Baixe o app para aproveitar ainda mais
Prévia do material em texto
COMPUTAÇÃO FORENSE 1 Computação Forense COMPUTAÇÃO FORENSE 2 AULA 01 – CONCEITOS GERAIS – COMPUTAÇÃO FORENSE Para entendermos o contexto e ́importante fazer um breve histórico. Durante o periódo Mesolit́ico da Pre-́História, ha ́ aproximadamente dez mil anos, a humanidade deu importantes passos rumo à sua evoluçaõ e sobrevivência. Foi nessa fase que o homem dominou o fogo, domesticou animais e desenvolveu a agricultura, o que exigiu dele vários tipos de conhecimentos como: conhecimento do tempo, das estações do ano e das fases da lua. Aleḿ disso, foi necessaŕio aprender formas de controlar seu rebanho, surgindo assim a necessidade de contar os animais. A partir daí a humanidade nunca mais parou de fazer contas, quantificando desde alimentos para o consumo da tribo, ate ́ partićulas subatômicas para pesquisas espaciais. O ser humano percebeu que a capacidade de efetuar caĺculos sempre esteve ligada ao seu desenvolvimento, ou seja, cada vez que ele conseguia resolver operaçoẽs matemat́icas mais complexas e com maior rapidez, maiores eram os avanços cientif́icos que alcançava. Através dessa percepçaõ, diversos instrumentos de contagem foram criados, como o ab́aco, as Reǵuas de Caĺculo de John Napier, a Pascalina de Blaise Pascal que foi aperfeiçoada por Gottfried von Leibnitz e muitos outros, incluindo o computador. E ́ interessante notar que o termo Computar, segundo o dicionaŕio Michaelis, e ́originaŕio do latim e significa calcular, contar; portanto, o computador seria o mecanismo ou a maq́uina que auxilia nessa tarefa. Em 1990 ocorreu a popularização mundial da internet, através da criação do serviço World Wide Web (WWW), por Tim Berner-s Lee (1989), permitindo que usuários dos COMPUTAÇÃO FORENSE 3 computadores espalhados pelo mundo tivessem a oportunidade de trocar dados e informações em poucos milissegundos, proporcionando assim maior velocidade e rapidez na comunicação entre máquinas e pessoas. Atualmente, a facilidade e a velocidade com que o computador processa, armazena e transmite informaçoẽs por toda a sua rede, tornou-o um bem de consumo muito desejado – e por diversas vezes indispensav́el – em muitos lares e empresas de todo o mundo. Segundo a 26ª Pesquisa Anual de Uso da TI nas Empresas - 2015, feita pela Fundaçaõ Getúlio Vargas, a venda de computadores anualmente é de 25 milhões. Uma pesquisa recente da Associação Brasileira de Empresas de Tecnologia da Informação e Comunicação mostrou que o mercado de TI no Brasil está a mil: o segmento, que no país emprega mais de 1,3 milhão de pessoas, apresenta tendência de crescimento de oferta de até 30% até 2016. Governos e empresas notaram esse avanço e passaram a oferecer diversos serviços aos cidadaõs, como emissaõ de documentos, transaçoẽs bancaŕias, vendas de produtos, entre outros, gerando assim uma enorme quantidade de dados sigilosos. O grande volume de informaçoẽs pessoais sigilosas circulando pelas redes do mundo inteiro atraiu criminosos que começaram a se especializar e ate ́ a recrutar pessoas com conhecimentos na aŕea de computaçaõ para obter esses dados A melhor maneira para combater tais ataques, sem dúvida, e ́ a prevençaõ, naõ so ́ utilizando equipamentos de alta tecnologia e sistemas seguros, como tambeḿ instruindo as pessoas que os utilizam. Entretanto, quando o combate aos ataques virtuais se torna ineficaz ou inexistente, deve-se recorrer à Perićia Forense Computacional para que haja uma investigaçaõ e os criminosos sejam localizados e punidos. Esta prat́ica e ́feita por um profissional habilitado, com conhecimentos tanto em informat́ica, quanto em direito, especialista em analisar vestiǵios digitais e em produzir provas tećnicas que serviraõ de apoio para a decisaõ de um juiz. COMPUTAÇÃO FORENSE 4 Mesmo com toda a importância da Perićia Forense Computacional, livros, documentos e textos cientif́icos saõ escassos, superficiais ou, ate ́mesmo, incompletos, abordando apenas uma das vertentes dessa aŕea. Vivemos na sociedade da informação, onde nos tornamos reféns e dependentes das informações transmitidas via internet, que passou a ser a ferramenta mais importante para manter a comunicação, seja pessoal ou profissionalmente. Desde a sua criação houve um rápido desenvolvimento dos computadores; em 1965 Gordon Moore já se referia a esse movimento propondo uma lei alegando que a cada ano o número de transistores iria dobrar. Tal lei ficou conhecida como Lei de Moore e o processo que ocorreu se aproximou ao que ele previa, não exatamente a cada doze meses e sim a cada 18 meses. A Lei de Moore baseou a afirmação de Willian Stalling, em 2002, constatando que os computadores estão cada vez menores, mais rápidos, mais eficientes e mais disponíveis ao acesso da maioria das pessoas. Infelizmente a inovação tecnológica não trouxe apenas benefício, mas também a possibilidade da realização de práticas ilegais e criminosas por meio digital. Neste cenário, vem o desenvolvimento da Computação Forense como uma ferramenta poderosa e eficaz no combate desse tipo de práticas ilegais. A Computação Forense é uma área de pesquisas que tem por objetivo criar soluções para problemas relacionados à coleta, classificação, organização e análise de evidências digitais. COMPUTAÇÃO FORENSE 5 Em relação à coleta e à organização, buscam-se abordagens para reduzir a utilização errônea e ingênua de evidências importantes. Com respeito à classificação, procuram- se soluções que permitam identificar as evidências de modo a reduzir o esforço técnico necessário durante sua análise. Finalmente, em relação à análise, objetiva-se investigar a fonte originadora de um determinado documento bem como sua autenticidade. Na identificação da fonte originadora, busca-se identificar o modelo particular do dispositivo de captura (como sendo um scanner, uma câmera ou uma impressora), ou o dispositivo exato que fez a captura de um determinado documento. Na detecção de manipulações, procura-se estabelecer a autenticidade de um documento ou expor quaisquer manipulações que este possa ter sofrido. O objetivo principal da Computação Forense é determinar a materialidade, a dinâmica e a autoria de crimes ligados à área de informática, proporcionando a identificação e o processamento de evidências digitais através de provas materiais do crime, por meio de métodos técnico-científicos, podendo ser utilizado de forma válida em juízo, para convencer ao juiz da autoria e materialidade do crime. AULA 02 – PROCESSO INVESTIGATIVO E LEGISLAÇÃO VIGENTE Atualmente, os celulares que nos auxiliam nos negócios e nos aproximam das pessoas, são também usados para coordenar ação criminosas, inclusive de dentro de presídios. Câmeras e filmadoras digitais de excelente qualidade, concebidas para possibilitar a concretização de trabalhos artísticos, ou para registro de momentos especiais de nossas vidas, são também utilizadas para a exploração covarde do mercado pedófilo, infelizmente. A natureza do ser humano é intrinsecamente controversa. A produção de conhecimento baseada no nosso tipo de racionalidade científica é afetada, quando não estimulada, pelos interesses mais divergentes que se pode imaginar. Tomando-se em conta a pluralidade de possibilidades às quais novas descobertas podem ser úteis, se faz necessária a existência de forças investigativas, coercitivas e preventivas, a fim de se evitar vergonhosas barbaridades que são constantesem nosso mundo. E a Computação Forense faz a sua parte. A palavra forense vem de foro, e podemos COMPUTAÇÃO FORENSE 6 entendê-la como o meio policial onde é feita uma análise minuciosa de todo material capturado na cena de um crime. O Artigo 158 do Código de Processo Penal (CPP) determina que quando a infração deixar vestígios, será indispensável o exame de corpo de delito, direito ou indireto, não podendo supri-lo a confissão do acusado. Por conta desta determinação surge a necessidade de um profissional qualificado, que examine vestígios e produza laudos que forneçam ao Poder Judiciário condições de apurar um delito, conforme determinam os artigos 159 e 160 do CPP, a saber: “O exame de corpo de delito e outras perícias serão realizados por perito oficial, portador de diploma de curso superior” e “Os peritos elaborarão o laudo pericial, no qual descreverão minuciosamente o que examinarem e responderão aos quesitos formulados”. No caso específico da computação, o profissional competente para tal é o Perito Criminal em Informática. Entretanto, é essencial para a formulação de quesitos, para saber a forma correta de como as evidências e provas digitais devem ser corretamente coletadas, apuradas e apresentadas, que outros profissionais também tenham conhecimento desta área, tais como peritos particulares, profissionais de TI, auditores de sistemas, bem como advogados, promotores, delegados e juízes. O Código de Processo Civil (CPC) estabelece em seu artigo 332: “Todos os meios legais, bem como os moralmente legítimos, ainda que não especificados neste Código, são hábeis para provar a verdade dos fatos, em que se funda a ação ou a defesa.” A informação digital não é ilegal nem ilegítima; ela dispõe de técnicas que lhe garantem eficácia probatória. Além disso, o número de informações digitais disponíveis cresce diariamente, tendo em vista a quantidade de benefícios que a transmissão digital de informações traz como menor custo, maior agilidade e disponibilidade, melhor manuseio e segurança, entre outros, o que faz com que cada vez mais as evidências de crimes sejam eletrônicas. Porém pode ocorrer o uso ilegal dessas informações, como por exemplo no caso de uma interceptação telefônica não autorizada, onde esse material teria seu valor descartado. COMPUTAÇÃO FORENSE 7 Devido a fatores como esse, a investigação da Computação Forense deve levar em conta algumas considerações, a saber: é necessária a autorização judicial para toda busca e análise de evidências, caso contrário o trabalho perderá sua validade; deve- se realizar a análise sobre as réplicas, para que a prova avaliada não sofra nenhum tipo de alteração durante sua análise por peritos; a análise deve ter seu histórico de procedimentos formalmente descrito em um laudo pericial, quando solicitado pelo juiz, pois o perito é um tradutor especializado dos fatos que poderão auxiliar sua decisão. Quando se faz uma investigação, nada pode ser descartado a princípio. Um computador pode conter uma série de informações, sejam elas em listas de contatos, arquivos de texto, arquivos multimídia, bancos de dados, e-mails, históricos de navegação na internet e muitos outros formatos de dados. Uma secretária eletrônica contém informações de últimos números discados, as ligações recebidas, agenda com nomes e números. Uma simples placa de rede, pode comprovar uma transferência de informações entre dois computadores. Um cartão de memória pode conter fotos, imagens e sons. Além desses exemplos, há ainda: discos rígidos, memória do computador, leitores biométricos, câmeras digitais, palms, modens, scanners, copiadoras, drivers externos (ZIP, CD-ROM), telefones celulares, identificadores de chamadas, GPS, entre muitos outros. Apesar de normas e procedimentos formais, há casos que fogem de padrões conhecidos sendo necessário o conhecimento especializado, experiência e um bom instinto investigativo. Mesmo com uma ordem judicial em mãos para coleta de provas em determinado local, deve-se levar em consideração algumas questões, tais como: se no local há computadores em rede; se os computadores conectados em rede podem receber conexões remotas; verificar o tipo de sistema utilizado nos dispositivos empregados na coleta, pois existem sistemas que perdem dados quando desligados. Conforme o caso, pode ser necessário desligar todos os equipamentos imediatamente ou mantê-los ligados, evitando a perda de evidências. Há também os exames em mensagens eletrônicas que correspondem à análise das propriedades dessas mensagens com o objetivo de identificar hora, data, endereço de COMPUTAÇÃO FORENSE 8 IP e demais informações do remetente da mensagem. Muitas vezes, em vez de utilizar programas para manipular mensagens de correio eletrônico, os usuários utilizam serviços de Webmail como, por exemplo, Hotmail, Gmail, Yahoo e outros. Assim, é possível que esses programas não estejam instalados como no caso do Microsoft Outlook. Nesses casos, o disco rígido examinado poderá conter arquivos temporários que armazenaram telas do Webmail, listas de mensagens ou outras evidências que poderão ser utilizadas na realização dos exames forenses. AULA 03 – CRIMES COMETIDOS COM O USO DE EQUIPAMENTOS COMPUTACIONAIS A utilização de computadores no mundo do crime não é tão recente assim, porém a Legislação Brasileira ainda deixa a desejar na tipificação de todas as modalidades específicas de crimes cibernéticos. Em 2012 foi criada a Lei 12.737, a saber: Em 2012 foi criada a Lei 12.737, a saber: LEI Nº 12.737, DE 30 DE NOVEMBRO DE 2012. Dispõe sobre a tipificação criminal de delitos informáticos; altera o Decreto-Lei no 2.848, de 7 de dezembro de 1940 - Código Penal; e dá outras providências. A PRESIDENTA DA REPÚBLICA Faço saber que o Congresso Nacional decreta e eu sanciono a seguinte Lei: Art. 1o Esta Lei dispõe sobre a tipificação criminal de delitos informáticos e dá outras providências. COMPUTAÇÃO FORENSE 9 Art. 2o O Decreto-Lei no 2.848, de 7 de dezembro de 1940 - Código Penal, fica acrescido dos seguintes arts. 154-A e 154-B: “Invasão de dispositivo informático Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa. § 1o Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput. § 2o Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico. § 3o Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido: Pena - reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave. § 4o Na hipótese do § 3o, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos. COMPUTAÇÃO FORENSE 10 § 5o Aumenta-se a pena de um terço à metade se o crime for praticado contra: I - Presidente da República, governadorese prefeitos; II - Presidente do Supremo Tribunal Federal; III - Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou IV - dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal.” “Ação penal Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede mediante representação, salvo se o crime é cometido contra a administração pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municípios ou contra empresas concessionárias de serviços públicos.” Art. 3o Os arts. 266 e 298 do Decreto-Lei no 2.848, de 7 de dezembro de 1940 - Código Penal, passam a vigorar com a seguinte redação: “Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública Art. 266. .................................................................. ...... § 1º Incorre na mesma pena quem interrompe serviço telemático ou de informação de utilidade COMPUTAÇÃO FORENSE 11 pública, ou impede ou dificulta-lhe o restabelecimento. § 2o Aplicam-se as penas em dobro se o crime é cometido por ocasião de calamidade pública.” (NR) “Falsificação de documento particular Art. 298. .................................................................. ...... Falsificação de cartão Parágrafo único. Para fins do disposto no caput, equipara-se a documento particular o cartão de crédito ou débito.” (NR) Art. 4o Esta Lei entra em vigor após decorridos 120 (cento e vinte) dias de sua publicação oficial. Além desta lei também temos a Lei 11.829 de 2008 que altera o Estatuto da Criança e do Adolescente: LEI Nº 11.829, DE 25 DE NOVEMBRO DE 2008. Altera a Lei no 8.069, de 13 de julho de 1990 - Estatuto da Criança e do Adolescente, para aprimorar o combate à produção, venda e distribuição de pornografia infantil, bem como criminalizar a aquisição e a posse de tal material e outras condutas relacionadas à pedofilia na internet. O PRESIDENTE DA REPÚBLICA Faço saber que o Congresso Nacional decreta e eu sanciono a seguinte Lei: COMPUTAÇÃO FORENSE 12 Art. 1o Os arts. 240 e 241 da Lei no 8.069, de 13 de julho de 1990, passam a vigorar com a seguinte redação: “Art. 240. Produzir, reproduzir, dirigir, fotografar, filmar ou registrar, por qualquer meio, cena de sexo explícito ou pornográfica, envolvendo criança ou adolescente: Pena – reclusão, de 4 (quatro) a 8 (oito) anos, e multa. § 1o Incorre nas mesmas penas quem agencia, facilita, recruta, coage, ou de qualquer modo intermedeia a participação de criança ou adolescente nas cenas referidas no caput deste artigo, ou ainda quem com esses contracena. § 2o Aumenta-se a pena de 1/3 (um terço) se o agente comete o crime: I – no exercício de cargo ou função pública ou a pretexto de exercê-la; II – prevalecendo-se de relações domésticas, de coabitação ou de hospitalidade; ou III – prevalecendo-se de relações de parentesco consanguíneo ou afim até o terceiro grau, ou por adoção, de tutor, curador, preceptor, empregador da vítima ou de quem, a qualquer outro título, tenha autoridade sobre ela, ou com seu consentimento.” (NR) “Art. 241. Vender ou expor à venda fotografia, vídeo ou outro registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou adolescente: Pena – reclusão, de 4 (quatro) a 8 (oito) anos, e multa.” (NR) COMPUTAÇÃO FORENSE 13 Art. 2o A Lei no 8.069, de 13 de julho de 1990, passa a vigorar acrescida dos seguintes arts. 241-A, 241-B, 241-C, 241-D e 241-E: “Art. 241-A. Oferecer, trocar, disponibilizar, transmitir, distribuir, publicar ou divulgar por qualquer meio, inclusive por meio de sistema de informática ou telemático, fotografia, vídeo ou outro registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou adolescente: Pena – reclusão, de 3 (três) a 6 (seis) anos, e multa. § 1o Nas mesmas penas incorre quem: I – assegura os meios ou serviços para o armazenamento das fotografias, cenas ou imagens de que trata o caput deste artigo; II – assegura, por qualquer meio, o acesso por rede de computadores às fotografias, cenas ou imagens de que trata o caput deste artigo. § 2o As condutas tipificadas nos incisos I e II do § 1o deste artigo são puníveis quando o responsável legal pela prestação do serviço, oficialmente notificado, deixa de desabilitar o acesso ao conteúdo ilícito de que trata o caput deste artigo. Art. 241-B. Adquirir, possuir ou armazenar, por qualquer meio, fotografia, vídeo ou outra forma de registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou adolescente: Pena – reclusão, de 1 (um) a 4 (quatro) anos, e multa. § 1o A pena é diminuída de 1 (um) a 2/3 (dois terços) se de pequena quantidade o material a que se refere o caput deste artigo. COMPUTAÇÃO FORENSE 14 § 2o Não há crime se a posse ou o armazenamento tem a finalidade de comunicar às autoridades competentes a ocorrência das condutas descritas nos arts. 240, 241, 241-A e 241-C desta Lei, quando a comunicação for feita por: I – agente público no exercício de suas funções; II – membro de entidade, legalmente constituída, que inclua, entre suas finalidades institucionais, o recebimento, o processamento e o encaminhamento de notícia dos crimes referidos neste parágrafo; III – representante legal e funcionários responsáveis de provedor de acesso ou serviço prestado por meio de rede de computadores, até o recebimento do material relativo à notícia feita à autoridade policial, ao Ministério Público ou ao Poder Judiciário. § 3o As pessoas referidas no § 2o deste artigo deverão manter sob sigilo o material ilícito referido. Art. 241-C. Simular a participação de criança ou adolescente em cena de sexo explícito ou pornográfica por meio de adulteração, montagem ou modificação de fotografia, vídeo ou qualquer outra forma de representação visual: Pena – reclusão, de 1 (um) a 3 (três) anos, e multa. Parágrafo único. Incorre nas mesmas penas quem vende, expõe à venda, disponibiliza, distribui, publica ou divulga por qualquer meio, adquire, possui ou armazena o material produzido na forma do caput deste artigo. COMPUTAÇÃO FORENSE 15 Art. 241-D. Aliciar, assediar, instigar ou constranger, por qualquer meio de comunicação, criança, com o fim de com ela praticar ato libidinoso: Pena – reclusão, de 1 (um) a 3 (três) anos, e multa. Parágrafo único. Nas mesmas penas incorre quem: I – facilita ou induz o acesso à criança de material contendo cena de sexo explícito ou pornográfica com o fim de com ela praticar ato libidinoso; II – pratica as condutas descritas no caput deste artigo com o fim de induzir criança a se exibir de forma pornográfica ou sexualmente explícita. Art. 241-E. Para efeito dos crimes previstos nesta Lei, a expressão “cena de sexo explícito ou pornográfica” compreende qualquer situação que envolva criança ou adolescente em atividades sexuais explícitas, reais ou simuladas, ou exibição dos órgãos genitais de uma criança ou adolescente para fins primordialmente sexuais.” Art. 3o Esta Lei entra em vigor na data de suapublicação. Importante diferenciar se o computador é utilizado apenas como ferramenta de apoio à prática de delitos convencionais ou se é utilizado como meio para a realização do crime. Há crimes onde o computador é utilizado apenas como ferramenta de auxílio aos criminosos, como a sonegação fiscal, compra de votos em eleições, tráfico de armas e entorpecentes, falsificação de documentos, entre outros. Neste caso o computador está associado ao modus operandi (modo de operação, expressão utilizada para designar a maneira de agir) do crime. Nesses casos os exames forenses nesses equipamentos são uma excelente prova técnica e os laudos elaborados tornam- se peças fundamentais para o convencimento do juiz na elaboração da sentença. A maior parte dos exames forenses se dá nessa modalidade, onde o computador é usado como meio para a realização do crime. COMPUTAÇÃO FORENSE 16 O equipamento usado como meio para a realização do crime ocorre quando o computador é a peça central para a ocorrência do delito, pois se o equipamento não existisse o crime não seria cometido, tais como “furto” de senhas e de informações, distribuição de material ligado a pedofilia, entre outros. No que concerne à Pedofilia, que é o crime mais recorrente nessa modalidade, é importante fazer algumas considerações: “o termo pedofilia é o desvio sexual caracterizado pela atração por crianças ou adolescentes sexualmente imaturos, com os quais os portadores dão vazão ao erotismo pela prática de obscenidades ou de atos libidinosos”. A pedofilia é considerada uma doença e não pode ser confundida com pornografia infanto-juvenil, pois pedófila é a pessoa e os arquivos são chamados de pornografia infanto-juvenil. Caso o perito fique na dúvida sobre a presença de adolescentes em fotos ou vídeos não deve se posicionar, pois a análise forense deve ser sempre científica e não considerar aspectos subjetivos. O eMule é um dos softwares mais utilizados no compartilhamento de arquivos no Brasil e infelizmente utilizado na prática desse crime, pois nesse tipo de tecnologia não existe a figura do servidor central, devendo sempre ser analisado o equipamento que tem esse programa instalado em seu disco rígido. Quando um usuário faz o download de um arquivo a partir desse programa, ele automaticamente está compartilhando esse arquivo, que pode ser enviado para outros usuários, sem mesmo saberem. Para identificar os arquivos automaticamente compartilhados quando da execução do programa, o perito deve observar a configuração do programa, se tiver a pasta “Incoming” localizada no diretório de instalação do eMule é porque isso ocorreu. O eMule também armazena automaticamente no arquivo “known.met” um histórico geral sobre o compartilhamento de arquivos, que deve também ser analisado nos exames forenses. Outro programa de compartilhamento é o Kazaa, que tem uma pasta-padrão de compartilhamento chamada “My Shared Folder” que também pode registrar um histórico de compartilhamento nos arquivos “data1024.dbb” e “data256.dbb”, onde o COMPUTAÇÃO FORENSE 17 perito deve analisar esses arquivos a fim de descobrir se houve a divulgação de fotos e vídeos contendo pornografia infanto-juvenil. Cabe ressaltar que quando há suspeita de exploração sexual de crianças e adolescentes, o perito deve verificar, ainda no local, se esses programas de compartilhamento de arquivos estão em execução e se compartilham arquivos dessa natureza. Caso seja comprovada a existência de tais arquivos, estes deverão ser registrados por meio de fotos, vídeos ou descrição do perito, ocorrendo assim a prisão em flagrante do responsável. Outra ferramenta forense que ajuda na detecção de arquivos contendo pornografia infanto-juvenil ainda no local do crime é a “NuDetective”, que realiza a detecção automática de nudez em imagens (Image Analysis), verifica se os nomes de arquivos têm expressões típicas de pornografia infanto-juvenil (FileName Analysis), além de realizar a comparação de valores hash com uma lista predefinida, identificando arquivos previamente conhecidos (Hash Analysis). Tais tipos de análise podem ser combinados de acordo com a necessidade de cada caso. AULA 04 - FUNCIONAMENTO E ABSTRAÇÕES DE SISTEMAS DE ARQUIVOS Entender e se inteirar de como os dados são armazenados e escritos é um dos principais fundamentos a serem conhecidos. Os dados podem ser gerados de três formas: eletromagnetismo, por transistores elétricos microscópicos (flash) e reflexão de luz (CD, DVD etc.). Os dispositivos de armazenamento servem para diversos propósitos: para curto período de armazenamento, para armazenamento temporário e para permanecerem armazenados por um longo tempo. O disk drive é um mecanismo que lê dados obtidos de um disco e escreve dados em um outro disco. O disco em um disk drive rotaciona em altas velocidade, e as cabeças dentro do disk drive são usadas para ler e escrever dados. COMPUTAÇÃO FORENSE 18 Existem diferentes tipos de disk drives, por exemplo, hard disk drives - HDD, são capazes de acessar hard disks - HDs e um floppy disk drive - FDD, acessam discos flexíveis ou disquetes, em inglês, floppy disks. Os dispositivos de disco podem ser categorizados como: • Fixos, podemos dizer daqueles dispositivos de disco, cujos discos não são removíveis; • Removíveis, podemos dizer daqueles dispositivos cujas mídias são removíveis, e.g., fitas magnéticas, disquetes; • Discos Magnéticos; • Discos rígidos - Hard Disks. Atualmente a maioria dos discos rígidos lê e escreve dados magneticamente. Cada partícula magnetizada em um disco, que geralmente é feito de alumínio coberto por um material magnetizado, é lida como um 1, se não for magnetizado, como um 0. Esses discos, geralmente rotacionam a uma velocidade de 7000 rpm a 15000 rpm, estes últimos, encontrados principalmente em estações (workstations) profissionais. Do ponto de vista Forense, quanto mais rápido for o disco rígido, menos tempo será necessário para a coleta e análise. Usualmente, as pessoas diferenciam os discos rígidos por algumas das suas características: 1. Capacidade do HD; 2. Interface usada; 3. Velocidade de rotação; 4. Tempo de pesquisa - Seek time; 5. Tempo de acesso; 6. Tempo de transferência. Uma vez danificado, o HD geralmente não pode ser reparado. Quando um disco falha, a recuperação dos dados apenas se torna possível substituindo o HD por outro e acessando o HD danificado como um drive secundário. COMPUTAÇÃO FORENSE 19 Os discos rígidos - (Hard Disk), são organizados para fornecer ao usuário um acesso rápido aos dados e programas. Quando um computador usa um dado ou programa, este é copiado para um local temporário. Quando uma modificação é feita no arquivo, o computador salva o novo arquivo substituindo o anterior pelo novo; os dados são salvos magneticamente no HD. Os discos possuem cabeças de gravação e leitura que os percorrem à medida que estes rotacionam em seu eixo. Fisicamente, os discos são dispostos empilhados em uma unidade selada contendo cabeçotes magnéticos de gravação e leitura. Cada disco armazena os dados em bandas concêntricas chamadas trilhas que, por sua vez, consistem de setores, que vem a ser a menor unidade física de armazenamento. Em geral, um setor tem o seu tamanho dimensionado em 512 bytes. Os setores contém: • ID information: contém o número do setor e a localização que identifica o setor no disco e a informação do estado sobre o setor; • Campos de sincronização: que ajudam a controladora do drive a guiar o processo de leitura;• Dados: os dados armazenados no setor propriamente dito; • ECC - Error Correcting Code: que garante a integridade dos dados; • Gaps: espaços que dão tempo para o drive controlador continuar um processo de leitura. Os dados são armazenados continuamente nos setores, assim, dependendo do tamanho do arquivo, podem existir espaços vazios no setor. Por exemplo, um dado de 900 bytes, ocuparia 2 setores de 512 bytes, sobrando alguns bytes. Temos ainda os setores ruins - Bad Sectors, aqueles setores que por motivos diversos, geralmente provocados por gastos físicos, ficam indisponíveis para o uso. Os drives costumam marcar os setores defeituosos. Algumas ferramentas de software, podem ser usadas para restaurar tais setores, como Scandisk e Chkdsk, ambos presentes do sistema operacional da Microsoft. COMPUTAÇÃO FORENSE 20 Cluster A menor unidade lógica de armazenamento é chamada de Cluster. Um sistema de arquivos divide o volume de armazenamento do disco em unidades compactas de dados visando o melhor uso do disco e a sua performance. Os arquivos são armazenados em clusters, contínuos ou não. Dependendo do sistema de arquivos que esteja rodando no sistema operacional, cada entrada de arquivos é mantida em uma tabela FAT - File Allocation Table. Os clusters são ligados entre si por números contínuos, de tal forma que um arquivo inteiro não tem necessariamente que ocupar o mesmo espaço em disco, podendo estar disperso no disco. Os tamanhos dos clusters dependem do momento do particionamento do volume do disco, volumes maiores usam clusters de tamanhos maiores. Para volumes de discos rígidos -HD, cada cluster costuma variar seu tamanho entre 4 setores (2048 bytes) e 64 setores (32768 bytes). Os setores em um cluster são contínuos, assim cada cluster representa um espaço de bloco contínuo no disco. Todo espaço não utilizado em um cluster é perdido, e clusters de tamanho largo tendem a ter menor taxa de fragmentação, mas quantidade de espaço perdido - slack space - maior. Slack Space são porções do cluster em um disco que não são preenchidas completamente com os dados. Quando um arquivo é alocado em um disco, ele recebe um determinado número de clusters para comportá-lo; se o tamanho do arquivo for menor que o tamanho do cluster, ainda assim, ele ocupará um cluster completo, mantendo o espaço não usado. Lost Clusters - Clusters perdidos Resultado de erros de alocação na tabela FAT do sistema de arquivos, geralmente resultado de erros lógicos e não de erros físicos do disco. Ocorrem principalmente por interrupções em atividades de leitura e gravação dos arquivos. Os clusters envolvidos não são sequenciados corretamente, não ficando ligados aos arquivos; apesar disto, o sistema operacional marca estes clusters como em uso pela FAT. É comum o uso de COMPUTAÇÃO FORENSE 21 ferramentas de diagnóstico de disco, como ScanDisk, que conseguem limpar esses clusters perdidos ou transformá-los em arquivos. Particionamento de Disco - Disk Partition Chamamos particionamento a criação lógica de drives em um disco. Uma partição é um drive lógico que armazena dados. Uma partição pode ser primária quando armazena informações do sistema operacional, bem como informações necessárias para a inicialização do sistema - booting. Também pode ser estendida como primária quando armazena os dados e arquivos no disco. É possível criar partições escondidas - hidden partitions - no disco e, assim, ocultar informações, geralmente entre as partições primária e secundária. Os investigadores podem se utilizar de algumas ferramentas para verificar a existência de informações armazenadas nestas partições, como X-Ways Forensic, Hex Workshop, entre outros. Registro Mestre de Boot - MBR - Master Boot Record O MBR é o primeiro setor de armazenamento de dados em dispositivos como um disco rígido. Também é conhecido como tabela de partição mestre ou setor de partição, pois inclui a tabela que contém as informações de todas as partições do disco. O MBR inclui um programa que faz a leitura do setor de boot da partição que contém do sistema operacional. O arquivo do MBR contém informações sobre todos os arquivos presentes no disco, sua localização, tamanho etc. Vários softwares são capazes de gerenciar o MBR, como o PartitionMagic, que permite inclusive que o usuário instale dois ou mais sistemas operacionais no disco. Ferramentas de Disco Rígido Os investigadores de computação forense podem utilizar várias ferramentas de softwares para analisar e recuperar dados em discos rígidos. Essas ferramentas devem permitir aos investigadores as seguintes tarefas: COMPUTAÇÃO FORENSE 22 • Realizar pesquisa de textos em espaços de arquivos, em espaços não utilizados e em espaços não alocados de um HD; • Encontrar e recuperar dados de arquivos que tenham sido apagados; • Encontrar dados encriptados; • Reparar FATs, tabelas de partição, e registros de boot; • Concatenar e dividir arquivos; • Analisar e comparar arquivos; • Clonar discos rígidos; • Criar imagens de drives e backup; • Apagar arquivos confidenciais com segurança; • Editar arquivos usando editores hexadecimais. Compreendendo os Sistemas de Arquivos Um sistema de arquivos é um tipo de sistema mais eficiente usado para armazenar, organizar e acessar dados em um computador. Dispositivos de armazenamento como discos rígidos, CD-ROMs, memória flash, discos flexíveis, entre outros, utilizam sistemas de arquivos para armazenar dados. Os usuários podem acessar os arquivos usando uma interface gráfica (GUI) ou interface de comando de linha (CLI). Os sistemas de arquivos organizam-se na forma de estruturas de árvore de diretórios. Um sistema de arquivos deve prover o seguinte: • Armazenamento; • Categorização hierárquica; • Gerenciamento; • Navegação; • Acesso; • Recuperação de dados; • Tipos de sistemas de arquivos. Os sistemas de arquivos podem ser classificados em quatro categorias: COMPUTAÇÃO FORENSE 23 1. Disk file system: Um sistema de arquivos de disco é usado para armazenar e recuperar arquivos em dispositivos de armazenamento, como discos rígidos, que estão conectados diretamente ou indiretamente a um computador. São exemplos de sistemas de arquivos de disco, FAT16, FAT32, NTFS, HFS, ext2, ISO 9660, MFS e UDF. 2. Network file system: Um sistema de arquivos de rede é usado para prover acesso a arquivos em computadores conectados em uma rede de computadores. São exemplos de sistemas de arquivos de rede, NFS, CIFS e GFS. 3. Database file system: Um sistema de arquivos de bancos de dados é usado para prover acesso mais eficiente a arquivos e dados em bancos de dados. Para a manipulação dos dados utiliza-se de uma linguagem DML e para pesquisa dos dados uma linguagem SQL. 4. Sistemas de arquivos especiais: Alguns sistemas de arquivos são criados para finalidades específicas, com vários propósitos, como protocolos de comunicação entre processos de computadores ou espaços temporários de arquivos. São exemplos: FUSE, devfs, ParFiSys e wikifs. Fitas Magnéticas - Magnetic tapes A fita magnética é um meio de armazenamento que consiste de uma fina fita de plástico coberta por um polímero magnético. Geralmente usada para gravar áudios, vídeos e dados digitais, é capaz de armazenar grande quantidade de informação ao longo do comprimento da fita, em blocos de registros. O acesso aos dados é sequencial. Ainda hoje é usada para realizar backups de discos rígidos. Discos Flexíveis - Floppy discs Também chamados de disquetes,são discos magnéticos de plástico, cobertos por um polímero que atribui características magnéticas, portáveis e de baixo custo. São lentos comparados aos discos rígidos e sua capacidade de armazenamento é pequena. Embora ainda existam, as indústrias abandonaram a sua produção, tendo em vista que outras tecnologias, mais eficientes e de maior capacidade de armazenamento, o tenham substituído. Eram produzidos em três formatos, oito polegadas, 5 1/4 polegadas e atualmente, ainda são encontrados os de 3 1/2 polegadas. COMPUTAÇÃO FORENSE 24 Discos Óticos Os discos óticos tratam-se de um meio físico resistente, onde são gravados microburacos com capacidade reflexiva, de modo que quando um feixe luminoso de laser de baixa potência incide sobre o disco, é refletido com intensidades variadas, podendo ser interpretado como 0 e 1 pelo sistema de leitura. A grande maioria dos discos ópticos é constituída de três camadas: Plástico resistente, onde são colocadas identificações visuais, como etiquetas; Liga metálica de alto brilho, onde é refletida a luz; Policarbonato, onde são gravados os microburacos e que é revestido por película de laca para proteção. Essa tecnologia permite que sejam gravadas trilhas menores de dados, resultado em maior capacidade de armazenamento. Além disso, por não haver contato físico para leitura ou gravação, torna o dispositivo menos vulnerável a alterações no ar. A menor velocidade de rotação dos discos ópticos, em função de sua geometria, torna- os mais lentos que os discos magnéticos, elevando o tempo de acesso para a ordem dos segundos. Disco compacto - Compact Disc (CD) O CD é um disco de plástico policarbonato contendo uma ou mais camadas de metal usado para armazenar dados digitais. É o meio padrão para distribuição de grandes quantidades de informação compactadas. Os diâmetros padronizados para os CDs são de 120mm, e para os miniCDs de 80mm. Os CDs contêm ranhuras microscópicas em forma de espiral, cobertas por uma camada de alumínio reflexivo, onde os dados são gravados e refletidos ao ser aplicado um laser vermelho ao CD. Tipos de CDs COMPUTAÇÃO FORENSE 25 Existem diferentes tipos de CDs: 1. CD-ROM - Compact Disc Read Only Memory - É o mais básico dos discos óticos usados em computadores, possui geralmente 700MB de dados e apenas pode ser lido pelos drives, não podendo o usuário lhes acrescentar dados. 2. CD-R - Compact Disc Recordable - É o CD que pode ser usado para gravar dados. Entretanto, só aceita uma única gravação, que deve ser feita por um drive capaz de gravar dados em discos. 3. CD-RW - Compact Disc Rewritable - É o CD que aceita múltiplas gravações. DVD - Digital Versatil Disk Os DVDs, também chamados Digital Video Disks, possuem uma capacidade de armazenamento muito superior aos CDs, sendo utilizados para armazenar dados digitais. Um DVD-5, com single-sided (lado simples) e single-layer (camada simples), os mais comuns, tem capacidade de armazenar 4,7GB de dados, enquanto um DVD- 18, com double-sided (lado duplo) e double-layer (camada dupla), admite até 17GB de dados. Semelhantes aos CDs em suas dimensões, possuem além do alumínio, ouro em sua constituição e os dados são gravados em uma trilha única e concêntrica, do centro do disco para a extremidade. Tipos de DVD graváveis Existem diferentes tipos e DVDs: • DVD-R (SL ou DL): Admite apenas uma gravação, com uma capacidade máxima de 4,7 GB. • DVD+R (SL ou DL): Semelhante ao anterior, porém possui algumas diferenças técnicas que o tornam mais confiável. • DVD-RW (SL ou DL): É a versão do DVD-R com múltiplas gravações, mas a mesma capacidade de armazenamento. Permitem até 1000 gravações. • DVD+RW (SL ou DL): É a versão do DVD+R com múltiplas gravações, mas a mesma capacidade de armazenamento, com a vantagem de não ser necessário apagar o disco inteiro para adicionar novos dados. COMPUTAÇÃO FORENSE 26 HD DVDs Originalmente foram chamados de AODs - Advanced Optical Discs e foram criados para serem os sucessores dos DVDs, apresentando as mesmas dimensões, porém com capacidade de armazenamento até 15 GB. Blu-ray Discs É a próxima geração de mídia ótica de patente pertencente à SONY. Os Blu-ray Discs possuem capacidade para armazenar áudio e vídeos em definição HD, além de grandes quantidades de dados, de 27 GB (single-layer) a 50 GB (double-layer). Não podem ser lidos nos mesmos dispositivos que os CDs e DVDs. Memória Flash Ipod O Ipod é um dispositivo desenvolvido pela Apple, para reproduzir músicas e vídeos, além de ser capaz de armazenar arquivos multimídia, imagens e também servir de unidade de armazenamento de arquivos. O dispositivo padrão possui um HD especificamente criado para seu tamanho; mas outras versões, como Ipod-mini, se utiliza de memória flash, para armazenar seus arquivos. Tem a capacidade de manipular diversos tipos de arquivos, e no caso do arquivo não possuir compatibilidade é preciso que o mesmo seja convertido utilizando-se, para isto, alguns softwares proprietários, como o iTunes em um desktop ou notebook, para realizar a conversão e a manutenção dos arquivos no Ipod. Alguns dos formatos suportados pelo Ipod: • MP3; • MP4/AAC; • AIFF; • WAV; • Protected AAC. COMPUTAÇÃO FORENSE 27 Algumas características do Ipod: • São usados para reproduzir músicas e vídeos; • São usados para armazenar imagens; • São usados para armazenar endereços e contatos; • São usados para jogar games; • Possuem vida útil de bateria de até 20 horas; • Possuem capacidade de armazenamento de 1GB até 120GB; • Funcionam como dispositivo de armazenamento quando conectado a um desktop ou notebook, utilizando o sistema de arquivos HSF+ quando conectado a um computador Apple, e o sistema FAT32 quando conectado a um computador com Windows. Flash Memory Cards - Cartões de Memória Flash Cartões de memória flash são dispositivos de armazenamento de dados constituídos de memória flash eletrônica em estado sólido. Eles podem ser usados em câmeras digitais, telefones celulares, computadores portáteis, tocadores de música e diversos outros tipos de dispositivos. Existem em diversos formatos e tamanhos, com capacidades de armazenamento diferentes. Cada setor de um flash memory card pode ser apagado e criado um número limitado de vezes. Secure Digital- SD São cartões pequenos e finos, com 32 mm de altura e 24 mm de largura, com espessura de 2,1 mm na versão padrão, e na versão miniSD com 21,5 mm de altura, 20mm de largura e 1,4 mm de espessura. Tem a capacidade de armazenamento variando de 8 MB a 4 GB. Aceita tecnologia DRM (Digital Rights Management). Normalmente são pré-formatados de fábrica com sistemas de arquivos do tipo FAT32. Na versão SDHC, os cartões podem suportar capacidades de armazenamento superiores a 4 GB. O DRM nada mais é que um conjunto de tecnologias implantadas em arquivos de computador para impedir que o usuário faça cópias de seu conteúdo. Essa tecnologia COMPUTAÇÃO FORENSE 28 pode ser utilizada tanto em músicas ou filmes digitais quanto em discos como CDs ou DVDs. CompactFlash- CF O CompactFlash - CF é um dos tipos mais antigos de memória flash. Os cartões são maiores do que a maioria dos tipos mais recentes, mas este tipo de cartão ainda é usado por causa de seu baixo custo e sua grande capacidade de armazenamento. Os cartões CF têm capacidades de armazenamento que variam de 2 MB a 100 GB. Existem dois tipos de cartões CF: Os do tipo I possuem 3,3 mmde espessura, e os cartões do tipo II possuem 5 mm de espessura. Memory Stick- MS Existem vários tipos de Memory Sticks, com capacidades que variam de 4 MB a 32 GB. Estes cartões são tipicamente usados em câmeras digitais, PDAs e Playstation Portable (PSP). Os Memory Sticks suportam alta velocidade de transferências de dados, com uma velocidade máxima de 160 Mbps. MultiMediaCard- MMC Um MMC tem 32 mm de comprimento, 24 mm de largura e 1,4 mm de espessura, de modo que é quase do mesmo tamanho que um cartão SD, e suporta a capacidade de armazenamento de até 8 GB. O formato SD é realmente um sucessor para o MMC, e MMCs podem caber na maioria dos dispositivos que suportam cartões SD. xD-Picture Card - xD Um xD-Picture Card tem 20 mm de comprimento, 25 mm de largura e 1,78 mm de espessura, e os suportes de formato xD-Picture Card possuem capacidades de armazenamento de até 8 GB. Como o nome indica, estes cartões são usados principalmente em câmeras digitais, particularmente aqueles feitos pela Olympus e pela Fujifilm, as desenvolvedoras do formato. SmartMedia- SM COMPUTAÇÃO FORENSE 29 SM cartões tem 45 mm de comprimento, 37 mm de largura e 0,76 mm de espessura. As capacidades de armazenamento de cartões de SM variam de 2 MB a 128 MB. Estes cartões podem ser usados com slots PC Card e drives de disquetes de 3½ polegadas com o uso de adaptadores. O seu tamanho maior dificulta seu uso na maioria dos dispositivos modernos. Memória volátil e não volátil Memória e armazenamento, em se tratando de computadores, podem ser entendidos como sinônimos por se tratarem ambos de locais internos onde os dados podem ser armazenados. A memória seria usada como um local temporário, de curto prazo, enquanto o armazenamento seria usado de forma mais permanente. A diferença entre ambos recai na sua volatilidade: na memória RAM, por exemplo, os dados existem apenas enquanto a fonte de energia está sendo alimentada, extinguindo-se os dados quando a fonte de energia é cortada. Por outro lado, os arquivos armazenados em dispositivos como HDs continuam a existir mesmo com o computador desligado, ao que chamamos não volátil. Para a computação forense, ambos os tipos de memória são importantes, entretanto possuem técnicas de extração diferentes. USB Flash Drives USB flash drives são dispositivos de armazenamento de dados, baseados em um tipo de memória flash que é não volátil, ou seja, não necessita de energia para manter os dados armazenados. Esse tipo de memória é chamada NAND-type flash memory. COMPUTAÇÃO FORENSE 30 Também conhecidos como pen drives, thumb drives, jump drives, USB keys, USB sticks e key drives, são dispositivos integrados à porta USB 1.1 ou 2.0, com rápida transmissão de dados; de pequeno tamanho, leves e de fácil acoplamento, com tecnologia RW, possuem capacidade típica de 8 MB a 64 GB. São atualmente os substitutos dos disquetes (floppy disks), portáteis e compatíveis com vários sistemas operacionais, como o Linux, MAC OS e Windows. São constituídos de um pequeno circuito impresso, envolto por plástico ou metal, com um conector USB para fácil acoplamento. Não requer bateria, obtendo a energia necessária às suas funções diretamente do equipamento ao qual está acoplado. Principais componentes de um USB flash drive: • Conector USB macho, tipo A - (Male type-A USB connector); • Controladora USB de armazenamento em massa - (USB mass storage controller); • Jumpers e pinos de teste; • Chip de memória flash não volátil - (NAND flash memory chip); • Oscilador de cristal - (Crystal oscillator); • LED; • Seletor de proteção à escrita - (Write-protect switches). Principais usos dos USB flash drives: • Transferência de dados entre um computador e outro; • Para executar tarefas de administração do sistema; • Para transferir aplicações; • Para armazenar músicas; • Para dar boot em sistemas operacionais. AULA 05 - DADOS, INFORMAÇÕES E EVIDÊNCIAS COMPUTAÇÃO FORENSE 31 Podemos entender a Computação forense como o uso da ciência e da tecnologia para investigar e estabelecer fatos em um tribunal civil ou criminal. A espionagem corporativa, as imagens ilícitas, as violações de políticas corporativas, os atentados de hacker - tais situações sempre poderão ser encontradas no gerenciamento da tecnologia de informação, e a primeira frase que geralmente vem ao pensamento dos gestores é “o que aconteceu?”. Ao aplicarmos corretamente a Computação forense conseguimos responder a esta questão de forma técnica legal e analítica. Antes de tudo, devemos entender que a Computação forense é um processo legal e, dependendo da investigação que será feita, devemos estar cientes de uma série de conceitos legais e procedimentos que irão balizar os passos do investigador forense. Os procedimentos a serem adotados ao se conduzir uma investigação devem ser claros, tendo em vista que cada investigação possui um grupo próprio de armadilhas que precisam ser evitadas. No mundo corporativo podemos dividir as investigações em quatro categorias: furto de propriedade intelectual, violações legais por empregados ou corporações - prevaricação, ataques externos e litígios civis. Tipos de Investigação Furto de propriedade intelectual Tipo mais comum de investigação forense, trata do furto de propriedade intelectual de uma empresa e geralmente acontece quando um empregado, que têm acesso a informações protegidas e confidenciais, vem a ser demitido e passa a trabalhar no concorrente revelando tais informações. Dependendo da natureza da informação, o uso desta pode levar a graves prejuízos para a empresa que teve sua propriedade intelectual furtada. Geralmente a investigação se inicia internamente, mas pode tornar-se um litígio civil, passando a seguir não mais a políticas internas da empresa mas a legislação em vigor, devendo ser adotados criteriosos procedimentos para garantir a validade das evidências coletadas. Violações legais por empregados ou corporações - prevaricação COMPUTAÇÃO FORENSE 32 Em virtude dos suspeitos poderem ser empregados ou funcionários violando leis ou as políticas internas das empresas, as investigações contra violações por parte de companhias, de indivíduos, de grupo de empregados, investigações em níveis governamentais ou de níveis hierárquicos dentro de uma empresa, geralmente requerem um status de sigilo. A natureza secreta da investigação a torna diferente das investigações tradicionais e a coleta de evidências deve procurar preservar o sigilo da investigação. Como geralmente o resultado dessas informações pode ser usado em casos criminais, os métodos adotados devem ser rigorosos e o acesso a eles deve ser restrito. O simples conhecimento que uma investigação está em andamento poderia fazer com que os suspeitos destruíssem deliberadamente as evidências, tornando a investigação mais difícil ou impossível de ser concluída. Ataques externos A investigação de uma invasão externa a um sistema causada por um ataque de hackers geralmente tem no tempo de duração do ataque a informação essencial. Esse tipo de ataque é feito por um indivíduo de fora da companhia, que penetra em sua rede e explora os dados para obter informações de clientes, dados financeiros como o de cartões de crédito, navegar nesta rede propriamente dita, em busca de vantagens comerciais, tentativas de retaliação ou pelo simples prazer de fazê-lo,. A investigação geralmente se inicia ao mesmo tempo em que as medidas de remediação dos prejuízosocorrem com o objetivo de evitar que a reputação da empresa seja afetada. Nestes casos a documentação dos passos tomados torna-se crítica e uma importante medida para assegurar a preservação das evidências. Litígios civis A investigação forense que ocorre em litígios civis geralmente é conduzida como parte de um processo para a comprovação de evidências, através da análise e formulação de laudos que possam servir de prova ou refutação de um direito pretendido por empresas que estejam processando outras para, por exemplo, comprovar o uso de informações privilegiadas que tenham sido furtadas. O papel do Investigador COMPUTAÇÃO FORENSE 33 O que faz um bom investigador forense? A habilidade de ser criativo na descoberta de evidências, o rigor e a disciplina aplicados durante processo e a compreensão dos quesitos legais envolvidos ao longo do processo, são fatores essenciais para determinar o papel do investigador; entretanto, as seguintes premissas devem ser reconhecidas: 1. Isenção entre as partes envolvidas; 2. Qualificação e competência necessária; 3. Uso investigativo da evidência; 4. Viabilidade investigativa. Elementos de um bom processo investigativo Além dos aspectos de competência técnica, torna-se imperativo que o investigador desenvolva procedimentos nos quais os aspectos seguintes devem ser observados: 1. Validação cruzada dos resultados; 2. O manuseio apropriado provas; 3. Integralidade de investigação; 4. Gerenciamento de arquivos; 5. Competência técnica; 6. Definição explícita e justificativa para o processo; 7. Conformidade legal; 8. Flexibilidade. Identificando as evidências digitais Provas digitais podem ser quaisquer informações armazenadas ou transmitidas de forma digital. Pelo fato dos dados não poderem ser visualizados ou tocados diretamente, torna-se complicado identificar a prova digital como real ou virtual; há o questionamento se os dados presentes em um disco ou em outro meio de armazenamento fisicamente existem, ou se não representam uma informação real. Os tribunais norte-americanos aceitam a evidência digital como evidência física, ou seja, os dados digitais são tratados como objetos tangíveis, tal como um documento de papel, uma lesão física evidente, uma arma de fogo, relacionados a um incidente criminal ou civil. Nosso país ainda não possui um conjunto de leis que regulem todo o COMPUTAÇÃO FORENSE 34 tipo de evidência digital como fazem os norte-americanos, por esse motivo observamos as regras criadas pelas agências daquela sociedade e importamos seus procedimentos. A seguir estão relacionadas algumas das tarefas gerais que os investigadores devem realizar quando se trabalha com provas digitais em um processo: 1. Identificar informações digitais ou artefatos que podem ser usados como prova; 2. Recolher, preservar e documentar provas; 3. Analisar, identificar e organizar provas; 4. Reconstruir provas ou repetir uma situação para verificar se os resultados podem ser reproduzidos fielmente. Identificação Esta primeira fase do processo detalha o que deve ser feito quanto se é apresentado a um caso onde uma ação deve ser determinada. Podemos dividir em cinco passos fundamentais: 1. Determinar o escopo e a quantidade de dados; 2. Identificar os repositórios de dados; 3. Determinar a estratégia de preservação; 4. Estabelecer a cadeia de custódia; 5. Visualizar de forma segura os dados. Coleta e Preservação Nesta fase, o perito irá coletar os dados e armazená-los de maneira apropriada para exames forenses, além de verificar a sua validade. Podemos dividir em quatro os passos mais importantes: 1. Identificar a fonte de dados (source media); 2. Selecionar os parâmetros de aquisição; 3. Criar a imagem forense; 4. Autenticação criptográfica da imagem forense. Análise COMPUTAÇÃO FORENSE 35 Nesta fase os dados contidos na imagem forense serão verificados em busca de evidências necessárias, que comprovem ou não o cometimento do crime. O que se deve ter em mente é a completude da investigação, não deixando nada sem verificação. Produção e Apresentação É a fase final do processo, onde os resultados são apresentados na forma de laudos e notas, no caso de processos criminais, na forma da legislação vigente. Algoritmos de criptografia e Hashing Para se garantir que a evidência será preservada, uma cópia dela deve ser criada no processo chamado de clonagem. O clone deverá ser uma imagem fiel do original e, para que isso seja comprovado em um tribunal, utilizamos ferramentas que geram um código hexadecimal que representa o conjunto de dados copiados. A mais insignificante alteração em um HD gerará um código de HASH totalmente diferente. Os algoritmos mais utilizados em computação forense são os seguintes: 1. MD5; 2. SH1; 3. SH2. AULA 06 – ESTEGANOGRAFIA Ao longo dos anos, as ferramentas forenses vêm sendo desenvolvidas e melhoradas de modo crescente. Na mesma linha, ferramentas e técnicas antiforenses, criadas para burlar investigações e geralmente usadas por criminosos, terroristas e até corporações em busca de espionagem industrial, acompanham esta evolução na mesma velocidade. Pode-se definir o termo antiforense como a abordagem para manipular, apagar ou ofuscar um dado digital, de modo a tornar o seu exame difícil, dispendioso ou virtualmente impossível. Ocultação de Dados COMPUTAÇÃO FORENSE 36 As técnicas de ocultação vão das mais simples às mais complexas. Mudar o nome dos arquivos e extensões, salvar o arquivo em uma profunda cadeia de subdiretórios não relacionados, ocultar arquivos dentro de outros arquivos e encriptação de dados são algumas das técnicas, sendo as duas últimas as mais trabalhosas para a computação forense. Assinatura de arquivos Algumas ferramentas forenses são capazes de verificar se a assinatura do arquivo, que vem a ser uma informação deixada pelo aplicativo gerador do arquivo identificando sua origem e tipo, está ou não presente. Por exemplo, um arquivo do tipo GIF possui em seu cabeçalho a informação GIF8 como sua assinatura; deste modo, uma alteração no nome ou extensão do arquivo não altera a sua assinatura, sendo possível recuperar o arquivo original e a evidência. Métodos de compressão A compressão permite que o conteúdo de um arquivo tenha o seu tamanho de armazenamento e transmissão reduzidos por algoritmos específicos. A maioria das ferramentas forenses são capazes de identificar a compressão, porém não são capazes de analisar o arquivo comprimido, sendo necessário realizar a descompressão do arquivo antes de examiná-lo. Slack Space Slack Space trata-se dos dados remanescentes de um setor que foi sobrescrito e não ocupado plenamente, sendo possível que informações fragmentadas do arquivo anterior tenham sido preservadas neste espaço, o que possibilitaria examiná-las. Algumas técnicas antiforenses são utilizadas de modo legítimo para protegerem dados pessoais, entretanto necessitam ser evidenciadas essas técnicas para que a análise forense proceda sem dificuldades. Encriptação Na maioria das vezes, o arquivo a ser encriptado já esteve presente no disco em sua forma normal, o que não descarta a possibilidade de baixar o arquivo já encriptado, COMPUTAÇÃO FORENSE 37 por exemplo, através de anexos de um e-mail. No caso mais geral, o arquivo poderá estar presente no disco de três formas: o arquivo original pode estar presente no disco; o seu conteúdo como arquivo deletado nos setores não alocados ou em setoresperdidos e slack spaces; e no arquivo original no disco de swap. A encriptação pode ser feita com algoritmos de chave simétrica e de chave assimétrica. Algumas ferramentas forenses podem detectar através de testes entrópicos, a presença de arquivos encriptados e, com o uso de tabelas de chaves de algoritmos públicos, testar de forma randômica possíveis valores para descobrir a chave de encriptação. Às vezes se faz necessário o ataque de força bruta, técnica que consiste do uso de algoritmos que tentam quebrar a chave ou a senha destes arquivos encriptados, usando um dicionário pré-compilado de valores. A encriptação com chave assimétrica é mais forte que aquela com chave simétrica por conter duas chaves, uma para encriptar o arquivo e outra para decriptá-lo e assim ter acesso ao seu conteúdo. Neste caso, para acessar o arquivo, esta segunda chave deve ser descoberta antes da primeira chave. O ataque para a quebra de senhas de arquivos encriptados pode levar dias ou meses de intenso processamento, até mesmo com técnicas de uso de computadores em rede, devendo ser avaliada esta linha de investigação. Neste caso, ao se verificar a presença de evidências que tenham sido encriptadas, os investigadores podem simplesmente solicitar ao dono e suspeito a chave de acesso, o que pode ser negado, evidenciando neste caso a suspeita sobre o cometimento do delito. Esteganografia Consiste na habilidade de esconder dados dentro de outros arquivos. Existem ferramentas de esteganografia que conseguem incluir dados em arquivos de imagem JPGs e arquivos de áudio, por exemplo. A presença de programas de esteganografia COMPUTAÇÃO FORENSE 38 instalados no computador ou no registro de log do sistema alertam para a existência de arquivos com dados ocultos. Destruição dos dados Wiping Data – Deleção segura Trata-se de uma forma de deleção em que caracteres repetidos ou sequencias são gravados no disco após uma deleção normal de arquivos, onde os setores não alocados, slack spaces e setores em branco ou perdidos, recebem novos dados. A presença destes caracteres repetidos ou sequencias podem ser detectados por ferramentas forenses, indicando o processo de wiping data. Outra indicação desta atividade é ausência de arquivos deletados no disco. Em geral verifica-se a presença de aplicativos, que realizam essa deleção segura, instalados no computador ou, caso tenham sido deletados, no registro de log do sistema. Outro indicativo é a presença de arquivos com extensões desconhecidas e sequenciais, sem nenhum conteúdo aparente. AULA 07 - ANÁLISE DE ARTEFATOS No processo de uso do Windows, muitos arquivos são criados, deletados, modificados e acessados. Alguns desses padrões ou modificações são únicos e podem certamente denunciar que uma ação ocorreu naquele dispositivo. Conclusões precisas poderão não ser obtidas se falharmos em determinar ou não a existência desses artefatos, e, dessa forma, não dar o necessário suporte legal ao caso. A seguir, alguns dos principais artefatos do Windows. Ao contrário do que muitos podem pensar, quando movemos nossos arquivos indesejados para a lixeira, não o apagamos fisicamente, o sistema apenas marca o arquivo como não alocado. Neste caso o cluster ainda contém o arquivo que pode ser recuperado, mas não acessado. A lixeira do Windows (Recycle Bin) quando recebe um arquivo, seja pelo arrasto ou pelo pressionamento da tecla delete, nos permite recuperar os arquivos. COMPUTAÇÃO FORENSE 39 Recycle Bin Podemos eliminar os arquivos indesejados de três maneiras no Windows: usando uma GUI, como o Explorer; movendo ou arrastando o arquivo até a lixeira; ou clicando no botão direito do mouse e escolhendo a opção delete. O benefício de se colocar um arquivo na lixeira é que o arquivo pode ser recuperado, não sendo possível acessá-lo apesar de estar visível ao sistema. No caso da lixeira (rRecycle Bin) ser esvaziada, torna-se mais difícil restaurar o arquivo e na maioria das vezes, impossível. É possível eliminar um arquivo indesejado sem passar pela recycle Bin. Neste caso não é possível a sua recuperação com essa ferramenta. Info Records Assim que entra na lixeira, um arquivo do tipo INFO é criado contendo o caminho, nome completo e outros valores que, mesmo depois do arquivo ter sido eliminado, podem ser recuperados por ferramentas forenses, evidenciando que o arquivo este presente naquele dispositivo. HIBERFILE.SYS Em algumas ocasiões os computadores são colocados em um estado de hibernação e, neste caso, informações sobre o estado ativo em memória são armazenados em disco, podendo ser recuperados. São três os estados quando o computador adormece: Sleep, Hibernation, Hybrid Sleep.Sleep mode é o estado no qual conserva-se ainda alguma energia desviada para a memória RAM, permitindo-se retornar mais rapidamente ao estado ativo. A maior parte dos dados são preservados na memória RAM. Hibernation mode é o estado típico de laptops para conservar energia. Neste modo, todos os dados da memória RAM são gravados em disco. COMPUTAÇÃO FORENSE 40 Hybrid Sleep é uma mistura dos modos anteriores, especialmente para desktops, mantendo um mínimo de carga aplicada à memória RAM (preservando os dados e aplicativos) e escrita de dados em disco. REGISTER FILES - Registro do Windows O arquivo de registro do Windows desempenha um papel crucial nas operações do PC. O registro rastreia as ações dos usuários, as configurações do sistema e as suas preferências. Do ponto de vista forense, o registro do Windows pode fornecer inúmeras evidências, desde termos pesquisados pelos usuários a programas que foram instalados, acessados e removidos, bem como páginas de sites visitados e outros dados. O registro é organizado em uma estrutura de árvore de diretórios, pastas e arquivos. São necessárias ferramentas específicas, como REGEDIT do próprio sistema, para traduzir as informações presentes no registro. As ferramentas forenses conseguem acessar e analisar essas informações. As terminologias a seguir definem o seu funcionamento: Registro – coleção de arquivos contendo informações do usuário e do sistema; Editor de registro – Conjunto de ferramentas do próprio sistema para visualizar e modificar dados no registro, como REGEDIT e REGEDIT32; HKEY – O Windows divide o registro em categorias como o prefixo HKEY, dependendo da versão do sistema podendo variar de 5 a 6 categorias; KEY – Cada HKEY contém pastas que fazem referências às chaves. Cada chave (KEY), pode conter pastas ou valores; SUBKEY – Trata-se de uma chave abaixo de outra chave, similar a um subdiretório; BRANCH – Uma chave (KEY) e o seu conteúdo que fazem um ramo em um registro; VALUE (Valor) – Trata-se do nome e do valor de uma chave similar a um arquivo e ao seu conteúdo; DEFAULT VALUE – Todas as chaves possuem um valor padrão, que pode ou não conter dados; COMPUTAÇÃO FORENSE 41 HIVES (zonas) – são ramos (BRANCHES) específicos em chaves HKEY_USER e HKEY_LOCAL_MACHINE. São exemplos de HIVES em HKEY_LOCAL_MACHINE\Software, SAM, SECURITY, COMPONENTS e SYSTEM. É importante reconhecer alguns dos arquivos de registro, sua localização e função, podendo haver diferenças entre as versões do SO; por exemplo, no Windows 9X, os arquivos system.dat e user.dat, são arquivos de registro. Da mesma forma, reconhecer algumas das HKEYS e suas funções irá economizar muito tempo do trabalho do investigador forense. As principais são: • HKEY_CLASS_ROOT; • HKEY_CURRENT_USER; • HKEY_LOCAL_MACHINE;• HKEY_USERS; • HKEY_CURRENT_CONFIG; • SPOOL DE IMPRESSÃO. Em algumas investigações, as atividades de impressão de um suspeito podem ser relevantes. A impressão também pode deixar algumas pistas para os investigadores seguirem. Você provavelmente já percebeu que há um pouco de atraso depois que você clica em “Imprimir”. Este atraso é uma indicação de um processo chamado spool. Essencialmente, o spool armazena temporariamente o trabalho de impressão até que ele possa ser impresso em um momento que é mais conveniente para a impressora (TechTarget). Durante este procedimento spool, o Windows cria um par de arquivos complementares. Um é o arquivo de Meta Dados avançado (EMF), que é uma imagem de documento a ser impresso, o outro é o arquivo de spool, que contém informações sobre o próprio trabalho de impressão. Há um arquivo de cada tipo para cada trabalho de impressão. Que tipo de informação podemos recuperar a partir do arquivo de spool? O arquivo de spool (.spl) nos diz coisas como o nome da impressora, nome do computador, bem como a conta de usuário que enviou o trabalho para a impressora. COMPUTAÇÃO FORENSE 42 METADADOS Metadados é mais frequentemente definido como dados sobre dados. É provável que você já tenha visto metadados em algum ponto, mesmo que você possa não ter reconhecido o que estava olhando. Existem dois tipos de metadados: aplicação e arquivo de sistema. Lembre-se, o sistema de arquivos mantém o controle de nossos arquivos e pastas, bem como de algumas informações sobre eles. Metadados do sistema de arquivos incluem a data e quando um arquivo ou pasta foi criado, acessado ou modificado. Se você clicar com o botão direito em "Propriedades" de algum arquivo, poderá ver as datas/ horas de criação e acesso. THUMBNAIL CACHE Para tornar mais fácil de procurar as imagens no seu computador, o Windows cria versões menores de suas fotos chamado thumbnails, que são apenas versões menores de suas contrapartes maiores. Estas miniaturas são criadas automaticamente pelo Windows quando o usuário seleciona a visualização de "Thumbnail" ao usar o Windows Explorer. O Windows cria um par de diferentes tipos de arquivos em miniatura, dependendo da versão que está sendo usado. O Windows XP cria um arquivo chamado thumbs.db., o Microsoft Vista e o Windows 7costumam criar um arquivo semelhante chamado thumbcache.db. O interessante é que mesmo após o arquivo ter sido deletado a miniatura permanece no disco, podendo servir de evidência. MOST RECENTLY USED – MRU O MRU são links que servem como atalhos para aplicativos ou arquivos que têm sido recentemente utilizados. Você pode ver isso em ação clicando no botão “Iniciar” do Windows, ou através do menu “arquivo” em muitas aplicações. COMPUTAÇÃO FORENSE 43 ARQUIVOS DE LINKS Arquivos de link são simplesmente atalhos que apontam para outros arquivos. Arquivos de link podem ser criados por nós, ou mais frequentemente pelo computador. Você pode ter criado um atalho na sua área de trabalho para o seu programa favorito ou pasta. O próprio computador os cria em vários lugares diferentes. Arquivos de ligação têm as suas próprias data e hora mostrando quando foram criados e usados pela última vez. A existência de um arquivo de ligação pode ser importante. Ele pode ser usado para mostrar que alguém realmente pode ter aberto o arquivo em questão, e também pode ser usado para refutar a afirmação de que um arquivo ou pasta nunca existiu. Arquivos de ligação também podem conter o caminho do arquivo completo, mesmo se o dispositivo de armazenamento não está ligado, como um pen drive. AULA 08 - PRINCIPAIS FONTES DE DADOS PERICIAIS E COLETA DE EVIDÊNCIAS DIGITAIS Nenhuma evidência descoberta em uma cena de crime chegará a um júri a menos que tenha sido devidamente recolhida pelo responsável por investigar a cena do crime, com o devido mandado e auto de apreensão. Tão importante quanto localizar a evidência é documentar todo o processo. Esta documentação servirá de prova em tribunal. Localizar a evidência na cena do crime é o início de tudo e pode ser difícil; especialmente quando as evidências podem estar ocultas em dispositivos menores que cartões de memória e semelhantes, podendo estar escondidas em uma infinidade de lugares. O perito pode ser confrontado com uma variedade de dispositivos e COMPUTAÇÃO FORENSE 44 armazenamentos de mídia, podendo encontrar um ou mais computadores com e sem fio, ou dispositivos como telefones celulares. Todas as ações durante o processo de coleta devem ser bem documentadas. Notas, fotos, vídeo e esboços para gravar nossas ações e refrescar nossas lembranças. Como a evidência digital é extremamente volátil, a preservação é primordial, por isso uma imagem forense ou clone é feita da mídia suspeita quando possível, e o exame é realizado no clone e não no arquivo original. Existem dois tipos de aquisição de dados: aquisições estáticas e aquisições ao vivo (live). Os processos e os requisitos de integridade de dados para aquisições estáticas e ao vivo são os mesmos. A única desvantagem com aquisições ao vivo é não permitir executar processos repetitivos, que são fundamentais para a coleta de evidências digitais. Com aquisições estáticas, se preservada a mídia original, fazer uma segunda aquisição estática deve produzir os mesmos resultados. O objetivo deve ser o de manter os dados no disco original inalterados, não importa quantas vezes uma aquisição for feita. Muitas vezes, o perito tem apenas uma chance para criar uma cópia confiável de evidência de dados do disco com uma ferramenta de aquisição. Embora essas ferramentas sejam geralmente confiáveis, devem tomar-se medidas para adquirir uma imagem que possa ser verificada e evitar possíveis falhas, sendo comum o uso de várias ferramentas e métodos de aquisição. FORMATOS DE ARMAZENAMENTO DE EVIDÊNCIAS DIGITAIS As ferramentas de aquisição realizam uma cópia ou clonagem (que pode ser por setor bit-por-bit) e o escreve para um arquivo de imagem. Os dados coletados por uma ferramenta de aquisição de computação forense são armazenados como um arquivo de imagem em um dos três formatos mais conhecidos. Dois formatos são de código aberto e o terceiro é proprietário. Cada fornecedor inclui características únicas, por COMPUTAÇÃO FORENSE 45 isso vários formatos proprietário diferentes estão disponíveis. Dependendo do formato proprietário, muitas ferramentas de análise de computação forense podem ser capazes de ler outros formatos proprietários, mas a maioria delas consegue criar uma imagem do disco em um formato open-source mais antigo, conhecido como RAW. Um novo formato de código-fonte aberto, Formato Forense Avançado (AFF), está começando a ganhar o reconhecimento na computação forense. No passado, havia apenas uma maneira prática de copiar dados para efeitos de prova, preservação e análise. Examinadores realizavam uma cópia bit-a-bit de um disco para um outro disco do mesmo tamanho ou maior. Como uma maneira prática para preservar evidências digitais, fornecedores (e alguns utilitários do sistema operacional, como o Linux comando / UNIX dd) tornaram possível a escrita de dados em fluxo de bits para arquivos. Esta técnica de cópia cria arquivos planos sequenciais simples de um drive suspeito ou de um conjunto de dados. A saída destes arquivos é conhecida como formato RAW. As vantagens do formato RAW são as transferências de dados mais rápidas e a capacidade de ignorar pequenos erros de leitura de
Compartilhar