Baixe o app para aproveitar ainda mais
Prévia do material em texto
UFPI – UNIVERSIDADE FEDERAL DO PIAUÍ GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO MATEUS TITO BURNETT PERÍCIA FORENSE COMPUTACIONAL: ANÁLISE DE VESTÍGIOS VOLÁTEIS E NÃO VOLÁTEIS PARA O LAUDO PERICIAL TERESINA – PI 2020 Mateus Tito Burnett PERÍCIA FORENSE COMPUTACIONAL: Análise de Vestígios Voláteis e Não Voláteis para o Laudo Pericial Trabalho de Conclusão de Curso apresentado ao Curso de Ciência da Computação da Universidade Federal do Piauí (UFPI) como requisito parcial à obtenção do título de Bacharel em Ciência da Computação. Orientador: Prof. Dr. Carlos André Batista de Carvalho TERESINA – PI 2020 RESUMO O avanço tecnológico nas últimas décadas proporcionou uma facilidade ao acesso às máquinas e à Internet, ambas essenciais para a produtividade na sociedade moderna. Por outro lado, são ferramentas férteis para criminosos cometerem delitos, permanecendo frequentemente impunes. Entretanto, tais delitos podem deixar vestígios digitais, que, se analisados de forma técnica, podem produzir evidências indispensáveis a uma investigação e uma futura ação penal. Este trabalho de conclusão de curso descreve as etapas da perícia forense computacional e seus principais conceitos, apresentando de forma prática, ferramentas de análise de vestígios em discos rígidos, memória RAM, arquivos e redes TCP/IP, fazendo comparativos de desempenho, a fim de melhorar os resultados obtidos em uma investigação. Por fim, documenta-se em um laudo pericial, garantindo dados íntegros que podem influenciar em uma futura decisão judicial. Palavras-chaves: forense computacional, vestígios digitais, laudo pericial. ABSTRACT Technological advances in recent decades have provided easy access to machines and the Internet, both essential for productivity in modern society. On the other hand, they are fertile tools for criminals to commit crimes, often remaining unpunished. However, such offenses can leave digital traces, which, if analyzed in a technical manner, can produce essential evidence for an investigation and future criminal action. This course conclusion work describes the stages of computer forensic expertise and its main concepts, presenting in a practical way tools, for analyzing traces on hard disks, RAM, files and TCP/IP networks, making performance comparisons in order to improve the results obtained in an investigation. Finally, it is documented in an expert report, guaranteeing complete data that can influence a future judicial decision. Keywords: computational forensics, digital traces, forensic report. LISTA DE FIGURAS Figura 1: Etapas da perícia forense computacional. Fonte: Traduzido de [7]..........................13 Figura 2: Equipamento Tableau T35u Forensic Bridge...........................................................18 Figura 3: Geração de códigos Hash sobre três arquivos de texto.............................................20 Figura 4: Captura de tráfego utilizando o tcpdump...................................................................21 Figura 5: Estado e informações das portas TCP e UDP com o uso do TCPView.....................23 Figura 6: Histórico de páginas web com o uso do BrowsingHistoryView................................24 Figura 7: Histórico de conexão de dispositivos com o uso do USBDeview..............................25 Figura 8: Abertura de um arquivo em hexadecimal..................................................................28 Figura 9: Execução do comando para extração dos dados do arquivo Thumbs.db...................31 Figura 10: Imagens extraídas pela ferramenta vinetto e o relatório “index.html”....................31 Figura 11: Exibição do relatório “index.html” gerado pelo vinetto..........................................32 Figura 12: Geração de um dicionário de palavras com a ferramenta Crunch...........................33 Figura 13: Carregamento dos arquivos com os Hashes das senhas..........................................35 Figura 14: Recuperação dos usuários e senhas de vários sites..................................................36 Figura 15: Execução do software MiniTool Partition Wizard para wipe de disco...................46 Figura 16: Execução do software Hide & Reveal para ocultação de uma mensagem..............48 Figura 17: (a) Imagem original; (b) Imagem hospedeira ocultando as mensagens secretas.....49 Figura 18: Análise em bytes da imagem original (“branquinha.bmp”) e da hospedeira (“hidden_branquinha.bmp”)......................................................................................................50 Figura 19: (a) Tamanho da imagem original e sua data de criação; (b) Imagem hospedeira.. .51 Figura 20: Geração do código Hash da imagem original e da hospedeira................................51 Figura 21: Exibição da mensagem secreta e dos comentários ocultados na imagem hospedeira por meio da esteganografia.......................................................................................................52 Figura 22: Criptografia de um arquivo com a ferramenta Ccrypt.............................................53 Figura 23: Descriptografia de um arquivo com a ferramenta Ccrypt.......................................54 Figura 24: Mídias presentes na máquina com o comando “fdisk -l”........................................59 Figura 25: Criação da imagem de mídia do HD e geração dos Hashes com a md5sum...........60 Figura 26: Criação da imagem de mídia do pendrive e geração do Hash.................................61 Figura 27: Abertura da imagem de mídia do HD no Autopsy...................................................63 Figura 28: Imagens recuperadas da imagem de mídia do HD pelo Autopsy............................64 Figura 29: Extração dos arquivos da imagem de mídia do HD utilizando o Foremost............65 Figura 30: Resultado da extração ao final da execução do Foremost.......................................66 Figura 31: Dados extraídos utilizando-se a ferramenta Photorec.............................................66 Figura 32: Arquivo de configuração da ferramenta Scalpel.....................................................67 Figura 33: Extração dos arquivos utilizando-se a ferramenta Scalpel......................................68 Figura 34: Resultado da extração ao final da execução do Scalpel..........................................68 Figura 35: Abertura da imagem de mídia do pendrive no Autopsy...........................................69 Figura 36: Dados do arquivo compactado bloqueados por senha.............................................70 Figura 37: Obtenção da senha em Hash do arquivo compactado.............................................70 Figura 38: Descoberta da senha por meio da ferramenta John The Ripper..............................71 Figura 39: Extração bem-sucedida dos dados presentes no arquivo “arq-secretos.zip”...........72 Figura 40: Análise dos eventos ocorridos nos sistemas referentes às conexões USB..............74 Figura 41: Dados recuperados, organizados em uma pasta referente ao caso..........................75 Figura 42: Imagens descompactadas do arquivo “zip” protegido por senha............................76 Figura 43: Geração do código de Hash para todas as imagens.................................................76 Figura 44: Documento de texto contendo os Hashes de todas as imagens ilícitas...................77 Figura 45: Geração do código de Hash do documento de texto que contém os Hashes..........77 Figura 46: Hash dos Hashes.....................................................................................................78 Figura 47: Análise de tráfego de uma sala de bate-papo utilizando o software Wireshark......83 Figura 48: Análise de tráfego em uma rede anônima Tor.........................................................84 Figura 49: Servidor Apache do relé da rede Tor.......................................................................85Figura 50: Captura dos processos em execução com o Process Explorer................................86 Figura 51: Estado das conexões TCP e UDP com o TCPView.................................................87 Figura 52: Uso do tcpdump na análise de tráfego TCP/IP do malware....................................88 Figura 53: Abertura da captura de tráfego no Wireshark..........................................................88 LISTA DE TABELAS Tabela 1: Exemplo de formulário de cadeia de custódia [3].....................................................15 Tabela 2: O ciclo de vida esperado dos dados. Fonte: Extraído de [10]...................................16 Tabela 3: Comparativo das principais plataformas da deep web. Fonte: Extraído de [14].......26 Tabela 4: Arquivos recuperados / íntegros. Adaptado de [13]..................................................29 Tabela 5: Principais arquivos de log gerados nos sistemas Linux............................................39 Tabela 6: Chaves raízes do registro do Windows e suas descrições. Adaptado de [13]...........40 Tabela 7: Seções do laudo técnico pericial. Fonte: adaptado de [1].........................................43 Tabela 8: Ações antiforenses e suas categorias. Traduzido e adaptado de [20].......................44 Tabela 9: Início do formulário da cadeia de custódia...............................................................58 Tabela 10: Continuação do formulário de cadeia de custódia..................................................61 Tabela 11: Arquivos recuperados por ferramenta com base no formato..................................73 Tabela 12: Laudo técnico pericial do estudo de caso em questão.............................................78 Tabela 13: Acrescenta-se o evento à cronologia dos fatos no formulário de cadeia de custódia. ...................................................................................................................................................81 SUMÁRIO INTRODUÇÃO 8 PRINCIPAIS CONCEITOS NA FORENSE COMPUTACIONAL 10 TRABALHOS RELACIONADOS 11 METODOLOGIA DA PERÍCIA FORENSE COMPUTACIONAL 13 4.1 ETAPA DE COLETA 14 4.1.1 Coleta em Dispositivos de Armazenamento 17 4.1.2 Coleta de Dados Voláteis (Live Forensics) 20 4.2 ETAPA DE EXTRAÇÃO 25 4.2.1 Recuperação de Dados Excluídos 26 4.2.2 Recuperação de Senhas 30 4.3 ETAPA DE ANÁLISE 33 4.3.1 Análise de Logs e Registros 34 4.3.2 Análise por Palavras-Chave 36 4.4 ETAPA DE FORMALIZAÇÃO 37 ANTIFORENSE COMPUTACIONAL 38 5.1 DESTRUIÇÃO 40 5.2 OCULTAÇÃO 42 5.3 PROTEÇÃO 46 PROPOSTA DE TRABALHO 47 6.1. DESIGN DO CENÁRIO 1 48 6.2. DESIGN DO CENÁRIO 2 49 ESTUDO DE CASO 1 50 7.1 COLETA 51 7.2 EXTRAÇÃO 54 7.3 ANÁLISE 63 7.4 FORMALIZAÇÃO 68 ESTUDO DE CASO 2 71 8.1 DADOS TRAFEGADOS EM REDE TCP/IP 71 8.2 ANÁLISE DE MALWARE NA MEMÓRIA RAM 74 CONCLUSÃO E TRABALHOS FUTUROS 77 REFERÊNCIAS 78 8 1. INTRODUÇÃO A popularização dos computadores e a facilidade do acesso à Internet permitiram que muitos criminosos passassem a utilizar esses meios para cometerem infrações tipificadas no Código Penal (CP) brasileiro. “Crimes sempre deixam vestígios” [1] é uma frase que ganha destaque no meio pericial, sendo usada como motivação, visto que nesse campo dos vestígios se encaixa a perícia forense, cujo objetivo é coletar dados, em conformidade ao artigo 158 do Código de Processo Penal (CPP) [2] e as inclusões da lei 13.964/19 (Pacote Anticrime) [3]. Atividades envolvendo aparelhos informáticos e redes aumentam de forma bastante acelerada. Segundo o relatório do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT), o número de fraudes na Internet cresceu muito após o ano de 2008 [4]. Atingiu-se uma marca de 222.528 incidentes reportados nesse mesmo ano; em 2014, 1.047.03, mantendo-se em altos índices até o ano de 2019 (875.327) [4]. Devido esse alavancado crescimento de crimes cibernéticos, há a necessidade de técnicas investigativas eficazes para apuração dessas infrações, bem como o registro formalizado em laudos periciais que contenham validade jurídica. Em relação ao formalismo, há o artigo 473 da lei 13.105/15 do Código de Processo Civil (CPC) [5] que descreve esse laudo pericial. Além disso, há a questão da documentação cronológica dos fatos durante o processo investigativo, denominada cadeia de custódia (artigo 158-A da lei 13.964/19) [3]. Tanto o laudo, quanto a cadeia de custódia, são usados para garantir a veracidade dos eventos ocorridos no curso da investigação, e, consequentemente, um julgamento justo nos tribunais judiciários. A norma internacional ISO/IEC 27037:2013 [6], que também tem por finalidade padronizar o tratamento de evidências digitais, assegura que os indivíduos possam gerenciar a evidência digital por meio de métodos práticos aceitáveis internacionalmente, com o objetivo de padronizar a investigação envolvendo dispositivos digitais de maneira sistemática e imparcial, com o objetivo de preservar a integridade desses dispositivos. Segundo essa norma, toda evidência digital válida é mantida por alguns aspectos fundamentais, cabendo ressaltar o da repetibilidade, ou seja, quando os mesmos 9 procedimentos e métodos são utilizados sob as mesmas condições, sempre produzem os mesmos resultados; e o aspecto da justificabilidade, onde deve-se justificar todas as ações e métodos tomados no decorrer do processo de tratamento das evidências digitais [6]. A ISO/IEC 27037:2013 [6] também menciona o termo cadeia de custódia, exigindo algumas informações mínimas na documentação, como: identificador único da evidência; quem acessou tal evidência, o tempo e local que ocorreu; quem checou a evidência interna e externamente nas instalações de preservação e quando o fato ocorreu; documentar qualquer alteração inevitável da evidência digital, bem como o nome do indivíduo responsável e a justificativa para a alteração [6]. A principal motivação deste trabalho é poder contribuir de alguma forma na exposição do minucioso processo que é a perícia forense computacional, apresentando os principais conceitos, etapas (coleta, extração, análise e formalização) [7] e ferramentas utilizadas. São realizados comparativos entre essas ferramentas abordando suas vantagens e limitações, além dos resultados obtidos por cada uma, o que pode influenciar bastante nos vestígios obtidos e na agilidade do processo pericial. Além disso, relata-se os empecilhos que podem ser encontrados pelos profissionais que atuam na área, a fim de melhorar os resultados obtidos dentro da investigação. Dois estudos de caso reforçam de maneira prática o processo forense: o primeiro realizado sobre mídias de armazenamento (HD e pendrive), e o segundo sobre redes TCP/IP e memória RAM. Ao fim, realiza-se demonstrações de como esse procedimento pode ser documentado formalmente, seguindo as leis e os pontos da norma ISO/IEC 27037:2013 [6], obtendo-se validade jurídica probatória. O restante deste trabalho está organizado da seguinte forma: no Capítulo 2 são apresentados os principais conceitos dessa área; no Capítulo 3, os trabalhos relacionados; no Capítulo 4, a metodologia da perícia forense computacional e suas etapas, somado aos principais conceitos e algumas ferramentas eficientes de cada uma; Capítulo 5, técnicas antiforenses que acabam por dificultar o trabalho pericial; no Capítulo 6, as propostas de trabalho; por fim, nos Capítulo 7 e 8, são realizados, respectivamente, dois estudos de casos, um sobre dispositivos de armazenamento (HD e pendrive), e outro sobre redes TCP/IP e memória RAM (análise de um software malicioso). 10 2. PRINCIPAIS CONCEITOS NA FORENSE COMPUTACIONAL A abrangente área da forense computacional envolve alguns conceitos que são abordados no decorrer deste trabalho, fazendo-se necessáriomencioná-los de forma sucinta nesse Capítulo. Inicialmente, a forense computacional pode ser conceituada como a área destinada a determinar a materialidade e a autoria de ilícitos ligados à área de informática, tendo como questão principal a identificação e o processamento de evidências digitais em provas materiais de crimes, por meio de métodos técnico- científicos, conferindo-lhe validade probatória em juízo [1]. Essas evidências digitais, encontradas em dispositivos informáticos diversos, podem ser classificadas em dados voláteis e não voláteis [1], levando-se em consideração o tempo que os dados permanecem disponíveis. Os voláteis têm um tempo de vida curto, geralmente de segundos ou milissegundos, podendo estar em constante alteração, como dados trafegados em uma rede ou em uma memória RAM. Já os não voláteis, têm um tempo de armazenamento bem mais longo, podendo chegar a anos, como discos rígidos (HDs), CD-ROMs e pendrives. Na metodologia forense existem etapas [7] que têm o objetivo de tornar o trabalho do profissional que realiza o exame pericial mais organizado e eficiente. A seguir, essas etapas são descritas de modo breve, e estão mais detalhadas no decorrer deste trabalho. A etapa inicial é a fase de coleta, onde todos os equipamentos que armazenam algum dado não volátil ou informações voláteis são colhidos e preservados, a fim de manter os dados íntegros. As próximas etapas são a extração e a análise, onde, respectivamente, esses dados são filtrados com base no objetivo da investigação e analisados a fim de relacioná-los com o fato em questão. Na etapa final, a formalização, a cronologia dos eventos deve ser detalhada na cadeia de custódia [3], registrando-se tudo em um documento que contenha validade jurídica probatória, o laudo técnico pericial [5]. A metodologia completa está descrita no Capítulo 4. Durante a realização das etapas do processo forense computacional, o profissional pode deparar-se com uma ampla gama de ferramentas disponíveis e com procedimentos antiforenses que podem ter sido empregados pela outra parte para embaraçar o andamento da investigação, dificultando, assim, o acesso aos dados por parte do perito. 11 Dessa forma, conclui-se que é de notável importância ter conhecimento de ferramentas que sejam eficientes e tragam bons resultados quanto à coleta, extração e análise dos dados, bem como ter conhecimento das técnicas antiforenses e saber como lidar em certas circunstâncias, documentando-se em um laudo técnico bem redigido. 3. TRABALHOS RELACIONADOS Sobre os trabalhos relacionados e referencial teórico, há literaturas e artigos científicos que descrevem de forma objetiva a metodologia que deve ser utilizada durante os exames periciais, mencionando as ferramentas mais utilizadas em cada etapa do processo. Há uma grande diversidade dessas ferramentas, logo a utilização de cada uma fica a critério do profissional que realiza o exame e de cada vestígio que está sendo analisado. Também há divergências de desempenho entre elas, ou seja, uma ferramenta pode trazer bons resultados sob certas circunstâncias e a outra não, e vice-versa. Assim, é relevante a realização de experimentos comparativos, abordados com mais detalhes nos capítulos posteriores. A obra de Eleutério e Machado [1] aborda as fases que são executadas durante uma análise forense computacional, bem como a correta preservação das evidências encontradas. No decorrer da obra, os autores abordam as ferramentas mais comuns utilizadas em cada etapa, além de mencionarem que a maior parte dos crimes da atualidade utilizam dispositivos informáticos como meio. Segundo Kent et al. [7], o objetivo mais comum de se realizar análises forenses é entender melhor um evento de interesse e analisar os fatos relacionados a esse evento. Para isso, o autor menciona quatro etapas que tornam o exame pericial mais organizado: coleta, extração, análise e formalização; essa metodologia foi adotada neste trabalho por ser a mais referenciada nos trabalhos e literaturas relacionados ao tema. O artigo científico de Ling Tang [9], publicado no IEEE Xplore, faz um estudo a respeito dos logs gerados pelo sistema operacional Linux, podendo ser utilizados como material de coleta e análise durante o processo investigativo. Esses logs são registros feitos pelo sistema operacional no decorrer do tempo com as ações do usuário. 12 Dan Farmer e Wietse Venema [10] fazem um estudo mais detalhado sobre arquivos, metadados (informações sobre os dados) e sistemas operacionais, além de apresentarem um tema bastante relevante: a análise de MACtimes, que são metadados gerados pelo sistema de arquivos contendo as datas de modificação, acesso e alteração de cada arquivo. De acordo com João Eriberto Mota Filho [11], a análise de tráfego em rede é uma forma essencial de se detectar anomalias dentro de uma rede, encontrar pontos de bloqueio, detectar falhas de segurança e descobrir “tráfego pirata”, sendo um campo de conhecimento fundamental aos profissionais da área forense. A ferramenta recomendada pelo autor para esse fim é o tcpdump1, que além de gratuita, tem uma ampla gama de funcionalidades. Galvão [12] também realiza uma análise forense voltada à rede de computadores, mas abordando ferramentas diferentes e em alguns casos mais eficientes dependendo do cenário, introduzindo o conceito “grampo de rede” para a captura do tráfego em rede. Evandro Della Vecchia [13], como diferencial, aprofunda conceitos da área jurídica bem relevantes ao trabalho de um perito criminal, mostrando recomendações que facilitam na formalização dos dados. Além disso, trata de forma mais técnica e prática a investigação forense computacional, voltando-se aos profissionais da área da tecnologia, apresentando as ferramentas mais utilizadas em cada etapa do processo. Por fim, Alesandro Barreto e Hericson dos Santos [14] fazem um estudo aprofundado sobre a deep web, ou seja, redes para interconexão de máquinas diferentes da Internet comum, descrevendo o funcionamento das mais utilizadas. Também relatam o processo investigativo nesse “submundo da Internet”, já que nesse meio há uma grande quantidade de crimes sendo cometidos, como o tráfico de drogas e a pornografia infantojuvenil, que são os mais comuns. Dessa forma, este trabalho de conclusão de curso visa descrever os principais conceitos relacionados à perícia forense computacional, aplicando a metodologia de Kent et al. [7] de forma prática na análise de vestígios em discos rígidos, arquivos, memória RAM e redes TCP/IP, fazendo comparativos de desempenho, a fim de melhorar os resultados obtidos em uma investigação. Além disso, demonstra-se como registrar formalmente os resultados obtidos, seguindo os critérios exigidos no CPP [2] e nas alterações feitas pelo Pacote Anticrime 1 Disponível em: <https://www.tcpdump.org/manpages/tcpdump.1.html>. Acesso em 8 de março de 2020. 13 [3], que trouxe novas exigências referentes ao tratamento das evidências, objetivando-se garantir uma maior integridade das provas. 4. METODOLOGIA DA PERÍCIA FORENSE COMPUTACIONAL A perícia forense computacional é uma área que tem como objetivo entender melhor um incidente e encontrar fatos relacionados a ele, levando-se em consideração a gama de situações existentes, como malwares (malicious software, ou programas maliciosos), coleta de evidências para procedimentos legais e ações disciplinares ou problemas operacionais incomuns, seja dentro de um ambiente civil ou empresarial [1]. A fim de tornar o trabalho dos profissionais juridicamente seguro, há uma metodologia que pode ser adotada no decorrer da perícia forense computacional. Essa metodologiapode ter suas etapas adaptadas conforme a dinamicidade dos fatos do incidente em questão. Como este trabalho trata do procedimento iniciado no local de crime, com a descoberta do incidente, até o momento da formalização para o meio jurídico, essa metodologia envolve todas as etapas integralmente. De modo geral, independente da natureza das evidências, é recomendado segmentar o processo pericial em quatro etapas, divididas com base nos exames realizados em cada uma e nos dados obtidos, com o objetivo de torná-lo mais consistente: coleta, extração, análise e formalização [7]. Observa-se esse processo e suas etapas na Figura 1, onde cada uma tem seu respectivo material obtido (mídias, dados, informações e evidências). Sua usabilidade é cíclica, pois pode ser repetido até que os recursos analisados se esgotem, ou conforme a discricionariedade do profissional forense responsável pelo exame. Figura 1: Etapas da perícia forense computacional. Fonte: Traduzido de [7]. 14 Cada etapa retratada é apresentada no decorrer das subseções seguintes, abordando-se o conceito e as principais ferramentas que podem ser utilizadas em cada uma, a fim de se obter o conteúdo desejado (mídias, dados, informações e evidências). 4.1 ETAPA DE COLETA A primeira etapa da perícia forense é denominada de coleta, sendo realizada sobre uma variedade de dispositivos informáticos, onde as fontes mais comuns e óbvias são os computadores de mesa, servidores, dispositivos de armazenamento em rede e laptops. Outros dispositivos externos ou móveis também podem ser coletados, como telefones celulares, câmeras digitais, gravadores e reprodutores de áudio. A escolha de quais dispositivos vão ser apreendidos fica a critério do profissional que realiza a perícia [1]. Ocasionalmente, nessa fase, necessita-se também coletar dados em meios voláteis, com a utilização de técnicas de interceptação de sinais informáticos e eletromagnéticos, conforme a lei 9.296/96 [15], que regulamenta a obtenção dos dados trafegados em uma rede de computadores ou dentro de um sistema telemático, com o objetivo de buscar vestígios que possam sustentar a investigação, como: endereços IPs de origem e destino, cabeçalho e payload dos pacotes. Nesta etapa, procede-se o início da cadeia de custódia [3], definida como o conjunto de todos os procedimentos utilizados para manter e documentar a história cronológica dos vestígios coletados, permitindo rastrear sua posse e manuseio a partir de seu reconhecimento até o descarte. Esse conceito está definido no artigo 158-B do CPP [2], a fim de garantir a idoneidade dos resultados obtidos, refutando possíveis contestações futuras. No caso dos dispositivos de armazenamento, essa documentação se inicia no próprio local de crime quando os equipamentos são identificados e apreendidos, registrando-se todas as informações possíveis. As informações de identificação dos equipamentos devem ser bem precisas para garantirem a identificação posterior dirimindo qualquer dúvida. Um exemplo é não descrever somente a cor de um certo dispositivo tendo vários com essa mesma cor. 15 Para exemplificar, em um caso de formulário envolvendo um disco rígido, deve- se apresentar todos os detalhes da mídia, responsáveis e datas (comuns a todos os formulários), bem como uma identificação particular, que no caso apresentado na Tabela 1, é um número de série (Serial Number), reforçado pela descrição, modelo e fabricante. Tabela 1: Exemplo de formulário de cadeia de custódia [3]. FORMULÁRIO DE CADEIA DE CUSTÓDIA Número do Caso: 70020091996 DETALHES DA MÍDIA OU EQUIPAMENTO ITEM DESCRIÇÃO 1 HD do Notebook ‘X’ com 80 GB de Capacidade FABRICANTE MODELO NÚMERO DE SÉRIE Dell Inspiron 15 5000 ABC123456 CRONOLOGIA DOS FATOS CÓDIGO ORIGEM DATA HORA DESTINO DATA HORA 1 Local 20/09/2019 16:10 Perícia 20/09/2019 16:55 Sobre a coleta realizada em meios voláteis, como em uma rede TCP/IP, onde os dados obtidos não provêm de dispositivos de armazenamento que podem ser facilmente identificados, algumas informações de descrição elencadas na Tabela 1 podem ser inviáveis, como o modelo ou número de série. Logo, deve-se seguir o artigo 8-A da lei 9.296/96 [15] (incluído pela 13.964/19 [3]), onde se exige que, circunstanciadamente, deve ser descrito o local e a forma de instalação do dispositivo de captação ambiental. Uma das recomendações que devem ser levadas em consideração na coleta é o plano de aquisição desses dados, visto que existem várias fontes de dados e algumas devem ser priorizadas seguindo fatores como valor provável, volatilidade e esforço necessário para aquisição [7]. O valor provável baseia-se no entendimento do analista da situação e experiência anterior em situações semelhantes, podendo-se estimar o valor relativo de cada fonte de dados [7]. A volatilidade refere-se ao tempo em que dos dados podem ser perdidos 16 devido ao desligamento do computador, ações executadas dentro do sistema ou no simples decorrer do tempo, recomendando-se dar mais prioridade aos dados de natureza mais volátil [7]. Já a quantidade de esforço necessário refere-se ao esforço para adquirir o dado em questão, tanto relativo ao tempo gasto como ao custo com equipamentos e serviços [7]. A ordem de volatilidade dos dados merece relevância, pois como alguns dados têm maior propensão do que outros de serem perdidos, há uma maior probabilidade de não ser mais possível recuperá-los [10]. A expectativa de vida desses dados pode variar de nanossegundos a anos, como pode ser visto na Tabela 2. Tabela 2: O ciclo de vida esperado dos dados. Fonte: Extraído de [10]. Tipo de dados Tempo de vida Registradores, memória periférica, caches, etc. Nanossegundos Memória principal Dez nanossegundos Estado da rede Milissegundos Processos em execução Segundos Disco Minutos Disquetes, mídia de backup, etc. Anos CD-ROM, impressões, etc. Dezenas de anos Seguindo essa ordem, sabe-se que há uma menor probabilidade de se conseguir preservar os detalhes mais efêmeros (topo da tabela), mas tudo depende da situação analisada, visto que não é possível realizar a captura de todos os dados de uma só vez, pois quando se captura dados em uma determinada área de um computador, outra pode estar sendo alterada. Tal princípio é descrito como princípio da incerteza de Heisenberg, sendo essencialmente impossível a coleta de todos os dados de um computador para análise, pois este é considerado um sistema determinístico [10]. Após identificar as fontes de dados e iniciar-se a cadeia de custódia [3], a equipe pericial deve preservar as mídias originais encontradas no local de crime, acondicionando-as de forma individualizada, com a data, hora e nome do responsável pelo procedimento, garantindo que todas as informações ali presentes permaneçam 17 inalteradas durante o transporte até o laboratório, a fim de garantir a formalidade do processo [1]. 4.1.1 Coleta em Dispositivos de Armazenamento Tratando-se de dispositivos de armazenamento de dados (não voláteis), ao receber o equipamento e documentar formalmente sua posse, é necessário o perito realizar uma cópia dessa mídia, garantindo que nenhum bit seja alterado (cópia fiel), que se dá através de equipamentos de hardware ou software, como bloqueadores de escritas em disco e duplicadores forenses [1]. Isso é necessário para que a mídia original fique sempre preservada, podendo servir de prova nos tribunais judiciais. Essa cópia pode ser realizada de duas maneiras, através de um backup lógico, onde todos os diretórios e arquivos são capturados de um volume lógico, não copiando arquivos excluídos nem fragmentos do disco; ou através de um fluxo de bits, mais conhecido como backup físico, ondese gera uma imagem bit a bit, ou seja, uma cópia idêntica do disco total, porém consumindo mais espaço e tempo que o backup lógico [7]. Os formatos mais comuns gerados são os “.dd” e os “.img”, conhecidos como imagens de mídia. Os bloqueadores de escrita evitam que gravações sejam realizadas no disco durante o procedimento de cópia, garantindo a integridade dos dados originais. Esse bloqueio também pode ser realizado simplesmente com algum código executável que altera as variáveis de ambiente do sistema operacional. Já os duplicadores forenses, geralmente, são mais completos, pois além de realizarem o bloqueio de escrita, fazem o processo de geração de cópia. Os equipamentos de hardware mais utilizados para esse fim são: o Espion Forensics Fast Block2 e o Tableau T35u Forensic Bridge3. Esses hardwares são independentes de qualquer outro dispositivo, sendo necessário somente a mídia alvo (HD ou pendrive) e o destino. O Tableau T35u Forensic Bridge possui compatibilidade para dispositivos de armazenamento com entrada IDE e SATA, compatíveis também com entrada USB 3.0, apresentado na Figura 2. 2 Disponível em: <https://www.insectraforensics.com/FastBloc3>. Acesso em 19 de fevereiro de 2020. 3 Disponível em: <https://www.guidancesoftware.com/tableau/hardware/t35u>. Acesso em 19 de fevereiro de 2020. 18 Sobre os softwares, os mais comuns são: o Forensic ToolKit Imager4 (FTK Imager) e o Encase5 (ambos compatíveis com o Windows) [1], sendo este último pago em sua versão mais completa. Há também outros gratuitos, como: o Duplicate Disk (dd) e o dc3dd6, que é uma versão aprimorada do dd, desenvolvido pelo Department of Defense’s Cyber Crime Center (DC3), acrescentando-se algumas funcionalidades, como geração instantânea do Hash7, gravação de erros e possibilidade de se fragmentar a saída gerada. Também existem sistemas operacionais gratuitos que oferecem suporte semelhante, como o Linux CAINE8 (Computer Aided Investigative Environment) e o Kali Linux9, ambos podendo funcionar em modo live, ou seja, com uma imagem do sistema operacional montada em um CD-ROM ou USB pode-se inicializar a máquina alvo sem a instalação do sistema no disco rígido. A fim de garantir uma maior agilidade ao processo de geração da cópia e o andamento das investigações, cabe dizer que o procedimento pode ser demorado se for 4 Disponível em: <https://accessdata.com/products-services/forensic-toolkit-ftk/ftkimager>. Acesso em 19 de fevereiro de 2020. 5 Disponível em: <https://www.guidancesoftware.com/encase-forensic?cmpid=nav_r>. Acesso em 19 de fevereiro de 2020. 6 Disponível em : <https://sourceforge.net/projects/dc3dd/>. Acesso em 2 de abril de 2020. 7 Um algoritmo de Hash recebe como entrada uma sequência de bits de qualquer tamanho e retorna uma saída de tamanho fixo, unidirecionalmente, ou seja, a saída é única e irreversível. 8 Disponível em: <https://www.caine-live.net/>. Acesso em 24 de março de 2020. 9 Disponível em: <https://www.kali.org/>. Acesso em 24 de março de 2020. Figura 2: Equipamento Tableau T35u Forensic Bridge. 19 realizado diretamente sobre o HD com o uso do Tableau T35u Forensic Bridge (hardware), por exemplo, pois é realizado uma cópia completa do HD, bit a bit. Em casos onde a extração do HD não é possível, faz-se necessário o uso dos sistemas operacionais atuando no modo live, como o CAINE, por exemplo, que acessa o disco diretamente mesmo havendo um bloqueio de senha no sistema operacional nativo ou no próprio disco (senha de boot). Logo, pode-se levar um tempo ainda maior para realizar o processo de geração da cópia, principalmente se o armazenamento for muito grande. Essa diferença de tempo se dá pelo fato de o Tableau T35u Forensic Bridge acessar diretamente o hardware, já que o dispositivo alvo (HD ou USB) é conectado diretamente nele. No entanto, utilizando-se um sistema operacional, há a necessidade do intermédio de um software para acesso aos dados, retardando ainda mais o processo. Uma forma bem eficiente e ágil de assegurar a integridade dos dados, além do bloqueio de escrita, é por meio da geração de um código Hash sobre a mídia original e/ou arquivos investigados antes e depois da realização da cópia, sendo que se ambos os códigos Hashes gerados forem iguais pode-se garantir que não houve alteração dos bits durante o procedimento, mantendo-se íntegro. Os códigos Hashes gerados devem ser registrados na cadeia de custódia [3], para formalização. O problema de se usar somente os algoritmos Hash para assegurar a integridade da cópia dos discos de armazenamento é que eles identificam o problema, mas não conseguem impedir que ele ocorra, ou seja, se após a cópia for identificado que a integridade não foi mantida, a mídia original já haverá sofrido a alteração, danificando-se o dado irreversivelmente. Esses algoritmos de Hash podem ser utilizados, principalmente, sobre os arquivos ilícitos obtidos na investigação, assegurando-os de que nenhuma alteração ocorreu, garantindo-se a integridade desses dados obtidos. Para exemplificar, utiliza-se o software HashMyFiles10, que aplica os algoritmos mais utilizados, como MD5, SHA-1, SHA-256 e SHA-512, gerando-se o código sobre três arquivos de texto: o primeiro, com o conteúdo “mateus”; o segundo, “mateust”; e o terceiro, “mateus”. Ao exibir os códigos gerados, observa-se que o programa identificou que o conteúdo (bits) do primeiro é igual ao terceiro, destacando-os em vermelho. A Figura 3 exibe esse procedimento. 10 Disponível em: <https://www.nirsoft.net/utils/hash_my_files.html>. Acesso em 6 de março de 2020. 20 Em relação aos dispositivos de armazenamento móveis compatíveis com tecnologia GSM (Global System for Mobile) e que permitem a conexão de um cartão SIM (Subscriber Identity Module), como telefones celulares, os procedimentos de preservação e coleta podem conter alguns detalhes específicos para se garantir a integridade das evidências. Logo, tal conteúdo não é abordado por fugir do escopo deste trabalho. As próximas etapas do processo forense de investigação sobre esses dispositivos de armazenamento são feitas sobre as cópias fiéis realizadas [1], deixando-se as mídias originais resguardadas e todos os fatos registrados formalmente na cadeia de custódia [3]. 4.1.2 Coleta de Dados Voláteis (Live Forensics) Sobre a coleta de dados voláteis, como a realizada em redes TCP/IP, deve-se levar em consideração a alta volatilidade do estado de rede (conforme a Tabela 2). Assim, essa coleta pode ser chamada de “live forensics” (ou forense “ao vivo”), pois os dados dos pacotes trafegados vão sendo capturados em tempo real, podendo ser salvos em arquivos “pcap” para análise posterior [12]. Uma ferramenta que cumpre esse papel é o tcpdump, baseada na libcap, uma API para captura de pacotes de rede durante o seu tráfego e disponibilizada nativamente em sistemas operacionais Linux [11]. Uma outra ferramenta de análise de tráfego em rede Figura 3: Geração de códigos Hash sobre três arquivos de texto. 21 bastante conhecida e eficiente é o Wireshark11, que apresenta uma interface bastante amigável e permite capturar, filtrar e analisar os mais diversos tipos de pacotes de rede. A Figura 4 exibe um exemplo de uso do tcpdump, onde todos os pacotes com destino ao IP 157.240.22.35 (Facebook), na interface wlan0, e que utilizam o protocolo ICMP, são capturados e exibidos em tela. Sabendo-se que essa forma de coleta em rede, geralmente, é realizada sem a presença física do profissional no local do crime, logo, em alguns casos, como no de pornografia infantojuvenil, cabe ao perito, se possível, verificar a máquina questionada no próprio local do crime, pois há a possibilidade de haver o compartilhamento de arquivos ilícitos para outros usuáriosvia Internet [1]. A forma mais comum desse compartilhamento é por meio de conexões “ponto a ponto” (P2P), como eMule12, uTorrent13 e Ares Galaxy14, onde não existe a figura de um servidor central, assim a comunicação entre os computadores é por meio de nós descentralizados e interconectados [16]. Logo, faz-se necessário o perito verificar se algum desses programas estão em execução na máquina, registrando o incidente em forma de foto, vídeo ou uma captura de memória RAM (dump de memória). 11 Disponível em: <https://www.wireshark.org>. Acesso em 8 de março de 2020. 12 Disponível em: <https://www.emule-project.net/home/perl/general.cgi?l=33>. Acesso em 6 de março de 2020. 13 Disponível em: <https://www.utorrent.com/intl/pt/>. Acesso em 6 de março de 2020. 14 Disponível em: <https://aresgalaxy.io>. Acesso em 6 de março de 2020. Figura 4: Captura de tráfego utilizando o tcpdump. 22 Além desses dados relacionados ao estado da rede, pode ser útil a captura de outros dados voláteis, como processos em execução, conexões de rede, arquivos abertos, atividades recentes e histórico de navegação [13]. Essa coleta pode ser facilitada se algum software específico for utilizado, garantindo que esses dados sejam gravados em formatos de fácil visualização (como planilhas ou tabelas), para posteriormente serem analisados com mais cautela [13]. Como exemplo de softwares, vale a pena destacar alguns por serem gratuitos e de fácil utilização. Esses estão apresentados na seguinte ordem, com base nos dados coletados: dump de memória RAM, processos em execução, portas TCP/UDP em execução, histórico de navegação dos browsers e o histórico de hardwares conectados. Para coleta do dump de memória, pode-se utilizar o BelkaSoftware Live RAM15, pois é de fácil uso, por meio de interface gráfica, e armazena o conteúdo em um arquivo no formato “mem”, nomeado de acordo com a data, seguindo o modelo “AnoMêsDia.mem”. Outros exemplos, são as ferramentas mdd (ambiente Windows) e dd (ambiente Linux), executados via linha de comando no terminal. Sobre os processos em execução e os arquivos abertos relacionados a eles, há o software Process Explorer16, que atua por meio de uma interface gráfica. É uma ferramenta bem mais ampla que o Gerenciador de Tarefas, pois mostra até mesmos processos configurados para não serem exibidos nele, como no caso de malwares. Essa ferramenta também permite salvar a captura em um arquivo de texto, ou outro formato mais conveniente. Sobre a coleta de dados das portas TCP e UDP, pode-se utilizar o software TCPView17. Nele, além de apresentar o estado das portas, pode-se observar também o processo que está em execução nela, bem como o PID (número identificador de processo), o número da porta, o endereço remoto da execução e o estado da conexão. Isso é útil em caso de investigação de algum malware sendo executado em alguma porta que não seja muito comum (por exemplo, 22: SSH; 80: HTTP; 25: SMTP), podendo enviar dados remotamente a um atacante. A Figura 5 apresenta esse software em execução. 15 Disponível em: <https://belkasoft.com/ram-capturer>. Acesso em 30 de fevereiro de 2020. 16 Disponível em: <https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer>. Acesso em 6 de março de 2020. 17 Disponível em: <https://docs.microsoft.com/en-us/sysinternals/downloads/tcpview>. Acesso em 6 de março de 2020. 23 As buscas no histórico dos browsers também pode ser bastante eficaz para se ter uma abordagem sobre os sites visitados pelo suspeito, na tentativa de criar alguma relação com o fato investigado [13]. O empecilho é que há uma variedade desses browsers, e cada um armazena suas informações em diretórios diferentes. No entanto, a ferramenta BrowsingHistoryView18 auxilia buscando de forma automatizada essas informações nos principais navegadores existentes, como Google Chrome, Internet Explorer, Mozilla Firefox, Opera e Safari, agrupando-as em uma tela para visualização. Essa ferramenta agrupa a URL da página visitada, seu título, a data em que foi realizado o acesso, a quantidade de vezes em que foi visitada, o browser utilizado e o usuário que estava logado no momento. Observado na Figura 6. 18 Disponível em: <https://www.nirsoft.net/utils/browsing_history_view.html>. Acesso em 6 de março de 2020. Figura 5: Estado e informações das portas TCP e UDP com o uso do TCPView. 24 O último software apresentado é o USBDeview19, responsável por exibir todos os dispositivos de hardware atualmente conectados na máquina, incluindo todos que já foram conectados, como pendrives, HDs externos e smart cards. Observa-se na Figura 7 o nome do dispositivo, tipo de equipamento, número serial, data que foi plugado, data da última vez que havia sido plugado e se o dispositivo está conectado ou não no momento (grifado na cor verde se estiver). 19 Disponível em: <https://www.nirsoft.net/utils/usb_devices_view.html>. Acesso em 6 de março de 2020. Figura 6: Histórico de páginas web com o uso do BrowsingHistoryView. 25 Retornando à coleta dos dados voláteis relativos às redes, sabendo-se que essa pode estar sendo usada para o compartilhamento de dados ilícitos por conexões P2P, é importante ressaltar que podem haver distinções quanto a arquitetura da rede envolvida na investigação. Doutrinariamente, pode-se dividir a Internet em surface web, deep web e darknet [14]. A surface web, ou “internet comum”, é constituída, basicamente, por páginas, sites e conteúdos que utilizam a arquitetura cliente/servidor, onde o conteúdo oferecido está indexado em algum local e pode ser rapidamente encontrado pelos principais buscadores, como Google, Bing e Yahoo!. Já a deep web, é caracterizada pelo anonimato, criptografia e descentralização dos nós da rede, cujo identificar onde o conteúdo está indexado é algo bastante árduo, pois a arquitetura predominante da rede é P2P, onde todos os nós da rede podem servir de cliente/servidor, e os três pontos são alcançados. A darknet é uma classificação de uma rede da deep web, ou parte dela, onde há um alto grau de anonimato e segurança, pois necessita-se de uma verificação mais criteriosa sobre todos os nós da rede [14]. As principais plataformas de acesso à deep web são a Tor20, Freenet21 e I2P22, todas seguindo as principais características de uma rede anônima, descentralizada, segura 20 Disponível em: <https://www.torproject.org/>. Acesso em 27 de fevereiro de 2020. 21 Disponível em: <https://freenetproject.org/>. Acesso em 27 de fevereiro de 2020. 22 Disponível em: <https://geti2p.net/en/>. Acesso em 27 de fevereiro de 2020. Figura 7: Histórico de conexão de dispositivos com o uso do USBDeview. 26 e criptografada. Em relação aos objetivos, denominação de páginas e nós, podem haver algumas distinções, como pode ser observado na Tabela 3. Tabela 3: Comparativo das principais plataformas da deep web. Fonte: Extraído de [14]. I2P Freenet Tor Página Eepsite Freesite Site Extensão .i2p Sequência de chaves (SSK) .onion Nome do nó Roteador Node Relé Objetivo Comunicação anônima e segura Armazenamento Distribuído Comunicação anônima e segura Comunicação Criptografada Criptografada Criptografada Dessa forma, na investigação policial, a coleta e os registros dos conteúdos ilícitos encontrados na surface web são diferentes dos encontrados na deep web, visto que encontrar a autoria dos crimes cometidos na deep web é algo bastante difícil, pois os meios de coleta em rede descritos anteriormente não são eficazes, como análise de pacotes, sendo todo o tráfego anônimo, criptografado e descentralizado. Nesse meio “obscuro”, o mecanismo mais utilizado para se tentar obter a autoria delitiva é a infiltração policial na deep web [14], onde o profissional oculta suaidentidade e documenta os incidentes observados, previsto na lei 13.441/17 [8]. Algumas operações realizadas pela Polícia Federal utilizaram esse método: a Darknet23, que ocorreu no ano de 2014; a Darknet II24, em 2016; e a Undergroud 225, em 2017, culminando no total em torno de 200 mandados de busca e apreensão em 18 estados brasileiros. Outra ferramenta de auxílio no combate à pornografia infantojuvenil é o programa CPS (Child Protection System)26, o qual realiza uma identificação automática 23 Disponível em: <http://www.mpf.mp.br/rs/sala-de-imprensa/docs/outros-documentos/operacao-darknet>. Acesso em 27 de fevereiro de 2020. 24 Disponível em: <http://www.pf.gov.br/agencia/noticias/2016/11/pf-combate-crime-de-pornografia-infantil- na-deep-web>. Acesso em 27 de fevereiro de 2020. 25 Disponível em: <http://www.pf.gov.br/agencia/noticias/2018/04/pf-combate-distribuicao-de-imagens- pornograficas-com-criancas-na-deepweb>. Acesso em 27 de fevereiro de 2020. 26 Disponível em: <https://childrescuecoalition.org/law-enforcement/>. Acesso em 27 de fevereiro de 2020. https://childrescuecoalition.org/law-enforcement/ 27 baseada nos Hashes de arquivos ilícitos conhecidos, principalmente àqueles que envolvem criança ou adolescente, sendo utilizado em 77 países [17]. Nos experimentos realizados no Capítulo 8, demonstra-se a análise de tráfego e conexões em redes TCP/IP por meio de um estudo de caso prático com as ferramentas tcpdump, Wireshark e TCPView, tanto na surface web quanto na deep web, comparando- as. Sobre os dados voláteis da memória RAM e análise de malware, utiliza-se o ProcessExplorer. 4.2 ETAPA DE EXTRAÇÃO Na etapa de extração, o objetivo principal é extrair informações relevantes das cópias fiéis realizadas na coleta. No início da etapa de extração é comum que exista uma quantidade massiva de arquivos de dados [7], alguns até deletados ou bloqueados por senha. A recuperação desses arquivos é um outro objetivo dessa etapa. Para facilitar esse processo, existem algumas ferramentas e técnicas que podem ser usadas para filtrar uma enorme quantidade de dados, recuperar arquivos excluídos e até realizar a recuperação de senhas. A filtragem dos dados pode ser baseada em busca por padrões, por exemplo, realizar essa filtragem baseada no tipo ou formato de conteúdo relacionado à investigação [1], como textos, imagens ou arquivos compactados. Por exemplo, no crime de pornografia infantojuvenil, busca-se por imagens ilícitas como prova da infração. O principal objetivo da filtragem é justamente descartar dados irrelevantes ao fato investigado. No entanto, o conteúdo dos arquivos precisam fazer sentido com o que está sendo buscado, observando-se sua extensão, como por exemplo, uma extensão jpg indica um arquivo gráfico, e um mp3 indica um arquivo de áudio. Porém, essa extensão do arquivo pode ser alterada pelo usuário e essa informação ficar oculta ou inconsistente [7]. Logo, a forma mais precisa é analisar o cabeçalho dos arquivos abrindo-os com uma ferramenta que faça a leitura dos dados em hexadecimal, exibido na Figura 8, usando a ferramenta xxd nativa nos sistemas operacionais Linux. 28 Observando-se o retorno da execução dessa ferramenta, verifica-se que os primeiros bytes do cabeçalho do arquivo (conhecido como magic number) são “FF D8”, indicando que é um arquivo no formato JPEG. Esse procedimento pode ser realizado em outros arquivos, a fim de extrair-se somente o que for realmente necessário à investigação. As próximas subseções tratam da recuperação de arquivos, abordando, respectivamente, as ferramentas que auxiliam na recuperação de dados excluídos e na recuperação de senhas. 4.2.1 Recuperação de Dados Excluídos Os arquivos podem ser deletados de forma intencional por um usuário ou de forma automática pelo próprio computador, como ocorre no caso de arquivos temporários utilizados para uso interno da máquina e em caches dos navegadores Web [10]. A recuperação é possível, pois ao ser apagado o sistema operacional não remove os dados referentes a esse arquivo, mas apenas altera o status do espaço que antes estava como ocupado para disponível, dessa forma os dados vão se sobrescrevendo. Assim, quanto mais recente a exclusão, maior a probabilidade de sucesso na recuperação da informação [1]. Figura 8: Abertura de um arquivo em hexadecimal. 29 Essa recuperação de arquivos apagados é também conhecida como data carving, que ocorre através de uma busca por assinaturas conhecidas nos cabeçalhos dos arquivos, como demonstrado na Figura 8, só que de maneira automatizada. Essa busca é realizada em toda a área disponível do dispositivo de armazenamento, e ao ser encontrado, o restante do arquivo é recuperado [1]. Algumas ferramentas de software que cumprem essa função são o Foremost27, Recuva28, Photorec29, Autopsy30 e o Scalpel31. Vale ressaltar que, na maioria dos casos, o perito não pode utilizar apenas um único software para a recuperação de dados (data carving), mas sim utilizar uma combinação deles para potencializar os efeitos, pois cada software apresenta distinções no desempenho em determinadas áreas e sobre formatos diferentes [13]. Para exemplificar, observa-se na Tabela 4, uma comparação entre o Photorec e o Foremost, ambos aplicados na recuperação de 90 arquivos excluídos (10 de cada tipo), apresentando quantos destes arquivos foram recuperados e quantos estavam íntegros após o carving, com a taxa percentual de rendimento total de cada um. Tabela 4: Arquivos recuperados / íntegros. Adaptado de [13]. Tipo Photorec Foremost Recuperados Íntegros Taxa Recuperados Íntegros Taxa DOCX 6 6 100% 9 0 0% XLSX 6 6 100% 6 6 100% PDF 10 10 100% 5 5 100% JPG 8 8 100% 9 8 88,8% PNG 10 9 90% 9 9 100% RAR 10 10 100% 8 8 100% ZIP 10 10 100% 8 3 37,5% RTF 10 10 100% 0 0 - BMP 10 10 100% 10 10 100% Total 80 79 98,7% 64 49 76,6% 27 Disponível em: <http://foremost.sourceforge.net/>. Acesso em 3 de março de 2020. 28 Disponível em: <https://www.ccleaner.com/recuva>. Acesso em 19 de fevereiro de 2020. 29 Disponível em: <https://www.cgsecurity.org/wiki/PhotoRec>. Acesso em 19 de fevereiro de 2020. 30 Disponível em: <https://www.sleuthkit.org/autopsy/>. Acesso em 19 de fevereiro de 2020. 31 Disponível em: <https://github.com/sleuthkit/scalpel>. Acesso em 2 de abril de 2020. 30 Há outros meios além do data carving que podem ser utilizados para se recuperar dados que foram apagados, como através do conhecimento do sistema operacional e como ele trata determinados dados. Um exemplo que vale citar é o armazenamento das miniaturas das imagens em um arquivo no formato “.db” (database ou banco de dados) feito pelo sistema operacional Windows com o objetivo de agilizar a exibição das imagens de uma pasta em modo miniatura, atuando como um cache. Essas miniaturas das imagens são armazenadas no arquivo “Thumbs.db”, presente na própria pasta, mas oculto ao usuário. O fato é que mesmo as imagens originais sendo apagadas, suas miniaturas continuam guardadas nesse arquivo. Tomando conhecimento desse fato, em um caso de investigação de imagens ilícitas, por exemplo, esse arquivo não pode ser esquecido pelo perito, pois o suspeito pode ter excluídos as imagens a fim de ocultar provas, visto que as miniaturas podem ter ficado armazenadas no “Thumbs.db”. As ferramentas que podem ser utilizadas para extração dos dados presentes nesse arquivo são: vinetto32 (disponível para Linux, MacOS e Windows, escrito em Python) e o Thumbs Viewer33 (disponível somente para Windows). Ambas são gratuitas e auxiliam no processo de documentação, pois geram um relatório em formato “.html” de fácil visualização em qualquer browser, incluindo o código Hash (algoritmo MD5) para garantia de integridade. Para exemplificar a extraçãosobre esse tipo de arquivo de banco de dados de miniaturas, realiza-se uma aplicação da ferramenta vinetto. A versão utilizada foi a “0.8.0”, pois essa é compatível com os “Thumbs.db” gerados por todas as versões do Windows até o Windows 10, sendo que sua versão anterior (“0.7.0”) só é compatível até o Windows Server 2003. Já o Thumbs Viewer é compatível com todas suas versões. A Figura 9 exibe a execução da vinetto. 32 Disponível em: <http://vinetto.sourceforge.net/>. Acesso em 31 de março de 2020. 33 Disponível em: <https://thumbsviewer.github.io/>. Acesso em 31 de março de 2020. 31 Nessa execução, utiliza-se um arquivo “Thumbs.db” referente ao sistema operacional Windows 10. Passa-se “-H” como parâmetro para que o relatório em formato “html” seja criado, indicando-se também o diretório de extração, especificado pelo parâmetro “-o” (“/root/UFPI/TCC/vinetto_output”), além do diretório onde se encontra o arquivo “Thumbs.db” (“/root/UFPI/TCC/Thumbs.db”). A Figura 10 exibe o resultado dessa extração. Figura 9: Execução do comando para extração dos dados do arquivo Thumbs.db. Figura 10: Imagens extraídas pela ferramenta vinetto e o relatório “index.html”. 32 Para documentação, pode-se anexar somente o relatório “html” gerado, pois nele estão contidas todas as imagens, o Hash MD5, sua data de criação, e informações sobre os metadados dos arquivos (MACtimes), bem como a data de modificação do “Thumbs.db”. Uma parte desse relatório, aberto no browser, pode ser visualizado na Figura 11. Mais experimentos a respeito do “Thumbs.db” não estão no escopo deste trabalho, por isso não são abordados novamente nos estudos de caso. Por fim, cabe ressaltar que, em alguns casos, esses dados podem ser permanentemente perdidos devido às técnicas antiforenses, como a sanitização (“wipe”) e a desmagnetização de discos, apresentadas com mais detalhes no Capítulo 5. Figura 11: Exibição do relatório “index.html” gerado pelo vinetto. 33 4.2.2 Recuperação de Senhas Outro caso que pode ocorrer dentro da etapa de extração é a necessidade de se utilizar ferramentas que possibilitem o acesso ao conteúdo de arquivos protegidos por senha. Essa recuperação de senha varia de acordo com o contexto e de onde a senha está armazenada. Há algumas técnicas conhecidas para esse fim, como ataque por força bruta, ataque de dicionário e Rainbow Tables, explicados nessa subseção, podendo realizar descoberta dessa senha [1]. Esses ataques são por tentativa e erro, ou seja, onde várias senhas vão sendo testadas até se encontrar a correta; um exemplo de ferramenta de ataque por força bruta é a John the Ripper34. Esse processo testa todas as senhas possíveis, podendo ser um processo bastante custoso e até inviável, dependendo do tamanho e modelo de senha utilizado. Logo, recomenda-se a criação de um dicionário de possíveis senhas para teste, através de softwares específicos, como o Crunch35. Ele limita a ampla gama de possibilidades de senhas para tornar o ataque mais ágil (ataque de dicionário). Esse procedimento é demonstrado na Figura 12. 34 Disponível em: <https://www.openwall.com/john/>. Acesso em 19 de fevereiro de 2020. 35 Disponível em: <https://tools.kali.org/password-attacks/crunch>. Acesso em 19 de fevereiro de 2020. Figura 12: Geração de um dicionário de palavras com a ferramenta Crunch. 34 Gera-se um dicionário de palavras que tenham tamanho mínimo de 9 dígitos (parâmetro “9”) e máximo 9 (parâmetro “9”), além de especificar que as palavras devem começar com “mateus” e possuir três dígitos no final (de 0 a 9), onde o “@” é substituído pelo caractere ou conjunto de caracteres passados como parâmetro, que no caso é “0123456789”. Após a execução, os dados são salvos em um documento de texto (“dic_caso01.txt”) para que possam ser utilizados futuramente em um ataque de dicionário com as possíveis senhas geradas. Os parâmetros podem ser moldados pelo perito conforme a suspeita de senhas ou mediante algumas pistas que já tiverem sido obtidas. Já os ataques de RainBow Tables são utilizados sobre Hashes criptográficos com o objetivo de revertê-las, por meio do uso de tabelas pré-computadas. Essas tabelas contêm vários códigos Hashes com suas respectivas mensagens em claro. Os códigos da tabela vão sendo comparados com o Hash que se deseja reverter, e assim que ambos forem iguais, descobre-se também a mensagem original. Há alguns empecilhos que dificultam o ataque por RainBow Tables, como a necessidade de se ter o Hash da senha como condição obrigatória. Outro ponto, é a possibilidade de uso de um salt, ou seja, um pequeno valor (aleatório ou não) que é agregado à senha antes de gerar o Hash, a fim de aumentar a aleatoriedade da saída produzida. Mais detalhes sobre esse assunto fogem do escopo deste trabalho. Para aumentar a efetividade do processo, as tabelas de Hashes pré-computadas devem ser criadas de acordo com características específicas do sistema alvo. Por exemplo, se o sistema permite apenas senhas contendo letras e números, com tamanho mínimo de cinco e máximo de oito, e utiliza o algoritmo MD5, os Hashes devem ser criados a partir dessas características. Alguns softwares que podem ser utilizados para esse fim são o Ophcrack36 e o FindMyHash37. O software Ophcrack, disponível tanto para sistemas Windows quanto Linux, pode ser utilizado, como exemplo, para a descoberta da senha de login do sistema. Para exemplificar, utiliza-se o sistema operacional Windows 10, onde são extraídos os arquivos “SAM” e “system” localizados em “C:/Windows/System32/config”, pois esses arquivos armazenam os dados dos usuários incluindo a senha em código Hash, carregando-os no programa. Observa-se esse processo na Figura 13. 36 Disponível em: <https://ophcrack.sourceforge.io/>. Acesso em 19 de fevereiro de 2020. 37 Disponível em: <https://code.google.com/archive/p/findmyhash/>. Acesso em 19 de fevereiro de 2020. 35 Conclui-se que há somente um único usuário, o “Administrador” de nome “mateu”, pois apenas um único Hash foi identificado. As tabelas pré-computadas, utilizadas no ataque, são disponibilizadas pelo próprio software. A recuperação de senhas também pode ser realizada de forma direta quando alguns softwares armazenam essas senhas com alguma codificação simples dentro do registro do Windows ou as cifram utilizando uma chave conhecida e armazenam o criptograma da senha concatenado-a ao arquivo criptografado. Nesse caso, utilizando-se as ferramentas de recuperação adequadas, é possível obter-se a senha ou a chave de maneira rápida e eficiente [13]. Um exemplo disso é o armazenamento de senhas realizado por parte da maioria dos browsers quando o usuário opta por guardar suas senhas para poupar o esforço de ter que digitá-las toda vez que for realizar o login em determinadas páginas. Assim, recomenda-se que o perito tenha conhecimento de onde essas informações ficam armazenadas no sistema, pois isso pode variar conforme o browser [13]. A maioria desses browsers, como o Google Chrome e o Opera, armazenam os logins e senhas dos sites visitados em um arquivo no formato de banco de dados SQLite Figura 13: Carregamento dos arquivos com os Hashes das senhas. 36 denominado Login Data no armazenamento local. No Windows, as senhas encontram-se criptografadas por meio de uma API própria desse sistema, podendo ser descriptografadas por meio dela se for utilizada a mesma máquina e o mesmo usuário que a criptografou (possuidor da chave). Para auxiliar nessa tarefa, há o site SecurityXploded38, que especifica o caminho onde esses arquivos de senhas de diversos browser são salvos localmente, além de disponibilizar softwares responsáveispor extrair e descriptografar essas senhas por meio dessa mesma API do Windows. Utilizando-se o browser Opera como exemplo, os arquivos de senhas registradas são salvos em “C:/Users/[Nome_do_Usuário]/Appdata/Roaming/Opera Software/Opera Stable/Login Data” (sistema operacional Windows 10), podendo ocorrer pequenas variações de nomes e diretórios dependendo do sistema operacional em questão. Tomando conhecimento desse fato, o perito pode extrair esse arquivo (“Login Data”) e utilizá-lo no software específico que realiza a recuperação das senhas, no caso, o Opera Password Decryptor39, que é destinado ao Opera, observado na Figura 14. 38 Disponível em: <https://securityxploded.com/passwordsecrets.php>. Acesso em 6 de março de 2020. 39 Disponível em: <https://securityxploded.com/download-software.php?id=4281>. Acesso em 6 de março de 2020. Figura 14: Recuperação dos usuários e senhas de vários sites. 37 Assim, são exibidas as URLs (coluna “Website URL”) dos sites com seus respectivos dados de usuário (coluna “Username”) e senhas salvas em texto claro, na coluna “Password”. 4.3 ETAPA DE ANÁLISE A análise consiste em um exame realizado sobre as informações extraídas do material apreendido buscando a identificação de evidências digitais que possuam relação com o fato investigado [1], podendo ser feita por meio de arquivos de logs e de registros efetuados pelos sistemas operacionais. Assim, o perito deve estudar os dados para tirar conclusões a partir deles, como identificação de pessoas, lugares, itens, eventos e qual a relação desses dados com o incidente em questão [7]. Embora a etapa de extração tenha recuperado e identificado informações mais relevantes atuando como uma espécie de filtro, a quantidade de dados permanece grande, como por exemplo, um disco de 80 Gigabytes (80GB) — uma capacidade pequena comparada aos discos mais atuais de 1 Terabyte (1TB) — após ser peneirado ainda pode conter milhares de arquivos [1]. Analisar visualmente todo o conteúdo filtrado é uma tarefa árdua, visto que o tempo é um fator importante no processo investigativo, pois existem prazos para sua conclusão. Dessa forma, ferramentas como filtros de palavras-chave podem ser utilizados a fim de poupar esse tempo. Cabe distinguir os filtros utilizados na etapa anterior, a extração, dos utilizados na análise. Os filtros da etapa anterior atuam de modo mais genérico, filtrando dados em sua maioria, baseados em formatos, por exemplo. Nessa etapa, busca-se por dados de maneira mais específica, como por exemplo, o próprio conteúdo do dado, verificando-o como sendo ilícito ou não. Outro ponto relevante da etapa de análise é que há a possibilidade de alguns arquivos extraídos conterem informações ocultas, ou seja, tem-se um arquivo ocultando outro arquivo (ou uma mensagem). O exemplo de técnica antiforense mais comum para ocultação de informação é a esteganografia, podendo ser aplicada sobre imagens, áudios, vídeos ou textos [18]. Essa técnica é apresentada com mais detalhes no Capítulo 5. 38 Dessa forma, o perito deve estar apto na utilização de ferramentas que auxiliem na busca e organização dos dados extraídos, poupando-se o tempo de investigação. As próximas subseções abordam, respectivamente, ferramentas para análise de logs e registros gerados pelos sistemas operacionais Linux e Windows; e para análise baseada em filtros de palavras-chave. 4.3.1 Análise de Logs e Registros Em alguns casos, saber quando algo aconteceu pode ser mais valioso do que saber o que aconteceu [7], por isso que as relações dos dados com o tempo são bem importantes, e uma forma de se utilizar esse fator na análise é a partir da observação dos MACtimes [10]. Teoricamente, essa denominação a esses metadados é uma maneira abreviada de se referir aos três atributos do tempo: Atime (última data/hora que o arquivo ou diretório foi acessado), Mtime (tempo que o conteúdo do arquivo foi modificado) e Ctime (tempo da alteração das permissões ou propriedades do arquivo) [10]. A análise baseada em logs gerados pelo sistema operacional Linux tem seu sistema de registro dividido em três componentes: eventos de conexão, logs de auditoria e registros do sistema [9]. No primeiro, os logs armazenam os usuários que acessaram o sistema e a data desse acesso; nos de auditoria, registra-se as informações sobre os recursos usados na execução dos processos, como memória e uso da CPU; já nos registros de sistema (em /var/log) tem-se vários dados sobre alterações gerais da máquina [9]. A Tabela 5 elenca alguns desses principais arquivos de log dos sistemas operacionais Linux encontrados, geralmente, na pasta “/var/log” (alguns ocultos ao usuário), acompanhados de seu respectivo conteúdo. 39 Tabela 5: Principais arquivos de log gerados nos sistemas Linux. Arquivos de log Descrição utmp Registra os usuários conectados no sistema. Pode ser acessado por meio dos comandos w, who ou finger. wtmp Registra os eventos de login e logout do sistema. Pode ser acessado através do comando lastlog. btmp Registra as falhas de conexão ao sistema. Pode ser acessado através do comando lastb. sulog Registra os usos do comando su (superusuário ou root). syslog Registra os eventos ocorridos no sistema, como falhas ou tentativas de invasão. Logs de histórico Arquivos como .history, .bash_history, que registram o histórico de comandos executados por usuário. Algumas ferramentas desse sistema operacional facilitam o acesso e a visualização desses logs no próprio terminal, via linha de comando. Alguns exemplos são a netstat, que exibe as conexões ativas na rede; history, que exibe o histórico de comandos que foram utilizados no terminal; e lastlog, que exibe todos os acessos dos usuários à máquina com a data correspondente [9]. Em sistemas operacionais Windows, esses registros consistem em hives40, armazenados em diferentes arquivos, porém são mostrados como se fossem um único arquivo. Sua funcionalidade é centralizar o armazenamento de informações, como parâmetros, configurações de dispositivos e preferências de usuários [13]. Essa estrutura lógica pode ser observada acessando-se o editor do registro do Windows (Regedit.exe). Suas chaves raízes, com a respectiva descrição, são apresentadas na Tabela 6. 40 Do inglês, “colmeia”. Definido como um grupo de vários nodos em formato de árvore, hierarquicamente, contendo chaves, valores e ponteiros. 40 Tabela 6: Chaves raízes do registro do Windows e suas descrições. Adaptado de [13]. Chave Descrição HKEY_CLASSES_ROOT Link simbólico para HKEY_LOCAL_MACHINE\ SOFTWARE\Classes. HKEY_CURRENT_USER Link simbólico para uma chave sob HKEY_USERS, representando um hive de perfil de usuário. HKEY_LOCAL_MACHINE Espaço reservado sem hive físico correspondente. Essa chave contém outras chaves que são hives. HKEY_USERS Espaço reservado que contém os hives de perfis de usuários de contas em uso (usuários com sessão de login aberta). HKEY_CURRENT_CONFIG Link simbólico para a chave do perfil de hardware atual sob HKEY_LOCAL_MACHINE\ SYSTEMCurrentControlSet\Control\IDConfigDB\ Hardware Profiles. Para análise automática desses hives do Windows, há um software bastante eficiente e de fácil uso, o Windows Registry Recovery41, utilizado para analisar os seguintes dados: nome da máquina (hive “default”), informações sobre os grupos e contas dos usuários (hive “SAM”), e informações sobre a instalação do Windows e de outros softwares (hive “software”) [13]. Os logs gerados no ambiente Windows têm objetivos semelhantes aos do ambiente Linux, que, de modo geral, é registrar os eventos ocorridos na máquina como um todo, podendo ser divididos em cinco categorias: logs de aplicativos, sobre os eventos relacionados aos programas instalados; de segurança, sobre os relacionados às auditorias(se habilitado), como tentativas de logon com/sem sucesso; de instalação, sobre os processos de instalação e remoção de aplicações; de sistema, sobre os eventos de erros, avisos e informações do próprio Windows; e de eventos encaminhados, sobre os eventos de outros servidores [13]. Essa análise de logs é demonstrada de forma prática no estudo de caso no Capítulo 7, em um sistema operacional Linux, por meio da análise de eventos ocorridos nesse sistema. 41 Disponível em: <http://www.mitec.cz/wrr.html>. Acesso em 9 de março de 2020. 41 4.3.2 Análise por Palavras-Chave A pesquisa por palavras-chave nos dispositivos de armazenamento é uma técnica bastante utilizada no meio pericial, sendo realizada sobre os inúmeros dados extraídos na etapa anterior (extração) [1]. Ela consiste em aplicar filtros baseados em palavras-chave ou Hashes de arquivos conhecidos para descartar os dados irrelevantes e destacar os que têm relações com o filtro aplicado. Uma ferramenta que pode auxiliar nesse processo é o Known File Filter42 (KFF), que compara os Hashes de arquivos conhecidos com os dos arquivos extraídos, sendo que esses Hashes são baseados no conteúdo do arquivo e não no nome ou extensão, evitando-se análises errôneas. O KFF pode auxiliar a encontrar arquivos ilícitos e até malwares, além de identificar e ignorar de 40% a 70% dos arquivos irrelevantes ou do sistema operacional, aperfeiçoando a análise [1]. Os softwares Forensic Toolkit (FTK) e o Encase são exemplos de ferramentas que auxiliam essa análise aplicando filtros KFF, filtros por palavras-chave e buscas dentro do sistema de arquivos [1]. Em sistemas operacionais Linux, há outras ferramentas que podem ser úteis para a reconstrução ou rastreio de um incidente, como os comandos básicos grep e find, que filtram dados por palavras-chave [9]; ou o sed e awk, que também realizam esse filtro, mas permitindo o uso de expressões regulares avançadas para refinar ainda mais a busca [9]. Outro ponto importante nessa etapa é no âmbito da busca de pacotes em redes de computadores através de técnicas e ferramentas que identificam e separam do tráfego protocolos desejados, endereços IP de origem/destino ou portas. Essa análise de dados em pacotes TCP/IP apresenta algumas peculiaridades, como por exemplo, a forma e o momento em que é realizada. Ela pode ser feita em um tráfego sendo analisado em tempo real pelo próprio perito ou sobre uma captura de tráfego realizada em um momento anterior (modo offline). No primeiro caso, pode não haver etapa de coleta e extração, iniciando-se diretamente na etapa de análise. No segundo caso, todas as etapas se fazem presentes. 42 Disponível em: <https://ad-pdf.s3.amazonaws.com/ftk/6.3.x/KFF_Install.pdf>. Acesso em 19 de fevereiro de 2020. 42 As ferramentas Wireshark, tcpdump e ngrep43 são alguns exemplos. Essa última permite uma filtragem em rede baseada no foco de cada investigação, criando-se “listas de palavras sujas” (dirty word lists), vulgarmente conhecidas assim por serem palavras suspeitas e que na maioria dos casos têm relação com o incidente em questão [12]. 4.4 ETAPA DE FORMALIZAÇÃO A última etapa do procedimento forense computacional é a formalização, onde um laudo técnico pericial deve ser elaborado contendo idônea validade probatória, ou seja, ser incontestável quanto a sua integridade, assegurando que se os experimentos forem realizados novamente, os mesmos resultados serão obtidos com a mesma precisão. Esse laudo deve seguir as especificações do artigo 473 do Código de Processo Civil [5], relatando-se a cronologia dos fatos na cadeia de custódia [3], esclarecendo-se os procedimentos e métodos utilizados para a obtenção dos vestígios, além de responder aos quesitos apresentados pelo juiz, pelas partes e pelo Ministério Público [5]. Insta ressaltar, que esse laudo passa por uma análise de um delegado e de um juiz, ambos não sendo, necessariamente, conhecedores de informática e nem das ferramentas ou técnicas empregadas pelo profissional que atua na área de tecnologia, sendo responsabilidade do perito que elabora o laudo ser o mais claro e sucinto possível, ou seja, evitar a utilização de termos técnicos e evitar descrever em detalhes a tecnologia utilizada, a fim de dirimir dúvidas [13]. Assim, todas as informações obtidas nas etapas anteriores, como os elementos de materialidade do crime, devem ser anexadas ao laudo de modo objetivo. Geralmente, esse anexo é um CD-ROM contendo os dados obtidos, por ser de fácil acesso às autoridades do direito e terem um custo relativamente baixo. Por fim, essa etapa é fundamental para manter a segurança, a transparência e a validade de eventuais evidências digitais encontradas nos materiais examinados. Em geral, a estrutura seguida nos laudos técnicos periciais apresentam os seguintes tópicos: preâmbulo, histórico, material, objetivo, considerações técnicas ou periciais, exames e respostas aos quesitos ou conclusões [1]. Um exemplo dessa estrutura de laudo está exemplificado na Tabela 7. 43 Disponível em: <http://ngrep.sourceforge.net/usage.html>. Acesso em 19 de fevereiro de 2020. 43 Tabela 7: Seções do laudo técnico pericial. Fonte: adaptado de [1]. Laudo Técnico Pericial (Forense Computacional) Preâmbulo Identificação do laudo: título, subtítulo, número, data de emissão, etc. Histórico Fatos anteriores ao laudo (opcionais). Material Descrição detalhada do material questionado, como marca, modelo, número de série, valor hash, etc. Objetivo Objetivos principais do exame pericial. Considerações técnicas ou periciais Onde o perito pode descrever conceitos para facilitar o entendimento do laudo (opcional). Exames Descrição dos métodos e técnicas utilizadas para localização das evidências. Respostas aos quesitos/conclusões Resumo objetivo dos resultados obtidos. 5. ANTIFORENSE COMPUTACIONAL O termo antiforense computacional pode ser definido como qualquer tentativa de comprometimento à disponibilidade ou à utilidade de evidências para o processo forense. O comprometimento dessa disponibilidade de evidências inclui quaisquer tentativas de impedir que elas estejam evidentes, ocultando-as ou manipulando-as, a fim de garantir que não esteja mais ao alcance do investigador [20]. Assim, preliminarmente, pode-se julgar esse termo como sendo os métodos utilizados para impedir a aplicação da ciência às leis civis e criminais utilizadas pelas agências policiais em um sistema de justiça criminal, comprometendo a disponibilidade ou utilidade de evidências para o processo forense [20]. As ações antiforenses podem ser classificadas em grupos de acordo com suas finalidades em relação aos dados: destruição, ocultação, proteção, eliminação da fonte e falsificação [13][20]. A Tabela 8 reúne essas ações correlacionando-as com seu(s) objetivo(s), dentro de uma categoria. 44 Tabela 8: Ações antiforenses e suas categorias. Traduzido e adaptado de [20]. Ações Categorias Eliminação da fonte Falsificação Destruição Ocultação Proteção Alterações no MACtimes (Modification , Access, Creation time) - Reescrever com dados aleatórios Deletar as informações sobre MACtimes ou reescrevê-las - - Exclusão / sanitização (wipe) dos dados - - Sobrescrever o conteúdo com dados aleatórios ou pôr zero em todos os bits Excluir o arquivo - Destruição física ou desmagnetiza ção do disco - - Destruir fisicamente a mídia de armazenamento - - Ataque Hijacking — sequestro de conta ou sessão - Criar evidências falsas através da conta/sessão de outro usuário - - - Desabilitação de logs Não são disponibiliza das informações sobre atividades realizadas - - - - 45 Criptografia - - - - Codificar os dados de forma que apenas o detentor da chave correta consiga decodificar Encapsulame nto dos dados - - - Ocultar um arquivo em outro -
Compartilhar