Baixe o app para aproveitar ainda mais
Prévia do material em texto
AN02FREV001/REV 4.0 58 PROGRAMA DE EDUCAÇÃO CONTINUADA A DISTÂNCIA Portal Educação CURSO DE COMPUTAÇÃO FORENSE Aluno: EaD - Educação a Distância Portal Educação AN02FREV001/REV 4.0 59 CURSO DE COMPUTAÇÃO FORENSE MÓDULO III Atenção: O material deste módulo está disponível apenas como parâmetro de estudos para este Programa de Educação Continuada. É proibida qualquer forma de comercialização ou distribuição do mesmo sem a autorização expressa do Portal Educação. Os créditos do conteúdo aqui contido são dados aos seus respectivos autores descritos nas Referências Bibliográficas. AN02FREV001/REV 4.0 60 MÓDULO III 25 PRINCIPAIS EXAMES FORENSES EM INFORMÁTICA A computação Forense é uma grande ferramenta de auxílio nas investigações de crimes digitais ou cibernéticos, pois podemos perceber que essa prática vem crescendo cada vez mais, com o surgimento, desenvolvimento e acesso as novas tecnologias. Com certeza esse crescimento desenfreado também tem seu lado negativo, pois muitas pessoas e empresas não conhecem nada ou não tem informação nenhuma sobre o processo de configuração de um sistema de segurança, muitas empresas enxergam esse processo como uma despesa, que ao contrário serve para proteger seus dados e informações, isso sim custará muito caro se não tiver uma proteção correta e eficaz. Agora vamos ao nosso objetivo que é conhecer os principais exames Forenses da computação, onde esses podem auxiliar os profissionais a identificar esses sistemas, sites e criminosos digitais. Vamos aqui destacar nesses estudos cinco principais exames forense da computação, iniciando por Exames e procedimentos em locais de crime de informática, Exames em dispositivos de armazenamento computacional, Exames em sites da Internet, Exames em mensagens eletrônicas (e-mails), Exames em aparelhos eletrônicos móveis. Exame e procedimento em locais de crime de Informática: este exame tem a responsabilidade de analisar, identificar, localizar os equipamentos sejam os que foram invadidos ou os invasores. Todo esse processo pode ocorrer por mandatos de busca e apreensão, solicitados pela justiça para realizar investigação em equipamentos de informática. Exames em dispositivos de armazenamento computacional: este exame por sua vez tem a responsabilidade de analisar todos os arquivos, sistemas, aplicativos que estejam instalados e armazenados em um determinado equipamento de informática, possui quatro passos para sua composição, como preservação dos AN02FREV001/REV 4.0 61 arquivos, extração dos dados, análise e formalização dos indícios do crime. Geralmente nesse exame são examinados crimes relacionados à pornografia infantil, sonegação fiscal, fraude de documentos, tráfego de pessoas e busca encontrar no disco rígido, no HD, Pen drive, cartão de memória, HD externo documentos, dados, informações, provas e indícios relevantes para comprovar o ato de delito. Exames em sites da Internet: este exame tem como objetivo verificar o conteúdo existente em um site ou página da internet, analisando e identificando se tem conteúdos relacionados à pornografia infantil, calúnia e difamação de pessoas e empresas e informações enganosas. Esse exame analisa e identifica os responsáveis pelas publicações no site da internet, identificação do domínio de internet, o endereço IP que está sendo utilizado, como também realiza cópia e armazenamento das informações encontradas nesses sites. Exames em mensagens eletrônicas (e-mails): neste exame se consegue identificar o responsável pelo envio do e-mail ou mensagem, essas mensagens que contêm calúnia, difamação que estão de certa forma denegrindo a imagem de uma pessoa ou empresa. Nesses, conseguem ser identificados dados e informações do remetente, como endereço IP, endereço DNS, horário e data da mensagem encaminhada. Exames em aparelhos eletrônicos móveis: neste exame são analisados e identificados dados extraídos das mensagens enviadas pelo remetente, tais como número de telefone, endereço, horário e data, dados relacionados à chamada, dados relacionados às mensagens de SMS. Caro(a) estudante, agora que você já conhece os principais exames da computação Forense na informática, vamos estudar sobre as Fases do Exame Forense em Computação? 26 FASES DO EXAME FORENSE EM COMPUTAÇÃO No conteúdo anterior nós já mencionamos essas fases do Exame Forense na informática, mas vamos relembrar para você! Os exames Forenses servem para que os peritos criminais possam analisar e identificar possíveis evidências e provas em uma investigação criminal, dentro da AN02FREV001/REV 4.0 62 computação é possível destacar que o objetivo do profissional é buscar provas digitais referentes a dados e informações contidas no HD de um computador, no disco rígido, nas mídias, cartão de memória, HD externo, Pen drive, onde podem ser encontrados vestígios e dados do invasor. Para realizar os exames da Computação Forense são seguidas quatro fases principais: Prevenção, Extração, Análise e Formalização. Iniciando pela Fase de Prevenção, essa por sua vez possui como objetivo armazenar e fazer cópias de todos os dados, informações e indícios encontrados nos equipamentos de informática para que não sejam alterados e não sofram nenhum dano que possa alterar sua condição original. FIGURA 12 - ESPELHAMENTO E IMAGEM DE DADOS FONTE: Disponível em: <http://www.comutadores.com.br/tag/3com/>. Acesso em: 01 out. 2013. Na segunda fase do exame Forense vamos encontrar a Extração, esse possui como objetivo recuperar os dados e informações que estavam registrados em um equipamento de informática, pois geralmente quando um dado é apagado de um computador, esse pode ser encontrado em sua memória principal, no disco rígido ou no HD, em muitas empresas que possuem servidor Backup, também podem ser encontrados dados perdidos, danificados, alterados e apagados. http://www.comutadores.com.br/tag/3com/ AN02FREV001/REV 4.0 63 FIGURA 13 - BACKUP DE ARQUIVOS FONTE: Disponível em: <http://www.ibm.com/developerworks/br/library/l-backup/>. Acesso em: 01 out. 2013. Na terceira fase do exame Forense que é a Análise, podemos verificar que o procedimento consiste em analisar e identificar possíveis registros de evidências digitais, como dados do intruso, vestígios deixados ao invasor o computador. Na quarta e última fase vamos analisar a Formalização, essa possui como objetivo o desenvolvimento do laudo pericial, nessa fase devem ser registrados todos os dados e informações imprescindíveis para a investigação como os métodos e técnicas utilizadas, metodologias utilizadas para extrair os dados e informações do equipamento de informática, levando em conta que cada processo possui uma metodologia para ser utilizada. FIGURA 14 - LAUDO PERICIAL FONTE: Disponível em: <http://periciacriminalalagoana.blogspot.com.br/2013/02/estrutura-dos- modelos-de-laudo-pericial.html>. Acesso em: 01 out. 2013. http://www.ibm.com/developerworks/br/library/l-backup/ http://periciacriminalalagoana.blogspot.com.br/2013/02/estrutura-dos-modelos-de-laudo-pericial.html http://periciacriminalalagoana.blogspot.com.br/2013/02/estrutura-dos-modelos-de-laudo-pericial.html AN02FREV001/REV 4.0 64 27 CRIMES COMETIDOS COM O USO DE EQUIPAMENTOS COMPUTACIONAIS Com o salto que houve ao acesso as novas tecnologias, muitas pessoas têm acesso a computadores, Notebooks, Smartphones e Tablets o aumento da criminalidade na era digital também cresce consideravelmente. Analisando uma pesquisa da Agência Brasil de Comunicação, divulgada no mês de agosto desteano de 2013, podemos observar quais os pontos mais relevantes referentes à invasão de sites, sistemas aplicativos e equipamentos de informática vem aumentando cada vez mais. Vamos analisar a seguir alguns pontos dessa pesquisa: TABELA 3 - PESQUISA SOBRE CRIMES DIGITAIS São Paulo – O número de pessoas que já sofreram ou conhecem alguém que tenha sido vítima de crime digital passou de 12,7%, no ano passado, para 17,9% este ano, revela a quinta edição da pesquisa O Comportamento dos Usuários na Internet, feita pela Federação do Comércio de Bens, Serviços e Turismo no Estado de São Paulo (FecomercioSP). Segundo a pesquisa, apresentada hoje, os homens continuam sendo os mais atingidos, com 20,6% dizendo já ter sido vítima, contra 15,2% das mulheres. Feita em maio, a pesquisa fez 33 perguntas a 1.000 pessoas na capital paulista. Mesmo com os riscos frequentemente apontados para operações na internet, a pesquisa mostra que, no ano passado, 79,8% dos usuários usavam alguma ferramenta de prevenção e que, neste ano, o número caiu para 65,4%. Entre os entrevistados, 66,6% disseram conhecer a nova lei de crimes cibernéticos e 16,3% acreditam que ela será suficiente. Perguntados sobre conteúdos ilegalmente espalhados pela rede, 65,9% disseram que o material irregular deve ser removido imediatamente, a pedido da vítima, e 34,1% responderam que isso deve ser feito por ordem judicial. FONTE: Adaptado de Agência Brasil. Disponível em: <http://agenciabrasil.ebc.com.br/noticia/2013-08- 12/pesquisa-mostra-aumento-do-numero-de-vitimas-de-crimes-digitais>. Acesso em: 01 out. 2013. Há vários meios para praticar crimes via internet, pois muitas vezes tanto sites, como redes de empresas e computadores pessoais não estão protegidos com http://agenciabrasil.ebc.com.br/noticia/2013-08-12/pesquisa-mostra-aumento-do-numero-de-vitimas-de-crimes-digitais http://agenciabrasil.ebc.com.br/noticia/2013-08-12/pesquisa-mostra-aumento-do-numero-de-vitimas-de-crimes-digitais AN02FREV001/REV 4.0 65 sistemas de segurança, podemos destacar alguns exemplos de crimes que ocorrem com objetivo de realizar, por exemplo, fraude eleitoral, tráfico de drogas, falsificação de documentos, falsificação de identidade, sonegação fiscal, roubo de dados e informações, invasão de sites, roubo de senhas, acesso a contas bancárias alheias, disseminação de material pornográfico infantil, tráfego de pessoas, neste caso principalmente para prostituição e tráfego de crianças, esses são alguns exemplos de práticas criminosas que ocorrem na era digital, muitas vezes, os criminosos usam computadores de pessoas inocentes para praticar esses crimes e a pessoa ou usuário nem acaba sabendo que está servindo várias espécies de criminosos, por isso a importância de obter e ter configurado sistemas de segurança e proteção dos dados. Vamos destacar a seguir algumas explicações sobre os atos criminosos decorrentes de invasão de máquinas e equipamentos eletrônicos, isso ocorre geralmente para prejudicar uma pessoa, usuário ou empresa, seja ela privada ou pública. TABELA 04 - DELITOS DIGITAIS FONTE: LAMPERT, Edna. Delitos Digitais, 2013. AN02FREV001/REV 4.0 66 Estudante, agora que já exercitou sobre a prática dos crimes digitais, vamos juntos para o próximo estudo, sobre o Processo de Investigação! 28 O PROCESSO DE INVESTIGAÇÃO Toda investigação precisa passar por fases ou podemos chamar de processos, esses servem para definir, analisar e identificar as causas de um crime, encontrar as evidências e realizar exames e aplicar técnicas e métodos de investigação criminal. A investigação tem como principal função buscar respostas que subsidiem o porquê de um crime ou fato tenha ocorrido, quais os motivos, quem realizou bem como vários outros fatores que ao realizar uma análise e investigação pode ser encontrado em uma cena de crime. Além das respostas a serem respondidas em referência ao fato ocorrido um investigador ou perito criminal deve formular as possíveis hipóteses sobre o acontecido, essas hipóteses são desenvolvidas em cima dos indícios e provas encontradas e a partir delas são realizadas deduções do que pode ter acontecido ou do que ainda podem ocorrer. Por isso, a importância da análise e desenvolvimento das hipóteses, em que essas confirmam as ideias e confirmações das deduções feitas acerca de um determinado crime. Outro fator muito importante para o desenvolvimento de uma investigação são as formas de divulgação, pois isso precisa ser feito para auxiliar no desenvolvimento do trabalho dos outros investigadores, pesquisadores e peritos envolvidos em uma investigação. Essa divulgação deve ser feita por meio de publicações, seminários, eventos, congressos e apresentações dos relatos e hipóteses já encontradas e realizadas. Como já mencionamos anteriormente a investigação também possui processos, a investigação não deixa de ser um desenvolvimento de um estudo e como todo estudo deve ser delimitado o tema. Esse tema precisa ser delimitado e separado em partes, isso acontece para que o pesquisador possa estudar, analisar e desenvolver o estudo especificamente na sua área de atuação. AN02FREV001/REV 4.0 67 Vamos agora apresentar alguns pontos muito importantes para o desenvolvimento de um processo de investigação, iniciando pela coleta dos dados e fatos encontrados, cuidados com a cena ou equipamentos envolvidos no crime, bem como cuidados para coletar os indícios, são pontos muito importantes em um processo investigativo. Etapas para o desenvolvimento do Processo de Investigação, podemos citar que fazem parte os itens a seguir: FIGURA 15 - PROCESSOS DE INVESTIGAÇÃO FONTE: LAMPERT, Edna. Processos de Investigação, 2013. O Projeto de Pesquisa aparece como a primeira etapa, pois nesta fase são identificados e desenvolvidos a delimitação de tema, os objetivos da pesquisa, desenvolvimento do tema, ponto de partida e ponto de finalização, a contextualização, as referências bibliográficas, os autores envolvidos no desenvolvimento da pesquisa, são vários fatores a serem considerados e incluídos dentro dessa fase. Na segunda etapa sobre a Coleta dos Dados, lembrando que todas as fontes devem ser citadas corretamente, conforme normas da ABNT - Associação Brasileira de Normas Técnicas, pois toda informação deve ter autoria, mesmo as referentes a dados extraídos da internet também devem seguir esse procedimento, para que não corra o risco de se apropriar de conteúdos e ideias de terceiros, até mesmo para AN02FREV001/REV 4.0 68 evidenciar os dados extraídos de outros pesquisadores. Essa etapa é muito importante, pois são registrados e coletados todos os dados para embasar o desenvolvimento da contextualização do tema de pesquisa, bem como são coletados o máximo possível de indícios da cena do crime ou do equipamento invadido. Na terceira etapa de Análise dos Dados, esses são analisados os dados registrados na coleta dos dados, são comparados com outros conteúdos bibliográficos, feita análise dos dados encontrados referentes ao crime em estudo, geralmente este processo é desenvolvido por vários pesquisadores, especialistas na área de conhecimento do tema estudado e desenvolvido. Na quarta e última fase vem a Elaboração da Escrita, devem conter todas as fases anteriores incluídas, pois cada uma servirá para todo o desenvolvimento da escrita da pesquisa, como coleta dos dados, análise dos dados, embasamento bibliográfico e por fim desenvolvimento textual ou podemos chamar de contextualização sobre o tema de pesquisa. Todas essas fases do processo de investigação servem para o desenvolvimento da pesquisa, em que o objetivo é identificar as possíveis hipóteses encontradas em uma cena de crime ou encontrado em máquinas e equipamentos eletrônicos, essashipóteses servem para comprovar ou demonstrar que todo o estudo foi embasado em cima de estudos e pesquisas já existentes e comprovados e provados por meios legais de sua legalidade. Após esses processos de investigação desenvolver as hipóteses, será realizada a análise e identificação das possíveis deduções sobre a pesquisa, deduzindo quais são as hipóteses ou a hipótese correta para solucionar o crime, a dedução nada mais é do que identificar a causa ou o problema da pesquisa. Caro(a) estudante agora que você já conhece as Etapas do Processo de Investigação, podemos seguir a diante sobre o tema a seguir EVIDÊNCIA DIGITAL! 29 EVIDÊNCIA DIGITAL Esse procedimento de analisar, identificar e recolher evidências digitais é um processo realizado por um perito Forense, que possui capacidade e especificidade AN02FREV001/REV 4.0 69 para estudar casos de crimes digitais, pois para isso o profissional precisa ser especializado em encontrar evidências e indícios dos invasores em um determinado sistema, site, computador ou equipamento eletrônico. Vamos apresentar a partir de agora alguns procedimentos para a realização da coleta das evidências em uma investigação, isto porque a coleta possui alguns processos que devem ser seguidos minuciosamente para que nenhum dado seja perdido e muito menos sofra alguma alteração, vamos ver esses procedimentos de coleta a seguir: Material Aprendido: neste procedimento devem ser identificados quais os equipamentos que foram invadidos, se for um caso de uma rede, deve ser aprendido o equipamento como o servidor de rede, essa é uma máquina considerada normal, mas a mesma realiza o controle e gerenciamento das informações que circulam e trafegam pela rede. Máquinas e Computadores Ligados: neste procedimento a análise será em cima apenas das máquinas que já estão ligadas, pois o perito Forense não tem liberação judicial nenhuma para ligar computadores ou fazer desligamento dos mesmos. Essa indicação não é apenas porque o perito não pode ligar uma máquina, mas porque ao ligar um equipamento ele vai estar alterando as evidências de provas, e em cenas de crimes não pode ser alterada nenhuma evidência. Desligamento do Computador Aprendido: este procedimento deve ser feito com muito cuidado, pois em muitas situações não é recomendado que o computador aprendido seja desligado antes de fazer uma análise prévia para identificar evidências, pois têm muitas informações que são apagadas ao desligar a máquina, porque estão armazenadas temporariamente na memória RAM do computador e ao desligar pode perder as informações que ali estão gravadas. Esses são alguns dos procedimentos que devem ser realizados ao fazer uma busca e apreensão de computadores, tomar cuidado com o material apreendido e coletado, não ligar e desligar nenhum equipamento na cena do crime. AN02FREV001/REV 4.0 70 FIGURA 16 - EVIDÊNCIAS DIGITAIS FONTE: LAMPERT, Edna. Evidências Digitais, 2013. Ainda podemos destacar mais dois processos no desenvolvimento da coleta das evidências digitais, como por exemplo o Projeto de Evidência Digital e a Produção de Provas. O Projeto de Evidência Digital: deve ser analisado as seguintes questões, identificar e organizar os dados e informações relevantes para o caso; estipular uma data ou duração em que o equipamento apreendido ficará retido junto com os peritos e com a justiça; realizar pedidos de auditoria; realizar a validação e autenticidade dos dados, informações e evidências encontradas nos equipamentos investigados; analisar e identificar os sistemas que serão utilizados para examinar o equipamento, como sistemas de criptografia, sistemas de rastreamento e identificação do que foi cometido com o computador ou das evidências deixadas pelo invasor. A Produção de Provas, nesse processo são realizados os seguintes procedimentos como identificação dos sistemas para analisar os logs e registros das evidências encontradas no equipamento; registrar e documentar formalmente todos os testes e dados coletados; validar os dados, arquivos e documentos encontrados por meio do certificado digital; analisar, identificar e documentar dados de acessos em um servidor, como data, horário e login de quem criou os arquivos, salvou, alterou, copiou ou transferiu os mesmos em uma rede; aplicar testes de auditoria nos dados AN02FREV001/REV 4.0 71 encontrados; e por fim manter a integridade e autenticidade dos registros encontrados, copiados e arquivados, pois esses serviram como evidências tanto para a conclusão de uma investigação, quanto para solucionar um caso de crime digital. Caro(a) estudante agora que tem uma prévia noção de como manipular e quais processos devem ser realizados ao coletar as Evidências Digitais, a seguir vamos apresentar os procedimentos para Coletar Evidências. 30 COLETANDO EVIDÊNCIAS A coleta das evidências em uma cena de crime ou em um equipamento de informática é um processo muito importante para o bom desenvolvimento de uma investigação, este processo exige muito cuidado na hora de coleta das evidências, pois essas não podem sofrer alterações e nem perder a autenticidade. Para realizar uma coleta de evidências é preciso seguir métodos e procedimentos, essas coletas devem ser classificadas em nível de volatilidade, do mais para o menos volátil, outro processo muito importante para o desenvolvimento da coleta das evidências é documentar todos os dados e indícios encontrados, esta documentação garante a autenticidade dos dados coletados, como estamos tratando sobre computação Forense, outro processo muito importante na coleta é criar arquivos com os dados encontrados, criar um acervo dos dados encontrados e obter um certificado digital para que essas evidências não corram o risco de serem alteradas. Para realizar a coleta das evidências podemos utilizar procedimentos, como Análise das Evidências, Desenvolvimento do Relatório e Apresentação dos resultados encontrados na investigação ou pesquisa feito pelo perito Forense. Análise das Evidências: Fazer cópia e armazenamento dos dados e informações coletadas. Autenticar todas as cópias dos documentos encontrados. Criar um certificado Digital; AN02FREV001/REV 4.0 72 Analisar e encontrar os registros eletrônicos. Identificar os sistemas e programas utilizados. Analisar e identificar quais danos foram causados. Desenvolvimento do Relatório: Manter salvo e arquivados com cópia e certificado digital das evidências encontradas. Mandado de um juiz para poder realizar a investigação, fazer busca e apreensão e análise dos dados encontrados. Identificar as irregularidades das evidências encontradas. Apresentação: Desenvolvimento da apresentação conforme metodologias da ABNT. Divida a apresentação em partes. Contextualização dos dados. Apresentação das evidências encontradas. Apresentação da Análise. Apresentação da identificação de indícios. Apresentação dos resultados das análises dos fatos encontrados. Relatório em formato de Análise das evidências. Cada processo de coleta das evidências digitais precisa passar por algumas etapas, essas descrevem quais são os comportamentos que um perito deve fazer em estar presente em uma cena de crime, isso vai garantir o sucesso ou não de uma investigação. Vamos apresentar três etapas para a coleta e observação das evidências digitais, como Coleta de Dados Online, Dispositivos de Armazenamento e Alterações causadas nos Sistemas. Coleta de Dados Online: podemos iniciar pelos Históricos, registradores, histórico em Cache, dados nas memórias dos periféricos, dados na memória RAM, tráfego de dados da rede, transmitidos e recebidos, funcionamento do Sistema Operacional, últimos programas e sistemasutilizados, Log dos usuários, análise do disco rígido, periféricos de mídia, tempo de vida de cada dado ou equipamento coletado. AN02FREV001/REV 4.0 73 Dispositivos de Armazenamento: nesta etapa podemos analisar os seguintes itens, como analisar o histórico e registros dos dados em cache, identificar os dados relevantes dentro do histórico dos registros e cache, analisar os dados e informações contidos na memória principal, analisar dados, senhas e dados criptografados na memória RAM, extrair os dados do disco rígido, HD e periféricos de mídia. Alterações causadas nos Sistemas: esta fase de coleta das evidências é um processo muito importante, pois nele podem ser identificados quais foram os danos causados pelo invasor, identificar quais sistemas e programas utilizados, quais comandos foram utilizados, análise dos drivers, do Kernel, e das bibliotecas de dados do equipamento Agora que conhece alguns processos para realizar a coleta das evidências digitais, vamos conhecer os Sistemas de Arquivos? 31 SISTEMAS DE ARQUIVOS O sistema de arquivos possuem a responsabilidade de gerenciar todos os dados e informações que trafegam dentro de um computador, podendo ser divididos em estruturas lógicas ou de rotina. Essas estruturas como a lógica são arquivos que podem ser transmitidos ou trafegar entre os sistemas de um equipamento de informática, já a estrutura de rotina tem a função de gerenciar a utilização dos arquivos utilizados diariamente. A função principal de um sistema de arquivos é gerenciar a organização dos dados e listar como esses serão gravados em disco, o mesmo organiza tanto a parte ou forma de como esses dados serão armazenados e como esses poderão ser acessados pelos usuários. O sistema de arquivos cria lista de armazenamento dos dados, para que esses sejam identificados e acessados com mais facilidade, esse controle existe também para aumentar a rapidez do acesso aos dados no disco de um computador, se não tiver esse controle e gerenciamento ficará mais difícil encontrar os dados armazenados. É o sistema de arquivos que define para um sistema operacional onde os dados e arquivos estão localizados, isso permitirá uma melhor performance para o SO AN02FREV001/REV 4.0 74 devolver as solicitações para seus usuários, esse processo também permite ao sistema operacional o que o usuário irá acessar, quais dados, e onde esses estão localizados dentro do disco. Analisando todo esse contexto podemos perceber a importância de um sistema de arquivos, pois ele controla todo o tráfego de dados que serão armazenados e acessados em um computador, esse processo também permite a configuração de acesso para cada usuário de uma rede por exemplo, pois nem todos os usuários possuem o mesmo perfil de acesso e cada um vai acessar os arquivos que possuem liberados em seu perfil de usuário, seja de uma rede ou de um computador. FIGURA 17 - SISTEMA DE ARQUIVOS FONTE: Disponível em: <http://technet.microsoft.com/pt-br/library/cc787066%28v=ws.10%29.aspx>. Acesso em: 01 out. 2013. Há vários tipos de sistemas de arquivos, como o FAT16, FAT32, NTFS, EXT2, EXT3, XFS, JFS e ReiserFS, no entanto cada um é de um Sistema Operacional diferente, antes de explicarmos cada um deles vamos separar em grupos. http://technet.microsoft.com/pt-br/library/cc787066(v=ws.10).aspx AN02FREV001/REV 4.0 75 Os sistemas de arquivos FAT16, FAT32, NTFS, são sistemas que trabalham e executam suas funções dentro do Sistema Operacional Windows, esses são utilizados a várias décadas pela empresa Microsoft. Do outro lado também possuem sistemas de arquivos direcionados para os Sistema Operacional Linux, como EXT2, EXT3, EXT4, XFS, JFS e ReiserFS, são mais opções e cada um com sua especificidade. Agora que conhece quais pertencem ao sistema operacional Windows e Linux, vamos explicar cada um deles e suas responsabilidades dentro de um computador, relembrando o sistema de arquivos é muito importante para o bom desempenho e funcionamento de um disco rígido de um computador. Vamos iniciar pelos sistemas de arquivos do Sistema Operacional WINDOWS, esses sistemas de arquivos disponibilizam para o usuário utilizar e organizar seus dados no disco rígido da melhor forma possível: FAT16: este sistema de arquivos por ser um dos mais antigos, possui algumas limitações, como suas partições possuem a capacidade máxima de 2GB, por cada partição criada. Para a criação do nome do arquivo, também possui limitações de até 8 caracteres para cada nome de arquivo criado e 3 caracteres para o nome da extensão do arquivo. FAT32: este sistema de arquivo é dos sistemas mais utilizados atualmente pelo mundo, este possui maior capacidade de armazenamento, para cada unidade particionada equivale a 16TB por arquivo criado e para o tamanho de cada arquivo pode ser até 4GB. Para o nome dos arquivos, os caracteres o aumentaram significativamente foi muito revolucionário passou de 8 caracteres para 256 caracteres. Este sistema de arquivo o FAT32 é o sistema mais indicado para ser utilizado em dispositivos móveis, como HD externo, Pendrive e cartões de memória por exemplo. NTFS: este sistema de arquivos é utilizado para armazenar dados de servidores, isso porque o mesmo possui bastante instabilidade, segurança e confiabilidade dos arquivos armazenados. Este sistema de arquivos também permite AN02FREV001/REV 4.0 76 a criação de perfis de usuários e também não possui limitações de tamanho para os arquivos, nem para caracteres e nomes de arquivos. Agora vamos apresentar os sistemas de arquivos que servem para o Sistema Operacional LINUX, esses sistemas de arquivos para Linux são os sistemas mais utilizados atualmente. EXT2: este sistema de arquivos é muito utilizado para dispositivos móveis, como HD externo, Pendrive e cartão de memória, possui sua limitação de armazenamento de até 2TB por partição e para até 255 caracteres para o nome dos arquivos. EXT3: este sistema de arquivos possui um recurso muito interessante, pois o mesmo consegue armazenar log dos arquivos gravados, copiados e alterados em disco pelo usuário, pois este procedimento auxilia na recuperação dos dados, quando existe a necessidade de recuperação. EXT4: este sistema de arquivos possui um grande desempenho de processamento, possui uma diversificação no armazenamento dos dados, disponibilizando locais mais propícios para cada dado, aumentando assim o desempenho da fragmentação dos dados. XFS: neste sistema de arquivos sua capacidade e desempenho são muito altos, para armazenamento de arquivos comporta até 16 TB, com tamanho para cada arquivo de até 8 TB e sua estrutura suporta milhares de entradas de diretórios, podem ser desfragmentados, enquanto estão sendo gravados. ReiserFS: Neste sistema de arquivos também é possível implantar o suporte Journaling, que é um suporte ao sistema, onde os dados inseridos, armazenados e alterados após um problema de perca de dados pode recuperar as informações através de um Log dos registros feitos. Agora que conhece alguns sistemas de arquivos tanto do sistema Operacional Windows e Linux, vamos conhecer sobre Recuperação de Dados e E- mails. AN02FREV001/REV 4.0 77 32 RECUPERAÇÃO DE DADOS E E-MAILS Vamos tratar essas recuperações em partes, primeiramente vamos falar sobre a recuperação dos dados e posteriormente vamos tratar da recuperação de e-mails, pois cada um é tratado de uma forma diferente para a recuperação da informação. Iniciando pela recuperação dos dados, primeiramente deve ser observado se o hardware não possui nenhuma peça quebrada ou danificada, pois precisa ser concertado a parte física antes de mexer na parte lógica de um computador, pois para que o mesmo ligue precisa do hardware em plenas condições. Depois de verificara parte física partimos para a recuperação dos dados que ficam armazenados na parte lógica de um computador. Para a recuperação alguns procedimentos devem ser analisados, como a estrutura dos arquivos e em quais partições no disco rígido esses arquivos podem estar armazenados. Podemos listar duas ferramentas que podem realizar a recuperação de dados seja de um computador, rede ou servidor, como RecoverMyFiles e EnCase. Para a recuperação de e-mail geralmente essa forma de recuperação é mais fácil e rápido de se fazer, pois os e-mails geralmente estão alocados em um servidor e pertencem a algum domínio, como pertencem a alguma empresa, como por exemplo o Gmail, seu domínio pertence a empresa Google. Se existe um investigação criminal, pode ser solicitado um mandado de investigação para essa empresa e a mesma terá que fornecer todos os dados que um determinado usuário possui neste domínio. Podemos destacar duas ferramentas que podem auxiliar na recuperado de e-mails e de dados que esse continha, como Smartwhois e EmailTracker. Na computação Forense os peritos na maioria das vezes encontram situações que necessitam fazer a recuperação de dados, informações e e-mails, pois os criminosos sempre se preocupam em apagar os rastros e não deixar vestígios algum por onde passa. AN02FREV001/REV 4.0 78 33 EQUIPAMENTOS E SOFTWARES Em se tratando de Computação Forense existe a necessidade de conhecer e trabalhar com os equipamentos e softwares que são destinados a auxiliar a investigação Forense a encontrar evidências criminais nos equipamentos tecnológicos. Os equipamentos para auxílio de análise e investigação de dados deve ser executado por meio de equipamentos específicos para cada caso de investigação. Uma das principais ferramentas de auxílio aos peritos Forenses em sua investigação são os equipamentos de armazenamento móvel, como HD externo, mídias, aos quais se possa armazenar e copiar as evidências encontradas em uma cena de crime ou em equipamentos de informática. Para a utilização de Softwares também precisa ser trabalhado com programas e aplicativos específicos para o estudo e investigação Forense, pois os softwares realizam a análise dos dados capturados nos equipamentos apreendidos e investigados, analisando todo o tráfego dos dados dentro de uma máquina ou rede, verificando quais sistemas foram utilizados para cometer o crime, bem como entrar dados camuflados e criptografados, para isso existem softwares específicos para cada caso em questão. Podemos destacar o software Logicube que possui o objetivo de extrair dados de aparelhos eletrônicos móveis, como celulares, Smartphones e Tablets, esse sistema realiza uma cópia dos dados encontrados para um disco rígido ou outra ferramenta de hardware por exemplo. Também podem ser encontrados outros dois softwares de suporte a Computação Forense, esses são distribuídos de forma gratuita, como o Backtrack 5 R3 e FDTK, o software Forensic Tool Kit, realiza a recuperação dos dados. Agora que sabemos da importância dos equipamentos e software em uma investigação de crime digital, vamos apresentar o conteúdo sobre Tópicos de Análise Forense em Análise e de Gravação de Áudio! 34 TÓPICOS DE ANÁLISE FORENSE EM ANÁLISE E DE GRAVAÇÃO DE ÁUDIO AN02FREV001/REV 4.0 79 Existe uma grande preocupação com relação aos processos desenvolvidos por um profissional especialista em Computação Forense, pois são várias as tarefas e responsabilidades de um perito, incluindo nesta área a análise e gravação de áudio como uma evidência de um crime. Analisando todo esse contexto vamos iniciar nossos estudos sobre esse tema análise e gravação de áudio, em que o perito possui como objetivo analisar trechos de áudio, com fim de criar provas concretas para solucionar um caso de investigação. A execução dessa prática de gravação de áudio deve contemplar práticas da Computação Forense, essas metodologias e práticas envolvem arquivos contendo algoritmos, dados de áudio criptografados, como também devem ser feito armazenamento e cópias desses dados, que garantam efetivamente a autenticidade dessas informações gravadas. Lembrando que não apenas uma gravação de vídeo, mas uma gravação de áudio também é uma prova eminente para uma apresentação judicial. Como essa prática de utilizar áudio como uma prova perante a justiça referente a um processo ou crime, exige um amplo conhecimento a respeito do uso dessa tecnologia pelo profissional Forense, que deve analisar o material, fazer tratamento e edição desse áudio, analisar e fazer identificação das vozes. Esse procedimento pode ser chamado de DEGRAVAÇÃO, é uma técnica que possui como pressuposto fazer a transcrição integral de todas as falas gravadas, observamos que esse processo de gravação para utilizar como prova, em muitos casos precisa se autorização judicial para acontecer. Depois de fazer o processo de Degravação o perito poderá Transportar o áudio capturado para um computador, para que seja analisado se existe alguma sobreposição de voz, retirar as vozes do público, do ruído existentes na gravação e que não auxiliam os peritos em nada em uma investigação. Há no mercado alguns sistemas e programas que auxiliam os profissionais Forense nessa análise de gravação de áudio, como podemos citar o Programa Noise Reduction, Sound Forge e Audacity, que podem auxiliar um perito a transportar as informações de uma gravação de áudio. Dentre esses sistemas que auxiliam os peritos, possuem alguns processos em que esse profissional deve ficar atento em uma análise, como Autenticidade do áudio, melhorias da Inteligibilidade realizadas com o transportar de dados, definição da Audibilidade dos sons do áudio, e por último e um dos mais importantes nesse processo é a Identificação das vozes da gravação e AN02FREV001/REV 4.0 80 a transcrição das falas do áudio, essa transcrição também pode ser realizada por meio de sistemas que realizam esse processo. Caro(a) estudante agora que conhece algumas práticas de análise e gravação de áudio, vamos estudar a seguir sobre os Tópicos de Análise Forense em Imagens Digitais! 35 TÓPICOS DE ANÁLISE FORENSE EM IMAGENS DIGITAIS Neste item também vamos observar que existem procedimentos a serem seguidos pelo profissional Forense ao realizar uma análise de imagens digitais, esse processo deve garantir a autenticidade dos dados analisados e capturados como provas em um caso de investigação. Este processo de análise de imagens digitais precisa passar por técnicas e métodos para recuperar os dados, preservar os dados armazenados em um computador ou equipamento eletrônico. Vamos apresentar a seguir alguns processos que podem garantir a autenticidade dos dados capturados das imagens digitais. Detecção de cópia e colagem. Inconsistência em referência a iluminação e estrutura. Identificação da fonte e manipulações realizadas. Tipo de equipamento utilizado. Tipo de imagem, resolução. Métricas de Qualidade de Imagem – IQM. Métricas de Similaridade entre Planos de Bits – BSMs. Descritores Wavelet de Alta Ordem – HOWS. Alguns cuidados devem ser tomados quanto a análise de imagens digitais, em relação a autenticidade dos dados copiados e armazenados, enumerar os dados que foram copiados por ordem de relevância, cuidados ao manipular as imagens para não alterar as evidências, identificar o melhor sistema e prática para analisar as imagens, profissionais envolvidos, registrar se possui alterações nas imagens, são esses AN02FREV001/REV 4.0 81 alguns pontos a serem observados pelos peritos Forense ao manusear e fazer análise em imagens digitais. Caro(a) estudante, vamos agora conhecer sobre os Tópicos de Análise Forense em Dispositivos Móveis? 36 TÓPICOS DE ANÁLISE FORENSE EM DISPOSITIVOS MÓVEIS Este temaé muito importante, pois atualmente a maioria dos acessos dos usuários na internet também são realizados por meio de aparelhos eletrônicos, como celulares, Tablets e Smartphones, por outro lado a maioria desses usuários não utilizam sistemas de segurança, aumentando assim o problema de invasão de equipamentos, roubo de dados, dados danificados, roubo de identidade e roubo de senhas de banco. O uso desses equipamentos eletrônicos vem crescendo cada vez mais, são utilizados para atividades sejam elas para o trabalho ou para atividades pessoais, até mesmo pela grande disponibilidade de acesso a informações, para baixar aplicativos dos mais diversos, como jogos, redes sociais entre uma infinidade de aplicativos que estão disponíveis para qualquer área de interesse. Para analisar dispositivos móveis são utilizadas várias técnicas e metodologias para identificar e investigar problemas com crimes digitais, podemos destacar duas formas de técnicas, como análise estática, análise dinâmica e análise via depurador. A análise Estática envolve a averiguação dos bytes e dos códigos da máquina ou equipamento, para realizar esse processo é feito o processo de descompilação. Na análise Dinâmica seu objetivo é realizar o monitoramento dos dados que trafegam no equipamento, tanto dados de entrada, quanto de saída, como também realiza a identificação dos aplicativos que estão em execução, ou podemos dizer aplicativos que estavam em funcionamento. Na análise Via Depurador além de possuir as outras duas funções das análises anteriores, realiza tanto análise dos bytes e dados, quanto faz o monitoramento dos dados que trafegam e identificam quais aplicativos estão sendo utilizados. Os usuários precisam tomar alguns cuidados com esses dispositivos móveis, tanto para acessar a internet, cuidar para não acessar páginas desconhecidas, AN02FREV001/REV 4.0 82 sempre pesquisar a reputação do site, cuidados com os arquivos e aplicativos baixados, muitas vezes, dependendo do aparelho, esse possui seu próprio site para ser acessado e fazer atualizações e também para compra de aplicativos. Sempre fazer bloqueio da tela com uma senha específica, se o aparelho permite realizar a encriptação dos dados do aparelho, fazer backup dos contatos e dos dados, deixar desativado o Bluetooth e GPS, se possível fazer configuração de um sistema antivírus e de um Firewall, são pequenos cuidados e detalhes que podem garantir a segurança dos seus dados. FIM DO MÓDULO III
Compartilhar