TCC Pronto redes de computadores

Prévia do material em texto

0 
 
ESTÁCIO / FACULDADE DO PARÁ 
 
CURSO SUPERIOR EM TECNOLOGIA EM REDES DE 
COMPUTADORES 
 
 
 
 
 
 
 
 
 
ALEXANDRE COSTA DE SOUZA 
 
 
 
 
 
PERICIA FORENSE COMPUTACIONAL – MIGRAÇÃO DO CRIME 
REAL PARA O CRIME VIRTUAL 
 
 
 
 
 
 
 
 
BELÉM 
 
2010 
1 
 
 ALEXANDRE COSTA DE SOUZA 
 
 
 
 
 
 
 
 
 
PERICIA FORENSE COMPUTACIONAL – MIGRAÇÃO DO CRIME 
REAL PARA O CRIME VIRTUAL 
 
 
 
 
 Trabalho apresentado como requisito parcial para 
Disciplina Projeto Integrado Outsourcing do Curso 
 Tecnólogo em Redes de Computadores. 
 
 
 
 
 
 
 
 
BELÉM 
 
2010 
 
 
2 
 
PERICIA FORENSE COMPUTACIONAL – MIGRAÇÃO DO CRIME 
REAL PARA O CRIME VIRTUAL 
 
 
 
 
 
 
 
 
 
 
 
ALEXANDRE COSTA DE SOUZA 
 
 
 
 
Este projeto integrador outsourcing foi julgado adequado como requisito parcial para a 
Disciplina Projeto Integrado Outsourcing do Curso Tecnólogo em Redes de Computadores. 
. 
 
 
 
 
 
 
 
Belém, 24 de Novembro de 2010. 
 
 
 
BANCA EXAMINADORA 
 
 
____________________________________________ 
 
Prof. M. Sc. Luiz Marden Gomes Sobreira - (Estácio / Faculdade do Pará) – Orientador 
 
____________________________________________ 
 
Prof. _________________________________________ – (Estácio / Faculdade do Pará) 
 
 
 
 
3 
 
SUMÁRIO 
1 - INTRODUÇÃO ..................................................................................................... 04 
1.1 - PROBLEMA ...................................................................................................... 05 
1.2 - HIPÓTESE ........................................................................................................ 05 
1.3 - JUSTIFICATIVA ................................................................................................ 05 
1.4 - OBJETIVOS ...................................................................................................... 06 
1.4.1 - Objetivo Geral ................................................................................................ 06 
1.4.2 - Objetivos Específicos ..................................................................................... 06 
1.5 - FUNDAMENTAÇÕES TEÓRICA ...................................................................... 06 
1.6 - METODOLOGIA ............................................................................................... 08 
2 - ROUBO DE SENHAS E TÉCNICAS ................................................................... 09 
2.1 - Vírus .................................................................................................................. 09 
2.2 - Cavalo de Tróia ................................................................................................. 10 
2.3 - Worm ................................................................................................................. 11 
2.4 - Spyware ............................................................................................................ 12 
2.5 - Keyloggers ........................................................................................................ 13 
2.6 - SCAN ................................................................................................................ 13 
2.7 - Phishing ............................................................................................................ 14 
2.8 - Engenharia Social ............................................................................................. 15 
3 - PERÍCIA FORENSE COMPUTACIONAL ............................................................ 17 
3.1 Etapas do processo de Perícia ............................................................................ 18 
4 - ANTI-FORENSE .................................................................................................. 19 
5 - FERRAMENTA FORENSE .................................................................................. 20 
5.1 - EnCase ............................................................................................................. 20 
5.2 - Fastbloc ............................................................................................................. 20 
5.3 - F.R.E.D. – Forensic Recovery of Evidence Device ........................................... 20 
5.4 - MS-Diskedit ....................................................................................................... 21 
5.5 - FTK - Forensic Toolkit ....................................................................................... 21 
2.7 - requisitos de software ....................................................................................... 21 
6 - LEIS E PROJETOS DE LEI ................................................................................. 22 
2.7.2 - Banco de Dados ........................................................................................... 21 
3 - METODOLOGIA .................................................................................................. 21 
4 - ANÁLISE E DISCUSSÃO DOS RESULTADOS .................................................. 23 
4.1 - INSTALAÇÃO .................................................................................................... 23 
4.1.1 - Gerenciadores de Pacotes .......................................................................... 23 
4.1.2 - Compilação partir do código fonte ........................................................... 24 
4.2 - CONFIGURAÇÃO ............................................................................................ 24 
4.2.1 – Bacula-dir.conf ............................................................................................ 25 
4.2.2 – Bacula-sd.conf ............................................................................................. 28 
4.2.4 – Bacula-fd.conf ............................................................................................. 30 
4.3 - ADMINISTRAÇÃO ............................................................................................ 31 
4.4 - DESEMPENHO ................................................................................................. 31 
4.5 - SEGURANÇA ................................................................................................... 32 
4.6 - BACULA X OUTRAS FERRAMENTAS ............................................................. 32 
5 - CONCLUSÃO ...................................................................................................... 33 
6 - REFERÊNCIAS ................................................................................................... 33 
7 - APÊNDICES ........................................................................................................ 33 
8 - ANEXOS .............................................................................................................. 33 
4 
 
 
1. INTRODUÇÃO 
 
A falta de softwares específicos e procedimentos de segurança da informação 
em computadores pessoais e/ou pertencentes a empresas ajudam no aumento dos 
crimes digitais, pois facilitam a obtenção de senhas, números de contas, cartões e 
outras informações sigilosas. 
O criminoso consegue obter informações importantes das pessoas que 
utilizam computador com acesso a serviços disponíveis na Internet, através de 
programas como worm, keyloggers, e técnicas como scams, engenharia social, e 
outras ferramentas com código malicioso que são instaladas nos computadores das 
vítimas, que reflete o elo mais fraco numa transação financeira online, onde fazem 
parte também, a entidade financeira e o meio de transmissão das informações,que 
geralmente são mais seguros. 
Em vista disso torna-se importante utilizar-se de procedimentos forenses 
computacionais na obtenção de análise e evidências. 
 
5 
 
1.1. Problema 
 
Empresa X teve grande prejuízo financeiro, devido ter sido vitima de uma quadrilha 
organizada que fazem uso de falsificação de web sites (páginas falsas de bancos) com o 
intuito de obter credenciais e manipular contas correntes de clientes das instituições 
financeiras. 
Diante do contexto acima. Como levantar dados periciais para identificar e enquadrar 
esses criminosos. Já que, faltam leis especificas e pessoas qualificadas para atuarem no 
combate aos mesmos. 
 
 
1.2. Hipótese 
 
Estes procedimentos ajudarão na composição do cenário e linha de tempo de 
um crime envolvendo dispositivos eletrônicos. Com estes dados devidamente 
analisados em mãos, os culpados poderão ser apontados e levados à justiça. 
 
 
1.3. – Justificativa 
 
A realização desse projeto faz-se necessária principalmente por que no Brasil, 
faltam pessoas capacitadas para trabalhar nessa área, embora a demanda seja 
cada vez maior. 
A engenharia social e a inocência dos usuários trabalham em benefício dos 
criminosos que conseguem induzir um cliente a acessar uma página falsa do seu 
banco. 
A falta da existência de leis específicas para crimes virtuais, e o fato do 
invasor não estar fisicamente no local do crime, gera a sensação de anonimato, 
tornando os crimes virtuais cada vez mais comuns e elaborados. 
 
 
6 
 
1.4. Objetivo 
 
1.4.1- Objetivo Geral 
 
Desvendar esse crime através de procedimentos forenses computacionais, 
que possibilitarão a identificação e o enquadramento dos criminosos, já que as 
intuições legais estão com dificuldades de desvendarem esse tipo de crime, que 
cada vez mais aumenta no mundo, devido à falta de legislações especificas e mão 
de obra qualificada. 
 
1.4.2- Objetivo Especifico 
 
 Buscar evidências no sentido de se adequar as legislações vigentes, já 
que ainda não existe legislação especifica para tratar tais eventos. 
 
 Facilitar a identificação do invasor visando registrar dados periciais e, 
amparar-se as medidas legais a serem tomadas. 
 
 
1.5. Fundamentação Teórica 
 
Segundo Sandro Melo Pericia Forense computacional é o processo de 
utilização do conhecimento das técnicas e metodologias criadas na computação 
forense aplicada com o apoio de ferramental apropriado para obter dados e artefatos 
e tendo por objetivo qualificá-los como vestígio, evidências ou prova no âmbito 
judicial. 
 
Prof. Sandro Melo 
 
 A Computação Forense é um campo de pesquisa relativamente novo 
no mundo e está se desenvolvendo principalmente pela necessidade das instituições 
legais atuarem no combate aos crimes eletrônicos ou mesmo de instituições 
vitimadas buscarem dados periciais para de defenderem de possíveis crimes em 
meios eletrônicos. 
7 
 
 No Brasil, consta-se ainda com poucos pesquisadores na área e 
existem poucas normas estabelecidas, o que gera oportunidade para um grande 
numero de possibilidade de pesquisa. 
 O processo forense tem produzido, ao longo dos anos, resultados 
válidos e confiáveis decorrentes de procedimentos e protocolos detalhados, com 
documentação e revisão aceitas pela comunidade cientifica. 
 O uso de metodologia e de protocolos deve ser considerado na pratica 
de investigação para garantia de aceitação em uma corte judicial. Enfatiza-se, 
entretanto, que o foco desse trabalho vai alem e se aprofunda nas técnicas periciais 
e nos ferramentais disponíveis. 
 
 
Segundo Kevin Mitnicki a engenharia social usa a influência e a persuasão 
para enganar as pessoas e convencê-las de que o engenheiro social é alguém que 
na verdade ele não e, ou pela manipulação. Como resultado, o engenheiro social 
pode aproveitar-se das pessoas para obter as informações com ou sem o uso da 
tecnologia. 
 
Segundo Dan Farmer O enorme volume de informações facilmente 
capturadas a partir de interceptação de rede é tanto o melhor amigo do investigador 
como seu pior inimigo – às vezes você pode ter tudo, mas o que fazer com isso 
tudo? 
 
De acordo com o projeto de lei 9296/2003 é crime uma pessoa interceptar ou 
apenas monitorar tráfego de comunicação de outra pessoa sem possuir uma 
autorização judicial. 
Muitos fraudadores poderiam ser enquadrados nesse artigo, pois para 
conseguirem obter senhas e/ou outras informações confidenciais da vítima, ele 
precisará interceptar ou monitorar o tráfego de Internet para roubar as informações 
quando a vítima digitar ou enviar para outra pessoa uma mensagem de email. 
O acesso às informações pessoais da vítima, seja descobrindo sua senha 
para acessar seus e-mails, invadindo servidores para busca de informações pessoas 
de uma pessoa ou um grupo, ou apenas com a intenção de analisar o tráfego em 
8 
 
uma rede privada, com o auxílio de ferramentas de monitoração de tráfego de rede, 
pode ser classificado como infração do artigo em questão, pois em um tráfego de 
uma rede provavelmente terão muitos dados privados ou até secretos, como 
senhas. 
 
1.6. Metodologia 
 
Procura-se adaptar leis do mundo real para solucionar casos do mundo 
virtual. A justiça não acompanhou a evolução da tecnologia e, portanto, a lei não 
contempla muitos aspectos do comportamento dos usuários desse novo mundo que, 
sem regras pactuadas de convivência, abre espaço para atividades ilícitas no mundo 
real. 
 Devido à dispersão de documentação e legislação insipiente desse 
segmento, a sistematização do conhecimento constitui, talvez, a maior contribuição 
desse trabalho. Define-se, então, a metodologia seguida. 
 Pesquisa em literaturas de origem acadêmica (teses e publicações 
técnicas ou artigos) e livros. 
 Criação de cenários para realização de provas de conceitos de 
vulnerabilidade. 
 Avaliar resultados obtidos de forma qualitativa. Essa etapa é 
fundamental para classificar técnicas e ferramentas. 
 
 
9 
 
2. ROUBO DE SENHAS E TÉCNICAS 
 
Utilizando-se da técnica de engenharia social, o fraudador consegue obter 
informações importantes de contas, números de cartões e até mesmo senhas de 
pessoas através de programas como vírus, spyware, keylogger, scam, phishing e 
outras ferramentas com código malicioso. De posse das informações necessárias 
ele realiza o ataque desviando dinheiro da conta corrente da vítima. 
Abaixo seguem exemplos de alguns códigos maliciosos utilizados pelos 
fraudadores para obtenção das informações sigilosas em ordem cronológica de 
surgimento: 
 
 
 
2.1. Vírus 
 
Trata-se de programas feitos por programadores de má índole, que têm como 
objetivo principal causar danos aos dados do computador, e como segundo objetivo, 
propagar-se para outros computadores, tudo isso sem que o usuário perceba. Um 
vírus de computador é um programa escrito com o objetivo de alterar a forma como 
um computador opera, sem a permissão ou o conhecimento do usuário. 
A definição mais correta de vírus é a que diz que Vírus é todo programa de 
computador que funciona como parasita, infectando os arquivos que existem em um 
computador. O vírus possui as seguintes características: 
 É auto-executável: Geralmente, coloca seu código no caminho de 
execução de outro programa. 
 Duplica a si próprio: Utiliza-se da rede para se multiplicar através de e-
mails ou recursos compartilhados. 
Quando uma mensagem infectada com um vírus, é recebida por um servidor 
de e-mails, que possui algum antivírus, uma mensagem é enviada com um alerta de 
vírus para o remetente. No entanto, como o remetente foi forjado, a pessoa que 
recebe esse alerta não foi quem realmente enviou o vírus. 
Com isso, esta passa a ter uma preocupação grande por pensar que seu 
computador está infectado e com isso irá procurar atualizar ou instalar um antivírus, 
10 
 
procurar por vestígios de infecção, etc, gerando assimperda de tempo e 
produtividade. 
Os computadores infectados por vírus possuem, na grande maioria, o sistema 
operacional Windows, da Microsoft, por ser o mais usado atualmente pela população 
e por possuir maior número de vulnerabilidades expostas e divulgadas com 
freqüência. Há vírus para outras plataformas como Macintosh e baseados em Linux 
mas além de raros, possuem limitações nos estragos causados. Os métodos de 
infecção por vírus são vários, desde disquetes, rede local, programas de 
compartilhamento de arquivos, execução de programas contaminados, recebidos 
através de e-mails, entre outros. 
O vírus muitas vezes coloca uma falsa extensão no arquivo para esconder a 
verdadeira extensão e fazer com que o destinatário pense que se trata de um 
arquivo inofensivo, encorajando-o a abri-lo. 
Outro motivo que leva o destinatário a executar o arquivo é a confiança de 
que realmente foi recebido de uma pessoa conhecida, pois o nome dessa pessoa 
pode constar no campo de remetente, e muitas vezes também porque o conteúdo do 
assunto coincide com o que é habitualmente tratado com o destinatário. 
Os vírus estão mais inteligentes e com isso além de forjarem o remetente, 
ainda retiram trechos de textos de e-mails já enviados ou recebidos e que podem 
coincidir com algum assunto já tratado entre o destinatário e o remetente, fazendo 
com que a mensagem pareça legítima e vinda da pessoa de nome forjado. 
No entanto não é só por e-mail que um vírus pode aparecer. Algumas falhas 
de segurança dos sistemas operacionais ou de outros programas instalados na 
máquina podem permitir que determinados vírus entrem na máquina sem que o 
usuário possa resolver executar ou não o arquivo contaminado. 
 
 
2.2. Cavalo de tróia 
 
É um tipo de praga digital que, basicamente, permitem acesso remoto ao 
computador após a infecção. Os cavalos-de-tróia podem ter outras funcionalidades, 
como captura de dados do usuário e execução de instruções presentes em scripts. 
Entre tais instruções, pode haver ordens para apagar arquivos, destruir aplicativos, 
11 
 
entre outros. Um vírus de computador não se espalha pelo ar ou contato físico, 
como o biológico. O próprio usuário ou terceiros o introduzem no sistema através de 
um “Cavalo de Tróia” - um programa que parece fazer uma coisa, mas na realidade 
faz outra. Na maior parte dos casos, o vetor de contaminação é um disco flexível. O 
vírus entra no sistema operacional ou discos do equipamento. Nos alvos principais 
que são os HD, sua permanência é mais prolongada e danosa. Um sistema 
operacional popular é mais vulnerável, correndo o risco de ser corrompido e 
adulterado por programas de vírus. 
Dependendo de outras características, essa praga pode permitir que o 
computador seja acessado remotamente pelo atacante. Além disso, pode possuir 
outras funções como capturar dados, parar a execução do antivírus e de outros 
programas relacionados à segurança, apagar arquivos ou modificá-los, atacar outros 
servidores, entre outras. 
Como se não bastasse ele ainda possibilita a abertura de portas de 
comunicação do computador para que outras pessoas possam invadi-lo ou ainda 
enviar vírus e outros programas mal intencionados. Com isso, a máquina se torna 
uma presa fácil para hackers invadirem e realizarem outros estragos que desejarem 
tais como, formatá-la, apagar seus arquivos de dados, etc. A infecção por um cavalo 
de tróia é possível através da instalação de outros programas considerados 
inofensivos como, por exemplo, jogos, utilitários, programas de computador gratuitos 
ou, na maior parte das vezes, através de scam (e-mails falsos que fingem ter como 
remetentes bancos, receita federal, serasa, etc) (BRADESCO, p.03). 
Aliás, esse método de infecção através de scam é usado exclusivamente pelo 
cavalo de tróia, o que o diferencia dos spywares que não utilizam esse método. 
 
 
2.3. Worm 
 
Os worms (vermes) podem ser interpretados como um tipo de vírus mais 
inteligente que os demais. A principal diferença entre eles está na forma de 
propagação. Os worms podem se propagar rapidamente para outros computadores, 
seja pela Internet, seja por meio de uma rede local. Geralmente, a contaminação 
ocorre de maneira discreta e o usuário só nota o problema quando o computador 
12 
 
apresenta alguma anormalidade. O que faz destes vírus inteligentes é a gama de 
possibilidades de propagação. O worm pode capturar endereços de e-mail em 
arquivos do usuário, usar serviços de SMTP (sistema de envio de e-mails) próprios 
ou qualquer outro meio que permita a contaminação de computadores (normalmente 
milhares) em pouco tempo. Ou sja, worms ou vermes são programas que se 
duplicam, passando de um sistema a outro, sem o uso de um arquivo hospedeiro. 
O worm I-Love-You, ou LoveLetter, casou a uma epidemia mundial. Os vírus 
de Macro e Boot ficavam com vergonha perto dele. Porém, não era a qualidade de 
programação. O I-Love-You foi feito em uma linguagem simples chamada 
VisualBasic Script. Muitos programadores a conhecem. Ao contrário do que 
acontecia antigamente, não havia nada que espantasse alguém. Havia, sim, um tipo 
de problema novo. Mas não era complexo. Como nunca, fazer vírus era algo 
simples. Ferramentas para criar vírus e worms foram criadas. Qualquer um fazia 
seus bichinhos, muitas vezes para infectar um amigo. Nem o Blaster e o Sasser, que 
também são Worms, representam algo de novo. Há anos certas pessoas invadem 
computadores usando falhas no sistema. 
Automatizar o processo é fácil, principalmente quando os outros já fizeram a 
parte difícil para você. 
 
 
2.4. Spyware 
 
São programas espiões, isto é, sua função é coletar informações sobre uma 
ou mais atividades realizadas em um computador. Todavia, isto não significa que 
eles sejam em sua totalidade programas maus. Existem sim, muitos spywares de má 
índole, criados para coletar informações pessoais e, com elas, praticar atividades 
ilegais. Entretanto, nem todos são assim. Por exemplo: existem empresas de 
anúncio que se utilizam de spywares para, de forma legal, coletar informações de 
seus assinantes, com vistas a selecionar o tipo de anúncio que irão lhes apresentar. 
Já que nem todos os spywares são maus, você pode se perguntar: “como vou 
poder saber se um spyware é bom ou mau?”. O fato é que não existe um filtro, ou 
seja, um modo de saber qual spyware é bom e qual é mau. O critério que você deve 
adotar para se proteger é SEMPRE DESCONFIAR. Um spyware não-prejudicial só 
13 
 
será instalado mediante a autorização do usuário. Um spyware maligno, porém, irá 
se instalar sem que o usuário perceba. 
Para evitar esse tipo de ameaça, existem os programas anti-spyware, que 
possuem bancos de dados completos e constantemente atualizados. A partir da 
comparação de faixas de código entre os spywares conhecidos e os aplicativos do 
seu computador, será possível detectar se seu computador está ou não sendo 
espionado. 
 
 
2.5. Keyloggers 
 
É um programa de computador cuja finalidade é monitorar tudo o que é 
digitado. Muitas vezes esses programas são utilizados com objetivos ilícitos, através 
de spywares, "trojan horses", entre outros. Alguns casos de phishing, assim como 
outros tipos de fraudes virtuais, se baseiam no uso de algum tipo de Keylogger, 
instalado no computador sem o conhecimento da vítima, que captura dados 
sensíveis e os envia a um cracker, que posteriormente irá utilizá-los com finalidades 
fraudulentas. Existem softwares apropriados para se defender deste tipo de 
ameaça. 
É sempre oportuno que todo computador conectado à internet esteja 
protegido por um software "Anti-Spyware", um "Firewall" e um "Antivírus". Os 
Keylogger na maioria das vezes se infiltram no computador da vítima através de e-
mails e links falsos. Geralmente, a pessoa só nota que o Keylogger foi instalado 
depois que o cracker responsável pelo mesmo já tenha entrado no sistemaatravés 
das senhas capturadas. 
 
 
2.6. SCAM 
 
É o método atual mais utilizado para fraudes em Internet Banking no Brasil 
(LAU; SANCHEZ, 2006, p.03). São e-mails indesejáveis, assim como o spam, no 
entanto não chegam apenas com a intenção de vender algum produto, e sim 
carregam com eles arquivos com cavalos de tróia na tentativa de roubar senhas ou 
http://www.oficinadanet.com.br/artigo/1206/o_que_e_um_keylogger
http://www.oficinadanet.com.br/artigo/1206/o_que_e_um_keylogger
http://www.oficinadanet.com.br/artigo/1206/o_que_e_um_keylogger
14 
 
outras informações sigilosas e confidenciais. Inicialmente, criados em 2002, traziam 
texto forjando ser de uma instituição financeira, e assim, induzindo e tentando 
convencer a vítima ao acesso, contando com a credibilidade da instituição. 
Posteriormente passaram a não utilizar somente nomes de instituições financeiras e 
sim várias outras entidades que poderiam levar a vítima a acessar o site apostando 
na curiosidade ou preocupação, dependendo do argumento utilizado (LAU, 2004, 
p.11). 
 O golpe busca atingir a vítima, através da instalação acidental de um 
programa existente no link forjado. A partir da instalação deste agente, os dados são 
coletados no computador infectado por meio de digitação ou ações realizadas a 
partir do mouse. Estes programas também são conhecidos como cavalos de tróia. 
 O processo de captura de credenciais pode ser imperceptível a vitima, ou se 
apresentar na forma de uma tela sobreposta sobre os aplicativos do computador, 
induzindo a vítima a colaborar voluntariamente com o fornecimento de dados 
pessoais. 
 “Em geral, os dados capturados são enviados ao fraudador por meio de 
protocolos de transferência de arquivos (ftp - file transfer protocol), ou protocolos de 
envio de mensagens (smtp – simple mail transfer protocol)”, segundo Lau e Sanchez 
(2006, p.02). 
 
 
 
2.7. Phishing 
 
Também conhecido como "brand spoofing" (falsificação de marca), é uma 
forma elaborada de roubo de dados, cujo objetivo são possíveis clientes de 
empresas ISP (Provedor de serviços de Internet), bancos, serviços bancários on-
line, órgãos públicos etc. 
Ao enviar seu endereço de e-mail pela Internet, preencher formulários on-line, 
acessar grupos de notícias ou sites, seus dados podem ser roubados por 
rastreadores da Internet e usados sem sua permissão para cometer fraudes e outros 
crimes. 
15 
 
Muitas pessoas podem ser enganadas com esses e-mails, pois além de 
parecerem realmente idôneos, as pessoas não se atentam muito aos detalhes e 
muitas vezes, distraídas, pensam tratar-se de um e-mail legítimo. 
O site que o usuário acessa, a partir do e-mail de phishing pode muitas vezes 
possuir o cadeado indicando segurança no canto inferior direito, o que leva a vítima 
a acreditar que realmente está realizando uma conexão segura. “Os dados 
capturados são enviados ao fraudador por meio dos protocolos de hipertexto (http – 
hyper text transfer protocol)”, segundo Lau e Sanchez (2006, p.03). 
 Analisando os códigos maliciosos apresentados, é nítida a evolução ocorrida 
ao longo do tempo, desde os vírus que chegavam as caixas de correios com nomes 
estranhos e, portanto de fácil detecção para as pessoas com um pouco mais de 
conhecimento na área de informática, e hoje os phishings e scams se tornaram um 
método mais eficaz, pois confundem e enganam até profissionais da área, pois 
buscam assuntos atuais e de interesse da vítima. 
 
 
2.8. Engenharia Social 
 
A curiosidade é o que leva a vítima a acessar, na maioria das vezes, um site 
contido dentro de um scam. Os fraudadores no Brasil procuram conteúdos atuais, 
apelativos, como sexo ou nudez, preocupantes como nome no Serasa ou débito em 
lojas para que a vítima não questione se o conteúdo é muito estranho e não hesite 
em abrir. 
A engenharia social usa a influência e a persuasão para enganar as pessoas 
e convencê-las de que o engenheiro social é alguém que na verdade ele não e, ou 
pela manipulação. Como resultado, o engenheiro social pode aproveitar-se das 
pessoas para obter as informações com ou sem o uso da tecnologia. Segundo Kevin 
Mitnicki (2003, p.06) 
O sucesso da engenharia social na área de informática se dá também pelo 
fato de que muitas pessoas que hoje tem acesso a computadores e Internet, ainda 
não têm conhecimentos mínimos sobre segurança no meio digital e não tem a 
consciência de que é um meio altamente inseguro. Pensa-se muito na falta de 
segurança para utilizar um caixa eletrônico do banco, por ser um acesso físico, mas 
16 
 
ainda não possuem conhecimento adequado para saber o real perigo de acesso 
confidencial em máquinas inseguras. Decorrente disso, essas pessoas nem sempre 
estão tão protegidas contra golpes virtuais quanto golpes reais e por isso não 
acreditam que uma mensagem aparentemente inocente possa causar tanto mal. 
Com o uso de rootkits, o executável padrão no sistema operacional pode ser 
substituído por outros que realizam a tarefa esperada, mas não é confiável, por 
exemplo, se o comando DIR foi substituído, quando o dono do computador executa 
esse comando pode ser listado tudo menos algum arquivo que identifique ser um 
cavalo de tróia, ou ao executar um netstat são mostradas apenas as conexões que 
não identifiquem um backdoor. 
 Esse conjunto de ferramentas pode auxiliar o fraudador a manter acesso ao 
sistema invadido sem necessitar executar os mesmos passos para o primeiro 
ataque, ou seja, após ter conseguido o ataque, essas ferramentas deixarão o 
sistema com portas de comunicação abertas ou com configuração previamente 
facilitada, permitindo ao fraudador ter acesso novamente, sem maiores dificuldades 
que possam ter sido encontradas no primeiro ataque. 
 
2.9. Esteganografia 
 
2.10. FERRAMENTAS 
17 
 
3. PERÍCIA FORENSE COMPUTACIONAL 
 
A tecnologia dos computadores está envolvida em um número crescente de 
atividades ilícitas, como por exemplo, a utilização de Internet para servir de cenário, 
onde fraudadores conseguem fazer roubos ou enviar uma ameaça anônima ou 
somente na tentativa de disseminar um vírus para captação de dados ou não, contra 
uma rede de computadores vulnerável. 
Os computadores podem conter evidências relacionadas a qualquer tipo de 
atividade ilícita, incluindo homicídio, estupro, armazenagem de uma operação de 
lavagem de dinheiro e registros financeiros falsos. 
Mas para trabalhar com forense computacional é bom ter, não somente, uma 
visão superficial e sim uma visão mais profunda das armas reais e das armas 
hipotéticas possíveis, permitindo supor o que pode ter acontecido estar acontecendo 
ou vir a acontecer. Pode-se ter um melhor entendimento do poder do agressor se 
puder comparar e entender o que ele fez com uma determinada arma e o que ele 
poderia ter feito, principalmente se for necessário saber como ele age, como pode 
agir, como ele é, quem ele é, onde ele está e, mais ainda, como pegá-lo. 
Os estudos de casos reais dão uma visão real do lado prático e excitante da 
ação em si. É extensa a gama de aplicações das técnicas de forense computacional 
na resposta a incidentes na Internet. Essas técnicas são elementos que estão em 
constantes mudanças. 
 
18 
 
3.1. Etapas do processo de Perícia 
 
Identificação 
 Identificar o objeto do exame. 
 Selecionar as evidências a serem periciadas para ganhar tempo, ir 
direto ao que é importante, focar no necessário. 
 
Coleta 
 Mapeamento do que foi coletado, os atores envolvidos, datas. 
 Adequada manipulação dos vestígios (evidências). 
 Chegar íntegro ao destino com todas as identificações. 
 Proteger. 
 
Preservação das evidências 
 Realizar cópia, não trabalhar em cima da original. 
 Utilizar tecnologias para ganhar tempo. 
 
Análise 
 Aqui entra o conhecimento do perito. 
 Etapa mais demorada, onde se valerá do uso de softwares, inclusive 
softwares livres. 
 Às vezes é solicitadauma análise para apurar certo crime e na 
investigação é encontrado outro. 
 
Apresentação 
 É o relatório, o laudo do perito do que foi encontrado na análise. 
 O destinatário é pessoa leiga, traduzir a linguagem técnica para que 
todos possam compreender o que foi feito. 
 Utilizar análise gráfica, visual, para facilitar a compreensão. 
 Objetivos: materialidade do crime, dinâmica (como foi feito) e autoria. 
 Apresentação padronizada. 
3.2. 
19 
 
4. ANTI-FORENSE 
 
Em uma estação de trabalho, um invasor pode obter informações sigilosas 
contendo todo o perfil de quem o utiliza. Podem descobrir os sites que navega, a 
que horário, documentos sigilosos, projetos, etc. Um indivíduo interessado nessas 
informações, pode facilmente ter acesso vasculhando os HD's (Disco rígido) de 
estações de trabalho. A cada dia, pessoas vêm usando de técnicas forenses, 
avançadas ou não, para recuperar dados apagados. É necessária a utilização de 
alguns métodos para tornar impossível ou mais difícil o trabalho de quem quer ter 
acesso a conteúdos confidenciais. 
Existem atualmente ferramentas e técnicas que podem ser utilizadas pelos 
fraudadores mais experientes para inibir o trabalho do perito ou até mesmo destruir 
por completo as possíveis provas. São conhecidos como métodos anti-forense e 
estão melhores discutidos no decorrer deste capítulo (WENDEL, p.02). 
Atualmente a técnica anti-forense que já foi encontrada sendo utilizada pelos 
fraudadores é a criptografia, entre tanto existe outras técnicas usadas, tais como: 
Rootkits, Esteganografia, Ferramentas wipe, dentre outras, mas podem ser métodos 
fortemente adquiridos para uso num futuro próximo, pois assim como as técnicas 
para aumento de segurança estão sofrendo avanços, os fraudadores também têm 
que buscar inovações. Além disso, talvez hoje os fraudadores não precisem de 
muita técnica para despistar o perito, pois as dificuldades para descoberta da autoria 
do crime, devido à falta de arquivos de registros pelos provedores e de leis 
específicas ainda trazem certo conforto e um sentimento de impunidade. 
 
4.1. 
 
 
20 
 
5. FERRAMENTA FORENSE 
 
O profissional deve possuir conhecimentos técnicos e procedimentos para a 
realização do trabalho, protegendo as provas de incidentes, gravações acidentais, 
destruição, transporte e armazenamento inseguro, e para não precisar tomar uma 
decisão importante durante esse processo. 
Deve possuir também conhecimentos sobre as leis vigentes e importantes 
para a realização desse trabalho que precisa seguir um padrão para que as provas 
obtidas sejam válidas perante a lei. 
Abaixo segue uma breve descrição de algumas ferramentas utilizadas por 
peritos para obtenção de evidências em uma fraude: 
 
 
5.1. EnCase 
 
É um sistema integrado de análise forense baseado no ambiente Windows. 
Ele é muito utilizado por profissionais da segurança de computadores, policiais e 
órgãos do governo em todo o mundo. O processo utilizado pelo EnCase começa, 
basicamente, com a aquisição das imagens dos discos rígidos relacionados ao caso 
investigado. Depois da criação das imagens, chamadas de Evidence Files, pode-se 
adicioná-las a um único caso e conduzir a análise em todas elas simultaneamente. 
Os arquivos visualizados apresentas status indicando se estão acessíveis ou 
se foram deletados e sua condição para ser recuperado. 
Sendo possível também analisar arquivos de e-mails e suas particularidades 
tais como, cabeçalhos, anexos e seu conteúdo em si, além de históricos de páginas 
acessadas na internet, suportando vários navegadores. 
 
 
5.2. Fastbloc 
 
O Fastbloc é um produto da Guidance, mas é um hardware. Permite 
duplicação de discos rígidos IDE/SCSI, permite a realização não invasiva em 
ambiente Windows, de criação de arquivo de prova ou de mídia de destino. 
21 
 
 
5.3. F.R.E.D. – Forensic Recovery of Evidence Device 
 
É uma estação perícia produzida pela Digital Inteligência, Inc. 
(http://www.digitalintelligence.com), para aquisição e análise de evidência em 
computadores. Possui recursos não encontrados em estações padrão de mercado e 
configuração bastante flexíveis. Pode-se ter: disco flexível de 3 ½ e 5 ¼ , drives de 
ZIP, JAZ e DITTO, discos IDE, SATA e SCSI, etc. Também possui bloqueadores de 
escrita por hardware. Há estações deste a básica e DataCenters. 
 
 
5.4. MS-Diskedit 
 
Ferramenta acidentalmente inclusa no SP4 do Windows NT 4.0. 
Aparentemente era uma ferramenta de depuração interna, usada pelos 
desenvolvedores do NTFS. O importante é que ela pode acessar o disco em baixo 
nível (hexadeci-mal); e entende a estrutura da MFT, interpretando e exibindo o 
conteúdo dos registros de forma organi-zada e legível. O DiskEdit pode ser obtido 
através do seguinte endereço: http://www.informatik.fh-hamburg.de/pub/nt-
service/sp4en-ex/i386/diskedit.exe. 
 
 
5.5. FTK (Forensic Toolkit) 
 
É reconhecido em todo o mundo como um conjunto de ferramentas de 
tecnologia de computador de investigação forense. Conhecido por sua interface 
intuitiva, análise de e-mail, exibições de dados personalizáveis e estabilidade, FTK 
ampliou seu quadro de expansão, com uma gama de funcionalidades que, 
normalmente, apenas as organizações com dezenas de milhares de dólares podem 
pagar. 
 
5.6. 
 
http://www.informatik.fh-hamburg.de/pub/nt-service/sp4en-ex/i386/diskedit.exe
http://www.informatik.fh-hamburg.de/pub/nt-service/sp4en-ex/i386/diskedit.exe
22 
 
6. LEIS E PROJETOS DE LEIS 
 
Muitas vezes é difícil o enquadramento da conduta criminosa, muitas vezes 
pela inexistência de leis que tratam do assunto e/ou pela falta de previsão em 
nossos códigos. Com toda a conduta criminosa deve ser punida, sob pena de dar a 
impressão de que compensa, a grande maioria dessas condutas está capitulada no 
Código Penal Brasileiro, no Estatuto da Criança e do Adolescente, na Lei do 
Software, etc. 
Abaixo estão relacionadas algumas leis utilizadas para punir os criminosos 
digitais: 
 
Lei nº 9296: é crime uma pessoa interceptar ou apenas monitorar tráfego de 
comunicação de outra pessoa sem possuir uma autorização judicial. 
“Art.10. Constitui crime realizar interceptação de comunicações telefônicas, de 
informática ou telemática, ou quebrar segredo da Justiça, sem autorização judicial 
ou com objetivos não autorizados em lei” (L9296/96). 
Muitos fraudadores poderiam ser enquadrados nesse artigo, pois para 
conseguirem obter senhas e/ou outras informações confidenciais da vítima, ele 
precisará interceptar ou monitorar o tráfego de Internet para roubar as informações 
quando a vítima digitar ou enviar para outra pessoa. 
 
Lei nº 2848 no artigo 153 do CPB: Violação de segredo – “Divulgar alguém, 
sem justa causa, conteúdo de documento particular ou de correspondência 
confidencial, de que é destinatário ou detentor, e cuja divulgação possa produzir 
danos a outrem”. 
Quando um fraudador obtém, de forma ilícita, os dados e a senha da vítima e 
realiza um desvio de dinheiro de contas bancárias, está cometendo um delito que 
pode ser classificado nesse artigo, pois se trata de um furto. 
Se houver destruição ou rompimento de obstáculo para o roubo da 
informação, ou se a vítima de alguma maneira facilitar o acesso às informações 
devido à confiança que tem no ladrão, ou quando o roubo é feito mediante tentativa 
de enganar a vítima são várias maneiras de conseguir o sucesso no furto e pode 
gerar uma ação judicial baseada neste artigo. 
23 
 
 
Lei nº 2848 (1940) no artigo 163 “Destruir, inutilizar ou deteriorar coisa 
alheia”: 
É exemplos dessa conduta a destruição de sites, propagação de vírus. 
Não apenas vírus, mas outros códigos maliciosos como spywares, cavalos de 
tróia, worms, keyloggers, ou alterações em arquivos do sistema operacional podem 
destruir o computador da vítima. 
 
Lei nº 2848 (1940) no artigo 307 “Atribuir-se ou atribuir a terceiro falsaidentidade para obter vantagem, em proveito próprio ou alheio, ou para causar dano 
a outrem". 
Quando um fraudador obtém a senha de alguma pessoa e a utiliza se fazendo 
passar pela pessoa, dona da senha, ele está realizando um crime, previsto nesse 
artigo, pois fingir ser uma pessoa é se atribuir de falsa identidade. 
 
Lei nº 2848 (1940) no artigo 288 “Associarem-se mais de três pessoas, em 
quadrilha ou bando, para o fim de cometer crimes". 
 O crime de quadrilha ou bando configura-se quando mais de três pessoas, ou 
seja, no mínimo quatro pessoas, se organizam para a prática do crime. 
 Se quatro ou mais pessoas se unem para a prática de um crime de 
informática, por exemplo, o desvio de dinheiro de várias contas em um banco, todos 
podem ser enquadrados com base neste artigo, pois se trata de uma união estável 
de quatro pessoas com o mesmo propósito, de cometer aquele crime juntos. 
 
Projeto de Lei nº 89, de 2003 (antigo 84/99), do deputado Luiz Piauhylino 
(PSDB-PE). 
 "O projeto, que hoje está na Comissão de Educação do Senado Federal para 
apreciação, caracteriza como crime os ataques praticados por hackers e crackers, 
em especial as alterações de home-pages e a utilização indevida de senhas" 
(PL89/03). 
Este Projeto de Lei prevê mudanças no Decreto de Lei nº 2848 e pode ser o 
primeiro Projeto a tornar-se Lei, tipificando os crimes de informática no Código 
24 
 
Penal, pois define vários tipos de crimes cometidos atualmente no ambiente Internet, 
dentre eles: 
 
• Acesso indevido a meio eletrônico; 
• Manipulação indevida de informação eletrônica; 
• Difusão de vírus eletrônico; 
• Pornografia infantil; 
• Atentado contra a segurança de serviço de utilidade pública; 
• Interrupção ou perturbação de serviço telegráfico ou telefônico; 
• Falsificação de cartão de crédito; 
• Falsificação de telefone celular ou meio de acesso a sistema eletrônico 
 
 
Artigo 154 do CPB: Violação de segredo profissional – “Revelar alguém, sem 
justa causa, segredo, de que tem ciência em razão de função, ministério, ofício ou 
profissão, e cuja revelação possa produzir dano a outrem”. Note-se que a ação deve 
ser praticada por quem possua vínculo profissional com a empresa. 
 
 
 
 
 
 
6.1. 
6.2. 
25 
 
7. ANÁLISE E DISCUSSÃO DOS RESULTADOS 
 
Nesta análise será mostrado um caso de uma suposta vítima de Engenharia 
Social, que ao abrir seu e-mail se deparou com uma mensagem de seu suposto 
banco solicitando um recadastramento de clientes. Não ciente do perigo da 
mensagem, acaba sendo mais uma vítima de fraude bancária. 
Após a análise de um extrato bancário de sua conta, detectou uma 
transferência financeira para uma conta que não conhece. 
 
Solicitação de credenciais 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Código criptografado 
 
Analisamos o código fonte onde podemos perceber que o mesmo estava 
criptografado, dificultando a interpretação de terceiros, garantindo assim o sigilo e a 
integridade dos dados. O que evidencia que o seu criador estaria mal intencionado. 
 
 
26 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Usamos um serviço gratuito na internet chamado “DOMAIN DOSSIER” 
(Investiga domínios e endereços IP), que fornece informações de extrema 
importância para pericia, dentre as informações obtidas encontramos quais 
protocolos estão ativos no site (FTP, SMTP, HTTP, POP3, IMAP), qual o IP que está 
vinculado, serviço Traceroute. 
Também usamos o serviço IP-ADDRESS.COM, onde é fornecido a 
localização geográfica do site. 
 
 
 
 
 
 
Analisando o site com o DOMAIN DOSSIER 
 
Após análise com o DOMAIN DOSSIER constatou-se que o site em questão 
estava sendo direcionado para o IP 195.95.205.110. E através do serviço de 
27 
 
rastreamento de IP pelo site IP-ADDRESS.COM constatou-se sua localização, o 
qual encontrava-se hospedado em um servidor na Slovakia. 
Também constatou-se que este site estava vinculado ao seguinte link 
www.bancodobrasil23.host.sk, diferente do link original que é 
http://www.bb.com.br/portalbb/home23,116,116,1,1,1,1.bb 
 
 
 
http://www.bancodobrasil23.host.sk/
http://www.bb.com.br/portalbb/home23,116,116,1,1,1,1.bb
28 
 
 
 
 
29 
 
 
IP-ADDRESS 
 
http://www.bancodobrasil23.host.sk 
 
 
 
 
IP-ADDRESS 
 
www.bb.com.br/portalbb/home23,116,116,1,1,1,1.bb 
 
http://www.bancodobrasil23.host.sk/
http://www.bancodobrasil23.host.sk/
http://www.bancodobrasil23.host.sk/
http://www.bb.com.br/portalbb/home23,116,116,1,1,1,1.bb
30 
 
 
 
 
 
O processo Pericial executado utilizou uma combinação de serviços, o que 
facilitou a identificação de uma possível pista do autor da fraude. 
Ao ser detectado o endereço IP é possível iniciar uma nova investigação, 
sendo que esse é um ponto de partida para a descoberta da autoria do crime. 
Devido a não existência de uma lei específica obrigando os provedores de 
Internet a manterem um registro detalhado de todos os acessos e conexões 
realizadas e também ser necessário uma requisição de um mandado judicial, há um 
significativo prejuízo nas investigações realizadas, já que não temos autonomia para 
a conclusão das investigações, o que está no âmbito das instituições legais. 
 
CONCLUSÃO 
 
 
A necessidade de procedimentos de resposta a incidentes de Segurança 
Computacional instiga a Forense Computacional. 
No mundo digital em que vivemos, a Perícia Forense Computacional é uma 
área em franca ascensão. À medida que novas fronteiras são abertas e a 
humanidade encontra-se ameaçada, novas ferramentas ocupam o espaço dos 
métodos tradicionais, se esses últimos se tornam incapazes de gerar resultados 
esperados na solução de incidentes. 
31 
 
 
 
 
 
7.1. 
7.2. 
7.3. 
7.4. 
 
32 
 
33 
 
 
Referencia: http://www.prodepa.gov.br/index.php?q=aempresa acessado em 12/05/2010. 
 
 
 
 
 
 
 
 
 
 
 
 
http://row.avira.com/pt-br/threats/what_is_phishing.html 
 
 
[57] Consulta Tramitação das Proposições – PL6024/05. Projeto de Lei nº 6024, de 
2005. Câmara dos Deputados. Disponível em: 
<http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=302629> Acessado em 
08/08/2006 
http://www.prodepa.gov.br/index.php?q=aempresa