Prévia do material em texto
INTRODUÇÃO À COMPUTAÇÃO FORENSE W B A 04 59 _v 1. 0 2 Juliane Adélia Soares Londrina Editora e Distribuidora Educacional S.A. 2020 INTRODUÇÃO À COMPUTAÇÃO FORENSE 1ª edição 3 2020 Editora e Distribuidora Educacional S.A. Avenida Paris, 675 – Parque Residencial João Piza CEP: 86041-100 — Londrina — PR e-mail: editora.educacional@kroton.com.br Homepage: http://www.kroton.com.br/ Presidente Rodrigo Galindo Vice-Presidente de Pós-Graduação e Educação Continuada Paulo de Tarso Pires de Moraes Conselho Acadêmico Carlos Roberto Pagani Junior Camila Braga de Oliveira Higa Carolina Yaly Giani Vendramel de Oliveira Henrique Salustiano Silva Mariana Gerardi Mello Nirse Ruscheinsky Breternitz Priscila Pereira Silva Tayra Carolina Nascimento Aleixo Coordenador Henrique Salustiano Silva Revisor Ariel da Silva Dias Editorial Alessandra Cristina Fahl Beatriz Meloni Montefusco Gilvânia Honório dos Santos Mariana de Campos Barroso Paola Andressa Machado Leal Dados Internacionais de Catalogação na Publicação (CIP)__________________________________________________________________________________________ Soares, Juliane Adélia S676i Introdução à computação forense/ Juliane Adélia Soares, – Londrina: Editora e Distribuidora Educacional S.A. 2020. 44 p. ISBN 978-65-5903-063-7 1. Computação. 2. Forense. 3. Ataques. I. Título. CDD 006 ____________________________________________________________________________________________ Raquel Torres - CRB: 6/2786 © 2020 por Editora e Distribuidora Educacional S.A. Todos os direitos reservados. Nenhuma parte desta publicação poderá ser reproduzida ou transmitida de qualquer modo ou por qualquer outro meio, eletrônico ou mecânico, incluindo fotocópia, gravação ou qualquer outro tipo de sistema de armazenamento e transmissão de informação, sem prévia autorização, por escrito, da Editora e Distribuidora Educacional S.A. 4 SUMÁRIO Computação Forense para segurança digital ________________________ 05 Processos de análise forense _______________________________________ 21 Identificação e reconstituição de ataques __________________________ 37 Recuperação de desastres __________________________________________ 54 INTRODUÇÃO À COMPUTAÇÃO FORENSE 5 Computação Forense para segurança digital Autoria: Juliane Soares Leitura crítica: Ariel da Silva Dias Objetivos • Definir segurança da informação e sua aplicabilidade. • Definir Computação Forense e sua aplicabilidade. • Definir a atuação da Computação Forense na segurança da informação. 6 1. Segurança da informação Em virtude do grande avanço tecnológico e a dependência cada vez maior desenvolvida pelas organizações e usuários em geral quanto a utilização de equipamentos e sistemas informatizados, os crimes digitais também têm tomado grandes proporções. Portanto, a segurança da informação precisa estar em constante aperfeiçoamento, com o intuito de mitigar esses problemas ao máximo. Porém, mesmo com uma segurança bem estruturada ainda é possível que ocorram fraudes, litígio ou cibercrimes, sendo a Computação Forense uma das ciências mais utilizadas para a detecção, investigação e resolução destes delitos. A segurança da informação (SI) é um conjunto de medidas destinadas ao gerenciamento de processos, mecanismos e políticas para prevenção, detecção, documentação e combate de ameaças de acesso, alteração, interrupção, destruição ou inspeção não autorizadas, defendendo a existência e continuidade da informação, sendo de maneira original ou processada, presente no espaço virtual. A SI, conforme Velho (2016), tem como objetivo proteger os ativos de informação e infraestruturas críticas de uma organização. O valor de uma organização está dentro de seus dados e informações; desta forma, a segurança é fundamental para as operações comerciais, além de garantir a credibilidade e ganhar a confiança dos seus clientes, pois tem como pilares a integridade, confidencialidade e disponibilidade. Ou seja, a segurança da informação é um ponto crítico para a sobrevivência das organizações. Essas informações podem existir em diferentes formatos, como impressa, armazenada eletronicamente, falada, ou transmitida via correio eletrônico, por exemplo. Independentemente do formato, 7 meio de armazenamento ou transmissão, elas devem ser protegidas adequadamente. Coelho et al. (2014) definem segurança da informação: Segurança da informação compreende a proteção das informações, sistemas, recursos e demais ativos contra desastres, erros (intencionais ou não) e manipulação não autorizada, objetivando a redução da probabilidade e do impacto de incidentes de segurança. Todos esses controles necessitam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados para que assegurem que os objetivos do negócio e a segurança da informação da organização sejam atendidos. (COELHO et al., 2014, p. 2) Os autores complementam que a SI protege as informações de vários tipos de ameaças para garantir a continuidade do negócio, minimizando riscos e maximizando retornos sobre investimentos. Ela é o resultado da implementação de um conjunto de controles, os quais compreendem políticas, processos, estruturas organizacionais e funções de hardware e software. A ISO/IEC 27001 estabelece as diretrizes gerais para a gestão da informação de uma empresa. Esta norma tem como principal objetivo a adoção de um conjunto de requisitos, processos e controles com o objetivo de mitigar e gerir adequadamente os riscos da organização. A ISO/IEC 27001 é uma norma técnica que por ser adquirida através da ABNT (Associação Brasileira de Normas Técnicas). Os pilares básicos da segurança da informação são compostos pela tríade da CIA – figura 1: a confidencialidade (Confidentiality), a integridade (Integrity) e a disponibilidade (Availability). Os três pilares devem trabalhar em conjunto, pois, se algum deles for comprometido, não haverá segurança da informação. 8 Figura 1 – Tríade da CIA Fonte: elaborada pela autora. • Confidencialidade: diz respeito ao acesso de dados e informações somente por pessoas autorizadas. Para garantir a confidencialidade, é necessário identificar quem está tentando acessar dados e bloquear tentativas de acessos não autorizados. Utilização de senhas, criptografia, autenticação e defesa contra ataques de penetração, são técnicas que podem ser utilizadas para preservar a confidencialidade. • Integridade: a integridade visa garantir o estado original dos dados, ou seja, que a informação acessada não tenha sido modificada ou que seja alvo de fraude. Técnicas utilizadas para confiabilidade, também protegem a integridade dos dados, pois, um hacker, por exemplo, não conseguirá modificar dados que não puder acessar. Mas, além disso, existem ferramentas que ajudam a fornecer integridade, como aplicar ferramentas de controle de versões de arquivos e serviços de backup de confiança, para que seja possível recuperar a versão inicial dos dados caso tenham sofrido alterações/exclusões acidentais ou não. 9 • Disponibilidade: é a garantia que os dados estejam disponíveis sempre que forem solicitados. A disponibilidade visa garantir que, aqueles que possuam permissões adequadas, possam acessar as informações a qualquer momento, assegurando sua acessibilidade. Para que este princípio seja efetivo, depende do funcionamento adequado da rede e a eficácia dos sistemas, sendo essencial uma correta manutenção da infraestrutura. Para isso é necessário um plano de recuperação de desastres e métodos de backup eficientes. A segurança da informação é alcançada por meio de um processo estruturado de gerenciamento de riscos que identifica informações, ativos relacionados e as ameaças, além das vulnerabilidades e do impacto que um acesso não autorizado pode causar. Faz, também, avaliação dos riscos e toma decisões sobre como lidar ou tratar desses riscos.Na tentativa de mitigá-los são selecionados, projetados e implementados controles de segurança. Por fim, é necessário monitorar as atividades e fazer ajustes para solucionar novos problemas, fazer alterações ou as melhorias necessárias. A ABNT NBR ISO/IEC 27001 (2013) destaca algumas boas práticas de segurança da informação que visam proteger os dados: • Atualização constante: as falhas em sistemas desatualizados são uma das principais brechas exploradas por hackers, a fim de realizar invasões. É essencial que a equipe de SI mantenha todos os sistemas atualizados, para proteger informações e infraestruturas de tecnologia da informação (TI) de ataques de cibercriminosos. • Testes de backup: para proteger dados críticos de qualquer possível desastre ou sequestro que possa ocorrer, a rotina de backup é crucial para garantir a recuperação das informações e continuidade dos negócios. Para isso, as cópias realizadas devem ser funcionais, sendo assim, é necessário que se criem rotinas de 10 teste de backups, para que seja avaliada a qualidade do processo, caso haja necessidade de recuperação. • Controle de acesso: é ideal criar controles de acesso às informações por hierarquia, de acordo com a necessidade de cada setor, assim, os funcionários só terão os acessos atribuídos ao setor ao qual estão lotados. É importante também a política de acesso mínimo, não permitindo que os setores tenham acessos às informações que não dizem respeito às suas funções. Desta forma, minimiza-se o risco de vazamento ou contaminação de informações por falha humana, pois diminui-se o contato de pessoas com boa parte dos dados críticos. • Política rígida de senhas: é importante a criação de políticas rígidas de senha, exigindo que os colaboradores utilizem combinações de letras, números e caracteres especiais, para evitar senhas simples que facilitem a ação de cibercriminosos. Dessa forma, temos maior proteção aos dados. • Investir em boas soluções: a equipe de TI é a principal responsável por manter a proteção dos dados, no entanto, não é o suficiente. É necessário que se invista em softwares de segurança da informação como antivírus completos e firewalls. • Utilizar criptografia: cibercriminosos utilizam criptografia em seus ataques, principalmente na utilização de ransonwares, onde os dados são sequestrados e criptografados para evitar o uso. Porém, esta técnica também é utilizada como proteção contra invasões. Criptografar dados críticos garante que, caso esses dados sejam roubados, sua visualização será evitada. • Focar na educação dos colaboradores: a principal brecha de segurança das empresas é o fator humano. Os principais ataques focam engenharia social para levar a comportamentos que não condizem com as boas práticas. Na engenharia social, o criminoso obtém a confiança da vítima, enganando-a para extrair dados 11 pessoais, por meio de telefone, mensagens, e-mails, por exemplo. Por isso, os programas de treinamento de segurança não devem ser focados apenas em funcionários operacionais, mas sim em todos os níveis da organização. Enfim, a segurança da informação é importante, pois ela não protege apenas de invasores externos, mas previne também o comprometimento das informações internamente. 2. Computação forense Ciência forense, em que ciência significa estudo focado em qualquer área do conhecimento e a palavra forense significa relativo a ou próprio de foro ou relativo à justiça e aos tribunais, é o uso de métodos ou conhecimentos científicos para investigar crimes ou examinar evidências que podem ser apresentadas em tribunal. Uma ampla gama de disciplinas é compreendida pela ciência forense como Criminologia, Medicina Legal e Psicologia. Elas podem ser aplicadas em conjunto, de acordo com a necessidade da questão a ser respondida. Segundo Athayde (2019), a ciência forense é a busca pela verdade e atua dando suporte às investigações que se referem à justiça civil e criminal. As facilidades disponibilizadas pela tecnologia, velocidade de comunicação e pela própria especialização dos criminosos, têm impulsionado o aumento de crimes envolvendo equipamentos computacionais. Para a Norton (2020): Crime cibernético é todo crime que é executado online ou principalmente online. Isso pode incluir desde os roubos de identidade e outras violações de segurança a crimes do tipo pornografia de vingança, cyberstalking, assédio, bullying e até mesmo exploração sexual infantil. Os terroristas colaboram cada vez mais pela internet, transferindo esses terríveis crimes para o espaço cibernético. (NORTON, 2020, p. 1) 12 Com esse avanço tecnológico e o aumento dos crimes digitais, a Computação Forense tem crescido muito. Ela foi criada com o objetivo de suprir as necessidades de instituições legais, referente à manipulação das novas evidências eletrônicas, combinando elementos do direito e da ciência da computação para coletar e analisar dados digitais, seja de sistemas de computador, redes, comunicações sem fio e dispositivos de armazenamento. A ciência da Computação Forense estuda a aquisição, preservação, recuperação e análise de dados em formato eletrônico e armazenados em algum tipo de mídia computacional. Isso é realizado por meio de métodos científicos e sistemáticos, para que, dessa forma, as informações sejam caracterizadas como evidências e, após, como provas legais, pois, na criminalística, a Computação Forense trata o incidente computacional na esfera penal, determinando as causas do incidente, os meios utilizados, quem foi o autor e as consequências causadas. As aplicações da forense pode ser utilizada para: • Fins legais: ela pode ser usada para investigar casos de espionagem industrial e política, roubo de identidade, extorsão e ameaças. Como por exemplo, roubar informações estratégicas de uma empresa que fazem que ela tenha um diferencial de mercado, para roubar ideias e prejudicá-la. • Ações disciplinares internas: uso indevido de recursos da instituição/empresa. Por exemplo, funcionários acessando websites indevidos, ou e-mails, podendo ser vítima de engenharia social. • Em recorrência de uma ação ilegal intencionalmente ou não, em um alvo potencial, para investigação, tratamento de evidências, produção de laudos periciais e validação de casos criminais, por exemplo, um funcionário de um banco que utilize seus privilégios para se beneficiar através de fraudes bancárias. 13 A Computação Forense é dividida em processos. Os autores Dalla Vecchia (2019) e Athayde (2019), dividem esses processos em etapas conforme consideram necessário. O primeiro divide em identificação, coleta, exame, análise e resultados, enquanto o segundo divide em preparação e planejamento, identificação, preservação, documentação, coleta e validação, análise e resultados. Não existe certo ou errado entre esses métodos, cabe ao profissional identificar qual a melhor sequência. Para fins deste capítulo, serão citadas quatro etapas, conforme Figura 2: Figura 2 – Processos Computação Forense Fonte: elaborada pela autora. 1. Coleta: etapa que identifica, isola, etiqueta, registra e coleta os dados e evidências relacionadas com o incidente que está sendo relacionado. 2. Exame: nesta etapa são identificadas e extraídas as informações relevantes a partir dos dados coletados, utilizando ferramentas e técnicas forenses adequadas. 3. Análise: etapa em que os resultados do exame são analisados, para que sejam geradas respostas para as questões apresentadas nas fases anteriores. 4. Relatório (resultados): nesta etapa é encontrada a relevância para o caso e redigido o laudo pericial. A preservação da evidência é fundamental no processo, por isso, na Computação Forense existe a possibilidade de duplicação de uma 14 evidência digital, para que a evidência original não seja comprometida. Portanto, a evidência original é guardada e preservada, enquanto toda a análise é realizada nas cópias realizadas. Caso a coleta da evidêncianão seja realizada de forma correta ou sem controles metodológicos necessários, a evidência pode ser destruída. Segundo Dalla Vecchia (2019), uma das características mais importantes na Computação Forense é a garantia de integridade das provas obtidas, isso evita que os laudos sejam invalidados por dúvidas referentes a eventuais manipulações ou contaminações do material questionado. Sendo assim, o perito responsável pelo caso deve tomar os devidos cuidados no manuseio dos equipamentos e mídias recebidos para análise. O que, segundo o autor, deve garantir que: • Nenhuma evidência seja alterada ou destruída, garantindo a integridade. • Seja estabelecida e mantida uma cadeia de custódia, que se refere à documentação cronológica ou histórico que registra a sequência de custódia, controle, transferência, análise e disposição de evidências físicas ou eletrônicas. • Caso o equipamento esteja em uso, o tempo de intervenção deve ser o menor possível, para evitar possíveis incidentes. • Informação não pertinentes ao escopo da investigação não sejam divulgados, por princípios éticos e legais. • Não seja criada alguma condição que possa inviabilizar uma verificação futura em caso de possível auditoria. • Todo o processo seja documentado para permitir a sua reprodução futura, em caso de possível auditoria. 15 Com a Computação Forense é possível analisar, também, casos particulares, como os ocorridos em empresas. Neste caso, é extremamente importante que a empresa possua em sua Política de Segurança a especificação de que o monitoramento e a análise do conteúdo armazenado, processado ou trafegado pela rede poderá ser realizado sem aviso prévio, sendo assim, ao coletar evidências por um possível incidente, os colaboradores não poderão alegar que a privacidade foi violada. 3. Computação Forense na segurança da informação O campo da Computação Forense tornou-se um dos campos mais importantes e lucrativos dos últimos tempos devido ao aumento da taxa de crime cibernéticos. O aumento da integração entre servidores em nuvem, computadores, smartphones e tablets tem contribuído com a vulnerabilidade dos sistemas. Portanto, com a evolução da tecnologia, esses ataques também se tornam mais agressivos, sendo assim, as tecnologias em segurança da informação também precisam estar a cada dia mais sofisticadas, para tentar mitigar os problemas o máximo que for possível. A Computação Forense é uma das ciências mais utilizadas para a detecção de possíveis fraudes, litígios ou cibercrimes e é uma parte importante da segurança da informação. Porém, mesmo que os especialistas em Computação Forense entendam como os criminosos violam a segurança da informação, essa ciência não garante a confidencialidade, integridade e disponibilidade dos sistemas da informação. Enquanto a segurança da informação é responsável por impedir os ataques e identificar caso algum ataque ocorra, a Computação 16 Forense investiga os ataques, após o evento, determina como eles ocorreram e identifica a parte ou os responsáveis. Ou seja, os especialistas forenses apenas detectam como os protocolos de segurança foram quebrados. As empresas têm investido muito em um ambiente operacional mais tecnológico e, ao mesmo tempo que isso apresenta vantagens para as organizações como maior produtividade e agilidade, também aumenta os riscos de ataques, invasões, fraudes e outros tipos de ameaça virtual. Várias medidas de segurança podem ser empregadas por uma empresa para preservar seu ambiente computacional ao acesso indevido. Porém, mesmo que bem empregadas ainda é possível que ocorra algum incidente. Quando isso acontece, deve ser realizada a análise para entender qual foi a brecha e procurar criar um ambiente mais seguro. Neste contexto, conforme Madeira (2012), a Computação Forense, além da coleta de informações e sua formatação para ser apresentada legalmente, também é responsável por promover a melhora da segurança nas organizações realizando a interpretação de uma falha e entendendo as fragilidades de um sistema, sejam nos sistemas em si, como na forma em que é manuseado. As empresas se esforçam para aumentar a segurança da informação, porém, acabam esquecendo de reservar recursos internos que sejam destinados à estudar as causas e consequências dos incidentes. Essa seria a função da Computação Forense dentro da segurança. Velho (2016) explica a atuação da perícia forense na segurança da informação e apresenta práticas que podem tornar a coleta de dados mais objetiva. Para isso, o processo é dividido em etapas, que serão citadas abaixo. 17 3.1 Registro de informações O armazenamento correto das informações é de extrema importância para que a veracidade e a integridade das provas sejam garantidas, devendo ser realizado em localidade segura e só podendo ser acessada por profissionais éticos. As informações que devem ser registradas: • Esterilização de mídias: formatação ou substituição das mídias utilizadas na empresa. • Certificação do uso de ferramentas licenciadas e aptas para o trabalho: por meio desse registro, o perito toma conhecimento de todos os equipamentos e recursos utilizados pela empresa. É importante destacar que nenhuma alteração pode ocorrer sem o seu consentimento. • Registro operacional: todos os detalhes do local devem ser, previamente, registrados por fotografias ou vídeos. É importante destacar que cada acesso realizado a essas informações, deve ser obrigatoriamente registrado e controlado, a fim de evitar que qualquer dado possa ser acessado por pessoas não autorizadas. 3.2 Coleta de dados A coleta dos dados é iniciada somente quando o equipamento estiver ligado, não podendo ser desligado, de modo que não ocorram modificações nas evidências. A coleta consiste em: • Isolar a área. • Coletar as evidências digitais. • Garantir sua integridade. 18 • Identificar os equipamentos. • Guardar as evidências de forma adequada e segura. • Organizar e rotular as evidências por categoria. • Coletar a cadeia de custódia. 3.3 Ata notarial A ata notarial é um instrumento público, a partir do qual o tabelião, a pedido de pessoa interessada, autentica de forma narrativa os fatos, pessoas ou situações e tudo aquilo que atesta por seus próprios sentidos, sem a emissão de opinião, juizo de valor ou conclusão. Ou seja, ao coletar os dados pode ser feita a solicitação da ata notarial, para que o tabelião, em razão da fé pública, confirme a existência das informações obtidas que caracterizam os fatos. 3.4 Análise ou processo de investigação Após a coleta dos dados e registros presentes no armazenamento dos equipamentos e dispositivos, essas informações são replicadas em algum outro local, de forma a preservar as orignais e, assim, iniciar o processo de investigação das copias realizadas. A investigação consiste em: • Identificar locais, eventos ou pessoas envolvidas. • Correlacionar locais, eventos ou pessoas. • Reconstruir a cena. • Documentar os pontos investigados e seus resultados. A perícia forence realiza a transformação dos resultados obtidos em evidências por meio de laudos, anexando evidências e documentos, 19 para que possibilite que a empresa acione a justiça para tomar medidas contra o infrator. 3.5 Preservação de logs Implementar uma política de preservação de logs é uma ferramenta muito importante para a segurança das organizações. Dessa forma, o trabalho de um perito forense digital torna-se mais eficiente, já que perder registros das ocorrencias é algo que acontece com frequência, o que impossibilita que o profissional realize a sua função. Preservando os logs é possível analisar os dados, conhecer a sequência real dos fatos, de modo a detectar um padrão e encontrar o responsável pela ocorrência que está sendo periciada. Essas informações precisam ser facilmente disponibilizadas para a perícia quando forem solicitadas. As melhores práticas para conseguir realizar essas ações com êxito são: • Backupsde e-mails, documentos e banco de dados: como as informações geradas pertencem à corporação, precisam passar por processos de backups diários, diminuindo, assim, os riscos de fraudes e movimentações ilícitas. Isso inclui o backup de todos os e-mails, documentos, bem como as aplicações e os banco de dados. • Monitoramento dos documentos: para garantir o conhecimento de vulnerabilidades existentes e possíveis fraudes, a movimentação de todos os documentos deve ser armazenada. No repositório de logs é necessário manter detalhes dos documentos como: alterações em datas e horas, localização e outros dados associados; aplicação da capacidade de pesquisa e indexação para localizar arquivos privados; recuperação e processamento de arquivos compostos, como documentos parados em rascunhos, entre outros. 20 Enfim, a segurança da informação e a Computação Forense devem andar juntas, enquanto uma protege as informações, a outra investiga e relata as causas das possíveis invasões. Por mais bem protegidas que sejam as redes, sempre terá alguma ameaça que conseguirá furar o bloqueio, sendo o fator humano a principal brecha de segurança dentro das organizações. Portanto, ao utilizar dos conhecimentos da Computação Forense, a segurança da informação conseguirá conhecer as causas de suas vulnerabilidades e trabalhar para corrigi-las, para tornar os ambientes digitais ainda mais seguros. Referências Bibliográficas COELHO, F. E. S. et al. Segurança da Informação: NBR 27001 e NBR 27002. Rio de Janeiro: RNP, 2014. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). NBR ISO/IEC 27001: 2013. Tecnologia da Informação – Técnicas de Segurança – Sistemas de Gestão da Segurança da Informação – Requisitos. Rio de Janeiro, 2013. ATHAYDE, Vallim A. P. de. Forense computacional e criptografia. São Paulo: Editora Senac, 2019. NORTON. Como reconhecer e se proteger contra o crime cibernético. NortonLifeLock, [s.l.], [s.d.]. Disponível em: https://br.norton.com/internetsecurity- how-to-how-to-recognize-and-protect-yourself-from-cybercrime.html. Acesso em: 8 jul. 2020. DALLA VECCHIA, Evandro. Perícia Digital: da investigação à análise forense. 2. ed. São Paulo: Millennium Editora. 2019. MADEIRA, Mauro N. Forense Computacional. Palhoça: Unisul, 2012. VELHO, Jesus A. Tratado de Computação Forense. Campinas: Millennium Editora, 2016. https://br.norton.com/internetsecurity-how-to-how-to-recognize-and-protect-yourself-from-cybercrime.html https://br.norton.com/internetsecurity-how-to-how-to-recognize-and-protect-yourself-from-cybercrime.html 21 Processos de análise forense Autoria: Juliane Soares Leitura crítica: Ariel da Silva Dias Objetivos • Identificar processos e aspectos para análise forense. • Identificar e definir processos da análise forense computacional. • Identificar os desafios da Computação Forense. 22 1. Análise forense O objetivo da forense computacional é responder a questões investigativas ou legais para provar ou contrapor um processo judicial ou dentro de organizações. Sendo assim, é necessária a realização de uma metodologia padrão, para que seja realizada uma perícia de qualidade. A forense computacional pode ser definida como um exame técnico, realizado por um especialista em dados armazenados em mídias digitais. Ela utiliza um conjunto de técnicas e procedimentos científicos para coletar, analisar e apresentar evidências encontradas. Seu objetivo é a busca por informações relativas a eventos passados em investigações criminais e cíveis, assim como em casos particulares em que pretendem acionar a justiça inicialmente (em organizações). De acordo com Dalla Vecchia (2019), a análise dos eventos ocorridos, possibilita a reconstrução de ações executadas nos diversos equipamentos e mídias de armazenamento. A Computação Forense realiza identificação e processamento de evidências de provas materiais de crimes realizados com o uso de recursos computacionais, ou que utilizaram destes meios para a prática de outros crimes. Sendo assim, quando ocorrem incidentes computacionais que possam indicar algum crime, é por meio dela que o incidente será tratado na esfera penal. O crime digital engloba toda e qualquer atividade ilegal realizada com o uso da tecnologia. Os criminosos digitais, que podem ser desde um indivíduo desonesto até grupos de crime organizado, que utilizam técnicas de engenharia social (por exemplo phishing, sextorsão ou bots maliciosos), além de malwares, entre outros, para cometer suas atividades ilícitas. Essa é uma das atividades criminosas que mais cresce no mundo, podendo afetar indivíduos e empresas. 23 O que distingue o crime digital de uma atividade criminosa tradicional é a utilização de computadores e outros meios digitais para a sua execução, porém, eles não são necessariamente crimes novos. Por exemplo, os criminosos não precisam de um computador para cometer fraudes, traficar pornografia infantil, violar a privacidade de alguém, essas atividades já existiam antes da popularização dos recursos computacionais, porém, os criminosos exploram o poder proporcionado por essa tecnologia e a acessibilidade de informações principalmente por meio da internet. Ou seja, o crime digital representa uma extensão do comportamento criminoso existente, além de algumas atividades ilegais novas. Com a evolução da Internet das Coisas (IoT), a cada dia os dispositivos inteligentes se tornam mais populares, o que amplia ainda mais as possibilidades para os criminosos digitais, principalmente porque estes dispositivos geralmente não possuem estruturas para possuir recursos de segurança e acabam se tornando alvos fáceis. Esses ataques podem utilizar os dispositivos como portas de entradas para atingir uma rede inteira. No Brasil, existem algumas legislações que regulamentam o uso e os crimes digitais como: o Marco Civil da Internet (Lei n. 12.965/2014) que estabelece princípios, garantias, direitos e deveres para o uso da internet; e a Lei Carolina Dieckmann (Lei n. 12.737/2012) que criminaliza a invasão de aparelhos eletrônicos para obtenção de dados particulares. O autor Dalla Vecchia (2019) afirma que os crimes digitais podem ser classificados de duas maneiras: próprios e impróprios. • Crime cibernético próprio ou exclusivamente cibernético: esses tipos de crime são aqueles que exigem e dependem, necessariamente, da utilização de ambiente computacional. Ou seja, caso os dispositivos computacionais não existissem, não seria possível a realização dos delitos. 24 Nessa categoria enquadram-se crimes como criação e disseminação de vírus e códigos maliciosos, roubo de informações sigilosas, negação de serviço, invasão e destruição de banco de dados, ataques a sites, entre outros. • Crime cibernético impróprio ou aberto: esse tipo de crime digital é aquele em que o ambiente computacional é utilizado como meio para execução da conduta ilícita. Ou seja, o computador é apenas uma ferramenta de auxílio aos criminosos na prática dos delitos, pois os crimes impróprios poderiam ser cometidos por outros meios, mesmo sem o uso da tecnologia. Crimes contra a honra, ameaça, falsificação, furto e violação de direito autoral são alguns exemplos dessa categoria. Os locais onde ocorrem os crimes computacionais é um local de crime convencional, porém, com equipamentos e dispositivos computacionais que podem ter relação com os delitos que estão sendo investigados. Ou seja, é uma área física onde ocorreu uma suposta infração e nela podem ser encontradas evidências úteis para a investigação. As evidências encontradas nestes locais, podem esclarecer a autoria, a dinâmica e a materialidade do delito. Para que isso seja apurado, é necessário que a área seja isolada, realizar a análise da cena, documentar os vestígios encontrados e efetuar a coleta. Quando a investigação verifica a necessidade de realização de perícia digital, é realizada a busca e apreensão dos equipamentos envolvidos. Em casos de investigações criminaise cíveis é necessário um mandado judicial para poder realizar este procedimento. Já em casos particulares, em organizações, por exemplo, não se faz necessário. O material apreendido não deve ser manuseado ou analisado antes do perito responsável pela investigação, ele deve permanecer íntegro até que o perito realize os procedimentos adequados de preservação de integridade, coleta e análise dos dados e a elaboração de um laudo pericial. 25 A forense computacional é composta por aspectos técnicos e legais (conforme Figura 1). Os aspectos técnicos compreendem parâmetros técnicos relacionados à identificação, preservação, análise e formalização, que correspondem aos processos da forense computacional. Infraestrutura de laboratório e materiais de perícia também são considerados aspectos técnicos. Para Costa (2011), os aspectos legais abrangem parâmetros relacionados às legislações envolvidas, como Código Penal, Código de Processo Penal, entre outros. Figura 1 – Aspectos da forense computacional Fonte: elaborado pelo autor. A veracidade dos fatos e a autenticidade dos resultados obtidos em uma investigação, devem ser comprovadas pelo perito, em caso de ação judicial ou pelo analista responsável em casos particulares pois, a maneira que os procedimentos são executados, pode gerar implicações. Uma perícia bem realizada não terá valor se todas as etapas não forem 26 efetuadas corretamente, bem como se as questões legais não forem respeitadas. Para isso, existem padrões metodológicos bem definidos que devem ser seguidos. Esse padrão tem como objetivo manter um alto nível de qualidade das investigações forenses, de modo a garantir confiabilidade e precisão das evidências. 2. Processos da análise forense computacional O Grupo de Trabalho Científico sobre Evidência Digital (SWGDE–Scientific Working Group on Digital Evidence), da Organização Internacional de Provas de Computador (IOCE–International Organization on Computer Evidence), define a metodologia do processo de análise forense como obtenção e coleta de dados, identificação, preservação, análise e apresentação. Além disso, observa que estes seis procedimentos podem ser utilizados para qualquer tipo de análise conhecida, e serem aceitas na comunidade científica internacional. Jordaan (2013), principal cientista forense do Laboratório de Forense Digital e Resposta a Incidentes (DFIRLABS – Digital Forensics and Incident Response Laboratory), da África do Sul, define a análise forense computacional e, ao mesmo tempo, cita o processo de análise forense em cinco etapas, junto ao seu conceito, como: identificação, preservação, exame e análise de evidências digitais, usando processos cientificamente aceitos e validados, e a apresentação final dessa evidência em um tribunal para responder a algumas exigências legais. Apesar da definição, o termo forense computacional, acaba sendo utilizada para descrever qualquer tipo de investigação de ataques computacionais, mesmo que a aplicação da lei e/ou o sistema judiciário não estejam envolvidos. 27 De acordo com Dalla Vecchia (2019), a metodologia do processo de análise forense pode ser dividida em cinco etapas: identificação, coleta, exame, análise e resultados. Como vimos, cada autor define esses processos de acordo com as etapas que julgar necessário, não existindo uma definição correta ou errada. Desta forma, há vários modelos de processos para análise forense computacional, que definem a forma como peritos forenses devem proceder em sua busca para coletar e entender as evidências. Portanto, para fins deste capítulo serão utilizadas quatro etapas, pois, apesar da variação, a maioria dos processos segue basicamente: coleta, exame, análise e apresentação dos resultados obtidos, conforme Figura 2. Figura 2 – Processos análise forense computacional Fonte: elaborada pela autora. 2.1 Coleta Esta fase de coletas de dados é a primeira parte da Computação Forense e baseia-se na execução de um conjunto de procedimentos para 28 identificar, isolar a área, preservar dados, coletar, garantir integridade, embalar e etiquetar as evidências e registrar a cadeia de custódia. Esta etapa trata de procedimentos realizados na cena do crime ou local da busca e apreensão, em caso de perícia criminal, ou onde houver suspeita de dispositivos a serem analisados, quando não for considerado um crime. Assim como em um local de crime convencional, as evidências e provas devem ser preservadas, os dados contidos no material para exames forenses não devem ser alterados. A cadeia de custódia é uma das principais obrigações do perito, que deve garantir a proteção e integridade da prova, de modo a evitar questionamentos quanto à origem ou estado inicial. Qualquer suspeita pode acarretar a anulação da prova. Portanto, a primeira atitude de um perito no local do crime ou ao cumprir mandado de busca e apreensão, deve ser a preservação dos dados digitais. Para isso, os equipamentos não podem ser utilizados de forma alguma para que não se corra o risco de que dados sejam apagados, mesmo que sem intenção. Equipamentos que estejam desligados devem ser mantidos assim (post mortem, que em latim significa após a morte, quando o perito deve proteger as mídias contra gravação para realizar a duplicação), porque ao ser ligado, altera arquivos, datas de último acesso e criam arquivos temporários, mesmo sem executar ação alguma. Equipamentos que se encontrem ligados (Live Forensics ou forense ao vivo, que se caracteriza pela coleta de dados do equipamento ainda em funcionamento), antes de qualquer ação, é necessário a cópia das informações da memória RAM (Random Access Memory), pois elas possuem informações voláteis, que podem ser perdidas ao desligar o equipamento. Em seguida, o perito deve fazer o reconhecimento do local e identificar quais os dispositivos são úteis para a perícia, como gabinetes de computador, notebooks, tablets e mídias como, HDs, pen drives, cartões de memória, entre outros. Em alguns casos é necessário que apenas as 29 mídias sejam apreendidas e, para isso, são necessários alguns cuidados, como afirma Dalla Vecchia (2019): (1) se o equipamento estiver ligado, que a data e o horário dele sejam verificados antes de desligar e retirar as mídias internas; (2) se o equipamento estiver desligado, que as mídias sejam retiradas e, após, a máquina seja ligada (sem nenhuma mídia conectada) para verificar a data e o horário, por meio do setup. Todos esses dados devem ser registrados, pois serão úteis durante a análise pericial, caso haja inconsistências de datas/ horários em arquivos e registros do sistema. (DALLA VECCHIA, 2019, p. 104) Porém, como complementa o autor, em algumas situações o equipamento é útil ou necessário para a análise, como quando há quesitos relacionados ao equipamento, para verificar se possui componentes falsificados, por exemplo, ou quando o equipamento é projetado para um fim específico e os dados gravados utilizando sistema de arquivos proprietário, alguns fabricantes de DVR (equipamentos com entrada de captura de vídeo, que grava os vídeos em uma unidade de discos). Em seguida, é necessário que o perito, ou analista responsável, realize a coleta física do que será apreendido, com a devida identificação detalhada. Para mídias sensíveis, como HDs, devem ser utilizadas embalagens especiais, de preferência antiestáticas e com proteção contra quedas para que não sejam danificados durante o transporte. Todos os itens devem ser fotografados ou filmados, assim como todo o ambiente em que os dispositivos se encontram, devem ser identificados com etiquetas, embalados devidamente e lacrados. Também é importante fazer uma descrição detalhada de todos os dispositivos e/ ou equipamentos que foram apreendidos, para caso as etiquetas ou fotografias se percam. Antes de iniciar a análise dos dispositivos apreendidos é necessário que se realizem cópias fiéis do material original, a partir de técnicas de30 duplicação, como espelhamento. Uma análise realizada diretamente na mídia original, poderia alterar dados e comprometer a prova pericial. O espelhamento realiza a cópia de todos os bits do dispositivo, inclusive a área não alocada pelo sistema de arquivos; dessa forma, o disco de destino deve ter capacidade igual ou superior ao que está sendo copiado. A partir deste procedimento é possível realizar a recuperação de dados que foram excluídos diretamente na cópia, não sendo mais necessária a utilização do dispositivo original. 2.2 Exame Após a coleta dos dados são aplicados procedimentos de aplicação de filtros, busca por palavra-chave, recuperação de dados excluídos, entre outros. Esses procedimentos devem ser aplicados com o intuito de reduzir a quantidade de dados a ser analisada, ou seja, é um filtro para que os peritos possam analisar uma quantidade menor de dados. Ou seja, esta etapa da Computação Forense consiste na recuperação, reunião, organização de todas as informações existentes nas cópias dos dados. Esta etapa é de extrema importância, pois a análise das evidências é realizada a partir dos resultados obtidos no exame. Portanto, caso não sejam examinados todas as partes de um disco rígido, por exemplo, poderá comprometer todo o processo pericial, afetando os resultados finais. O exame realiza a redução dos arquivos, que descarta da análise informações que não são relevantes ao escopo do exame, como drivers e jogos. Almeida (2011) afirma que a extração dos dados deve ser realizada de maneira minuciosa e com extrema atenção, pois as evidências do crime podem estar nas áreas mais improváveis do disco, ou terem sido removidas. Sendo assim, o perito não pode se limitar apenas em coletar os dados visíveis, porque os dispositivos de armazenamento guardam muito mais informações do que as acessadas por um usuário. Dessa 31 forma, os HDs podem ser divididos em camadas, sendo que na camada mais artificial estão os arquivos visíveis dos usuários, e as mais internas abrangem arquivos ocultos, criptografados, temporários, apagados, bem como fragmentos de arquivos, banco de dados, registro de impressões, entre outros. Quanto mais profundo o exame, maior a complexidade para exploração das camadas, se fazendo necessário o uso de técnicas especiais para recuperação e interpretação dos dados. Almeida (2011) conclui: Ao varrer todos os bits de um dispositivo de armazenamento computacional, além de recuperar as informações de arquivos excluídos, também é feita a indexação dos dados contidos nele. Ela consiste em localizar todas as assinaturas de arquivos conhecidas, organizando-as de forma que sejam acessadas e recuperadas rapidamente. Após a execução desse processo, é possível saber quais e quantas são as ocorrências de cada uma das cadeias alfanuméricas. É criada então uma espécie de catálogo contendo cada umas das cadeias encontradas e sua localização, possibilitando a realização de buscas rápidas por palavras-chave no conteúdo dos dispositivos examinados. (ALMEIDA, 2011, p. 24) Após a conclusão da coleta e indexação dos dados, o perito deve iniciar a análise pericial. 2.3 Análise Nesta etapa é realizada a busca por vestígios relacionados ao crime suspeito nas informações extraídas na etapa de exame. As autoridades solicitantes, devem elaborar quesitos claros e específicos, pois há uma etapa de análise manual pelo perito e analisar individualmente todo o conteúdo do dispositivo de armazenamento seria inviável. O recomendado é que as autoridades declarem os tipos de arquivos procurados e utilizem quesitos como nomes de pessoas ou empresas, por exemplo, possibilitando a procura de evidências por meio de palavras-chave. 32 O perito deve analisar os resultados manualmente para verificar quais os resultados constituem evidências para serem descritos e inseridos no laudo pericial. É muito comum que nesta etapa sejam encontrados novos elementos úteis para o objetivo da perícia. Quando isso acontece, é necessário retornar a etapa anterior e realizar o exame novamente, aplicando novos filtros. Por exemplo: a autoridade declara um quesito X e um quesito Y, por serem nomes suspeitos. Após a indexação dos dados, o perito faz a busca por X e Y, porém, na análise desses resultados o perito descobre que X e Y citam Z como parte da operação. Dessa forma é preciso realizar novamente o exame de todos os dados, acrescentando Z e, também, a palavra operação que foi citada na comunicação entre X e Y. Depois de completar a etapa anterior, é preciso começar a análise novamente e buscar pelas novas palavras-chave. O processo deve ser repetido quantas vezes for necessário. É possível observar que a etapa da análise é bastante trabalhosa e deve ser feita com muita cautela, pois é nessa fase que se chega aos resultados da perícia. Velho (2016) afirma que nesta etapa, a intuição, a experiência e as habilidades técnicas do perito adquirem maior relevância, portanto, o desenvolvimento da habilidade técnico investigativa é tão ou mais importante quanto à seleção de ferramentas adequadas, sendo essencial para a execução de um bom trabalho de forense computacional. 2.4 Resultados Após a realização de todos os procedimentos citados anteriormente, o resultado deve ser relatado em um laudo pericial ou um parecer técnico. É neste documento que são relatados os resultados da perícia, bem como a descrição da metodologia utilizada, os procedimentos aplicados, relação das evidências encontradas, respostas aos quesitos 33 questionados pela autoridade solicitante. O laudo pericial é o principal documento emitido por um perito oficial. É importante que o perito tenha habilidades para transformar em texto tudo o que foi realizado tecnicamente durante os processos da forense computacional. O laudo deve ser de qualidade, apresentar clareza e objetividade. O texto redigido deve ser compreensível, evitando de utilizar termos técnicos sempre que possível. O resultado deve ser imparcial, independente da opinião individual do perito, ele deve apenas observar, realizar os procedimentos e relatar o que foi encontrado. Após o encerramento da perícia e a entrega do laudo, caso as autoridades solicitantes tenham alguma dúvida em relação aos quesitos respondidos pelo perito, o laudo retorna com essas questões e o perito deve realizar os esclarecimentos solicitados. 3. Desafios da Computação Forense Durante todo o processo da investigação, o perito pode se deparar com diversos desafios, que podem vir a atrapalhar ou até impossibilitar a apuração dos fatos. Por exemplo, o perito pode encontrar arquivos, partições ou containers com senhas, suspeita do uso de esteganografia, suspeita de utilização de wipe. Esses desafios consistem em métodos de remoção, ocultação ou destruição das evidências, com o intuito de atrapalhar os resultados de uma análise forense computacional. Alguns desses desafios são citados abaixo: • Quantidade de arquivos: com o rápido avanço da tecnologia, as técnicas de coleta e análise de dados tem dificuldade em acompanhar o mesmo ritmo. Atualmente, os dispositivos são vendidos em Terabyte (TB), o que aumenta consideravelmente o número de informações armazenadas. Almeida (2011) declara 34 que, em alguns casos, dispositivos com capacidade inferior a 100 Gigabyte (GB) podem ter mais de um milhão de arquivos. A possibilidade de manipular e encontrar evidências desejadas nessa quantidade de dados é um grande desafio para os peritos. É essencial que o profissional tenha conhecimento sobre a investigação e que a autoridade solicitante entregue quesitos bem claros, pois, analisar de maneira individual todos os arquivos contidos nessas mídias se torna inviável. • Partições ou containers com senha: os containers são um conjunto de arquivos criptografados por um software. Geralmente é necessário a utilização do mesmo software e a senha correta para pode acessar o conteúdo de um container. Além dos containers,é muito comum que os peritos se deparem em arquivos e programas protegidos por senhas que podem ocultar possíveis evidências durante uma investigação. É preciso que o perito conheça algumas técnicas para que essas senhas sejam quebradas e o acesso liberado, como tentativa e erro e algumas ferramentas utilizadas para esses fins. • Criptografia: a criptografia é uma técnica para escrever em códigos, ou seja, com o uso de algoritmos matemáticos, que transforma uma informação legível em um texto incompreensível. A criptografia é utilizada para tentar garantir a privacidade dos dados. Quando o perito se depara com essa situação, é necessário que ele verifique se existem programas instalados no equipamento analisado que executem essa tarefa. Deste modo é possível saber qual foi o algoritmo utilizado para a criptografia, ou manipular o software para que ele realize a decodificação do conteúdo dos dados. Para tal, o perito deve possuir conhecimentos avançados sobre criptografia, para poder apurar as ferramentas capazes de recuperar a informação original. 35 • Esteganografia: a esteganografia é a arte de esconder mensagens. Assim como a criptografia, ela é uma técnica que protege a confidencialidade da informação. Porém, a esteganografia tem como objetivo que ninguém perceba que a mensagem se encontra escondida. Com o uso dessa técnica, torna-se muito difícil identificar a presença de uma mensagem oculta, podendo ser transmitida sem que seja percebida, já que o arquivo pode estar dentro de algum outro arquivo considerado comum para o uso do computador. Existem diversas técnicas de esteganografia, o que dificulta a análise de um perito. Nesses casos, ele precisa descobrir o tipo utilizado para ocultar o arquivo. Caso não seja possível, o procedimento deve ser o mesmo da criptografia, verificar se há softwares específicos no dispositivo examinado, para poder conhecer a técnica utilizada. • Wipe: wipe significa limpar, ou seja, essa técnica limpa todo o dispositivo de armazenamento e sobrescreve todos os setores utilizando 0 ou 1. Caso o wipe seja utilizado, a perícia é impossibilitada e o perito não conseguirá acessar os dados sobrescritos. De acordo com Dalla Vecchia (2019), caso se depare com essas situações, o perito deverá utilizar softwares e conhecimentos adequados para tentar abrir o conteúdo escondido ou protegido, além de verificar se houve a destruição dos dados de maneira intencional. Enfim, a Computação Forense é a resposta para determinar exatamente o que aconteceu, o que causou a ocorrência no ambiente digital por meio de uma metodologia padrão, seguindo as etapas de coleta, exame, análise e resultados. Durante um exame, as etapas do processo podem ser repetidas quantas vezes se fizerem necessárias para a resolução da questão. Após a finalização da análise, é elaborado um laudo com todas 36 as questões referentes à investigação, tais como a metodologia utilizada, relação das evidências encontradas e respostas aos quesitos solicitadas. Com a evolução acelerada da tecnologia, inevitavelmente os crimes digitais estão acompanhando esse crescimento, portanto, a forense computacional se faz cada dia mais necessária. Referências Bibliográficas DALLA VECCHIA, Evandro. Perícia Digital: da investigação à análise forense. 2. ed. São Paulo: Millennium Editora Ltda. 2019. VELHO, Jesus A. Tratado de Computação Forense. Campinas: Millennium Editora, 2016. COSTA, A. S. L. Computação Forense: a análise forense no contexto da resposta a incidentes computacionais. 3. ed. Campinas: Millennium, 2011. ALMEIDA, Rafael N. Perícia Forense Computacional: estudo das técnicas utilizadas para coleta e análise de vestígios digitais. 2011. 48 f. Trabalho de Conclusão de Curso (Tecnólogo em Processamento de Dados) – FATEC, São Paulo. 2011. Disponível em: http://www.fatecsp.br/dti/tcc/tcc0035.pdf. Acesso em: 18 jul. 2020. JORDAAN, Jason. Ensuring the Legality of the Digital Forensics Process in South Africa. International Journal of Computer Applications, Nova York, v. 68, n. 23, abr./2013 Disponível em: http://citeseerx.ist.psu.edu/viewdoc/ download?doi=10.1.1.403.9498&rep=rep1&type=pdf. Acesso em: 18 jul. 2020. http://www.fatecsp.br/dti/tcc/tcc0035.pdf http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.403.9498&rep=rep1&type=pdf http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.403.9498&rep=rep1&type=pdf 37 Identificação e reconstituição de ataques Autoria: Juliane Soares Leitura crítica: Ariel da Silva Dias Objetivos • Entender o que os ataques têm a ensinar. • Identificar o ataque e sua extensão. • Entender e reconstruir a ordem dos eventos. 38 1. Ciberataques A dependência tecnológica está em constante crescimento, principalmente nas organizações. A era digital traz inúmeros benefícios. Porém, junto com isso, crescem também os riscos de segurança cibernética. Novas técnicas para comprometer ambientes computacionais surgem a cada dia, com o intuito de quebrar barreiras e encontrar vulnerabilidades nos sistemas. Portanto, as organizações devem implementar uma boa política de segurança para detecção e proteção de ataques. Um ciberataque, ou ataque cibernético, é um ataque lançado por cibercriminosos usando meios digitais para obter acessos não autorizados em sistemas de informação de computadores, infraestruturas, redes ou qualquer dispositivo digital, com o intuito de roubar, alterar, destruir dados sem autorização. Um ciberataque bem sucedido, pode causar grandes danos aos seus negócios, como afetar resultados, a posição da empresa e a confiança do consumidor. O impacto de uma violação de segurança pode ser financeiro, de reputação ou jurídica. Perdas financeiras substanciais podem ocorrer devido a roubo de informações corporativas, de informações financeiras, de dinheiro, interrupção de negociações, perdas de negócios ou contrato, entre outros, além de custos associados ao reparo de sistemas, redes e dispositivos afetados. A confiança é um elemento essencial do relacionamento com o cliente, pois as violações de segurança podem causar danos à reputação. Se a segurança da empresa não é confiável, seus clientes 39 provavelmente irão migrar para um concorrente, resultando em perda de vendas e lucros. O efeito de danos à reputação pode afetar fornecedores ou relacionamentos com parceiros e investidores. Além disso, também há consequências legais para empresas que sofrem ataques cibernéticos. A Lei Geral de Proteção dos Dados (LGPD) exige a segurança de todos os dados pessoais que a empresa possui, seja de colaboradores ou clientes. Se esses dados forem comprometidos, acidentalmente ou deliberadamente, poderá resultar em sanções regulamentares e pagamento de multas. Qualquer empresa pode sofrer ciberataques, e suas consequências podem ser devastadoras. Portanto, é necessário criar procedimentos que descrevam ações a serem tomadas em caso de ocorrência de incidentes de segurança, inclusive para incidentes inesperados. O gerenciamento de riscos é o processo contínuo de identificação, avaliação e respostas a riscos. Para isso, as organizações devem compreender a probabilidade de ocorrência de um evento e os possíveis impactos. Dessa forma, o Instituto Nacional de Padrões e Tecnologia (NIST–National Institute of Standards and Technology) (2018) apresenta um framework que traz um modelo de gerenciamento de riscos, composto por cinco etapas, que vai desde a identificação até a resposta e recuperação de incidentes, o qual podemos utilizar como modelo para um processo gerenciável de ataques, que também é considerado como um incidente em uma organização. A Figura 1 apresenta as cinco etapas do framework. 40 Figura 1 – Framework de cyber segurança Fonte: adaptada de NIST (2018). O NIST (2018) define cada uma das etapas: • Identificar: nesta etapa é necessário o desenvolvimento de um entendimento organizacional para o gerenciamento de riscos de segurança cibernética para sistemas,pessoas, dados e recursos. Nesta etapa, estão incluídos gerenciamento de ativos, ambiente de negócios, governança, avaliação de risco e estratégia de gerenciamento de riscos. • Proteger: é necessário desenvolver e implementar salvaguardas apropriadas para garantir a entrega de informações críticas a serviços. Esta etapa inclui gerenciamento de identidade e controle de acesso, conscientização e treinamento, segurança de dados, processos e procedimentos de proteção de informações e manutenção. • Detectar: nesta etapa, deve ocorrer o desenvolvimento e implementação de atividades apropriadas para identificar a ocorrência de um evento de segurança cibernética. Esta etapa 41 apresenta anomalias e eventos, monitoramento de segurança contínuo e processos de detecção. • Responder: nesta etapa, deve ocorrer o desenvolvimento e implementação de atividades apropriadas para tomar medidas em relação a um ataque cibernético detectado. Planejamento de respostas, comunicações, análise, mitigação e melhorias são apresentadas dentro desta etapa. • Recuperar: desenvolver e implementar atividades apropriadas para manter planos de resiliência e restaurar quaisquer recursos ou serviços prejudicados devido a um ataque cibernético, ou seja, suporta a recuperação oportuna de operações normais para reduzir o impacto de um ciberataque. Nesta etapa, estão incluídos planejamento de recuperação, melhorias e comunicações. A partir deste modelo de gerenciamento de riscos de cyber segurança, é possível realizar um processo detalhado de identificação e reconstituição de ataques. 2. Identificar o ataque e sua extensão Incidentes de segurança podem ser causados por qualquer tipo de ataque realizado à infraestrutura de informação de uma empresa, sendo lógico ou físico. Quando uma máquina está comprometida, normalmente ela começa a perder desempenho, pois está sendo utilizada pelo hacker ou vírus para fins diferentes para os quais se destina. Dessa forma, como diz Venere (2009), a análise forense deve tentar identificar sinais de comprometimento, o que pode ajudar a empresa a descobrir se outros servidores estão comprometidos também ou não, pelos seus comportamentos. 42 O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança do Brasil – Cert.br (2012), alerta que cada tipo de código malicioso (malware) apresenta características próprias que o define e o diferencia dos demais tipos, como: forma de obtenção, forma de instalação, meios usados para a propagação e ações maliciosas mais comuns que são executadas nos dispositivos infectados. Desta forma, o Cert.br (2012) apresenta um resumo comparativo das características de cada tipo, representados no Quadro 1. Os códigos maliciosos comparados são: • Vírus: software ou parte de um software que se propaga inserindo cópias de si mesmo. Ele se torna ativo ao software contaminado ser executado, tornando-se parte de outros programas e arquivos. • Worm: software que se propaga automaticamente pelas redes, enviando cópias de si mesmo de dispositivo para dispositivo. Ele se torna ativo pela execução direta de suas copias e, é responsável por consumir muitos recursos, devido à grande quantidade de cópias de si mesmo que costuma propagar. • Bot: software que dispõe de mecanismos de comunicação com o invasor, que permitem que ele seja controlado remotamente. Ele se propaga automaticamente, explorando vulnerabilidades existentes em softwares instalados em computadores. • Trojan: ou cavalo de Troia, é um software que, além de executar as funções para as quais foi aparentemente projetado, também executa as funções maliciosas sem o conhecimento do usuário. Ele é ativado por meio da sua execução direta. • Spyware: projetado para monitorar as atividades de um sistema e enviar as informações coletadas para terceiros. Ele pode ser legítimo, quando é instalado em um equipamento para que sua utilização seja monitorada, para verificar se os usuários estão utilizando de forma correta. Ou malicioso, quando executa ações que podem comprometer a privacidade do usuário e do 43 equipamento, como monitorar e capturar informações, como usuário e senha. • Backdoor: software que permite o retorno de um invasor a um computador comprometido, por meio da inclusão de serviços criados ou modificados para este fim. Ele pode ser incluído pela ação de outros códigos maliciosos que tenham infectado o equipamento previamente, ou por atacantes que exploram vulnerabilidades nos softwares instalados. • Rootkit: conjunto de softwares e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido. Ele é capaz de remover evidências de arquivos de log, por exemplo. Quadro 1 – Códigos maliciosos Códigos Maliciosos Ví ru s W or m B ot Tr oj an Sp yw ar e B ac kd oo r R oo tk it Como é obtido: Recebido automaticamente pela rede. V V Recebido por e-mail. V V V V V Baixado de sites na internet. V V V V V Compartilhamento de arquivos. V V V V V Uso de mídias removíveis infectadas. V V V V V Redes sociais. V V V V V Mensagens instantâneas. V V V V V Inserido por um invasor. V V V V V V Ação de outro código malicioso. V V V V V V Como ocorre a instalação: Execução de um arquivo infectado. V Execução explícita do código malicioso. V V V V Via execução de outro código malicioso. V V Exploração de vulnerabilidades. V V V V 44 Como se propaga: Insere cópia de si próprio em arquivos. V Envia cópia de si próprio automaticamente pela rede. V V Envia cópia de si próprio automaticamente por e-mail. V V Não se propaga. V V V V Ações maliciosas mais comuns: Altera e/ou remove arquivos. V V V Consome grande quantidade de recursos. V V Furta informações sensíveis. V V V Instala outros códigos maliciosos. V V V V Possibilita o retorno do invasor. V V Envia spam e phishing. V Desfere ataques na internet. V V Procura se manter escondido. V V V V Fonte: Cert.br (2012, p. 31). O Cert.br (2012) complementa que os principais motivos que levam um atacante a desenvolver e a propagar malwares são para obtenção de vantagens financeiras, coleta de informações confidenciais, autopromoção e vandalismo. Além disso, muitas vezes são usados como intermediários, possibilitando a prática de golpes, realização de ataques e a disseminação de spam. Malwares mais sofisticados podem identificar o sistema operacional da vítima e implantar um programa malicioso específico. Além disso, os desenvolvedores desses códigos maliciosos tentam elaborar mecanismos que não deixem vestígios ou que deixem vestígios bastante similares aos das atividades legítimas em sistemas e redes. De acordo com Velho (2016), sistemas de detecção de intrusões (IDS – Intrusion Detection Systems) são dispositivos de hardware, software ou combinação dos dois, que fazem o monitoramento das atividades relacionadas ao sistema ou à rede em busca de atividades não autorizadas ou violações de políticas de segurança em uma corporação. 45 O IDS é um dos elementos essenciais à infraestrutura de segurança, pois ele monitora a rede e o sistema em busca de sinais que podem constituir um ataque de invasão ou um usuário legítimo utilizando de suas autorizações para fazer mau uso do sistema. Os sistemas de prevenção contra intrusões, também monitoram os pacotes de rede que entram no sistema para verificar as atividades maliciosas envolvidas nele e enviam as notificações de aviso imediatamente. Além disso, ele pode auxiliar os administradores na recuperação de dados, e na identificação e rastreamento de ações de um atacante. No sistema ativo, pode bloquear automaticamente ataques ou atividades suspeitas, ou seja, ao detectar uma possível violação, finaliza a sessão de usuário ou reprograma o firewall para bloqueio de tráfego da fonte suspeita.No sistema passivo, faz o monitoramento do tráfego que passa através dele, ao identificar possíveis ataques ou anormalidades, registra a informação e emite um alerta para os administradores de segurança. Velho (2016) afirma que, quanto à metodologia, existem dois tipos de detecções: baseada em padrões e baseada em assinaturas. A primeira monitora o tráfego de rede e compara a um padrão de comportamento esperado. Esse padrão leva em consideração a banda normalmente utilizada, protocolos, portas e conexões mais comuns entre dispositivos, se alguma atividade fora do padrão é detectada, o IDS emite um alerta. Já a segunda metodologia, baseada em assinaturas, monitora os pacotes em uma rede, fazendo comparações com assinaturas ou atributos de ameaças maliciosas conhecidas. Ou seja, se baseia em um banco de dados que reconhece a assinatura de vulnerabilidades já identificadas anteriormente. Sendo assim, é extremamente importante que a estrutura tenha uma política de atualização contínua desse banco de dados, para garantir a continuidade de segurança do ambiente. Os sistemas de detecção de intrusões possuem duas principais formas de atuação, que é o IDS baseado em host (HIDS – Host-based Intrusion Detection Systems) e IDS baseado em rede (NIDS – Network Intrusion Detection Systems). 46 O HIDS monitora os pacotes de entrada e saída do dispositivo e alerta o administrador caso sejam detectadas atividades suspeitas. Além de intrusão externa, ele também detecta acessos indevidos de usuários internos, por meio de atividades suspeitas que, de acordo com Velho (2016), podem ser falhas de autenticação, tentativas de alteração em processos do sistemas e programas em execução, alterações em privilégios de usuários, acessos a arquivos não autorizados, correlação de eventos e análise de logs. Em nível de sistema operacional eles podem detectar trojans e ataques que envolvem problemas de integridade dos aplicativos. O NIDS é posicionado estrategicamente na rede de computadores para monitorar seu tráfego e fazer sua análise de acordo com padrões de assinaturas conhecidas e comportamentos esperados. Caso um ataque seja identificado ou comportamento anormal é observado, um alerta é enviado ao administrador da rede ou o próprio NIDS toma medidas reativas, realizando o bloqueio ao ataque. Em muitas soluções de sistemas de detecção de intrusão de redes, mesmo atuando em conjunto com o firewall, algumas ameaças chegam ocultas em tráfego autêntico. Um exemplo disso é o protocolo ICMP (Internet Control Message Protocol), que é utilizado para transmissão de informações de erro ou indicação de congestionamento de pacotes, não sendo esperado que transporte dados de aplicações. Sendo assim, dados maliciosos podem ser embutidos no campo de dados opcionais, não sendo detectado pelo NIDS. Desta forma, a maneira mais eficiente de detecção de intrusão é uma solução de HIDS e NIDS combinadas. Sendo assim, o IDS é uma forma de proteção eficiente em um ambiente corporativo, auxiliando de forma efetiva na proteção de ataques. E, caso algum incidente ocorra diretamente em uma estação de trabalho, coleta os logs de eventos e processos e mantêm consigo evidências importantes para uma investigação mais completa. Caso a estação atingida seja desligada antes da coleta de dados, apagando vestígios da memória, ainda é possível identificar como o arquivo malicioso chegou 47 naquela máquina, correlacionando eventos do IDS com as demais ferramentas, como antivírus, firewall, entre outras. Para a coleta de dados voláteis, Velho (2016) recomenda uma série de boas práticas que tornam esse tipo de coleta mais eficaz: documentar tudo o que foi feito, interagir o mínimo e o mais rápido possível com o equipamento em análise, usar ferramentas que minimizem o impacto no sistema alvo e que garantam a integridade e não repúdio de suas saídas, automatizar o máximo possível o seu processo de coleta, realizar as coletas pela ordem de volatidade das evidências, ou seja, quanto mais volátil, maior a prioridade, não manter dados sensíveis e sem cópias nesses dispositivos, considerar comprometido todo e qualquer usuário e senha utilizados no processo, evitar ações que possam alterar o equipamento periciado e documentar caso não haja alternativa e, por fim, não utilizar computadores com suspeita de comprometimento para realização da análise. A coleta desses dados pode ser realizada por meio de ferramentas. No ambiente Windows, pode ser utilizada a ferramenta gratuita Redline da Mandiant, cujo propósito é a aquisição e análise forense de dados de hosts suspeitos de estarem comprometidos. FTK Imager Lite da Access Data, o MDD da Mantech, o Memoryze da Mandiante e o Windows Toolkit da Moonsols são ferramentas utilizadas para realização do dump (despejo) de memória – é uma reprodução de tudo o que está na memória em um determinado momento da execução do programa e geralmente é feito em um momento de erro –, ou seja, para realizar o dump de memória que grava todo o conteúdo do sistema, podendo conter dados de todos os processos que estavam em execução no momento em que o dump foi coletado. Aquisição de uma imagem de um disco rígido (ou outra mídia de armazenamento) é, em muitos casos, o ponto de partida de uma investigação. A mídia de armazenamento a ser analisada deve ser clonada bit a bit, e qualquer análise deve ser feita nessa cópia, de forma 48 a manter a mídia analisada íntegra. Para isso, pode ser utilizada a ferramenta FTK Imager que, assim como a coleta de dados da memória, também realiza a duplicação dos dispositivos de armazenamento. Essa mesma ferramenta também pode ser utilizada para a detecção e recuperação de arquivos que foram excluídos do dispositivo de armazenamento, de modo a poderem ser analisados igualmente durante a perícia. Evidências de redes também devem ser levadas em consideração durante uma forense computacional. Confiar apenas em métodos baseados em host resultará em conclusões incompletas. Serviços de infraestrutura de redes, como DHCP (Dynamic Host Configuration Protocol) e DNS (Domain Name Service) são peças centrais no funcionamento de uma rede, podendo proporcionar inúmeras evidências na investigação de uma intrusão. Servidores DHCP fornecem dinamicamente endereços IP a equipamentos de rede. A partir dos logs gerados por esse tipo de servidor, o perito é capaz de identificar o endereço físico relacionado ao endereço IP de um ataque ou evento de interesse, pois é possível realizar o mapeamento entre endereço MAC (físico) e endereço IP, além de horários que esse endereço IP foi utilizado. Para esse tipo de coleta é possível a utilização da ferramenta Wireshark, que é um analisador de protocolo que permite a captura e a navegação interativamente no tráfego de uma rede de computadores em tempo de execução, além dos registros do IDS, caso possua instalado na estrutura. No sistema operacional Windows, existem muitas ferramentas para facilitar e automatizar a análise forense, podendo ser obtidas diversas evidências a partir do sistema de arquivos. Os arquivos de prefetch, que tem como função armazenar dados de pré-carregamento de aplicativos, pode conter muitas evidências forenses, pois serve como registro dos programas que foram executados em um sistema, independentemente se ainda estão armazenados. A partir disso, é 49 possível determinar quando um programa foi executado, quantas vezes e o diretório de origem. Para análise de arquivos prefetch existem algumas ferramentas, como WinPrefetchView da Nirsoft e Forensics Prefetch-Parser da Redwolf. Os logs de eventos do sistema, também são fontes de evidências. Para essa análise, existem diversas ferramentas como: PSLogList, que permite a conversão de logs de eventos para texto simples de um sistema local ou remoto; Log Parser, que permite o uso de consultas SQL (Structured Query Language) em logs de eventos. Atacantes normalmente fazem uso de tarefas agendadaspara executar malwares sem a necessidade de utilitários. O agendador de tarefas do Windows, proporciona a possibilidade de automatizar a execução de programas em uma data e hora específicas ou de maneira recorrente. Ele se torna uma fonte de evidências, pois registra logs da hora de início e fim das últimas tarefas executadas em um arquivo de texto simples, chamado SchedLgU.txt. No Registro do Windows, estão os dados de configuração do sistema operacional e das aplicações executadas, bem como as evidências que podem ser obtidas por meio dessas informações guardadas. Esse registro pode ser dividido em cinco arquivos principais: SYSTEM (informações que o Windows precisa para funcionar), SECURITY (armazena dados de acessos dos usuários com privilégios administrativos), SOFTWARE (informações de software e configurações do Windows), SAM (informações do administrador de contas de segurança do sistema) e DEFAULT (configurações do usuário logado no sistema). NTUSER.DAT (configurações de aparência do Windows e as dos usuários) e USRCLASS.DAT (informações de classe por usuário) são arquivos que possuem registros específicos de usuários. Para a análise dos Registros do Windows, podem ser utilizadas ferramentas como RegRipper e Windows Register Decoder. 50 3. Reconstituição de ataques É possível encontrar diversos tipos de evidências em um sistema comprometido, permitindo ao perito a descoberta do que aconteceu no sistema e do responsável pela invasão. Para que a análise seja mais confiável, além de evidências encontradas no sistema, deve-se coletá- las, também, em outros locais, como logs de firewall, roteadores e servidores de e-mail. É importante organizar a reconstituição do ataque e as ações do invasor com base nas informações e evidências coletadas. Para se evitar a falta de padrão e a ocorrência de erros, é recomendável que se faça checklists. Sendo assim, Velho (2016) apresenta algumas sugestões a serem seguidos na coleta inicial dos fatos que levaram à detecção de uma intrusão, conforme citadas nas tabelas abaixo: Tabela 1 – Resumo do incidente • Data e hora, incluindo o fuso horário, que a intru- são foi relatada. • Como o incidente foi detectado. • Data e hora, incluindo o fuso horário, que a in- trusão foi detectada (em geral se dá anteriormente ao relato). • Identificação unívoca e localização dos computa- dores afetados. • Informações de contato da pessoa que relatou o incidente. • Lista de pessoas que acessaram os sistemas comprometidos desde a detecção. • Informações de contato da pessoa que detectou o incidente. • Lista de pessoas cientes do incidente. • Natureza da intrusão (acesso não autorizado, roubo de dados etc.). • Se a intrusão ainda está em andamento. • Recursos afetados. Fonte: adaptada de Velho (2016). 51 Tabela 2 – Detecção do incidente • A detecção se deu de forma automática ou ma- nual? • As fontes de dados envolvidas estão sendo pre- servadas? • Que informação foi dada na detecção inicial? • Há quanto tempo os sistemas de detecção estão em operação e quem é responsável por eles? • Quais fontes de dados contribuíram para detec- ção? • Qual a taxa de erros de detecção? • A fonte de informação de detecção foi validade? É confiável? • Houve alguma mudança recente nas fontes de dados? Alterações e atualizações recentes podem ge- rar alarmes falsos. Fonte: adaptada de Velho (2016). Tabela 3 – Detalhes adicionais Detalhes de sistemas individuais • Localização física. • Nome e domínio do host. • Numeração de patrimônio. • Informações críticas armazenadas no sistema. • Versão. • Se existem backups para o sistema. • Sistema operacional. • Se o sistema ainda está conectado à rede. • Função precípua do sistema. • Lista de malwares detectados com data. • Administrador e usuários do sistema. • Lista de medidas tomadas em caso de detecções ocorridas de malwares. • IPs relacionados. • Se algum dado foi preservado, qual processo utili- zado e onde está armazenado. Detalhes de rede • Lista de todos IPs ou domínios externos malicio- sos envolvidos. • Se algum dado foi preservado, qual processo utili- zado e onde está armazenado. • Se há monitoramento de rede. • Mudanças em diagramas de rede e configurações. • Lista de medidas tomadas. Detalhes de malwares (esse checklist deve ser feito para cada malware relacionado ao incidente) • Data e hora da detecção. • Nome e família do malware. • Como o malware foi detectado. • Se o malware está ativo e se há conexões de rede estabelecidas. • Lista de sistemas onde o malware foi encontrado. • Se há cópia do malware (seja de forma manual ou em quarentena). • Nome do arquivo malicioso e em que diretório foi encontrado. • Se o malware comprometeu terceiros (seja de for- ma automática ou por ação de empregados). Fonte: adaptada de Velho (2016). 52 É necessário destacar que os itens citados nas Tabelas 2, 3 e 4 são apenas sugestões de tópicos a serem registrados, podendo ser alterados e adaptados de acordo com cada caso analisado e de acordo com o que o perito julgar importante para cada situação. Uma linha do tempo contendo os eventos catalogados é fundamental para que se entenda todo o quadro geral do incidente quando as intrusões são investigadas. A partir delas, torna-se possível manter as informações organizadas, auxiliando na identificação de inconsistências. Os exames periciais ocorrem após uma invasão, ou uma suspeita de que tenha ocorrido. Para uma forense computacional eficiente, o perito deve estar sempre atualizado em relação às técnicas de ataque, bem como as formas de detectá-las. Segundo Velho (2016), o perito deve, ainda, conhecer ferramentas que possibilitem a coleta e tratamento das evidências de invasões, devendo garantir a preservação dos vestígios e a segurança da cadeia de custódia. Enfim, a identificação e reconstituição dos ataques é de extrema importância para as organizações, pois, além de identificar os criminosos digitais, é possível fazer a identificação das técnicas e ferramentas que são utilizadas para os ciberataques, possibilitando o desenvolvimento de novas ferramentas de segurança para detecção e proteção contra esses incidentes. Desta forma, as organizações se tornam mais seguras e confiáveis para seus clientes. Referências Bibliográficas CERT.BR. Cartilha de Segurança para Internet. 2012. Disponível em: https:// cartilha.cert.br/livro/cartilha-seguranca-internet.pdf. Acesso em 28 jul. 2020. NIST. National Institute of Standards and Technology. Framework for Improving Critical Infrastructure Cybersecurity. 2018. Disponível em: https://nvlpubs.nist. gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf. Acesso em 27 jul. 2020. https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf 53 VELHO, Jesus A. Tratado de Computação Forense. Campinas: Millennium Editora, 2016. VENERE, Guilherme. Análise forense. Escola Superior de Redes RNP, 2009. 54 Recuperação de desastres Autoria: Juliane Soares Leitura crítica: Ariel da Silva Dias Objetivos • Definir recuperação de desastres. • Definir as fases do plano de recuperação de desastres (DRP). • Descrever controles e estratégias na recuperação de dados. 55 1. Recuperação de desastres Todas as organizações estão sujeitas a desastres, que podem ter diversas origens. Independentemente do tipo, eles podem causar grandes estragos, podendo interromper todas ou parte das operações da empresa. Por isso, a recuperação