONAL pontos desejáveis: • Ser calmo/sangue frio. • Agir, de forma lógica. • Ser organizado/meticuloso. • Ter raciocínio lógico aguçado. • Capacidade de processamento e análise de desvios de padrões em programas de computador (softwares). • Gostar de se aperfeiçoar em hardwares e softwares. • Dominar os ambientes virtuais e o ambiente IoT. • Dominar os ambientes ligados à indústria 4.0. 3 O TRABALHO DO PERITO dinâmico em relação a novos tipos de crimes, pesquisas de hardwares (novas tecnologias), softwares e dados dos equipamentos de armazenamento. TÓPICO 2 2 GESTÃO DO SETOR DE PERÍCIA CIBERNÉTICA geração de resultados com recursos humanos e materiais disponíveis. elementos essenciais: •Ter um propósito. •Ter estratégias de trabalho e resultados. •Trabalhe com pessoas competentes. •Tenha POPs eficientes. •acompanhe resultados do setor. •Ter autoridade e responsabilidade. • Disciplina. • Hierarquia clara e definida. • Estabilidade da equipe. • Espírito de equipe. • Engajamento. • Foco no cliente. • Visão de custos. • Melhoria contínua. Legalidade: a administração pública está sujeita aos princípios legais, só é possível fazer o que a lei autoriza. Moralidade: seguir não somente a lei jurídica, como a lei ética da instituição 3 INDICADORES DE PRODUTIVIDADE E RESULTADOS KPIs (Key Performance Indicators) quais indicadores são os mais adequados para medir o desempenho ou sucesso do setor, devem ser utilizados para indicar quais pontos estão funcionando e quais não estão identificando possíveis pontos para serem trabalhados em um processo de melhoria interna. KPIs para o setor de crimes cibernéticos: • Horas de análises computacionais x casos concluídos no setor. • Horas de trabalho em campo x dados coletados. • novos casos x profissionais trabalhando. • Número de provas processadas x grau de dificuldade. • Nmr equipamentos processados. • Quantidade de horas extras. • horas de trabalho externo x horas de trabalho interno. 4 ESTRUTURA E ÓRGÃOS DE PERÍCIA CIBERNÉTICA • Ministério Público Federal (MPF) – Grupo de Apoio sobre Criminalidade Cibernética (GACC) • Delegacias especializadas em cibercrimes no Brasil • Bahia • DF • ES • Maranhão • Minas Gerais • Mato Grosso • Pará • Pernambuco • Piauí • Paraná • Rio de Janeiro • Rio Grande do Sul • Sergipe • São Paulo • Tocantins • SaferNet Brasil • Laboratório forense computacional • Laboratório Instituto Nacional de Criminalística • Laboratório de Inteligência Cibernética da (Seopi) • Instituto Geral de Perícias (IGP-SC) • Laboratório de Inteligência Cibernética (CYBERLAB). Laboratórios forenses internacionais: • Microsoft Cybercrime Center • Interpol Global Complex for Innovation • Laboratórios do FBI • Kaspersky Lab • Laboratórios da Symantec, Check Point, IBM and McAfee etc. 5 LAUDOS PERICIAIS: TRANSFORMANDO VESTÍGIOS EM EVIDÊNCIAS materializam o virtual, o laudo pericial é a etapa final dos exames forenses. deve expressar os resultados do processo. documento que traduz e formaliza as provas recolhidas. O laudo pericial será elaborado no prazo máximo de 10 dias, podendo o prazo ser prorrogado, em casos excepcionais o laudo computacional é constituído: • Preâmbulo: identificação do laudo. • Histórico (opcional): fatos anteriores e de interesse ao laudo. • Material: descrição detalhada do material examinado no laudo. • Objetivo: objetivo do laudo. • Considerações técnicas (opcional): informações que podem ser importantes para o laudo. • Exames: parte descritiva e experimental do laudo. • Respostas aos quesitos/conclusões: resumo objetivo dos resultados obtidos nos exames TÓPICO 3 2 OS CRIMINOSOS CIBERNÉTICOS três padrões de criminosos cibernéticos: • Criminoso Comum: um criminoso que utilizou a internet para o acometimento do seu crime, mas, tem pouco domínio das ferramentas computacionais • Criminoso Hacker (especialista). • Organizações criminosas profissionais. • Criminoso Hacker (especialista) existem controvérsias em relação à origem do termo “hacker”, contudo, seu início foi em meados de 1950, e estava relacionado aos estudantes do Massachusetts Institute of Technology (MIT), que praticavam trotes/brincadeiras. • Organizações criminosas cibernéticas profissionais: mais difícil de ser identificado/ pego. Alguns grupos de cibercriminosos conhecidos são: • The Shadow Brokers • Lazarus Group • Equation Group • Carbanak/Fin7 • APT37/Reaper • Iron Tiger APT • Fancy Bear/APT28 • Anonymous • Lulzsec • TeaMp0isoN (Team Poison) • The Jester (th3j35t3r) • 4EVER.BRASIL • Overkill Brasil • A-Team etc. 3 SEGURANÇA DIGITAL NA INTERNET E EM DISPOSITIVOS MÓVEIS O risco para a economia brasileira, gerado pela intrusão em computadores e pela disseminação de códigos maliciosos praticados pelo crime organizado, já é uma realidade. índices globais e aos crimes cibernéticos: - Brasil 66º lugar no ranking da ONU de tecnologia da informação e comunicação; - Apenas 11% dos órgãos federais têm bom nível em governança de TI; - Brasil 70º lugar no Global Security Index, da UIT; - 74,9% dos domicílios (116 milhões de pessoas) com acesso à internet; - 98% das empresas utilizam a internet; - 100% dos órgãos federais e estaduais utilizam a internet; - Em 2017, foram setenta milhões e quatrocentas mil vítimas de crimes cibernéticos; - Em 2018, 89% dos executivos foram vítimas de fraudes cibernéticas; - As questões de segurança desestimulam o comércio eletrônico; - Em 2017, os crimes cibernéticos resultaram em US$ 22.5bilhões de prejuízo; - Brasil 2º com maior prejuízo ataques cibernéticos 4 TIPOS DE MALWARES 5 SEGURANÇA DIGITAL Ninguém ligado ao mundo cibernético está 100% seguro. camadas de segurança: • Firewall: dispositivo de segurança para controlar o acesso entre redes de computadores. • IDS/IPS Intrusion Detection System: conjunto de programas que tem a função de identificar atividades maliciosas ou incomuns na rede. Ao identificar o IDS manda essa informação de alerta para IPS Intrusion Prevention System, que realizará os procedimentos necessários para neutralizar a ação. • Webfilter: programas de proteção com função de filtrar/identificar os sites impróprios, bloqueando o acesso pelo usuário, evitando ataques de malwares. • VPN (Virtual Private Network): sistema que cria uma rede privada utilizando redes públicas, como a internet, utiliza criptografia e outros mecanismos de segurança para garantir que somente usuários autorizados tenham acesso. • Antivírus: software que protege a máquina de ataques de malwares. • Backup: cópia de todos os dados. 6 PRÁTICA E EXEMPLOS • Os maiores hackers do mundo A cada minuto 54 pessoas são vítimas de crimes cibernéticos no Brasil, o segundo em ataques no mundo atrás da Rússia. • Casos reais de cibercrimes Apresentaremos um case real de cibercrime, mas também deixaremos mais duas indicações para você pesquisar. Segue um estudo de caso sobre o vírus Melissa. março/1999. Já falava sobre o bug Y2K, destinava orçamento paraatualizações de software/computadores, preparavam refúgios para o fim do mundo. David L. Smith, norte-americano, por volta do dia 26, iniciou a propagação do vírus Melissa, conhecido como W97M/Melissa.A@mm. Em questão de horas, o vírus havia se espalhado por toda parte, infectando milhares de computadores ao redor do mundo, que dependiam do Outlook para usar email, incluindo máquinas em agências governamentais. O dano era substancial e, o custo +$80M segundo o FBI. poderia ter sido muito pior se Smith não tivesse sido preso uma semana depois. O polêmico foi que Smith falou quando se declarou culpado que não tinha ideia de que o vírus poderia ter esse tipo de impacto e causaria tanto dano. Estava destinado a ser nada mais que uma brincadeira inofensiva. O vírus espalhou-se por e-mail contendo um documento de Word anexo. Para infectar computadores, precisava ser baixado por um indivíduo. Em outras palavras, quem recebeu o e-mail tinha que, de alguma forma, ser persuadido para fazer o clique no anexo. Smith utilizou técnicas de Engenharia Social para seduzir as vítimas a darem clique no arquivo. TÉCNICAS ANTI FORENSE 1 CRIPTOGRAFIA área da criptologia que esconde o significado original de algo. Para que um texto seja criptografado, são necessários os seguintes elementos: • Mensagem: mensagem original que se deseja transmitir. • Cifra: chave utilizada na conversão da mensagem original em código. • Código: resultado da conversão da mensagem original utilizando a cifra. Muito usada quando se deseja a privacidade dos dados, a criptografia utiliza algoritmos matemáticos complexos. A criptoanálise trata de técnicas e metodologias. Rainbow Tables compara diversos códigos compilados armazenados em tabelas com as combinações de caracteres do código criptográfico, encontrando a mensagem original. 2 ESTEGANOGRAFIA estudo de técnicas que possam ser utilizadas para esconder uma mensagem ou o seu verdadeiro conteúdo. difere da criptografia, pois a criptografia torna ilegível o conteúdo da mensagem, enquanto a esteganografia esconde o verdadeiro conteúdo em meio a outro. • Busca por palavras-chaves: caso a mensagem esteja gravada sequencialmente dentro do arquivo, poderá ser obtido resultado através dessa técnica. • Valor hash do arquivo: caso sejam comparados os valores hash atual do arquivo e o original do fabricante, podem existir diferenças entre o conteúdo. • Tamanho de arquivo: caso um arquivo esteja muito maior, por exemplo, se a imagem do plano de fundo de tela do Sistema Operacional estiver com 100MB, existe um forte indício de que existem mais informações no conteúdo desse arquivo que não são originais da imagem. • Arquivos instalados: analisando os arquivos instalados no computador questionado, pode ser encontrado o software utilizado na esteganografia. Dessa forma, o perito pode obter informações da técnica utilizada para focar esforços na tentativa de descobrir a mensagem original. 3 PARTICULARIDADES DE SISTEMAS DE ARQUIVOS conjuntos de estruturas lógicas que permitem, ao Sistema Operacional, controlar o acesso aos discos rígidos. esses por sua vez, utilizam e compreendem certos tipos de sistemas de arquivos. 3.1 ALTERNATE DATA STREAMS (ADS) permite que mais de um fluxo de dados seja adicionado a um nome de arquivo. 4 SANITIZAÇÃO DE DISCOS apagar qualquer informação armazenada em um disco. 4.1 WIPE apagar, bit a bit, toda a área reservada para alocação de um arquivo. Os dados contidos nos setores apagados são normalmente substituídos por zeros ou valores aleatórios.
Compartilhar