Baixe o app para aproveitar ainda mais
Prévia do material em texto
30/7/2010 1 Professor - Ricardo Leocádio 1Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas “Perícia Forense aplicada a informatica” • Neste capítulo iremos ver o conceito sobre o que é pericia forense computacional, como realizar e encontrar evidências. Objetivos • Apostila de acompanhamento da disciplina, das páginas 74 a 77 Documentos Professor - Ricardo Leocádio 2Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas ISO 27001 30/7/2010 2 Professor - Ricardo Leocádio 3Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Assuntos que circundam uma perícia PERÍCIA Materialização da prova DIREITO Leis Procedimentos TECNOLOGIA Informática Forense Leitura obrigatória desse conteúdo. Página 74 a 77 Professor - Ricardo Leocádio 4Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Pirâmide do rigor das provas Penal Civil Administrativo FORMALIDADE / RIGIDEZ PUNIÇÃO Maior Prisão Intermediário Pecuniária Menor Administrativa PROCESSO 30/7/2010 3 Professor - Ricardo Leocádio 5Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas A Perícia no contexto da pirâmide Penal Civil Administrativo PERITO Dois Peritos Oficiais do Estado * Nomeado pelas partes ou pelo Juiz * Capacitado e de confiança. PROCESSO Professor - Ricardo Leocádio 6Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Integração área Juridica x Tecnológica • Área de Security – detecta a fraude / téc. forense + • Área Jurídica – analisa e tipifica o ato –Demanda Adm, Civil ou Penal? –Efetividade no corpo comprobatório levado a juízo 30/7/2010 4 Professor - Ricardo Leocádio 7Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas FORENSICS é a análise “pos-mortis”. O seu conceito genérico é o estudo sobre algum objeto com fins legais. Ele tem o objetivo genérico de saber a hora da morte, as causas da morte, análise e coleta de evidências, análise de históricos, cena do crime, dentre outros objetos inerentes ao estudo jurídico e legal. COMPUTER FORENSICS é o ato do levantamento e coleta de dados e evidências que possam ser considerados provas jurídicas e legais numa análise pós-morte. São efetuadas análises por profissionais altamente capacitados para determinar os passos a serem tomados para que sejam coletados os referidos dados com a menor perda possível. Conceito Professor - Ricardo Leocádio 8Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas COMPUTER FORENSICS envolve a preservação, identificação, extração (coleta) e documentação de provas e evidências armazenadas no computador na forma de informações magnéticas codificadas (dados). Muitas vezes, a evidência ou a prova foram criadas de forma transparente pelos sistemas operacionais, sem o conhecimento do operador. Algumas informações podem ser atualmente escondidas para a visualização, então as ferramentas e programas especiais forensics e as técnicas são requeridas para preservar, identificar, extrair (coletar) e documentar as evidências relatadas. A preservação dos dados é extremamente importante para que os objetivos sejam alcançados. Objetivo 30/7/2010 5 Professor - Ricardo Leocádio 9Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Com o crescimento de ataques feitos contra sistemas computacionais, emergiu a necessidade de elementos que pudessem comprovar a origem dos mesmos, trazendo a imputabilidade dos atos praticados. Em 1996, os primeiros profissionais passam a ser procurados por órgãos governamentais e surgem os grupos de desenvolvimento de ferramentas de análise forensics. As primeiras firmas especializadas aparecem em meados de 1996 e vêm se estabelecendo no mercado como importantes meios de atingir os objetivos de comprovação de ataques e fraudes no mercado internacional. Histórico Professor - Ricardo Leocádio 10Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Nos anos seguintes, várias ferramentas e técnicas forma surgindo no mercado internacional obedecendo às necessidades das legislações da área de informática e combatendo os novos tipos de ataque no intuito de preservar os dados. Em 2000, Dan Farmer (Earthlink) e Wietse Venema (IBM) começam a escrever artigos publicados pelo jornal Doctor Dobb, incluindo sistemas operacionais Unix e Windows, além das análises de várias ferramentas que foram desenvolvidas no decorrer dos anos por empresas especializadas, grupos de estudos e profissionais autônomos. Histórico - Continuação 30/7/2010 6 Professor - Ricardo Leocádio 11Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas BASE JURÍDICA 1. Definições de perícia, perito e assistente técnico. A palavra perito quando definida pelo dicionário do célebre Aurélio Buarque de Holanda Ferreira nos traz as seguintes expressões: • Aquele que é sabedor ou especialista em determinado assunto. • Aquele que se acha habilitado para realizar perícia. • Aquele que é nomeado judicialmente para exame ou vistoria. Professor - Ricardo Leocádio 12Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas BASE JURÍDICA Podemos ainda definir como: “Pessoa qualificada, idônea, isenta, especialista, em um ou mais ramos do conhecimento, que auxilia o Juiz ou as partes processuais na busca da verdade científica (real)”. Jorge Ramos de Figueiredo. “Profissional legalmente habilitado, idôneo e especialista, convocado para realizar uma perícia”. Joaquim da Rocha Medeiros Junior “A perícia Judicial” Editora Universitária de Direito, 2006. 30/7/2010 7 Professor - Ricardo Leocádio 13Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas BASE JURÍDICA Assistente Técnico: “Profissional legalmente habilitado, indicado e contratado pela parte para orientá-la, assistir os trabalhos periciais em todas as fases da perícia e, quando necessário, emitir seu parecer técnico.” 2. Pré-requisitos legais As Leis processuais brasileiras, tanto civis (CPC) quanto penal (CPP) tratam dos requisitos exigidos para a atuação na área pericial, a seguir vejamos: CAPÍTULO-V – CPC DOS AUXILIARES DA JUSTIÇA Art. 139. São auxiliares do juízo, além de outros, cujas atribuições são determinadas pelas normas de organização judiciária, o escrivão, o oficial de justiça, o perito, o depositário, o administrador e o intérprete. Professor - Ricardo Leocádio 14Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas BASE JURÍDICA Art.145 Parágrafo 2º “Os peritos comprovarão sua especialidade na matéria que deverão opinar mediante certidão do órgão profissional em que estiverem inscritos. (redação incluída pela Lei 7.270 de 1984)”. Art.145 Parágrafo 3º “Nas localidades onde não houver profissionais qualificados que preencham os requisitos dos parágrafos anteriores, a indicação dos peritos será de livre escolha do Juiz. (redação incluída pela Lei 7.270 de 1984)”. Código de Processo Civil Art.145 Parágrafo 1º “Os peritos serão escolhidos entre profissionais de nível universitário, devidamente inscritos no órgão de classe competente, respeitado o disposto no Capitulo VI Seção VII, deste código (redação incluída pela Lei 7.270 de 1984). 30/7/2010 8 Professor - Ricardo Leocádio 15Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas BASE JURÍDICA Código de Processo Penal: "Art. 159. O exame de corpo de delito e outras perícias serão, em regra, realizados por perito oficial. 1o Na falta de perito oficial, o exame será realizado por duas pessoas idôneas, escolhidas, de preferência, dentre as que tiverem habilitação técnica 2o Os peritos não oficiais prestarão o compromisso de bem e fielmente desempenhar o encargo. 3o Serão facultadas ao Ministério Público e seu assistente, ao querelante, ao ofendido, ao investigado e ao acusado a formulação de quesitos e indicação de assistente técnico,que atuará a partir de sua admissão pelo juiz. "(NR). Professor - Ricardo Leocádio 16Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas BASE JURÍDICA "Art. 212. As perguntas serão formuladas pelas partes diretamente à testemunha, não admitindo o juiz aquelas que puderem induzir a resposta, não tiverem relação com a causa ou importarem na repetição de outra já respondida. Comentários: Apesar de não haver a exigência textual na Lei civil, a idade mínima para o exercício do profissional perito é de 18 anos completos, em face da responsabilidade cível e penal de acordo do com a reforma do Código Civil em 2002. 30/7/2010 9 Professor - Ricardo Leocádio 17Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas BASE JURÍDICA É do entendimento dos tribunais brasileiros que NÃO é possível exigirem do profissional de informática o competente registro no órgão ou entidade de classe vez que a profissão ainda não fora regulamentada no país. Considera-se para fins legais, a formação superior (universitária) em cursos seqüenciais (2 anos de duração), tecnólogos (2 anos e meio de duração) e bacharelado tradicional (4 anos em média),bem como cursos de Pós Graduação (Especialização, Mestrado ou Doutorado), desde que devidamente registrados e reconhecidos pelo Ministério da Educação e Cultura (MEC). Professor - Ricardo Leocádio 18Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas BASE JURÍDICA 3. Os campos de atuação do perito. A atuação do profissional de computação forense dar-se-á das seguintes formas: •Funcionar como perito do Juiz das varas cíveis e trabalhistas, ou seja, nomeado pelo Juiz do processo para proceder nos exames e diligências técnicas. •Funcionar como assistente técnico das partes, que compreende em auxiliar os advogados e partes processuais a elaborar quesitos, acompanhar a (as) diligências e exames nas defesas de seus interesses. •Funcionar como consultor ou perito extrajudicial, neste caso, o laudo técnico, ou como muitas vezes chamado de “parecer” é produzido de forma particular, e não de forma judicial, e anexado a petição do advogado dentro do processo. •Funcionar como perito extrajudicial em comissões de sindicância que apurem faltas ou transgressões disciplinares de funcionários particulares ou públicos. •Funcionar como professor em cursos de formação de peritos. 30/7/2010 10 Professor - Ricardo Leocádio 19Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas BASE JURÍDICA 4. Como apresentar suas credenciais. No caso do profissional de perícia, chamamos de credenciais tudo aquilo que comprova suas habilidades e especialidades técnicas. •Caso seja nomeado perito “ad-hoc” na justiça criminal (inquérito policial) o profissional deve apresentar-se ao Delegado titular do feito munido de cópia do seu documento de Identidade Civil ou profissional, cópia do seu certificado de conclusão de curso superior e cópia do seu certificado de curso em computação forense. •Caso seja nomeado perito do Juiz na justiça cível ou trabalhista, o profissional deve apresentar todo o seu currículo profissional devidamente comprovado ao Juiz no momento em que ingressar com petição para proposta de honorários. Professor - Ricardo Leocádio 20Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas BASE JURÍDICA 5. Legislação aplicada ao perito da esfera cível. Seção-II Do Perito Segundo o Código de Processo Civil brasileiro, na sua Seção II, Artigo 145: “Quando a prova do fato depender de conhecimento técnico ou científico, o juiz será assistido por perito, segundo o disposto no Artigo 421.” (CPC) Os parágrafos 1º, 2º e 3º já foram analisados quando do estudo dos pré-requisitos legais Artigo 146: “O perito tem o dever de cumprir o ofício, no prazo que lhe assinala a Lei, empregando toda a sua diligência; pode, todavia, escusar-se do encargo alegando motivo legítimo.” (CPC) 30/7/2010 11 Professor - Ricardo Leocádio 21Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas BASE JURÍDICA Exemplos de motivos legítimos: •Quando se tratar de perícia relativa à matéria sobre a qual se considere inabilitado para apreciar. •Quando se tratar de questão em que sua resposta possa trazer desonra própria, de cônjuge, parente, amigo íntimo, ou expô-los ao perigo de demanda ou prejuízo patrimonial. •Sempre que os fatos importem em violação de segredo profissional. •Já estar comprometido anteriormente com outras perícias que lhe impeçam de cumprir com os prazos. Professor - Ricardo Leocádio 22Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas BASE JURÍDICA Parágrafo único: “A escusa será apresentada dentro de 5 (cinco) dias, contados da intimação ou do impedimento superveniente, sob pena de se reputar renunciado o direito a alegá-la (Artigo 423). (Redação dada pela Lei número 8.455, de 1992). (CPC) Artigo 147: “O perito que, por dolo ou culpa, prestar informações inverídicas, responderá pelos prejuízos que causar à parte, ficará inabilitado, por 2 (dois) anos, a funcionar em outras perícias e incorrerá na sanção que a Lei penal estabelecer. (CPC) 30/7/2010 12 Professor - Ricardo Leocádio 23Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas BASE JURÍDICA SEÇÃO VII Artigo 420: “A prova pericial consiste em exame, vistoria ou avaliação. Parágrafo único: “O Juiz indeferirá a perícia quando: I- a prova do fato não depender de conhecimento especial de técnico; II- for desnecessária em vista de outras provas produzidas; III- a verificação for impraticável.” (CPC) Artigo 421: “O juiz nomeará o perito, fixando de imediato o prazo para a entrega do laudo. (Redação dada pela Lei número 8.455, de 1992). (CPC) Professor - Ricardo Leocádio 24Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas BASE JURÍDICA Parágrafo 1º: “Incube as partes, dentro de 5 (cinco) dias, contados da intimação do despacho de nomeação do perito: I- indicar o assistente técnico; II- apresentar quesitos. (CPC) Parágrafo 2º: “Quando a natureza do fato permitir, a perícia poderá consistir apenas na inquirição pelo juiz do perito e dos assistentes, por ocasião da audiência de instrução e julgamento a respeito das coisas que houveram informalmente examinado ou avaliado (Redação dada pela Lei número 8.455, de 1992).” (CPC) Artigo 422: “O perito cumprirá escrupulosamente o encargo que lhe foi cometido, independente de termo de compromisso. Os assistentes técnicos são de confiança da parte, não sujeitos a impedimento ou suspeição Redação dada pela Lei número 8.455, de 1992).” (CPC) 30/7/2010 13 Professor - Ricardo Leocádio 25Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas BASE JURÍDICA Artigo 423: “O perito pode escusar-se (Artigo 146), ou ser recusado por impedimento ou suspeição (Artigo 138, Inciso III); ao aceitar a escusa ou julgar procedente a impugnação, o juiz nomeará novo perito. Redação dada pela Lei número 8.455, de 1992).” (CPC) Artigo 424: “O perito poderá ser substituído quando: I- Carecer de conhecimento técnico ou científico; II- Sem motivo legítimo, deixar de cumprir o encargo no prazo que lhe foi assinado. Redação dada pela Lei número 8.455, de 1992).” (CPC) Parágrafo único: “No caso previsto no inciso II, o juiz comunicará a ocorrência a corporação profissional respectiva, podendo, ainda, impor multa ao perito, fixada tendo em vista o valor da causa e o possível prejuízo decorrente do atraso no processo (Redação dada pela Lei número 8.455, de 1992).” (CPC) Professor - Ricardo Leocádio 26Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas BASE JURÍDICA Artigo 425: “Poderão as partes apresentar, durante a diligência, quesitos suplementares. Da juntada dos quesitos aos autos dará o escrivão ciência à parte contrária. (CPC) Artigo 426: “Compete ao juiz: I- indeferir quesitos impertinentes; II – formular os que entender necessários ao esclarecimento da causa.(CPC) Artigo 427: “O juiz poderá dispensar prova pericial quando as partes, na inicial e na contestação, apresentarem sobre as questões de fato pareceres técnicos ou documentos elucidativos que considerar suficientes (Redação dada pela Lei número 8.455, de 1992).” (CPC) 30/7/2010 14 Professor - Ricardo Leocádio 27Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas BASE JURÍDICA Artigo 429: “Para o desempenho de sua função, podem o perito e os assistentes técnicos utilizar-se de todos os meios necessários, ouvindo testemunhas, obtendo informações, solicitando documentos que estejam em poder de parte ou em repartições públicas, bem como instruir o laudo com plantas, desenhos, fotografias e outras quaisquer peças. (CPC) Artigo 431-A: “As partes terão ciência da data e local designados pelo juiz ou indicados pelo perito para ter início à produção da prova.” (CPC) Artigo 431-B: “Tratando-se de perícia complexa, que abranja mais de uma área de conhecimento especializado, o juiz poderá nomear mais de um perito e a parte nomear mais de um assistente técnico.” (CPC) Professor - Ricardo Leocádio 28Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas BASE JURÍDICA Artigo 432: “Se o perito, por motivo justificado, não puder apresentar o laudo dentro do prazo, o juiz conceder-lhe-á, por uma vez, prorrogação, segundo o seu prudente arbítrio.” (CPC) Artigo 433: “O perito apresentará o laudo em cartório, no prazo fixado pelo juiz, pelo menos 20 (vinte) dias antes da audiência de instrução e julgamento.” (CPC) Parágrafo único: “Os assistentes técnicos oferecerão seus pareceres no prazo comum de 10 (dez) dias, depois de intimadas as partes da apresentação do laudo. (CPC) 30/7/2010 15 Professor - Ricardo Leocádio 29Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas BASE JURÍDICA Artigo 435: “A parte, que desejar esclarecimento do perito e do assistente técnico, requererá ao juiz que mande intimá-lo a comparecer à audiência, formulando desde logo as perguntas, sob forma de quesitos” (CPC) Parágrafo único: “O perito e o assistente técnico só estarão obrigados a prestar os esclarecimentos a que se refere este artigo, quando intimados 5 (cinco) dias antes da audiência. (CPC) Artigo 437: “O juiz poderá determinar, de ofício ou a requerimento da parte, a realização de nova perícia, quando a matéria não lhe parecer suficientemente esclarecida.” (CPC) Artigo 438: “A segunda perícia tem por objetivo os mesmos fatos sobre que recaiu a primeira e destina-se a corrigir eventual omissão ou inexatidão dos resultados a que esta conduziu”. (CPC) Parágrafo único: “A segunda perícia não substitui a primeira, cabendo ao juiz apreciar livremente o valor de uma e outra”. (CPC) Professor - Ricardo Leocádio 30Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas BASE JURÍDICA Art. 134 dispõe sobre os impedimentos para atuar como perito (CPC): • Atuar em processo onde esteja postulando, como advogado da parte, ou seja, parte, seu cônjuge ou qualquer parente seu, consangüíneo ou afim, em linha reta ou na colateral, até o 3º Grau. Quando membro de órgão de direção ou de administração de pessoa jurídica que seja parte na causa. • Quando amigo íntimo ou inimigo capital de alguma das partes. Quando alguma das partes for sua credora ou devedora, de seu cônjuge ou de parente de ambos até o segundo grau. • Quando herdeiro presuntivo, donatário ou empregador de alguma das partes. • Quando receber dádivas antes ou depois de iniciado o processo. • Quando houver aconselhado alguma das partes acerca do objeto da causa ou subministrar meios para atender a despesas do litígio. • Quando interessado no julgamento de causa em favor de uma das partes e/ou suspeição de parcialidade. 30/7/2010 16 Professor - Ricardo Leocádio 31Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas BASE JURÍDICA 6. Legislação aplicada ao perito na esfera criminal (de acordo com as modificações no CPP em junho de 2008) Da legalidade da prova pericial (grifo nosso) "Art. 157. São inadmissíveis, devendo ser desentranhadas do processo, as provas ilícitas, assim entendidas as obtidas em violação a princípios ou normas constitucionais. (CPP) 1o São também inadmissíveis as provas derivadas das ilícitas, quando evidenciado o nexo de causalidade entre umas e outras, e quando as derivadas não pudessem ser obtidas senão por meio das primeiras. (CPP) Professor - Ricardo Leocádio 32Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas BASE JURÍDICA § 2o Preclusa a decisão de desentranhamento da prova declarada ilícita, serão tomadas as providências para o arquivamento sigiloso em cartório. (CPP) § 3o O juiz que conhecer do conteúdo da prova declarada ilícita não poderá proferir a sentença. (CPP) Art. 112. O juiz, o órgão do Ministério Público, os serventuários ou funcionários de justiça e os peritos ou intérpretes abster-se- ão de servir no processo, quando houver incompatibilidade ou impedimento legal, que declararão nos autos. Se não se der a abstenção, a incompatibilidade ou impedimento poderá ser argüido pelas partes, seguindo-se o processo estabelecido para a exceção de suspeição. (CPP) 30/7/2010 17 Professor - Ricardo Leocádio 33Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas BASE JURÍDICA O Artigo 159 e seus parágrafos já foram estudados quando dos pré-requisitos legais Art. 160. Os peritos elaborarão o laudo pericial, onde descreverão minuciosamente o que examinarem, e responderão aos quesitos formulados. (CPP) Parágrafo único. O laudo pericial será elaborado no prazo máximo de 10 dias, podendo este prazo ser prorrogado, em casos excepcionais, a requerimento dos peritos. (CPP) Professor - Ricardo Leocádio 34Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas BASE JURÍDICA Art. 169. Para o efeito de exame do local onde houver sido praticada a infração, a autoridade providenciará imediatamente para que não se altere o estado das coisas até a chegada dos peritos, que poderão instruir seus laudos com fotografias, desenhos ou esquemas elucidativos. (CPP) Parágrafo único. Os peritos registrarão, no laudo, as alterações do estado das coisas e discutirão, no relatório, as conseqüências dessas alterações na dinâmica dos fatos. 30/7/2010 18 Professor - Ricardo Leocádio 35Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas BASE JURÍDICA Art. 170. Nas perícias de laboratório, os peritos guardarão material suficiente para a eventualidade de nova perícia. Sempre que conveniente, os laudos serão ilustrados com provas fotográficas, ou microfotográficas, desenhos ou esquemas. (CPP) Art. 175. Serão sujeitos a exame os instrumentos empregados para a prática da infração, a fim de se Ihes verificar a natureza e a eficiência. (CPP) Art. 176. A autoridade e as partes poderão formular quesitos até o ato da diligência. (CPP) Professor - Ricardo Leocádio 36Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas BASE JURÍDICA Art. 177. No exame por precatória, a nomeação dos peritos far-se- á no juízo deprecado. Havendo, porém, no caso de ação privada, acordo das partes, essa nomeação poderá ser feita pelo juiz deprecante. (CPP) Parágrafo único. Os quesitos do juiz e das partes serão transcritos na precatória. Art. 180. Se houver divergência entre os peritos, serão consignadas no auto do exame as declarações e respostas de um e de outro, ou cada um redigirá separadamente o seu laudo, e a autoridade nomeará um terceiro; se este divergir de ambos, a autoridade poderá mandar proceder a novo exame por outros peritos. (CPP) 30/7/2010 19 Professor - Ricardo Leocádio 37Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas BASE JURÍDICA Art. 181. No caso de inobservância de formalidades, ou no caso de omissões, obscuridades ou contradições, a autoridade judiciária mandará suprir a formalidade, complementar ouesclarecer o laudo. (CPP) Parágrafo único. A autoridade poderá também ordenar que se proceda a novo exame, por outros peritos, se julgar conveniente. Art. 182. O juiz não ficará adstrito ao laudo, podendo aceitá-lo ou rejeitá-lo, no todo ou em parte. (CPP) Professor - Ricardo Leocádio 38Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas BASE JURÍDICA Art. 212. As perguntas serão formuladas pelas partes diretamente à testemunha (inclusive ao perito), não admitindo o juiz aquelas que puderem induzir a resposta, não tiverem relação com a causa ou importarem na repetição de outra já respondida. (CPP) Art. 275. O perito, ainda quando não oficial, estará sujeito à disciplina judiciária. (CPP) Art. 276. As partes não intervirão na nomeação do perito. (CPP) 30/7/2010 20 Professor - Ricardo Leocádio 39Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas BASE JURÍDICA Art. 277. O perito nomeado pela autoridade será obrigado a aceitar o encargo, sob pena de multa, salvo escusa atendível. (CPP) Parágrafo único. Incorrerá na mesma multa o perito que, sem justa causa, provada imediatamente: a) deixar de acudir à intimação ou ao chamado da autoridade; b) não comparecer no dia e local designados para o exame; c) não der o laudo, ou concorrer para que a perícia não seja feita, nos prazos estabelecidos. Professor - Ricardo Leocádio 40Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas BASE JURÍDICA Art. 278. No caso de não-comparecimento do perito, sem justa causa, a autoridade poderá determinar a sua condução. (CPP) Art. 279. Não poderão ser peritos (CPP): I - os que estiverem sujeitos à interdição de direito mencionada nos números. I e IV do art. 69 do Código Penal; II - os que tiverem prestado depoimento no processo ou opinado anteriormente sobre o objeto da perícia; III - os analfabetos e os menores de 21 anos. Art. 280. É extensivo aos peritos, no que Ihes for aplicável, o disposto sobre suspeição dos juízes. (CPP). 30/7/2010 21 Professor - Ricardo Leocádio 41Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas O objeto da análise são sistemas que sofreram qualquer incidente de segurança. Esses elementos são considerados “mortos”, ou seja, já sofreram o incidente. Objeto Professor - Ricardo Leocádio 42Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Visualização do ambiente no estado anterior ao incidente de segurança; Ações enumeradas pela International Association of Computer Investigation Specialists (IACIS); Verificação do sistema operacional utilizado e cópias de segurança existentes; Verificação física do objeto da análise, como estado de comunicação, serviços e utilização de memória e disco; Efetivação de cópias de partições ou clusters que contenham os dados a serem analisados; Utilização de ferramentas que não adulterem o sistema e o status do mesmo; Levantamento de manuseio do equipamento após o incidente de segurança. Procedimentos Usuais 30/7/2010 22 Professor - Ricardo Leocádio 43Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas É expressamente importante a PRESERVAÇÃO da EVIDÊNCIA! As evidências computacionais são frágeis e suscetíveis a alterações ou perda por qualquer ato ou conjunto de atos. O profissional estará sujeito às teorias do bit stream backup, que prevê a preservação de todos os níveis de evidências que possam existir. É importante documentar todos os passos seguidos e todos os dados coletados! O cuidado não está apenas o que foi feito, mas no que ainda pode ser feito, como os trojans e arquivos corrompidos! Procedimentos Usuais Professor - Ricardo Leocádio 44Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas A verificação de estruturas de arquivos e discos com ferramentas pré-instaladas facilitam o processo de investigação, como o Tripwire. Utilização de DUMP de memória. Dump é o ato de copiar dados não formatados, analisados ou interpretados (raw data) de um lugar para outro, para que possam ser lidos e interpretados, sem afetar o estado em que se encontram. Comumente, o processo de visualizar os dados da memória, principal para a tela ou para a impressora, é chamado de dump. Procedimentos Usuais 30/7/2010 23 Professor - Ricardo Leocádio 45Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Altamente ético; Conhecimento de aspectos de segurança; Conhecimento avançado do sistema operacional e do equipamento a ser analisado; Conhecimento avançado de informática, protocolos e redes; Conhecimento avançado das ferramentas a serem utilizadas; Conhecimento de aspectos legais. Perfil do Profissional Professor - Ricardo Leocádio 46Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas As ferramentas e métodos forensics podem ser utilizados para identificar senhas, autenticações e entradas no sistema, além de outras informações que são abstraídas através de um dump da memória do computador através de uma operação transparente, que pode ser utilizada em qualquer equipamento pessoal. Essas ferramentas têm provado serem dispositivos valiosos para auxiliar a área jurídica na identificação de evidências comprobatórias nos processos e suas interligações. Podem identificar arquivos alterados ou criados e associar a determinadas circunstâncias, como quem criou ou originou a modificação. É importante relatarmos que algumas ferramentas e técnicas utilizadas de forma errônea podem destruir essas provas. Ferramentas Forense 30/7/2010 24 Professor - Ricardo Leocádio 47Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Dentre as ferramentas utilizadas, podemos citar: The Coroner’s Toolkit, também conhecida pelo acrônimo TCT. É uma coletânea de ferramentas orientadas tanto para capturar quanto para analisar dados em Sistemas Unix. Essa ferramenta roda em SUN Solaris, FreeBSD, RedHat Linux, BSD/OS, OpenBSD e SunOS 4.x. Porém, ela requer PERL 5.004 ou versão posterior instalado no sistema. DD, ferramenta de duplicação de disco, também conhecida para efetuar cópia e backup. Ela permite um manuseio de disco sem que interfira nos dados existentes, transportando os dados para áreas específicas nos ambientes UNIX. CHKROOTKIT é uma ferramenta que permite verificação contra worms (vírus), como o Lion. Ferramentas Forense Professor - Ricardo Leocádio 48Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas ForensicToolkit14, ferramenta desenvolvida pela COTSE para análise forensics USERDUMP, ferramenta para dump desenvolvida para Windows. WinHex – software de Forensics para profissionais de segurança. Evidor – um coletor de evidências DM – Gerenciador de Base de Dados do Sistema Operacional de Disco – programa de Domínio Público; ShowFL – Analisador do Programa de listagem de arquivos da NTI com identificação de hora/uso; FILTER – Filtro de Dados Binários e Ferramenta de documentação; NTAView – Programa utilizado com o Net Threat Analyzer Program In Internet Related Investigations da NTI (New Technologies Incorporation); SPACES – Ferramenta simples para ser utilizada em análises de criptografia. Ferramentas Forense 30/7/2010 25 Professor - Ricardo Leocádio 49Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Alguns programas são utilizados no exterior por força de valor legal: DiskSig – Programa CRC que valida a ocorrência de espelhamento de imagens de backup. GetTime – Programa utilizado para documentar a hora e a data CMOS. Net Threat Analyzer – Programa de análise de Forensics Internet utilizado para identificar tentativas através da Internet. Essa ferramenta é ideal para policiar escolas e provê substanciais alterações no programa IPFilter. Ferramentas Forense Professor - Ricardo Leocádio 50Contato- antonio.gomes@prof.unibh.br Auditoriae Segurança de Sistemas As dificuldades encontradas no processo de investigação possuem um leque amplo e diversificado, dentre os quais: Como toda a área de Informática, o maior desafio que encontramos é a falta de regulamentação e legislação específica que possam dar uma maior garantia sobre os atos praticados nessa esfera; Falta de profissionais gabaritados nessa área; Inexistência de conhecimento da maior parte dos administradores sobre os riscos de efetuar uma varredura própria no sistema; O atendimento imediato as solicitaçõs pelas autoridades policiais, bem como a demora no atendimento; Obstáculos / dificuldades 30/7/2010 26 Professor - Ricardo Leocádio 51Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Obstáculos / dificuldades Rastreamento do beneficiário das informações furtadas; Formulação dos quesito relativos a exames periciais em elementos de hardware e software por parte da autoridade policial que ajudem no processo de investigação e resolução do fato ocorrido; Violação da prova por desconhecimento de policiais e pelo corpo técnico da empresa. Professor - Ricardo Leocádio 52Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Como pudemos notar, FORENSICS trata de algo que ocorreu comprovadamente. As diferenças básicas entre o FORENSICS e o RESPONSE TEAM são: Forensics versa sobre atuação em incidente de segurança após o fato ter se consumado e na busca de provas para embasarem o aspecto jurídico e legal; Response Team versa sobre um provável incidente de segurança que está ocorrendo ou que acaba de ocorrer, visando a estabilização dos elementos atingidos e a normalização dos mesmos, bem como preparar o campo para a equipe de Forensics. Forensics versa sobre incidente ocorrido e o principal não é o fator velocidade, mas o fator qualidade e quantidade; Response team, pelo fator emergencial, necessita de velocidade e nem sempre pode atingir a qualidade necessária par ao aspecto legal; Forencics X Response Team 30/7/2010 27 Professor - Ricardo Leocádio 53Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Response Team – A equipe de observação presta os primeiros socorros num incidente e os membros da equipe de resposta são responsáveis por assumir o comando da situação e estabilizá-la para que não se torne pior; Forensics – A equipe de investigação proporciona uma análise detalhada e a respectiva solução para o ocorrido; Normalmente, as equipes de FORENSICS e RESPONSE TEAM podem ser a mesma, mas, mesmo nos casos que elas não sejam o mesmo grupo, devem manter sintonia para atingir o objetivo comum de desvendar o gerador do incidente com o maior número de provas possíveis. Forencics X Response Team Professor - Ricardo Leocádio 54Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Perícia Forense aplicada a redes No Manual de Patologia Forense do Colégio de Patologistas Americanos (1990), a ciência forense é definida como “a aplicação de princípios das ciências físicas ao direito na busca da verdade em questões cíveis, criminais e de comportamento social para que não se cometam injustiças contra qualquer membro da sociedade”. Portanto, define-se a perícia forense aplicada a redes como o estudo do tráfego de rede para procurar a verdade em questões cíveis, criminais e administrativas para proteger usuários e recursos de exploração, invasão de privacidade e qualquer outro crime promovido pela contínua expansão das conexões em rede. 30/7/2010 28 Professor - Ricardo Leocádio 55Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Perícia Forense aplicada a redes Professor - Ricardo Leocádio 56Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Análise Pericial A análise pericial é o processo usado pelo investigador para descobrir informações valiosas, a busca e extração de dados relevantes para uma investigação. O processo de análise pericial pode ser dividido em duas camadas: análise física e análise lógica. A análise física é a pesquisa de seqüências e a extração de dados de toda a imagem pericial, dos arquivos normais às partes inacessíveis da mídia. A análise lógica consiste em analisar os arquivos das partições. O sistema de arquivos é investigado no formato nativo, percorrendo-se a árvore de diretórios do mesmo modo que se faz em um computador comum. 30/7/2010 29 Professor - Ricardo Leocádio 57Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Análise Física Durante a análise física são investigados os dados brutos da mídia de armazenamento. Ocasionalmente, pode-se começar a investigação por essa etapa, por exemplo, quando se está investigando o conteúdo de um disco rígido desconhecido ou danificado. Depois que o software de criação de imagens tiver fixado as provas do sistema, os dados podem ser analisados por três processos principais: uma pesquisa de seqüência, um processo de busca e extração e uma extração de espaço subaproveitado e livre de arquivos. Todas as operações são realizadas na imagem pericial ou na copia restaurada das provas. Com freqüência, se faz pesquisas de seqüências para produzir listas de dados. Essas listas são úteis nas fases posteriores da investigação. Entre as listas geradas estão as seguintes: Todos os URLs encontrados na mídia. Todos os endereços de e-mail encontrados na mídia. Todas as ocorrências de pesquisa de seqüência com palavras sensíveis a caixa alta e baixa. Professor - Ricardo Leocádio 58Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas O Processo de Busca e Extração Alguns tipos de caso podem beneficiar-se de uma forma especializada de pesquisa de seqüência, o processo de busca e extração. Este é o segundo dos três que se usa durante a analise física. O aplicativo analisa uma imagem pericial em busca de cabeçalhos dos tipos de arquivos relacionados ao tipo de caso em que se estiver trabalhando. Quando encontra um, extrai um número fixo de bytes a partir do ponto da ocorrência. Por exemplo, se estiver investigando um indivíduo suspeito de distribuição de pornografia ilegal, analisa-se a imagem pericial e se extrai blocos de dados que comecem com a seguinte seqüência hexadecimal: $4A $46 $49 $46 $00 $01 Esta seqüência identifica o início de uma imagem JPEG. Alguns formatos de arquivos (entre eles o JPEG) incluem o comprimento do arquivo no cabeçalho. 30/7/2010 30 Professor - Ricardo Leocádio 59Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas O Processo de Busca e Extração Isto é muito útil quando se está extraindo dados brutos de uma imagem pericial. Esta capacidade de extração forçada de arquivos é incrivelmente útil em sistemas de arquivos danificados ou quando os utilitários comuns de recuperação de arquivos apagados são ineficientes ou falham completamente. Professor - Ricardo Leocádio 60Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Análise Lógica Durante um exame de arquivos lógicos, o conteúdo de cada partição é pesquisada com um sistema operacional que entenda o sistema de arquivos. É neste estágio que é cometida a maioria dos erros de manipulação das provas. O investigador precisa estar ciente de todas as medidas tomadas na imagem restaurada. É por isto que quase nunca se usa diretamente sistemas operacionais mais convenientes, como o Windows 95/98/NT/2000/XP. Mais uma vez, o objetivo básico é proteger as provas contra alterações. Montar ou acessar a imagem restaurada a partir de um sistema operacional que entenda nativamente o formato do sistema de arquivos é muito arriscado, pois normalmente o processo de montagem não é documentado, não está à disposição do publico e não pode ser verificado. A imagem restaurada precisa ser protegida e é por isso que se monta cada partição em Linux, em modo somente leitura. O sistema de arquivos montado é então exportado, via Samba, para a rede segura do laboratório, ondeos sistemas Windows, carregados com visualizadores de arquivos, podem examinar os arquivos. É claro que a abordagem é ditada pelo próprio caso. Se fizer uma duplicata pericial de um sistema Irix 6.5, é provável que se evite usar o Windows para visualizar os dados. 30/7/2010 31 Professor - Ricardo Leocádio 61Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Entendendo onde ficam as provas Locais onde se podem descobrir informações valiosas para uma investigação em três áreas : • Espaço de arquivos lógicos : Refere-se aos blocos do disco rígido que, no momento do exame, estão atribuídos a um arquivo ativo ou à estrutura de contabilidade do sistema de arquivos (como as tabelas FAT ou as estruturas inode). • Espaço subaproveitado : Espaço formado por blocos do sistema de arquivos parcialmente usados pelo sistema operacional. Chamamos todos os tipos de resíduo de arquivos, como a RAM e os arquivos subaproveitados, de espaço subaproveitado. • Espaço não-alocado : Qualquer setor não tomado, esteja ou não em uma partição ativa. Professor - Ricardo Leocádio 62Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Perícia Forense para obtenção de evidências Diariamente há diversos tipos de casos de fraudes e crimes (Cyber Crimes), onde o meio eletrônico foi em algum momento utilizado para este fim. A missão da perícia forense é a obtenção de provas irrefutáveis, as quais irão se tornar o elemento chave na decisão de situações jurídicas, tanto na esfera civil quanto criminal. Para tanto, é critico observar uma metodologia estruturada visando à obtenção do sucesso nestes projetos. Dentre os vários fatores envolvidos no caso, é necessário estabelecer com clareza quais são as conexões relevantes como datas, nomes de pessoas, empresas, órgãos públicos, autarquias, instituições etc., dentre as quais foi estabelecida a comunicação eletrônica. Discos rígidos em computadores podem trazer a sua origem (imensas quantidades de informações) após os processos de recuperação de dados. 30/7/2010 32 Professor - Ricardo Leocádio 63Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Preservação Todas as evidências encontradas precisam obrigatoriamente ser legítimas, para terem sua posterior validade jurídica. Sendo assim, todo o processo relativo à obtenção e coleta das mesmas, seja no elemento físico (computadores) ou lógico (mapas de armazenamento de memória de dados) deve seguir normas internacionais. Parte-se sempre do princípio de que a outra parte envolvida no caso poderá e deverá pedir a contra-prova, sobre os mesmos elementos físicos, então o profissionalismo destas tarefas será critico na seqüência do processo, lembrando sempre que, caso o juiz não valide a evidência, ela não poderá ser re-apresentada. Professor - Ricardo Leocádio 64Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Cadeia de Custódia • Final – só quando chega a prova a justiça • Preservação laudo e mídia – Todas as páginas rubricadas – Vínculo com a mídia através de cálculo de hash – Cópia do laudo e da mídia com o Perito 30/7/2010 33 Professor - Ricardo Leocádio 65Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Análise Será a pesquisa propriamente dita, onde todos os filtros de camadas de informação já foram transpostos e pode-se deter especificamente nos elementos relevantes ao caso em questão. Novamente, deve-se sempre ser muito profissional em termos da obtenção da chamada “prova legítima”, a qual consiste numa demonstração efetiva e inquestionável dos rastros e elementos da comunicação entre as partes envolvidas e seu teor, além das datas, trilhas, e histórico dos segmentos de disco utilizados. Professor - Ricardo Leocádio 66Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Apresentação Tecnicamente chamada de “substanciação da evidência”, ela consiste no enquadramento das evidências dentro do formato jurídico como o caso será ou poderá ser tratado. Os advogados de cada uma das partes ou mesmo o juiz do caso poderão enquadrá-lo na esfera civil ou criminal ou mesmo em ambas. Desta forma, quando se tem a certeza material das evidências, atua- se em conjunto com uma das partes acima descritas para a apresentação das mesmas. 30/7/2010 34 Professor - Ricardo Leocádio 67Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Exemplo • Perícia simples em um arquivo do Word • Perícia forense aplicada a informática em servidores Web. (apêndice A) Professor - Ricardo Leocádio 68Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Esteganografia Para não serem descobertos, os chamados piratas de computador ou hackers passaram a inovar em suas técnicas nas trocas de informação. Hoje, uma das técnicas mais eficazes se chama: esteganografia. Tal técnica utiliza textos, imagens, sons e vídeos para esconder informações de forma que as mesmas passem desapercebidas aos olhos humanos. As marcas d’água digitais são similares à esteganografia no que tange à ocultação de dados, os quais parecem ser parte do arquivo original e não são facilmente detectáveis por qualquer pessoa. (lembre da cédula de dinheiro). Finalmente, a esteganografia pode ser usada para manter a confidencialidade da informação valiosa, para proteger os dados de possíveis sabotagens, roubo, ou apenas visualização desautorizada. 30/7/2010 35 Professor - Ricardo Leocádio 69Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Esteganografia A esteganografia pode ser usada por razões ilegítimas, por exemplo, roubar dados e esconder em um arquivo e emiti-los para fora por meio de um inocente e-mail. Além disso, uma pessoa, com um passatempo de salvar arquivos pornográficos, pode esconder a evidência com o uso de esteganografia. E, para finalidades terroristas, pode ser usado como meio de comunicação secreta. Da mesma maneira que um criptoanalista aplica criptanálise na tentativa de decodificar ou resgatar a mensagem criptografada, o esteganoanalista aplica a esteganoanálise na tentativa de descobrir a existência de informações escondidas. Na criptografia, a comparação é realizada entre porções (possivelmente nenhuma) de plaintexts (texto em claro) e porções de textos cifrados. A esteganoanálise visa descobrir e tornar inútil, mensagens secretas ocultas em um recipiente. . Professor - Ricardo Leocádio 70Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Esteganografia Na esteganografia, comparações são realizadas entre o estego-objeto, o recipiente e possíveis partes da mensagem. A mensagem na esteganografia pode ou não estar criptografada, caso esteja, a mensagem é extraída e então técnicas de criptoanálise são aplicadas O dado embutido (embedded data) é a informação que alguém deseja enviar em segredo. Este dado geralmente fica escondido em uma mensagem aparentemente inocente, chamada de recipiente ou de objeto cobertura (container ou cover-object), produzindo um estego- objeto (stego-object) ou estegorecipiente (stego-carrier), ou seja, um arquivo com uma mensagem embutida. Uma estego-key (stego-key) ou simplesmente chave é utilizada para controlar o processo de esconder, assim como, para restringir detecção e/ou recuperação do dado embutido, somente para quem a conhece, ou conheça parte dela. O termo recipiente é dado a qualquer tipo de informação digital que é transmitida por um sistema digital ou analógico, assim como arquivos de texto, áudio, vídeo, figuras, por exemplo, BMP, GIF, JPEG, MP3, WAV, AVI ou outros tipos. 30/7/2010 36 Professor - Ricardo Leocádio 71Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Esteganografia Professor - Ricardo Leocádio 72Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Esteganografia A Internet é um canal vasto para disseminação de informação. Imagens são utilizadas em toda a rede com diversospropósitos, elas provêem excelentes recipientes para esconder informações. Ferramentas de esteganografia podem ser caracterizadas em dois grupos: Imagem de Domínio e Transformação de Domínio. Ferramentas de Imagem de Domínio envolvem métodos que aplicam inserção do último bit significativo e manipulação de distorção. Estes métodos são comuns na esteganografia e são caracterizados como “sistemas simples”. Ferramentas utilizadas neste grupo incluem StegoDos, S-Tools, Mandelsteg, EzStego, Hide and Seek, Hide4PGP, Jpeg-Jsteg, White Noise Storm, e Steganos. Os formatos de imagens tipicamente utilizados nestes métodos de esteganografia são de lossless e o dado pode diretamente ser manipulado e recuperado. 30/7/2010 37 Professor - Ricardo Leocádio 73Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Esteganografia Ferramentas de Transformação de Domínio incluem aquelas que envolvem manipulação de algoritmos e transformação de imagens, assim como Transformação do Co-seno Discreto (TCD), e transformação wavelet. Estes métodos escondem a mensagem em áreas mais significativas do recipiente e podem manipular as propriedades da imagem, por exemplo, sua luminosidade. Estas técnicas são mais robustas que as técnicas de Imagem de Domínio. Contudo, existe uma relação entre a informação adicionada à imagem e a robustez obtida. Vários métodos de Transformação de Domínio são independentes do formato e podem suportar a conversão entre os formatos. O método de compressão Lossless é utilizado quando existe uma necessidade que a informação original permaneça intacta. A mensagem original pode ser reconstruída exatamente igual. Este tipo de compressão é tipicamente utilizado em imagens GIF e BMP Professor - Ricardo Leocádio 74Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Esteganoanálise A esteganoanálise visa descobrir e tornar inútil, mensagens secretas ocultas em um recipiente. Ao utilizar esteganografia, a qualidade do objeto é degradada e tal degradação pode ser perceptível aos sentidos dos seres humanos e demonstrar certas características semelhantes, o que torna possível padronizar uma espécie de assinatura permitindo a detecção dos métodos e dos softwares utilizados. Tais assinaturas podem acusar a existência de uma mensagem embutida, o que acaba com a finalidade da esteganografia, que é esconder a existência de uma mensagem. 30/7/2010 38 Professor - Ricardo Leocádio 75Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas http://www.fish.com/forensics/ http://www.porcupine.org/forensics/ http://www.forensics.com/ http://www.forensics-intl.com/ http://www.computerforensics.com/fed-guide.htm http://www.computerforensics.com/resources.htm http://www.timberlinetechnologies.com/products/forensics.html http://www.ddj.com/ http://www.teleport.com/~peterc/law.html http://edatadiscovery.com/ http://www.modulo.com.br/ http://www.ccs.neu.edu/groups/acm/lectures/Forensics_NU/ Sites de referência
Compartilhar