Baixe o app para aproveitar ainda mais
Prévia do material em texto
Computação Forense Aula 10: Técnicas Antiforense – parte II Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online Apresentação Com o uso da Unreal Engine, a partir da versão 4, temos um ambiente pro�ssional e moderno para o desenvolvimento de jogos digitais. É uma Game Engine que disponibiliza um modelo de programação visual denominado Blueprint, totalmente integrado à linguagem C++, além de diversos recursos avançados para edição de cenas e áudio, qualidade grá�ca excepcional, suporte a realidade virtual, grande diversidade de formatos de mídia, entre outras vantagens. Objetivo Abordar os conceitos gerais sobre a criptogra�a; Descrever os conceitos relacionados à esteganogra�a; Explanar as particularidades de sistemas de arquivos (alternate data strems) juntamente com a sanitização de discos. Criptogra�a A criptogra�a é a ciência da escrita em segredo e é uma arte antiga. É a prática de codi�car e decodi�car dados. Quando os dados são criptografados, é aplicado um algoritmo para codi�cá-los de modo que eles não tenham mais o formato original e, portanto, não possam ser lidos. O primeiro uso documentado da criptogra�a por escrito data de cerca de 1900 a.C., quando um escriba egípcio usou hieróglifos não padrão em uma inscrição. Alguns especialistas argumentam que a criptogra�a apareceu espontaneamente algum tempo depois da escrita sendo inventada com aplicações que vão desde diplomáticas missivas a planos de batalha em tempo de guerra. Não é nenhuma surpresa, então, que novas formas de criptogra�a vieram logo após o amplo desenvolvimento das comunicações por computador. Nas telecomunicações, a criptogra�a é necessária ao se comunicar por qualquer meio não con�ável, o que inclui praticamente qualquer rede, especialmente a internet. No contexto de qualquer aplicativo de comunicação, existem alguns requisitos de segurança, incluindo: 1 Autenticação Processo de comprovação da identidade. (As principais formas de autenticação host-a-host na internet hoje são baseadas no nome ou no endereço, ambos notoriamente fracos). 2 Privacidade/ con�dencialidade Garantindo que ninguém possa ler a mensagem, exceto o destinatário pretendido. 3 Integridade Garantir ao receptor que a mensagem recebida não foi alterada de nenhuma forma em relação à original. 4 Não repúdio Um mecanismo para provar que o remetente realmente enviou a mensagem. Dessa forma, a criptogra�a não apenas protege os dados contra roubo ou alteração, mas também pode ser usada para autenticação do usuário. Existem, em geral, três tipos de criptogra�a normalmente utilizados para atingir esses objetivos: criptogra�a de chave secreta (ou simétrica); chave pública (ou criptogra�a assimétrica); e funções hash. Comentário Em todos os casos, inicialmente os dados não criptografados são chamados de texto simples. Se estiver utilizando algum texto cifrado, por sua vez (geralmente) será descriptografado em texto simples utilizável. Tipos de algoritmos criptográ�cos Por que existem tantos tipos diferentes de esquemas criptográ�cos? Por que não podemos fazer tudo o que precisamos com apenas um? A resposta é que cada esquema é otimizado para alguns aplicativos especí�cos. Integridade dos dados As funções hash, por exemplo, são adequadas para garantir a integridade dos dados porque qualquer alteração feita no conteúdo de uma mensagem resultará no receptor calculando um valor de hash diferente daquele colocado na transmissão pelo remetente. Como é altamente improvável que duas mensagens diferentes gerem o mesmo valor de hash, a integridade dos dados é garantida com um alto grau de con�ança. Privacidade e con�dencialidade A criptogra�a de chave secreta, por outro lado, é ideal para criptografar mensagens, proporcionando privacidade e con�dencialidade. O remetente pode gerar uma chave de sessão para criptografar a mensagem, e o receptor, é claro, precisa da mesma chave de sessão para descriptografar a mensagem. Di�e-Hellman permite que duas partes onipresentes, Ticio e Mévio por exemplo, gerem uma chave secreta. Eles precisam trocar algumas informações sobre um canal de comunicação não seguro para realizar o cálculo, mas um intruso não pode determinar a chave compartilhada com base nesta informação. Clique nos botões para ver as informações. É ideal para criptografar mensagens, proporcionando privacidade e con�dencialidade. O remetente pode gerar uma chave de sessão por mensagem para criptografar a mensagem, e o receptor por sua vez precisa da mesma chave de sessão para descriptografar a mensagem. Dessa forma, a troca de chaves é uma aplicação de criptogra�a de chave pública. Criptogra�a de chave secreta Também pode ser usada para o não repúdio e autenticação do usuário. Caso o destinatário possa obter a chave de sessão criptografada com a chave privada do remetente, apenas esse remetente poderá ter enviado a mensagem. A criptogra�a de chave pública poderia, teoricamente, também ser usada para criptografar mensagens, embora isso raramente seja feito porque a criptogra�a de chave secreta opera cerca de 1000 vezes mais rápido do que a chave pública. Criptogra�a de chave secreta Esteganogra�a Esteganogra�a é a arte, ciência ou prática em que mensagens, imagens ou arquivos são ocultados dentro de outras mensagens, imagens ou arquivos. Saiba mais O conceito de esteganogra�a não é novo, remonta a muitos milênios, quando as mensagens costumavam ser escondidas em coisas de uso diário, como marcas d'água em letras, esculturas, nas laterais de mesas e outros objetos. A palavra “esteganogra�a” vem do grego steganos, que signi�ca coberto ou secreto e gra�camente signi�ca escrever ou desenhar. Portanto, esteganogra�a signi�ca, literalmente, escrita encoberta. O objetivo principal da esteganogra�a é comunicar-se com segurança de uma maneira completamente indetectável para evitar a extração da transmissão de dados ocultos. Durante o processo, as características desses métodos têm o objetivo demudar a estrutura e os recursos de modo que não seja identi�cável pelo olho humano. O uso mais recente desse conceito teve início com o surgimento do mundo digital. Estenógrafo. Fonte: Javier Calvete / shutterstock. Experimentos mostraram que os dados podem ser ocultados de várias maneiras em diferentes tipos de arquivos digitais. O principal benefício da esteganogra�a é que o conteúdo não é esperado pelos investigadores que examinam os dados do computador. A pessoa que envia os dados ocultos e a pessoa destinada a receber os dados são as únicas que sabem disso. Para todos os outros, o objeto que contém os dados ocultos parece apenas um objeto normal do dia a dia. A criptogra�a, por outro lado, é a cifração e decifração de dados e informações com código secreto. A criptogra�a visual usa o mesmo conceito, exceto que é aplicado a imagens. A criptogra�a visual também pode enganar o olho inexperiente de tal forma que, se um compartilhamento de imagem caísse nas mãos erradas, pareceria uma imagem de ruído aleatório ou uma arte ruim, dependendo da experiência do investigador. No mundo forense, esse ruído pode representar uma prova importante em um caso criminal, se for reconhecido e descriptografado com sucesso. A esteganogra�a e a criptogra�a, são um tanto semelhantes em conceito. Em uma simples análise, as duas são maneiras de esconder dados de olhos curiosos e, em muitos casos, de investigadores forenses e de segurança. Alguns a�rmam que a criptogra�a é outro tipo de esteganogra�a e outros a�rmam o inverso. Embora em seu propósito básico de esconder informações eles sejam de fato semelhantes, quando se trata de algoritmos de transformação de dados, a esteganogra�a e a criptogra�a aproveitam diferentes metodologias para proteger seu conteúdo principal. Na esteganogra�a, apenas o remetente e o destinatário estão cientes dos dados ocultos e, normalmente, se o arquivo cair nas mãos de qualquer outra pessoa, eles não suspeitariam dos dados ocultos. Considerandoa criptogra�a, quando alguém recebe dados criptografados, a primeira coisa que vem à mente é a questão acerca de qual tipo de criptogra�a está sendo utilizada e como eles podem descriptografar a mensagem oculta. Imagens digitais, vídeos, sons, e outros arquivos de computador que contêm perceptivamente informações irrelevantes ou redundantes podem ser usadas como “cobertor” a �m de esconder mensagens secretas. Técnicas de esteganogra�a são bastante utilizadas em músicas, vídeos e softwares para proteção da propriedade intelectual. No Brasil, a esteganogra�a foi noticiada no jornal Folha de São Paulo, em 10 de março de 2008, exibindo a seguinte informação: “Para agência dos EUA, Abadía tra�cou no Brasil”, divulgando a técnica por ele utilizada (RAMALHO JÚNIOR; AMORIM, 2008). A esteganogra�a clássica se preocupa com as maneiras de incorporar uma mensagem secreta em uma mensagem de capa (como um �lme de vídeo, uma gravação de áudio ou código computacional). 1 2 Comentário A incorporação é normalmente parametrizada por uma chave. Sem o conhecimento desta chave (ou outra relacionada), é difícil para um terceiro detectar ou remover o material embutido. Uma vez que o objeto de capa tem material embutido nele, ele é chamado de estego-objeto. Assim, por exemplo, podemos incorporar uma marca em um texto de capa dando um estego-texto, ou incorporar um texto em uma imagem de capa dando uma imagem de estego-imagem e assim por diante. Tem havido um rápido crescimento do interesse por esse assunto nos últimos anos, por duas razões principais: 01 Primeiro, as indústrias de publicação e radiodifusão se interessaram por técnicas para ocultar marcas de copyright criptografadas e números de série em �lmes digitais, gravações de áudio, livros e produtos multimídia. Uma apreciação das novas oportunidades de mercado criadas pela distribuição digital é associada ao medo de que as obras digitais possam ser muito fáceis de copiar. 02 Em segundo lugar, as iniciativas de vários governos para restringir a disponibilidade de serviços de criptogra�a motivaram as pessoas a estudar métodos pelos quais mensagens privadas podem ser incorporadas em mensagens de cobertura aparentemente inócuas. A facilidade com que isso pode ser feito pode ser um argumento contra a imposição de restrições. Outras aplicações para esteganogra�a incluem: o monitoramento automático de anúncios de rádio, onde seria conveniente ter um sistema automatizado para veri�car se os anúncios são reproduzidos conforme contratado; a indexação de vídeo, onde podemos querer incorporar comentários no conteúdo; e https://stecine.azureedge.net/webaula/estacio/go0687/aula10.html https://stecine.azureedge.net/webaula/estacio/go0687/aula10.html a segurança médica, em que formatos de imagem atuais separam os dados de imagem do texto (como o nome do paciente, data e médico), com o resultado de que o link entre a imagem e o paciente ocasionalmente é interrompido por conversores de protocolo. Assim, incorporar o nome do paciente na imagem pode ser uma medida de segurança útil. Quando o aplicativo envolve a proteção de propriedade intelectual, podemos distinguir entre marca d'água e impressão digital. No primeiro caso, todas as instâncias de um objeto são marcadas da mesma maneira, e o objetivo da técnica é sinalizar que um objeto não deve ser copiado ou provar a propriedade em uma disputa posterior. Pode-se pensar em uma marca d'água como uma ou mais marcas de direitos autorais que estão ocultas no conteúdo. Com a impressão digital, por outro lado, marcas separadas são embutidas nas cópias do objeto que são fornecidas a diferentes clientes. O efeito é mais ou menos como um número de série oculto, permitindo que o proprietário da propriedade intelectual identi�que os clientes que violam o contrato de licença ao fornecer a propriedade a terceiros. Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online Sistemas de arquivos (alternate data streams - ADS) Um recurso de compatibilidade relativamente inédito do NTFS é o Alternate Data Streams (ADS). Ele pode fornecer a um invasor um método de ocultar rootkits ou ferramentas de hacker em um sistema comprometido, o que permite que eles sejam executados sem serem detectados pelo administrador do sistema. Fluxos de dados alternativos são estritamente um recurso do sistema de arquivos NTFS. Eles podem ser usados como um método de ocultar executáveis ou conteúdo proprietário. Os �uxos de dados alternativos (ADS) fazem parte de todos os arquivos, assim como os diretórios (pastas), em um volume NTFS do Windows. Arquivos e pastas NTFS são compostos de atributos, um dos quais é $DATA. O conteúdo que normalmente associamos a um arquivo, como o texto em um arquivo .txt ou o código executável em um arquivo .exe, é armazenado no atributo $DATA "padrão". A string de nome desse atributo-padrão está vazia (de�nida como “”), portanto, é frequentemente chamada de “�uxo de dados sem nome”. Quaisquer �uxos de $Data adicionais devem ser nomeados e são normalmente referidos como “�uxos de dados alternativos”. Os �uxos de dados alternativos são simples de criar e envolvem pouca ou nenhuma habilidade de uso comum. Os comandos via teminal, como type, podem ser usados para criar �uxos de dados alternativos (ADS). Esses comandos são usados em conjunto com um redirecionamento (>) e dois pontos (:) para aglutinar um arquivo em outro. Exemplo O seguinte comando pode ser usado para juntar o programa de calculadora comum do Windows com um ADS "malicioso.exe": digite c: \ malicioso.exe> c: \ winnt \ system32 \ calc.exe: malicioso.exe Arquivos com ADS são quase impossíveis de detectar usando técnicas nativas de navegação de arquivos como linha de comando ou Windows Explorer. Um aplicativo de soma de veri�cação de arquivo de terceiros pode ser usado para efetivamente manter a integridade de uma partição NTFS contra dados alternativos não autorizados ADS. Ferramenta ADS (Listar �uxos de dados alternativos): Sintaxe {nome do arquivo}:{nome do �uxo}; Criar arquivo de texto > visivel.txt:oculto.txt; Veri�car more < visivel.txt:oculto.txt. Normalmente, quando você está salvando algo em um arquivo .txt, por exemplo, você está armazenando o conteúdo do seu arquivo (texto ascii) em um �uxo de dados que o Windows reconhece como o �uxo-padrão. Então, da próxima vez que você abrir o seu arquivo, você estará acessando o mesmo �uxo para visualizar seus dados. Exemplo: Se eu criar um arquivo .txt usando o bloco de notas no meu sistema Windows e salvá-lo em um arquivo (texto.txt), sempre que eu abri-lo, veria meus dados. Fonte: O autor. Mas e se houver mais dados no arquivo que você não conhece? É aí que os �uxos de dados alternativos entram em jogo. Usarei o cmd.exe (prompt de comando) para demonstrar um exemplo de forma a tornar mais fácil o entendimento acerca da CLI (interface de linha de comando), contudo os mesmos resultados também podem ser obtidos usando o PowerShell. Portanto, quando uso o prompt de comando para visualizar o conteúdo do meu diretório, posso ver o meu arquivo de texto “texto.txt” e o tamanho do arquivo sendo 24 bytes. Comando dir Fonte: O autor. Comando dir /r Fonte: O autor. #Primeiro comando dir #Segundo comando dir /r Fonte: O autor. Dessa forma, podemos ver as informações por ambos os comandos com mais precisão e somos capazes de ver as mudanças de uma perspectiva mais clara. Ambas as saídas dizem que há apenas um arquivo no diretório e nos dão o mesmo tamanho, porque texto.txt e texto.txt: secreto.txt são o mesmo arquivo, não arquivos diferentes, mas os dados são armazenados em �uxos separados. O espaço total usado no diretório e disponível no sistema ainda é o mesmo. Vamos ver o conteúdo de ambos juntos: Fonte: O autor. Ao visualizar os dois, podemos ver que o conteúdo é diferente, e podemos observar a diferença no nome dos arquivos, o que nos dá a ideia de que podemos facilmente armazenar informações em um �uxo de dados alternativopara diversos �ns. Os �uxos de dados seguem uma convenção de nomenclatura básica no sistema de arquivos NTFS, que é FileName:StreamName:StreamType, embora o nome completo de texto.txt no sistema de arquivos NTFS seja texto.txt::$DATA. Um método alternativo para visualizar ambos sem abri-los no bloco de notas seria: # visualizar texto.txt type texto.txt # visualizar Alternate Data Stream more < texto.txt:secreto.txt Fonte: O autor. Você não precisa limitar seus �uxos de dados alternativos apenas ao tipo $DATA, pois há outros tipos de �uxos que podem atender melhor às suas �nalidades. Agora sabemos como visualizar e criar �uxos de dados alternativos, mas tudo isso parece muito inofensivo. Talvez ainda haja a dúvida: Por que deveria me preocupar com isso? Mesmo que o ADS não tenha sido criado com nenhuma má intenção, ele pode ser facilmente usado para executar um arquivo malicioso como um backdoor ou um rootkit no sistema de destino a partir de algo tão inocente quanto sua calculadora e assim podendo di�cultar uma análise forense. Sanitização de discos Muitas pessoas acreditam que na verdade estão destruindo informações quando apagam arquivos do computador. Na maioria dos casos, no entanto, os comandos de exclusão não removem realmente as informações do arquivo do disco rígido. Embora a noção precisa de "apagar" dependa do sistema de arquivos utilizado, na maioria dos casos, excluir um arquivo costuma apenas reescrever os metadados que apontaram para o arquivo, mas deixa os blocos de disco que contêm o conteúdo do arquivo intacto. Considere o sistema FAT, que foi o formato de arquivo dominante por tempos. Existem quatro versões ligeiramente diferentes deste sistema de arquivos: FAT12, FAT16, VFAT e FAT32. Um disco rígido é sempre endereçado em termos de setores de 512 bytes. Um sistema de arquivos FAT agrupa ainda mais os setores de dados em clusters, que consistem em setores 2i, onde i é um parâmetro de�nido quando a unidade é formatada. Cada cluster de disco rígido tem uma entrada no FAT que descreve seu status. O cluster é: Parte de um arquivo e aponta para o próximo cluster desse arquivo. O último cluster em um arquivo e, portanto, contém um valor de �m de arquivo (EOF). O que é o FAT? Essencialmente, o FAT é uma lista vinculada de clusters que correspondem a arquivos. Dica Para uma visão geral mais abrangente do sistema de arquivos FAT, consulte as especi�cações da Microsoft. Quando o sistema operacional apaga um arquivo FAT, duas coisas ocorrem: Primeiramente, o sistema modi�ca o primeiro caractere do nome do arquivo na entrada do diretório do arquivo para sinalizar que o arquivo foi excluído e que a entrada do diretório pode ser reutilizada. Em segundo lugar, o sistema move todos os clusters FAT do arquivo para a lista de clusters livres do disco rígido. Os dados reais do arquivo nunca são tocados. Na verdade, existem muitos programas disponíveis que podem recuperar arquivos apagados. Embora nossa noção semântica de "apagar" implique na remoção de dados, o sistema de arquivos FAT (e muitos outros sistemas de arquivos modernos) não atende às nossas expectativas. Em virtude de a destruição física ser relativamente complicada e insatisfatória, e porque usar o sistema operacional para apagar arquivos não os limpa de forma e�caz, muitos indivíduos preferem limpar as informações do disco rígido sobrescrevendo intencionalmente esses dados com outros dados para que os dados originais não possam ser recuperados. Embora a sobrescrita seja relativamente fácil de entender e veri�car, pode ser um pouco complicada na prática. Uma maneira de sobrescrever um disco rígido é preencher cada bloco endereçável com bytes ASCII NUL (zeros). Se a unidade de disco estiver funcionando corretamente, então cada um desses blocos relata um bloco preenchido com NULs na leitura. Comentário Para a maioria dos aplicativos domésticos e comerciais, simplesmente preencher um disco inteiro com bytes ASCII NUL fornece limpeza su�ciente. Uma organização que abordou o problema de higienização de mídia de armazenamento foi o Departamento de Defesa dos Estados Unidos (DoD), que criou uma "matriz de limpeza e sanitização" que dá aos executores do DoD três técnicas aprovadas pelo governo para higienizar unidades de disco rígido: Fonte: O autor. Atenção No entanto, como a�rmam as diretrizes, o método de sobrescrever todos os locais endereçáveis com um caractere aleatório não é aprovado para sanitização de mídia que contém informações ultrassecretas.) O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST): Descreve a sanitização de mídia como um processo de exclusão de dados de forma a não permitir a recuperação com qualquer tipo de esforço; Também forneceu um documento completo para gerenciamento de sanitização de mídia com base no nível de con�dencialidade. Existem vários padrões de sanitização de mídia disponíveis, e a maior parte deles usa várias técnicas de substituição para garantir que os dados serão excluídos com segurança. O padrão mais comum usado é US DoD 5220.22-M. A estratégia de substituição do DoD é curiosa, porque não recomenda escrever um padrão, e porque o método não é especi�camente aprovado para informações ultrassecretas. A omissão e a restrição são quase certamente intencionais. O problema com padrões de destruição de dados é que as informações neles podem ser parcialmente imprecisas na tentativa de enganar as agências de inteligência (o que provavelmente acontece para que muitas diretrizes sobre meios sanitizantes sejam classi�cadas). Na verdade, alguns pesquisadores têm a�rmado repetidamente que a simples substituição é insu�ciente para proteger os dados de um determinado invasor. A realidade é que é teoricamente possível recuperar informações gravadas em qualquer dispositivo de gravação magnética porque os padrões de campo magnético de baixo nível da bandeja do disco são uma função dos dados gravados e substituídos. A tecnologia forense digital atual permite que quaisquer dados excluídos de dispositivos digitais sejam recuperáveis. O processo forense digital pode ser realizado usando um método de recuperação baseado em hardware ou recuperação baseada em software. Por isso, os dados obtidos na mídia são coletados, cuidadosamente inspecionados e, em seguida, processados por uma ferramenta de forense digital. Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online Atividade 1. A criptogra�a é uma forma de codi�car um texto sigiloso, evitando: a) O aumento de um arquivo. b) Que a mensagem alcance seu objetivo. c) Que estranhos o leiam. d) Que outros analistas o alterem. e) A inclusão de mais objetivos. 2. Com relação à esteganogra�a, analise as a�rmativas a seguir. I. É uma técnica usada para ocultar a existência de uma mensagem dentro de outro meio, como arquivos ou imagens. II. Uma das fraquezas da esteganogra�a é que ela pode ser detectada facilmente se a chave de sessão for menor que 128 bits. III. A esteganogra�a simétrica permite a conversão de textos claros em mensagens codi�cadas, e vice-versa. Assinale: a) Se somente a afirmativa I estiver correta. b) Se somente a afirmativa II estiver correta. c) Se somente a afirmativa III estiver correta. d) Se somente as afirmativas I e II estiverem corretas. e) Se somente as afirmativas I e III estiverem corretas. 3. Com relação à técnica de sanitização de dados, analise as a�rmativas a seguir. I. Os comandos de exclusão removem realmente as informações do arquivo do disco rígido. II. Em virtude da destruição física ser relativamente complicada e insatisfatória, muitos indivíduos preferem limpar as informações do disco rígido, sobrescrevendo intencionalmente os dados. III. Para a maioria dos aplicativos domésticos e comerciais, simplesmente preencher um disco inteiro com bytes ASCII NUL fornece limpeza su�ciente. Quais estão corretas? a) Apenas a I. b) Apenas a I e a II. c) Apenas a I e a III. d) Apenas a II e a III. e) I, II e III. Notas Mensagem secreta1Mensagem que pode ser uma marca de copyright, uma comunicação secreta ou um número de série. Mensagem de capa2 Como um �lme de vídeo, uma gravação de áudio ou código computacional. Referências ELEUTÉRIO, Pedro Monteiro da Silva. Desvendando a Computação Forense. São Paulo – SP: Novatec Editora, 2010. VELHO, Jesus Antonio. Tratado de Computação Forense. Campinas – SP: Millenium Editora, 2016. RAMALHO JÚNIOR, José Gonçalves; AMORIM, Eliel Santos. Esteganogra�a: Integridade, con�dencialidade e autenticidade. São Bernardo do Campo: FTT, 2008. Próxima aula Explore mais Qual é a viabilidade da aplicação de diversas técnicas antiforense em uma mesma evidência? Teria sentido aplicar apenas uma em vez de tentar combinar diversas técnicas? Um bom estudo de caso é a perícia realizada pelos peritos da Amazônia para elucidação de um crime. O tema encontra-se disponível em: http://sinpoeam.com.br/noticia/ler/pericia_do_caso_�avio_fo-31. javascript:void(0);
Compartilhar