Prévia do material em texto
0 ESTÁCIO / FACULDADE DO PARÁ CURSO SUPERIOR EM TECNOLOGIA EM REDES DE COMPUTADORES ALEXANDRE COSTA DE SOUZA PERICIA FORENSE COMPUTACIONAL – MIGRAÇÃO DO CRIME REAL PARA O CRIME VIRTUAL BELÉM 2010 1 ALEXANDRE COSTA DE SOUZA PERICIA FORENSE COMPUTACIONAL – MIGRAÇÃO DO CRIME REAL PARA O CRIME VIRTUAL Trabalho apresentado como requisito parcial para Disciplina Projeto Integrado Outsourcing do Curso Tecnólogo em Redes de Computadores. BELÉM 2010 2 PERICIA FORENSE COMPUTACIONAL – MIGRAÇÃO DO CRIME REAL PARA O CRIME VIRTUAL ALEXANDRE COSTA DE SOUZA Este projeto integrador outsourcing foi julgado adequado como requisito parcial para a Disciplina Projeto Integrado Outsourcing do Curso Tecnólogo em Redes de Computadores. . Belém, 24 de Novembro de 2010. BANCA EXAMINADORA ____________________________________________ Prof. M. Sc. Luiz Marden Gomes Sobreira - (Estácio / Faculdade do Pará) – Orientador ____________________________________________ Prof. _________________________________________ – (Estácio / Faculdade do Pará) 3 SUMÁRIO 1 - INTRODUÇÃO ..................................................................................................... 04 1.1 - PROBLEMA ...................................................................................................... 05 1.2 - HIPÓTESE ........................................................................................................ 05 1.3 - JUSTIFICATIVA ................................................................................................ 05 1.4 - OBJETIVOS ...................................................................................................... 06 1.4.1 - Objetivo Geral ................................................................................................ 06 1.4.2 - Objetivos Específicos ..................................................................................... 06 1.5 - FUNDAMENTAÇÕES TEÓRICA ...................................................................... 06 1.6 - METODOLOGIA ............................................................................................... 08 2 - ROUBO DE SENHAS E TÉCNICAS ................................................................... 09 2.1 - Vírus .................................................................................................................. 09 2.2 - Cavalo de Tróia ................................................................................................. 10 2.3 - Worm ................................................................................................................. 11 2.4 - Spyware ............................................................................................................ 12 2.5 - Keyloggers ........................................................................................................ 13 2.6 - SCAN ................................................................................................................ 13 2.7 - Phishing ............................................................................................................ 14 2.8 - Engenharia Social ............................................................................................. 15 3 - PERÍCIA FORENSE COMPUTACIONAL ............................................................ 17 3.1 Etapas do processo de Perícia ............................................................................ 18 4 - ANTI-FORENSE .................................................................................................. 19 5 - FERRAMENTA FORENSE .................................................................................. 20 5.1 - EnCase ............................................................................................................. 20 5.2 - Fastbloc ............................................................................................................. 20 5.3 - F.R.E.D. – Forensic Recovery of Evidence Device ........................................... 20 5.4 - MS-Diskedit ....................................................................................................... 21 5.5 - FTK - Forensic Toolkit ....................................................................................... 21 2.7 - requisitos de software ....................................................................................... 21 6 - LEIS E PROJETOS DE LEI ................................................................................. 22 2.7.2 - Banco de Dados ........................................................................................... 21 3 - METODOLOGIA .................................................................................................. 21 4 - ANÁLISE E DISCUSSÃO DOS RESULTADOS .................................................. 23 4.1 - INSTALAÇÃO .................................................................................................... 23 4.1.1 - Gerenciadores de Pacotes .......................................................................... 23 4.1.2 - Compilação partir do código fonte ........................................................... 24 4.2 - CONFIGURAÇÃO ............................................................................................ 24 4.2.1 – Bacula-dir.conf ............................................................................................ 25 4.2.2 – Bacula-sd.conf ............................................................................................. 28 4.2.4 – Bacula-fd.conf ............................................................................................. 30 4.3 - ADMINISTRAÇÃO ............................................................................................ 31 4.4 - DESEMPENHO ................................................................................................. 31 4.5 - SEGURANÇA ................................................................................................... 32 4.6 - BACULA X OUTRAS FERRAMENTAS ............................................................. 32 5 - CONCLUSÃO ...................................................................................................... 33 6 - REFERÊNCIAS ................................................................................................... 33 7 - APÊNDICES ........................................................................................................ 33 8 - ANEXOS .............................................................................................................. 33 4 1. INTRODUÇÃO A falta de softwares específicos e procedimentos de segurança da informação em computadores pessoais e/ou pertencentes a empresas ajudam no aumento dos crimes digitais, pois facilitam a obtenção de senhas, números de contas, cartões e outras informações sigilosas. O criminoso consegue obter informações importantes das pessoas que utilizam computador com acesso a serviços disponíveis na Internet, através de programas como worm, keyloggers, e técnicas como scams, engenharia social, e outras ferramentas com código malicioso que são instaladas nos computadores das vítimas, que reflete o elo mais fraco numa transação financeira online, onde fazem parte também, a entidade financeira e o meio de transmissão das informações,que geralmente são mais seguros. Em vista disso torna-se importante utilizar-se de procedimentos forenses computacionais na obtenção de análise e evidências. 5 1.1. Problema Empresa X teve grande prejuízo financeiro, devido ter sido vitima de uma quadrilha organizada que fazem uso de falsificação de web sites (páginas falsas de bancos) com o intuito de obter credenciais e manipular contas correntes de clientes das instituições financeiras. Diante do contexto acima. Como levantar dados periciais para identificar e enquadrar esses criminosos. Já que, faltam leis especificas e pessoas qualificadas para atuarem no combate aos mesmos. 1.2. Hipótese Estes procedimentos ajudarão na composição do cenário e linha de tempo de um crime envolvendo dispositivos eletrônicos. Com estes dados devidamente analisados em mãos, os culpados poderão ser apontados e levados à justiça. 1.3. – Justificativa A realização desse projeto faz-se necessária principalmente por que no Brasil, faltam pessoas capacitadas para trabalhar nessa área, embora a demanda seja cada vez maior. A engenharia social e a inocência dos usuários trabalham em benefício dos criminosos que conseguem induzir um cliente a acessar uma página falsa do seu banco. A falta da existência de leis específicas para crimes virtuais, e o fato do invasor não estar fisicamente no local do crime, gera a sensação de anonimato, tornando os crimes virtuais cada vez mais comuns e elaborados. 6 1.4. Objetivo 1.4.1- Objetivo Geral Desvendar esse crime através de procedimentos forenses computacionais, que possibilitarão a identificação e o enquadramento dos criminosos, já que as intuições legais estão com dificuldades de desvendarem esse tipo de crime, que cada vez mais aumenta no mundo, devido à falta de legislações especificas e mão de obra qualificada. 1.4.2- Objetivo Especifico Buscar evidências no sentido de se adequar as legislações vigentes, já que ainda não existe legislação especifica para tratar tais eventos. Facilitar a identificação do invasor visando registrar dados periciais e, amparar-se as medidas legais a serem tomadas. 1.5. Fundamentação Teórica Segundo Sandro Melo Pericia Forense computacional é o processo de utilização do conhecimento das técnicas e metodologias criadas na computação forense aplicada com o apoio de ferramental apropriado para obter dados e artefatos e tendo por objetivo qualificá-los como vestígio, evidências ou prova no âmbito judicial. Prof. Sandro Melo A Computação Forense é um campo de pesquisa relativamente novo no mundo e está se desenvolvendo principalmente pela necessidade das instituições legais atuarem no combate aos crimes eletrônicos ou mesmo de instituições vitimadas buscarem dados periciais para de defenderem de possíveis crimes em meios eletrônicos. 7 No Brasil, consta-se ainda com poucos pesquisadores na área e existem poucas normas estabelecidas, o que gera oportunidade para um grande numero de possibilidade de pesquisa. O processo forense tem produzido, ao longo dos anos, resultados válidos e confiáveis decorrentes de procedimentos e protocolos detalhados, com documentação e revisão aceitas pela comunidade cientifica. O uso de metodologia e de protocolos deve ser considerado na pratica de investigação para garantia de aceitação em uma corte judicial. Enfatiza-se, entretanto, que o foco desse trabalho vai alem e se aprofunda nas técnicas periciais e nos ferramentais disponíveis. Segundo Kevin Mitnicki a engenharia social usa a influência e a persuasão para enganar as pessoas e convencê-las de que o engenheiro social é alguém que na verdade ele não e, ou pela manipulação. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem o uso da tecnologia. Segundo Dan Farmer O enorme volume de informações facilmente capturadas a partir de interceptação de rede é tanto o melhor amigo do investigador como seu pior inimigo – às vezes você pode ter tudo, mas o que fazer com isso tudo? De acordo com o projeto de lei 9296/2003 é crime uma pessoa interceptar ou apenas monitorar tráfego de comunicação de outra pessoa sem possuir uma autorização judicial. Muitos fraudadores poderiam ser enquadrados nesse artigo, pois para conseguirem obter senhas e/ou outras informações confidenciais da vítima, ele precisará interceptar ou monitorar o tráfego de Internet para roubar as informações quando a vítima digitar ou enviar para outra pessoa uma mensagem de email. O acesso às informações pessoais da vítima, seja descobrindo sua senha para acessar seus e-mails, invadindo servidores para busca de informações pessoas de uma pessoa ou um grupo, ou apenas com a intenção de analisar o tráfego em 8 uma rede privada, com o auxílio de ferramentas de monitoração de tráfego de rede, pode ser classificado como infração do artigo em questão, pois em um tráfego de uma rede provavelmente terão muitos dados privados ou até secretos, como senhas. 1.6. Metodologia Procura-se adaptar leis do mundo real para solucionar casos do mundo virtual. A justiça não acompanhou a evolução da tecnologia e, portanto, a lei não contempla muitos aspectos do comportamento dos usuários desse novo mundo que, sem regras pactuadas de convivência, abre espaço para atividades ilícitas no mundo real. Devido à dispersão de documentação e legislação insipiente desse segmento, a sistematização do conhecimento constitui, talvez, a maior contribuição desse trabalho. Define-se, então, a metodologia seguida. Pesquisa em literaturas de origem acadêmica (teses e publicações técnicas ou artigos) e livros. Criação de cenários para realização de provas de conceitos de vulnerabilidade. Avaliar resultados obtidos de forma qualitativa. Essa etapa é fundamental para classificar técnicas e ferramentas. 9 2. ROUBO DE SENHAS E TÉCNICAS Utilizando-se da técnica de engenharia social, o fraudador consegue obter informações importantes de contas, números de cartões e até mesmo senhas de pessoas através de programas como vírus, spyware, keylogger, scam, phishing e outras ferramentas com código malicioso. De posse das informações necessárias ele realiza o ataque desviando dinheiro da conta corrente da vítima. Abaixo seguem exemplos de alguns códigos maliciosos utilizados pelos fraudadores para obtenção das informações sigilosas em ordem cronológica de surgimento: 2.1. Vírus Trata-se de programas feitos por programadores de má índole, que têm como objetivo principal causar danos aos dados do computador, e como segundo objetivo, propagar-se para outros computadores, tudo isso sem que o usuário perceba. Um vírus de computador é um programa escrito com o objetivo de alterar a forma como um computador opera, sem a permissão ou o conhecimento do usuário. A definição mais correta de vírus é a que diz que Vírus é todo programa de computador que funciona como parasita, infectando os arquivos que existem em um computador. O vírus possui as seguintes características: É auto-executável: Geralmente, coloca seu código no caminho de execução de outro programa. Duplica a si próprio: Utiliza-se da rede para se multiplicar através de e- mails ou recursos compartilhados. Quando uma mensagem infectada com um vírus, é recebida por um servidor de e-mails, que possui algum antivírus, uma mensagem é enviada com um alerta de vírus para o remetente. No entanto, como o remetente foi forjado, a pessoa que recebe esse alerta não foi quem realmente enviou o vírus. Com isso, esta passa a ter uma preocupação grande por pensar que seu computador está infectado e com isso irá procurar atualizar ou instalar um antivírus, 10 procurar por vestígios de infecção, etc, gerando assimperda de tempo e produtividade. Os computadores infectados por vírus possuem, na grande maioria, o sistema operacional Windows, da Microsoft, por ser o mais usado atualmente pela população e por possuir maior número de vulnerabilidades expostas e divulgadas com freqüência. Há vírus para outras plataformas como Macintosh e baseados em Linux mas além de raros, possuem limitações nos estragos causados. Os métodos de infecção por vírus são vários, desde disquetes, rede local, programas de compartilhamento de arquivos, execução de programas contaminados, recebidos através de e-mails, entre outros. O vírus muitas vezes coloca uma falsa extensão no arquivo para esconder a verdadeira extensão e fazer com que o destinatário pense que se trata de um arquivo inofensivo, encorajando-o a abri-lo. Outro motivo que leva o destinatário a executar o arquivo é a confiança de que realmente foi recebido de uma pessoa conhecida, pois o nome dessa pessoa pode constar no campo de remetente, e muitas vezes também porque o conteúdo do assunto coincide com o que é habitualmente tratado com o destinatário. Os vírus estão mais inteligentes e com isso além de forjarem o remetente, ainda retiram trechos de textos de e-mails já enviados ou recebidos e que podem coincidir com algum assunto já tratado entre o destinatário e o remetente, fazendo com que a mensagem pareça legítima e vinda da pessoa de nome forjado. No entanto não é só por e-mail que um vírus pode aparecer. Algumas falhas de segurança dos sistemas operacionais ou de outros programas instalados na máquina podem permitir que determinados vírus entrem na máquina sem que o usuário possa resolver executar ou não o arquivo contaminado. 2.2. Cavalo de tróia É um tipo de praga digital que, basicamente, permitem acesso remoto ao computador após a infecção. Os cavalos-de-tróia podem ter outras funcionalidades, como captura de dados do usuário e execução de instruções presentes em scripts. Entre tais instruções, pode haver ordens para apagar arquivos, destruir aplicativos, 11 entre outros. Um vírus de computador não se espalha pelo ar ou contato físico, como o biológico. O próprio usuário ou terceiros o introduzem no sistema através de um “Cavalo de Tróia” - um programa que parece fazer uma coisa, mas na realidade faz outra. Na maior parte dos casos, o vetor de contaminação é um disco flexível. O vírus entra no sistema operacional ou discos do equipamento. Nos alvos principais que são os HD, sua permanência é mais prolongada e danosa. Um sistema operacional popular é mais vulnerável, correndo o risco de ser corrompido e adulterado por programas de vírus. Dependendo de outras características, essa praga pode permitir que o computador seja acessado remotamente pelo atacante. Além disso, pode possuir outras funções como capturar dados, parar a execução do antivírus e de outros programas relacionados à segurança, apagar arquivos ou modificá-los, atacar outros servidores, entre outras. Como se não bastasse ele ainda possibilita a abertura de portas de comunicação do computador para que outras pessoas possam invadi-lo ou ainda enviar vírus e outros programas mal intencionados. Com isso, a máquina se torna uma presa fácil para hackers invadirem e realizarem outros estragos que desejarem tais como, formatá-la, apagar seus arquivos de dados, etc. A infecção por um cavalo de tróia é possível através da instalação de outros programas considerados inofensivos como, por exemplo, jogos, utilitários, programas de computador gratuitos ou, na maior parte das vezes, através de scam (e-mails falsos que fingem ter como remetentes bancos, receita federal, serasa, etc) (BRADESCO, p.03). Aliás, esse método de infecção através de scam é usado exclusivamente pelo cavalo de tróia, o que o diferencia dos spywares que não utilizam esse método. 2.3. Worm Os worms (vermes) podem ser interpretados como um tipo de vírus mais inteligente que os demais. A principal diferença entre eles está na forma de propagação. Os worms podem se propagar rapidamente para outros computadores, seja pela Internet, seja por meio de uma rede local. Geralmente, a contaminação ocorre de maneira discreta e o usuário só nota o problema quando o computador 12 apresenta alguma anormalidade. O que faz destes vírus inteligentes é a gama de possibilidades de propagação. O worm pode capturar endereços de e-mail em arquivos do usuário, usar serviços de SMTP (sistema de envio de e-mails) próprios ou qualquer outro meio que permita a contaminação de computadores (normalmente milhares) em pouco tempo. Ou sja, worms ou vermes são programas que se duplicam, passando de um sistema a outro, sem o uso de um arquivo hospedeiro. O worm I-Love-You, ou LoveLetter, casou a uma epidemia mundial. Os vírus de Macro e Boot ficavam com vergonha perto dele. Porém, não era a qualidade de programação. O I-Love-You foi feito em uma linguagem simples chamada VisualBasic Script. Muitos programadores a conhecem. Ao contrário do que acontecia antigamente, não havia nada que espantasse alguém. Havia, sim, um tipo de problema novo. Mas não era complexo. Como nunca, fazer vírus era algo simples. Ferramentas para criar vírus e worms foram criadas. Qualquer um fazia seus bichinhos, muitas vezes para infectar um amigo. Nem o Blaster e o Sasser, que também são Worms, representam algo de novo. Há anos certas pessoas invadem computadores usando falhas no sistema. Automatizar o processo é fácil, principalmente quando os outros já fizeram a parte difícil para você. 2.4. Spyware São programas espiões, isto é, sua função é coletar informações sobre uma ou mais atividades realizadas em um computador. Todavia, isto não significa que eles sejam em sua totalidade programas maus. Existem sim, muitos spywares de má índole, criados para coletar informações pessoais e, com elas, praticar atividades ilegais. Entretanto, nem todos são assim. Por exemplo: existem empresas de anúncio que se utilizam de spywares para, de forma legal, coletar informações de seus assinantes, com vistas a selecionar o tipo de anúncio que irão lhes apresentar. Já que nem todos os spywares são maus, você pode se perguntar: “como vou poder saber se um spyware é bom ou mau?”. O fato é que não existe um filtro, ou seja, um modo de saber qual spyware é bom e qual é mau. O critério que você deve adotar para se proteger é SEMPRE DESCONFIAR. Um spyware não-prejudicial só 13 será instalado mediante a autorização do usuário. Um spyware maligno, porém, irá se instalar sem que o usuário perceba. Para evitar esse tipo de ameaça, existem os programas anti-spyware, que possuem bancos de dados completos e constantemente atualizados. A partir da comparação de faixas de código entre os spywares conhecidos e os aplicativos do seu computador, será possível detectar se seu computador está ou não sendo espionado. 2.5. Keyloggers É um programa de computador cuja finalidade é monitorar tudo o que é digitado. Muitas vezes esses programas são utilizados com objetivos ilícitos, através de spywares, "trojan horses", entre outros. Alguns casos de phishing, assim como outros tipos de fraudes virtuais, se baseiam no uso de algum tipo de Keylogger, instalado no computador sem o conhecimento da vítima, que captura dados sensíveis e os envia a um cracker, que posteriormente irá utilizá-los com finalidades fraudulentas. Existem softwares apropriados para se defender deste tipo de ameaça. É sempre oportuno que todo computador conectado à internet esteja protegido por um software "Anti-Spyware", um "Firewall" e um "Antivírus". Os Keylogger na maioria das vezes se infiltram no computador da vítima através de e- mails e links falsos. Geralmente, a pessoa só nota que o Keylogger foi instalado depois que o cracker responsável pelo mesmo já tenha entrado no sistemaatravés das senhas capturadas. 2.6. SCAM É o método atual mais utilizado para fraudes em Internet Banking no Brasil (LAU; SANCHEZ, 2006, p.03). São e-mails indesejáveis, assim como o spam, no entanto não chegam apenas com a intenção de vender algum produto, e sim carregam com eles arquivos com cavalos de tróia na tentativa de roubar senhas ou http://www.oficinadanet.com.br/artigo/1206/o_que_e_um_keylogger http://www.oficinadanet.com.br/artigo/1206/o_que_e_um_keylogger http://www.oficinadanet.com.br/artigo/1206/o_que_e_um_keylogger 14 outras informações sigilosas e confidenciais. Inicialmente, criados em 2002, traziam texto forjando ser de uma instituição financeira, e assim, induzindo e tentando convencer a vítima ao acesso, contando com a credibilidade da instituição. Posteriormente passaram a não utilizar somente nomes de instituições financeiras e sim várias outras entidades que poderiam levar a vítima a acessar o site apostando na curiosidade ou preocupação, dependendo do argumento utilizado (LAU, 2004, p.11). O golpe busca atingir a vítima, através da instalação acidental de um programa existente no link forjado. A partir da instalação deste agente, os dados são coletados no computador infectado por meio de digitação ou ações realizadas a partir do mouse. Estes programas também são conhecidos como cavalos de tróia. O processo de captura de credenciais pode ser imperceptível a vitima, ou se apresentar na forma de uma tela sobreposta sobre os aplicativos do computador, induzindo a vítima a colaborar voluntariamente com o fornecimento de dados pessoais. “Em geral, os dados capturados são enviados ao fraudador por meio de protocolos de transferência de arquivos (ftp - file transfer protocol), ou protocolos de envio de mensagens (smtp – simple mail transfer protocol)”, segundo Lau e Sanchez (2006, p.02). 2.7. Phishing Também conhecido como "brand spoofing" (falsificação de marca), é uma forma elaborada de roubo de dados, cujo objetivo são possíveis clientes de empresas ISP (Provedor de serviços de Internet), bancos, serviços bancários on- line, órgãos públicos etc. Ao enviar seu endereço de e-mail pela Internet, preencher formulários on-line, acessar grupos de notícias ou sites, seus dados podem ser roubados por rastreadores da Internet e usados sem sua permissão para cometer fraudes e outros crimes. 15 Muitas pessoas podem ser enganadas com esses e-mails, pois além de parecerem realmente idôneos, as pessoas não se atentam muito aos detalhes e muitas vezes, distraídas, pensam tratar-se de um e-mail legítimo. O site que o usuário acessa, a partir do e-mail de phishing pode muitas vezes possuir o cadeado indicando segurança no canto inferior direito, o que leva a vítima a acreditar que realmente está realizando uma conexão segura. “Os dados capturados são enviados ao fraudador por meio dos protocolos de hipertexto (http – hyper text transfer protocol)”, segundo Lau e Sanchez (2006, p.03). Analisando os códigos maliciosos apresentados, é nítida a evolução ocorrida ao longo do tempo, desde os vírus que chegavam as caixas de correios com nomes estranhos e, portanto de fácil detecção para as pessoas com um pouco mais de conhecimento na área de informática, e hoje os phishings e scams se tornaram um método mais eficaz, pois confundem e enganam até profissionais da área, pois buscam assuntos atuais e de interesse da vítima. 2.8. Engenharia Social A curiosidade é o que leva a vítima a acessar, na maioria das vezes, um site contido dentro de um scam. Os fraudadores no Brasil procuram conteúdos atuais, apelativos, como sexo ou nudez, preocupantes como nome no Serasa ou débito em lojas para que a vítima não questione se o conteúdo é muito estranho e não hesite em abrir. A engenharia social usa a influência e a persuasão para enganar as pessoas e convencê-las de que o engenheiro social é alguém que na verdade ele não e, ou pela manipulação. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem o uso da tecnologia. Segundo Kevin Mitnicki (2003, p.06) O sucesso da engenharia social na área de informática se dá também pelo fato de que muitas pessoas que hoje tem acesso a computadores e Internet, ainda não têm conhecimentos mínimos sobre segurança no meio digital e não tem a consciência de que é um meio altamente inseguro. Pensa-se muito na falta de segurança para utilizar um caixa eletrônico do banco, por ser um acesso físico, mas 16 ainda não possuem conhecimento adequado para saber o real perigo de acesso confidencial em máquinas inseguras. Decorrente disso, essas pessoas nem sempre estão tão protegidas contra golpes virtuais quanto golpes reais e por isso não acreditam que uma mensagem aparentemente inocente possa causar tanto mal. Com o uso de rootkits, o executável padrão no sistema operacional pode ser substituído por outros que realizam a tarefa esperada, mas não é confiável, por exemplo, se o comando DIR foi substituído, quando o dono do computador executa esse comando pode ser listado tudo menos algum arquivo que identifique ser um cavalo de tróia, ou ao executar um netstat são mostradas apenas as conexões que não identifiquem um backdoor. Esse conjunto de ferramentas pode auxiliar o fraudador a manter acesso ao sistema invadido sem necessitar executar os mesmos passos para o primeiro ataque, ou seja, após ter conseguido o ataque, essas ferramentas deixarão o sistema com portas de comunicação abertas ou com configuração previamente facilitada, permitindo ao fraudador ter acesso novamente, sem maiores dificuldades que possam ter sido encontradas no primeiro ataque. 2.9. Esteganografia 2.10. FERRAMENTAS 17 3. PERÍCIA FORENSE COMPUTACIONAL A tecnologia dos computadores está envolvida em um número crescente de atividades ilícitas, como por exemplo, a utilização de Internet para servir de cenário, onde fraudadores conseguem fazer roubos ou enviar uma ameaça anônima ou somente na tentativa de disseminar um vírus para captação de dados ou não, contra uma rede de computadores vulnerável. Os computadores podem conter evidências relacionadas a qualquer tipo de atividade ilícita, incluindo homicídio, estupro, armazenagem de uma operação de lavagem de dinheiro e registros financeiros falsos. Mas para trabalhar com forense computacional é bom ter, não somente, uma visão superficial e sim uma visão mais profunda das armas reais e das armas hipotéticas possíveis, permitindo supor o que pode ter acontecido estar acontecendo ou vir a acontecer. Pode-se ter um melhor entendimento do poder do agressor se puder comparar e entender o que ele fez com uma determinada arma e o que ele poderia ter feito, principalmente se for necessário saber como ele age, como pode agir, como ele é, quem ele é, onde ele está e, mais ainda, como pegá-lo. Os estudos de casos reais dão uma visão real do lado prático e excitante da ação em si. É extensa a gama de aplicações das técnicas de forense computacional na resposta a incidentes na Internet. Essas técnicas são elementos que estão em constantes mudanças. 18 3.1. Etapas do processo de Perícia Identificação Identificar o objeto do exame. Selecionar as evidências a serem periciadas para ganhar tempo, ir direto ao que é importante, focar no necessário. Coleta Mapeamento do que foi coletado, os atores envolvidos, datas. Adequada manipulação dos vestígios (evidências). Chegar íntegro ao destino com todas as identificações. Proteger. Preservação das evidências Realizar cópia, não trabalhar em cima da original. Utilizar tecnologias para ganhar tempo. Análise Aqui entra o conhecimento do perito. Etapa mais demorada, onde se valerá do uso de softwares, inclusive softwares livres. Às vezes é solicitadauma análise para apurar certo crime e na investigação é encontrado outro. Apresentação É o relatório, o laudo do perito do que foi encontrado na análise. O destinatário é pessoa leiga, traduzir a linguagem técnica para que todos possam compreender o que foi feito. Utilizar análise gráfica, visual, para facilitar a compreensão. Objetivos: materialidade do crime, dinâmica (como foi feito) e autoria. Apresentação padronizada. 3.2. 19 4. ANTI-FORENSE Em uma estação de trabalho, um invasor pode obter informações sigilosas contendo todo o perfil de quem o utiliza. Podem descobrir os sites que navega, a que horário, documentos sigilosos, projetos, etc. Um indivíduo interessado nessas informações, pode facilmente ter acesso vasculhando os HD's (Disco rígido) de estações de trabalho. A cada dia, pessoas vêm usando de técnicas forenses, avançadas ou não, para recuperar dados apagados. É necessária a utilização de alguns métodos para tornar impossível ou mais difícil o trabalho de quem quer ter acesso a conteúdos confidenciais. Existem atualmente ferramentas e técnicas que podem ser utilizadas pelos fraudadores mais experientes para inibir o trabalho do perito ou até mesmo destruir por completo as possíveis provas. São conhecidos como métodos anti-forense e estão melhores discutidos no decorrer deste capítulo (WENDEL, p.02). Atualmente a técnica anti-forense que já foi encontrada sendo utilizada pelos fraudadores é a criptografia, entre tanto existe outras técnicas usadas, tais como: Rootkits, Esteganografia, Ferramentas wipe, dentre outras, mas podem ser métodos fortemente adquiridos para uso num futuro próximo, pois assim como as técnicas para aumento de segurança estão sofrendo avanços, os fraudadores também têm que buscar inovações. Além disso, talvez hoje os fraudadores não precisem de muita técnica para despistar o perito, pois as dificuldades para descoberta da autoria do crime, devido à falta de arquivos de registros pelos provedores e de leis específicas ainda trazem certo conforto e um sentimento de impunidade. 4.1. 20 5. FERRAMENTA FORENSE O profissional deve possuir conhecimentos técnicos e procedimentos para a realização do trabalho, protegendo as provas de incidentes, gravações acidentais, destruição, transporte e armazenamento inseguro, e para não precisar tomar uma decisão importante durante esse processo. Deve possuir também conhecimentos sobre as leis vigentes e importantes para a realização desse trabalho que precisa seguir um padrão para que as provas obtidas sejam válidas perante a lei. Abaixo segue uma breve descrição de algumas ferramentas utilizadas por peritos para obtenção de evidências em uma fraude: 5.1. EnCase É um sistema integrado de análise forense baseado no ambiente Windows. Ele é muito utilizado por profissionais da segurança de computadores, policiais e órgãos do governo em todo o mundo. O processo utilizado pelo EnCase começa, basicamente, com a aquisição das imagens dos discos rígidos relacionados ao caso investigado. Depois da criação das imagens, chamadas de Evidence Files, pode-se adicioná-las a um único caso e conduzir a análise em todas elas simultaneamente. Os arquivos visualizados apresentas status indicando se estão acessíveis ou se foram deletados e sua condição para ser recuperado. Sendo possível também analisar arquivos de e-mails e suas particularidades tais como, cabeçalhos, anexos e seu conteúdo em si, além de históricos de páginas acessadas na internet, suportando vários navegadores. 5.2. Fastbloc O Fastbloc é um produto da Guidance, mas é um hardware. Permite duplicação de discos rígidos IDE/SCSI, permite a realização não invasiva em ambiente Windows, de criação de arquivo de prova ou de mídia de destino. 21 5.3. F.R.E.D. – Forensic Recovery of Evidence Device É uma estação perícia produzida pela Digital Inteligência, Inc. (http://www.digitalintelligence.com), para aquisição e análise de evidência em computadores. Possui recursos não encontrados em estações padrão de mercado e configuração bastante flexíveis. Pode-se ter: disco flexível de 3 ½ e 5 ¼ , drives de ZIP, JAZ e DITTO, discos IDE, SATA e SCSI, etc. Também possui bloqueadores de escrita por hardware. Há estações deste a básica e DataCenters. 5.4. MS-Diskedit Ferramenta acidentalmente inclusa no SP4 do Windows NT 4.0. Aparentemente era uma ferramenta de depuração interna, usada pelos desenvolvedores do NTFS. O importante é que ela pode acessar o disco em baixo nível (hexadeci-mal); e entende a estrutura da MFT, interpretando e exibindo o conteúdo dos registros de forma organi-zada e legível. O DiskEdit pode ser obtido através do seguinte endereço: http://www.informatik.fh-hamburg.de/pub/nt- service/sp4en-ex/i386/diskedit.exe. 5.5. FTK (Forensic Toolkit) É reconhecido em todo o mundo como um conjunto de ferramentas de tecnologia de computador de investigação forense. Conhecido por sua interface intuitiva, análise de e-mail, exibições de dados personalizáveis e estabilidade, FTK ampliou seu quadro de expansão, com uma gama de funcionalidades que, normalmente, apenas as organizações com dezenas de milhares de dólares podem pagar. 5.6. http://www.informatik.fh-hamburg.de/pub/nt-service/sp4en-ex/i386/diskedit.exe http://www.informatik.fh-hamburg.de/pub/nt-service/sp4en-ex/i386/diskedit.exe 22 6. LEIS E PROJETOS DE LEIS Muitas vezes é difícil o enquadramento da conduta criminosa, muitas vezes pela inexistência de leis que tratam do assunto e/ou pela falta de previsão em nossos códigos. Com toda a conduta criminosa deve ser punida, sob pena de dar a impressão de que compensa, a grande maioria dessas condutas está capitulada no Código Penal Brasileiro, no Estatuto da Criança e do Adolescente, na Lei do Software, etc. Abaixo estão relacionadas algumas leis utilizadas para punir os criminosos digitais: Lei nº 9296: é crime uma pessoa interceptar ou apenas monitorar tráfego de comunicação de outra pessoa sem possuir uma autorização judicial. “Art.10. Constitui crime realizar interceptação de comunicações telefônicas, de informática ou telemática, ou quebrar segredo da Justiça, sem autorização judicial ou com objetivos não autorizados em lei” (L9296/96). Muitos fraudadores poderiam ser enquadrados nesse artigo, pois para conseguirem obter senhas e/ou outras informações confidenciais da vítima, ele precisará interceptar ou monitorar o tráfego de Internet para roubar as informações quando a vítima digitar ou enviar para outra pessoa. Lei nº 2848 no artigo 153 do CPB: Violação de segredo – “Divulgar alguém, sem justa causa, conteúdo de documento particular ou de correspondência confidencial, de que é destinatário ou detentor, e cuja divulgação possa produzir danos a outrem”. Quando um fraudador obtém, de forma ilícita, os dados e a senha da vítima e realiza um desvio de dinheiro de contas bancárias, está cometendo um delito que pode ser classificado nesse artigo, pois se trata de um furto. Se houver destruição ou rompimento de obstáculo para o roubo da informação, ou se a vítima de alguma maneira facilitar o acesso às informações devido à confiança que tem no ladrão, ou quando o roubo é feito mediante tentativa de enganar a vítima são várias maneiras de conseguir o sucesso no furto e pode gerar uma ação judicial baseada neste artigo. 23 Lei nº 2848 (1940) no artigo 163 “Destruir, inutilizar ou deteriorar coisa alheia”: É exemplos dessa conduta a destruição de sites, propagação de vírus. Não apenas vírus, mas outros códigos maliciosos como spywares, cavalos de tróia, worms, keyloggers, ou alterações em arquivos do sistema operacional podem destruir o computador da vítima. Lei nº 2848 (1940) no artigo 307 “Atribuir-se ou atribuir a terceiro falsaidentidade para obter vantagem, em proveito próprio ou alheio, ou para causar dano a outrem". Quando um fraudador obtém a senha de alguma pessoa e a utiliza se fazendo passar pela pessoa, dona da senha, ele está realizando um crime, previsto nesse artigo, pois fingir ser uma pessoa é se atribuir de falsa identidade. Lei nº 2848 (1940) no artigo 288 “Associarem-se mais de três pessoas, em quadrilha ou bando, para o fim de cometer crimes". O crime de quadrilha ou bando configura-se quando mais de três pessoas, ou seja, no mínimo quatro pessoas, se organizam para a prática do crime. Se quatro ou mais pessoas se unem para a prática de um crime de informática, por exemplo, o desvio de dinheiro de várias contas em um banco, todos podem ser enquadrados com base neste artigo, pois se trata de uma união estável de quatro pessoas com o mesmo propósito, de cometer aquele crime juntos. Projeto de Lei nº 89, de 2003 (antigo 84/99), do deputado Luiz Piauhylino (PSDB-PE). "O projeto, que hoje está na Comissão de Educação do Senado Federal para apreciação, caracteriza como crime os ataques praticados por hackers e crackers, em especial as alterações de home-pages e a utilização indevida de senhas" (PL89/03). Este Projeto de Lei prevê mudanças no Decreto de Lei nº 2848 e pode ser o primeiro Projeto a tornar-se Lei, tipificando os crimes de informática no Código 24 Penal, pois define vários tipos de crimes cometidos atualmente no ambiente Internet, dentre eles: • Acesso indevido a meio eletrônico; • Manipulação indevida de informação eletrônica; • Difusão de vírus eletrônico; • Pornografia infantil; • Atentado contra a segurança de serviço de utilidade pública; • Interrupção ou perturbação de serviço telegráfico ou telefônico; • Falsificação de cartão de crédito; • Falsificação de telefone celular ou meio de acesso a sistema eletrônico Artigo 154 do CPB: Violação de segredo profissional – “Revelar alguém, sem justa causa, segredo, de que tem ciência em razão de função, ministério, ofício ou profissão, e cuja revelação possa produzir dano a outrem”. Note-se que a ação deve ser praticada por quem possua vínculo profissional com a empresa. 6.1. 6.2. 25 7. ANÁLISE E DISCUSSÃO DOS RESULTADOS Nesta análise será mostrado um caso de uma suposta vítima de Engenharia Social, que ao abrir seu e-mail se deparou com uma mensagem de seu suposto banco solicitando um recadastramento de clientes. Não ciente do perigo da mensagem, acaba sendo mais uma vítima de fraude bancária. Após a análise de um extrato bancário de sua conta, detectou uma transferência financeira para uma conta que não conhece. Solicitação de credenciais Código criptografado Analisamos o código fonte onde podemos perceber que o mesmo estava criptografado, dificultando a interpretação de terceiros, garantindo assim o sigilo e a integridade dos dados. O que evidencia que o seu criador estaria mal intencionado. 26 Usamos um serviço gratuito na internet chamado “DOMAIN DOSSIER” (Investiga domínios e endereços IP), que fornece informações de extrema importância para pericia, dentre as informações obtidas encontramos quais protocolos estão ativos no site (FTP, SMTP, HTTP, POP3, IMAP), qual o IP que está vinculado, serviço Traceroute. Também usamos o serviço IP-ADDRESS.COM, onde é fornecido a localização geográfica do site. Analisando o site com o DOMAIN DOSSIER Após análise com o DOMAIN DOSSIER constatou-se que o site em questão estava sendo direcionado para o IP 195.95.205.110. E através do serviço de 27 rastreamento de IP pelo site IP-ADDRESS.COM constatou-se sua localização, o qual encontrava-se hospedado em um servidor na Slovakia. Também constatou-se que este site estava vinculado ao seguinte link www.bancodobrasil23.host.sk, diferente do link original que é http://www.bb.com.br/portalbb/home23,116,116,1,1,1,1.bb http://www.bancodobrasil23.host.sk/ http://www.bb.com.br/portalbb/home23,116,116,1,1,1,1.bb 28 29 IP-ADDRESS http://www.bancodobrasil23.host.sk IP-ADDRESS www.bb.com.br/portalbb/home23,116,116,1,1,1,1.bb http://www.bancodobrasil23.host.sk/ http://www.bancodobrasil23.host.sk/ http://www.bancodobrasil23.host.sk/ http://www.bb.com.br/portalbb/home23,116,116,1,1,1,1.bb 30 O processo Pericial executado utilizou uma combinação de serviços, o que facilitou a identificação de uma possível pista do autor da fraude. Ao ser detectado o endereço IP é possível iniciar uma nova investigação, sendo que esse é um ponto de partida para a descoberta da autoria do crime. Devido a não existência de uma lei específica obrigando os provedores de Internet a manterem um registro detalhado de todos os acessos e conexões realizadas e também ser necessário uma requisição de um mandado judicial, há um significativo prejuízo nas investigações realizadas, já que não temos autonomia para a conclusão das investigações, o que está no âmbito das instituições legais. CONCLUSÃO A necessidade de procedimentos de resposta a incidentes de Segurança Computacional instiga a Forense Computacional. No mundo digital em que vivemos, a Perícia Forense Computacional é uma área em franca ascensão. À medida que novas fronteiras são abertas e a humanidade encontra-se ameaçada, novas ferramentas ocupam o espaço dos métodos tradicionais, se esses últimos se tornam incapazes de gerar resultados esperados na solução de incidentes. 31 7.1. 7.2. 7.3. 7.4. 32 33 Referencia: http://www.prodepa.gov.br/index.php?q=aempresa acessado em 12/05/2010. http://row.avira.com/pt-br/threats/what_is_phishing.html [57] Consulta Tramitação das Proposições – PL6024/05. Projeto de Lei nº 6024, de 2005. Câmara dos Deputados. Disponível em: <http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=302629> Acessado em 08/08/2006 http://www.prodepa.gov.br/index.php?q=aempresa