Prévia do material em texto
Análise de Rede e Forense Computacional Bootcamp Online: Analista em Cibersecurity Fabrício Lana Pessoa 2020 Análise Computacional Forense – Página 2 de 38 Análise de Rede e Forense Computacional Fabrício Lana Pessoa © Copyright do Instituto de Gestão e Tecnologia da Informação. Todos os direitos reservados. Análise Computacional Forense – Página 3 de 38 Sumário Capítulo 1. Criminalística, Perícia e Computação Forense ................................... 4 1.1. Perícia e Ciência Forense ................................................................................ 4 1.2. Crimes virtuais ................................................................................................. 6 1.3. Peritos: tipos e funções .................................................................................. 10 1.4. Provas, vestígios, indícios e evidências ......................................................... 13 Capítulo 2. Tratamento de Evidências ................................................................. 18 2.1. First Responder ............................................................................................. 19 2.2. Coletando a evidência.................................................................................... 20 2.3. Aquisição ....................................................................................................... 21 2.4. Cadeia de custódia ........................................................................................ 23 Capítulo 3. Adquirindo e Coletando dados .............................................................. 26 3.1. Live Analysis .................................................................................................. 26 3.2. Dump de memória.......................................................................................... 28 3.3. Aquisição de disco ......................................................................................... 29 Capítulo 4. Análise Forense ................................................................................ 33 4.1. Dump de Memória.......................................................................................... 33 4.3. Analise forense de imagem de disco ............................................................. 34 4.3. Forense na nuvem ......................................................................................... 35 4.4. Análise de redes ............................................................................................ 36 4.5. Análise de malware ........................................................................................ 37 Referências......... ..................................................................................................... 38 Análise Computacional Forense – Página 4 de 38 Capítulo 1. Criminalística, Perícia e Computação Forense 1.1. Perícia e Ciência Forense O órgão central de criminalística, responsável pela perícia criminal federal no Brasil, é o Instituto Nacional de Criminalística (INC), situado em Brasília. Vinculado a Polícia Federal, ele é responsável por coordenar as atividades de polícia científica da União, por meio de unidades em todas as capitais do Brasil. O INC é o órgão de investigação da polícia Federal. Figura 1 – INC, referência em criminalística. Fonte: https://www.apcf.org.br/pericia-criminal/pericia-criminal. Em seus Estados, cada unidade da federação conta com sua equipe de polícia técnica ou científica para apoiar e fornecer suporte as investigações das forças policiais estaduais. Um dos grandes contribuidores para a área de criminalística foi Edmond Locard. Podemos dizer até que todo trabalho de perícia decorre da base estabelecida pelo princípio de Locard. Segundo esse princípio, o indivíduo sempre interage ou deixa marcas no ambiente com o qual se relaciona, conforme detalhado a seguir. https://www.apcf.org.br/pericia-criminal/pericia-criminal Análise Computacional Forense – Página 5 de 38 Princípio de Locard Em meados do ano de 1910, Edmond Locard, conhecido também como o Sherlock Holmes da França, um dos pioneiros da Ciência Forense moderna, estabeleceu o famoso princípio de Locard, segundo o qual “todo o contato deixa um traço (vestígio)”. Segundo ele, é impossível que tenha havido uma interação entre dois “corpos”, sem que qualquer evidência tenha sido deixada ou modificada1. Quaisquer que sejam os passos, quaisquer objetos tocados, o que quer que seja deixado, mesmo que inconscientemente, servirá como uma testemunha silenciosa. Não apenas as suas pegadas ou digitais, mas o seu cabelo, as fibras das suas calças, os vidros que ele porventura parta, a marca da ferramenta, a tinta, o sangue ou sémen que se deixe. Tudo isto, e muito mais, carrega um testemunho[...]. Esta prova não se esquece. É distinta da excitação do momento. Não é ausente como as testemunhas humanas são. Constituem, per se, numa evidência factual. A evidência física não pode estar errada, não pode cometer perjúrio por si própria, não se pode tornar ausente. Cabe aos humanos, procurá-la, estudá-la e compreendê-la, apenas os humanos podem diminuir o seu valor. (LOCARD, 1910) Desde então e com o estrondoso desenvolvimento científico/tecnológico do século XX, várias iniciativas e publicações relevantes foram realizadas, impulsionando o desenvolvimento das ciências e perícia forense, tal qual como conhecidos hoje.2 1 Kirk, Paul (1953). Crime Investigation: Physical Evidence and the Police Laboratory. 2 Paul Leland Kirk, bioquímica na área forense (1934). “Physical evidence and the police laboratory” Técnicas para análise na cena do crime, incluindo impressões digitais, fibras, cabelos, sangue, armas de fogo etc. Roland Menzel (1970). Identificação de digitais. “Fingerprint Detection With Laser”. Alec Jeffreys (1985). Primeiro teste de DNA publicado na revista “Nature”, revolucionando os métodos de identificação forense. https://books.google.com.br/books/about/Crime_investigation.html?id=WYZtAAAAIAAJ&redir_esc=y Análise Computacional Forense – Página 6 de 38 1.2. Crimes virtuais Em geral, por natureza, crimes virtuais são considerados crimes de meio. Isso quer dizer que não se enquadram em uma nova modalidade ou tipo penal limitado ao ambiente virtual. Em geral, a materialização da conduta é virtual, mas o crime não. Todavia, vemos que os crimes cibernéticos podem ainda ser classificados como puros, comuns ou mistos34: 1. Crimes cibernéticos puros ou próprios: tem como alvo uma rede, sistema ou computador, tendo como objetivo danificar equipamentos ou obter acesso a dados sigilosos. “A informática (segurança dos sistemas, titularidade das informações e integridade dos dados, da máquina e periféricos) é o objeto jurídico tutelado”5. Exemplo: Ransonware, construído para criptografar arquivos do servidor de banco de dados de uma determinada empresa. 2. Crimes cibernéticos comuns, impuros ou impróprios: utilizam a internet apenas como meio. Correspondem, portanto, a crimes já tipificados, realizados agora com auxílio do computador. Exemplo: compartilhamento de fotos de pornografia infantil. Ou ainda, calúnia, injuria, difamação, ameaça, furto, extorsão, estelionato etc. 3. Crimes cibernéticos mistos: o uso da internet ou de dispositivos digitais é uma condição indispensável para a efetivação do crime, embora o objeto visado seja outro. Exemplo: fraude de acesso a conta bancária por meio da internet. ³ https://ambitojuridico.com.br/edicoes/revista-99/crimes-virtuais-elementos-para-uma-reflexao-sobre- o-problema-na-tipificacao/ 4 https://gschmidtadv.jusbrasil.com.br/artigos/149726370/crimes-ciberneticos 5 JESUS, Damásio E. de. Direito Penal. Parte Geral. 21.ed., São Paulo: Saraiva, 1998. https://ambitojuridico.com.br/edicoes/revista-99/crimes-virtuais-elementos-para-uma-reflexao-sobre-o-problema-na-tipificacao/https://ambitojuridico.com.br/edicoes/revista-99/crimes-virtuais-elementos-para-uma-reflexao-sobre-o-problema-na-tipificacao/ https://gschmidtadv.jusbrasil.com.br/artigos/149726370/crimes-ciberneticos Análise Computacional Forense – Página 7 de 38 Muitas vezes os delitos cometidos na internet não definem, portanto, a prática de novos crimes, mas somente um local ou meio para realização de atos já existentes e cometidos no mundo real, conforme ilustrado e relacionado a seguir6: ▪ Calúnia: Insultar a honra de alguém (artigo138 CP). ▪ Difamação: espalhar boatos eletrônicos sobre pessoas (difamação artigo 139 CP). ▪ Injúria: insultar pessoas considerando suas características ou utilizar apelidos grosseiros (artigo 140 CP). ▪ Ameaça (artigo 147 CP). ▪ Furto de dados: utilizar dados da conta bancária de outrem para desvio ou saque de dinheiro (furto artigo 155 CP). ▪ Preconceito ou discriminação: comentar em chats, e-mails e outros, de forma negativa, sobre raças, religiões e etnias (artigo 20 da Lei n. 7.716 /89). ▪ Pedofilia: enviar ou trocar fotos de crianças nuas (artigo 247 da Lei n. 8.069 /90, o Estatuto da Criança e do Adolescente - ECA). ▪ Furto estelionato, violação do direito autoral, tráfico de drogas ou armas, incitação ao crime, formação de quadrilha. A figura abaixo retrata uma prática criminosa bastante comum no ano de 2019, utilizada para obtenção de depósitos de bitconins, a partir de extorsão realizada por e-mail. 6 https://stj.jusbrasil.com.br/noticias/234770/justica-usa-codigo-penal-para-combater-crime-virtual https://stj.jusbrasil.com.br/noticias/234770/justica-usa-codigo-penal-para-combater-crime-virtual Análise Computacional Forense – Página 8 de 38 Figura 2 – Exemplo de “Sextorsion” - Crime de extorsão. Fonte: https://www.pcrisk.pt/guias-de-remocao/9666-sextortion-email-dash. Apesar de todos os esforços para punir a prática desses crimes, hackers vendem serviços abertamente na internet, ironizando as leis e punições existentes para os crimes virtuais descritas anteriormente: https://www.pcrisk.pt/guias-de-remocao/9666-sextortion-email-dash Análise Computacional Forense – Página 9 de 38 Figura 3 – Oferta de serviços para crimes virtuais. Fonte: https://stj.jusbrasil.com.br/noticias/234770/justica-usa-codigo-penal-para- combater-crime-virtual. https://stj.jusbrasil.com.br/noticias/234770/justica-usa-codigo-penal-para-combater-crime-virtual https://stj.jusbrasil.com.br/noticias/234770/justica-usa-codigo-penal-para-combater-crime-virtual Análise Computacional Forense – Página 10 de 38 1.3. Peritos: tipos e funções Diferentes tipos de perito podem realizar o procedimento de perícia, de acordo com sua atuação, conforme detalhado a seguir: I. Perito criminal: é um membro da polícia técnica/científica. Ele examina e analisa tecnicamente vestígios de um crime para apoiar a polícia no processo de investigação. O perito criminal é um servidor público, concursado, que atua para auxiliar na solução de diferentes tipos de crime, em diversas áreas de conhecimento. Tendo sido nomeado em concurso e atuando, portanto, em nome do Estado, ele é também chamado de perito oficial ou perito natural. II. Perito judicial: é um apreciador técnico, assessor do juiz. É a pessoa encarregada de esclarecer, por meio de um laudo, uma questão que pode ser apreciada em detalhes por seus conhecimentos técnicos especializados.7 Ao contrário do perito criminal, ele não é um servidor do Estado e atua, portanto, somente de modo pontual e especifico, no caso para o qual foi designado. Deste modo, pode-se dizer que o perito judicial é também um tipo de perito Ad Hoc. III. Assistente técnico: é “o profissional contratado por uma das partes para auxiliá-la no decorrer de um processo judicial, com a elaboração de um laudo técnico especializado. Em causas cíveis e trabalhistas, ele acompanha a realização da perícia junto com o perito oficial, mas no processo penal o assistente técnico atua somente após a sua conclusão. Neste caso, ele pode fornecer um novo laudo, apresentar novos elementos e argumentos, ou contestar os procedimentos realizados pela perícia oficial.8 7 MIRABETE, J. F. Código de processo penal interpretado. 7. ed. São Paulo: Atlas, 2000. 8 Art. 159 do CPP §3º. Serão facultadas ao Ministério Público, ao assistente de acusação, ao ofendido, ao querelante e ao acusado a formulação de quesitos e indicação de assistente técnico. (Incluído pela Análise Computacional Forense – Página 11 de 38 Há que se destacar aqui que, em qualquer caso, mesmo quando não houver contestação, com ou sem a participação de um assistente técnico, o Juiz não é obrigado a acatar ou aceitar as conclusões da perícia, sendo livre, soberano e independente para decidir conforme seu próprio convencimento9 IV. Perito extrajudicial: é o indivíduo contratado, independente de uma ação judicial ou investigação criminal. Diferencia-se do assistente técnico por atuar de modo independente, sem a necessidade da existência de um processo em curso. Atua com a finalidade de realizar uma análise técnica de determinado fato, o qual demanda conhecimentos específicos para esclarecimento. Muitas vezes, o perito extrajudicial pode ser contratado para realização de uma análise, que de suporte a advogados na abertura de um processo, auxiliando na fundamentação do seu pedido inicial no judiciário, ou na formulação de quesitos a serem apresentados no processo. De outro modo, também pode ser um recurso útil para auxiliar na solução de conflitos sem demandar a Justiça, servindo como apoio técnico para esclarecimentos que possam conduzir partes com interesses contrários a um acordo extrajudicial. Em geral, este é inclusive um procedimento mais rápido e de menor custo que o acionamento do poder judiciário e a respectiva nomeação de um perito para atuar no processo. Vale ressaltar por fim que, conforme descrito acima, a respeito da autonomia do Juiz em relação a perícia, este pode utilizar o parecer ou relatório de um perito extrajudicial como fundamentação para sua sentença, mesmo que em contraposição a perícia oficial ou judicial. V. Testemunha técnica: apesar do nome sugerir outro entendimento, a testemunha técnica não pode ser um indivíduo indicado pelos envolvidos em Lei no. 11.690, de 2008) §4º. O assistente técnico atuará a partir de sua admissão pelo juiz e após a conclusão dos exames e elaboração do laudo pelos peritos oficiais. 9 “O juiz não ficará adstrito ao laudo, podendo aceitá-lo ou rejeitá-lo, no todo ou em parte” Art 182 CPP. Análise Computacional Forense – Página 12 de 38 um processo. Ao contrário disso, ainda que apresentada a partir de requerimento das partes, trata-se de um perito nomeado pelo juízo para prestar testemunho em audiência, dispensando apresentação de laudo pericial. Neste sentido, no momento em que um perito judicial for dispensado da apresentação do seu relatório e prestar testemunho a respeito de suas análises e conclusões, estará realizando o papel de uma testemunha técnica no processo. 10 A figura a seguir ilustra as diferentes formas de atuação do perito, conforme descrito acima. Cabe ressaltar uma exceção ao esquema apresentado abaixo, a qual refere-se à nomeação de dois peritos para atuar de modo Ad Hoc, em processos criminais, na ausência de perito Oficial. Figura 4 – Formas de atuação de um perito. 10 “Art. 464. (...) § 2o De ofício ou a requerimento das partes, o juiz poderá, em substituição à perícia, determinar a produção de prova técnica simplificada, quando o ponto controvertido for de menor complexidade.” Análise Computacional Forense – Página 13 de 38 Em qualquer situação, independente do papel ou do momento em que atuar, o perito deverá apresentar sempre dados objetivos e precisos, em todos os casos sobsua responsabilidade. Cabe a ele conduzir seu trabalho pautado sempre pelo método científico, sem ocultar ou distorcer fatos, mantendo sempre o seu compromisso com a verdade. Esse é o dever e papel ético de um perito. 1.4. Provas, vestígios, indícios e evidências O objetivo principal de uma perícia deve ser, a partir da identificação e análise de evidências, esclarecer fatos, a autoria e a dinâmica de um crime, identificando e relacionando elementos que possam servir como prova válida em juízo. Provas Representam o conjunto de meios idôneos, utilizados para afirmar ou negar a existência de um fato11. Podem ser do tipo testemunhal, documental ou material (corpo de delito, exames, vistorias). Muitas vezes, provas apresentadas a partir da observação de testemunhas ou dos próprios envolvidos apresentam falhas, o que reforça a importância da prova material, baseada em exames técnicos e científicos. Todavia, em diversas circunstâncias não é possível obter uma comprovação cabal que indique o cometimento de um crime, como por exemplo a localização de um corpo ou logs de computadores. Neste sentido, dizemos que mesmo não sendo possível a obtenção deste tipo de prova, a perícia ou o conjunto probatório por ela apresentado tem como função “fornecer ao juiz o conhecimento da verdade, a fim de 11 Da prova no processo penal, 7ª. ed., rev., São Paulo, Ed. Saraiva, 2006. Análise Computacional Forense – Página 14 de 38 gerar sua convicção quanto à existência ou inexistência dos fatos.”18 O juiz formará sua convicção pela livre apreciação da prova.12 Vestígios/Evidências Vestígios são decorrentes da conduta humana e do princípio de Locard, segundo o qual todo contato deixa um traço ou evidência. Como sempre existirá a troca entre pessoas e ambiente, um criminoso sempre deixa ou leva algo consigo. Os termos vestígios e Evidência são frequentemente utilizados como sinônimos. Todavia, evidências representam vestígios que, após analisados, mostram-se relevantes ou relacionados com o fato investigado. Nesse sentido, diz-se que o vestígio abrange e a evidência restringe. No campo dos crimes virtuais podemos, por exemplo, detectar vestígios de uma invasão a partir da assinatura de um ataque. Ela é encontrada em padrões de conexão, tráfego e logs ou reconhecidas por mecanismos de detecção de intrusão. Como exploram em sua maioria vulnerabilidades conhecidas, boa parte também deixa um rastro ou registros dos procedimentos utilizados para explorar estas vulnerabilidades. É desta maneira inclusive que mecanismos de antivírus ou de detecção de intrusão (IDS) alertam ou bloqueiam ferramentas maliciosas ou tentativas de invasão a uma rede. Neste ponto, vale dizer então que malwares ou exploits13 “também podem ser pegos em função do seu comportamento”, já que, em algumas vezes, seguem procedimentos ou padrões conhecidos e comuns. O famoso ransoware wannacry, por exemplo, segue uma sequência de etapas no seu funcionamento, que inclui acesso a sites e alterações de chave no registro, mecanismos de persistência e conexões de rede e específicos, conforme ilustrado na figura a seguir. Nela podemos observar o acesso a URL específica, com tentativas de 12 Art 155. CPP. 13 Exploits: ferramentas maliciosas que exploram uma vulnerabilidade da rede ou sistemas para realizar uma invasão ou ataque de rede. Análise Computacional Forense – Página 15 de 38 conexão no compartilhamento IPC$, via protocolo SMB, a criação de serviços e alguns registros do Windows tipicamente, modificados pelo malware.14 14 Detalhamento completo do funcionamento do WannaCry, incluindo toda a engenharia reversa do seu código podem ser obtidos em artigo o Sans Institute. Disponível em: https://digital- forensics.sans.org/community/papers/grem/reverse-engineering-wannacry-worm-anti-exploit-snort- rules_5549. https://digital-forensics.sans.org/community/papers/grem/reverse-engineering-wannacry-worm-anti-exploit-snort-rules_5549 https://digital-forensics.sans.org/community/papers/grem/reverse-engineering-wannacry-worm-anti-exploit-snort-rules_5549 https://digital-forensics.sans.org/community/papers/grem/reverse-engineering-wannacry-worm-anti-exploit-snort-rules_5549 Análise Computacional Forense – Página 16 de 38 Figura 5 – Assinaturas do WannaCry. Mesmo outros crimes tecnologicamente mais simples deixam vestígios materiais no computador, telefone ou outro dispositivo digital, que podem ser resgatados a partir da perícia. Exemplo: Logs de acesso a páginas na internet, e- mails, pesquisas no Google, localização e posicionamento, transações bancárias, etc. Indícios Indícios são decorrentes de fatos, sinais, marcas ou vestígios, conhecidos e provados, que por sua relação necessária com outro fato provam ou levam a presumir a sua existência15. São circunstâncias conhecidas e provadas que, tendo relação com um fato, permitem concluir a seu respeito.16 15 RABELLO, Eraldo. Curso de Criminalística. Porto Alegre: Sagra / Luzzatto, 1996. ISBN 8524104910. 16 Art.239 CPP. Análise Computacional Forense – Página 17 de 38 Espera-se, portanto, que perícia possa demonstrar possíveis relações entre vestígios ou evidências de um crime, e deste ponto possibilite a compreensão da sua dinâmica e execução. Ainda que não se permita fornecer prova cabal do seu cometimento, que ela forneça indícios suficientes que possam levar a comprovação da sua autoria Exame de Corpo de Delito Ao contrário do que popularmente se pensa sobre o termo, exame de Corpo de Delito não se refere a autópsia ou análise física de um cadáver. Ainda que este exame possa fazer parte do conceito, Corpo de Delito compreende o conjunto de elementos ou evidências materiais (aquilo que se pode ver, tocar, medir etc.), que, a partir de exame pericial, servirão como suporte para estabelecer materialidade e autoria de um crime. Refere-se ao exame pericial, realizado sobre vestígios materiais. Nos casos em que houver vestígios, a ausência do exame de corpo de delito pode até causar a nulidade do processo.17 Além disso, deve-se cuidar para que exames realizados no local do crime não alterem o “estado das coisas” até a chegada do perito.18 Este é o motivo pelo qual inclusive não se deve, por exemplo, instalar programas em um computador para sua análise forense, preservando assim o máximo possível, o seu estado original, conforme demonstraremos nas sessões seguintes. 17 Art 564 - CPP. 18 Art 160 - CPP. Análise Computacional Forense – Página 18 de 38 Capítulo 2. Tratamento de Evidências Neste momento é importante apresentar a norma ISO 27037. Ela traz diretrizes para identificação, coleta, aquisição e preservação de evidência digital e outras definições importantes como a distinção entre o processo de coleta e aquisição, conforme demonstrado a seguir: ▪ Coleta: processo de recolhimento dos objetos e ou itens que possam conter potencial evidência digital. ▪ Aquisição: processo de criação de cópia de dados. Imagem ou espelhamento do conteúdo de dispositivos de armazenamento. Utilizada para gerar uma cópia digital da evidência, garantindo a preservação do dispositivo em análise no seu estado original19. ▪ Dispositivo digital: qualquer mídia ou equipamento eletrônico/telemático utilizado para armazenar ou processar dados digitais ▪ Dados voláteis: dados que são especialmente propensos a alteração e que podem ser facilmente modificados Um dos principais tópicos abordados pela norma, refere-se aos procedimentos a tomar no primeiro contato com uma evidência. Esse é o trabalho do First Responder, conforme detalhado a seguir. 19 Estritamente falando, conforme demonstrado acima, coleta e aquisição são termos distintos que se referem a obtenção da evidência por meio físico ou digital. No decorrer deste texto, algumas vezes você vai encontrar estes termosutilizados, coloquialmente, como sinônimos, referindo-se indistintamente a extração dos dados ou remoção de um dispositivo. Análise Computacional Forense – Página 19 de 38 2.1. First Responder Tal qual o próprio nome sugere, First Responder é a primeira pessoa a chegar à cena do crime ou local de uma emergência. Também conhecido pela sigla em inglês DEFR (Digital Evidence First Responder), ele é o responsável por identificar, isolar e proteger este ambiente, para garantir a preservação de evidências, que muitas vezes podem ser frágeis ou temporárias. O DEFR é a pessoa que realiza os primeiros procedimentos a serem executados no tratamento de um incidente. É o responsável pela coleta, aquisição e manuseio das evidências. Ele pode ser um policial/investigador, perito ou mesmo o administrador de uma rede. Os principais papeis do First Responder são: ▪ Isolar, identificar e proteger ativos, um local ou ambiente. ▪ Fotografar ou filmar equipamentos e a “cena do crime”. ▪ Preservar as evidências, especialmente as mais frágeis ou voláteis. ▪ Coletar e documentar informações iniciais sobre o incidente. ▪ Garantir a correta coleta e transporte de evidências. Sua atuação é muito importante para não comprometer os trabalhos da perícia, já que tal qual o próprio criminoso, ao interagir com o ambiente pode involuntariamente gerar ou alterar vestígios e modificar aspectos importantes das evidências, invalidando até mesmo a prova pericial. Em contato com as evidências, muitas vezes o First Responder pode cometer erros pequenos, que geram, porém, grande impacto na perícia, por exemplo: ▪ Desligar ou reiniciar o computador/dispositivo da vítima. ▪ Manusear incorretamente ou utilizar programas nos dispositivos sob análise. ▪ Não documentar suas ações ou o processo de coleta de dados. Análise Computacional Forense – Página 20 de 38 Em sua análise inicial, o perito deve, portanto, atentar-se para estes cuidados, documentando todos os seus procedimentos para evitar a modificação ou a destruição de evidências. A relação abaixo apresenta os passos que o perito deve seguir em seu “contato” inicial com a evidência: ▪ Remover cabo de rede ou colocar dispositivos móveis em modo avião, para garantir que nenhum procedimento de wipe ou exclusão de dados possa ser acionado remotamente. ▪ Analisar se há algum processo suspeito em execução que possa estar realizando a criptografia ou exclusão dos dados. ▪ Realizar um dump ou coleta dos dados armazenados em memória RAM. ▪ Analisar logs, estado de conexões de rede, programas e processos em execução. ▪ Se não for possível a coleta (remoção do dispositivo), realizar a aquisição dos dados através de imagem bit a bit com geração do seu respectivo hash. ▪ Jamais instalar programas no dispositivo, ou mesmo executar/abrir arquivos diretamente no equipamento. ▪ Executar programas somente a partir do seu “flash drive forense”. ▪ Utilizar preferencialmente um checklist para orientar suas ações sempre, detalhando e documentando todos os passos e procedimentos realizados. 2.2. Coletando a evidência Conforme apresentado anteriormente, o processo de coleta compreende a obtenção de objetos que possam conter potencial evidência digital. Trata-se efetivamente do recolhimento dos itens físicos, que serão posteriormente submetidos a análise em laboratório. Caberá ao First Responder avaliar e decidir o melhor procedimento, considerando sua capacitação para remover o dispositivo, além de Análise Computacional Forense – Página 21 de 38 outras variáveis como custo, tempo e preservação da evidência, ou optar pelo processo de aquisição dos dados. Além da coleta dos dispositivos digitais, deverão ser recolhidos do local outros objetos, observando-se sempre os cuidados necessários para preservação das evidências. Toda abordagem deve ser documentada. Caso o dispositivo seja encontrado ligado, independente da realização da coleta, sempre que possível recomenda-se a realização do procedimento de aquisição dos dados, sobretudo para preservação das informações voláteis, conforme detalhado a seguir. 2.3. Aquisição Segundo a ISO 27037, o processo de aquisição envolve a geração de uma cópia digital da evidência, com a respectiva documentação dos métodos e procedimentos realizados neste processo. Estes procedimentos devem ser reproduzíveis por outro perito e gerar a menor alteração possível na evidência. O procedimento de aquisição deve produzir uma cópia digital da evidência, certificada através do uso de funções de verificação, de modo tal que produza um mesmo hash que a evidência original. Em situações em que esse processo de verificação não puder ser realizado, o First Responder deverá documentar o método utilizado, justificar o fato e eventuais procedimentos escolhidos. Em algumas situações, pode não ser possível a criação de uma cópia digital da evidência, em função do volume de dados nela contido. Neste caso, o DEFR deverá realizar uma “aquisição lógica” dos dados, tendo como objetivo o registro e a preservação de dados específicos de determinadas partes de um disco ou diretório, por exemplo. Em qualquer caso, não sendo possível o vínculo do hash entre a evidência e a sua cópia digital, todo o procedimento e motivos deverão ser documentados e justificados. Análise Computacional Forense – Página 22 de 38 Live Aquisition: desligar ou não desligar Diante da prática inicial de uma coleta ou aquisição, é frequente o questionamento sobre manter ou não um dispositivo ligado. Isso porque desligá-lo pode significar a perda de dados voláteis ou até mesmo impossibilitar um acesso posterior, já que em uma nova inicialização, o dispositivo pode ser protegido por senha ou criptografia. Por outro lado, não desligar o equipamento pode implicar em permitir a exclusão ou modificação de algum dado, por meio de procedimento remoto ou programa/script local em andamento. Encontrando o sistema ligado e com acesso ao sistema operacional, é importante o perito coletar, por exemplo: ▪ Data e hora do sistema. ▪ Conexões de rede. ▪ Portas abertas. ▪ Usuários logados. ▪ Processos, serviços ou aplicativos em execução. ▪ Tarefas agendadas. ▪ Arquivos abertos. ▪ Cookies e histórico navegação. ▪ Cache e outras informações do browser. ▪ Favoritos. ▪ Logs em geral. ▪ Wipe da memória RAM. Análise Computacional Forense – Página 23 de 38 A simples, mas muitas vezes negligenciada, inspeção por exemplo, do histórico de comandos e conteúdo armazenado na área de transferência, pode revelar detalhes importantes sobre o recente uso do dispositivo, incluindo eventuais tentativas de ocultar provas. Mesmo suspeitando-se de algum procedimento de wipe em execução, que não possa ser interrompido por outro meio, não se deve desligar o computador através dos procedimentos habituais. Isso porque o desligamento a partir de procedimentos comandados pelo sistema operacional, ocasiona a limpeza e remoção dos dados armazenados na área de swap do disco. O swap é uma área de memória disponível nos discos rígidos, utilizada como um recurso adicional do sistema para armazenar temporariamente, conteúdos que estariam guardados na RAM, mas que foram movidos para o HD em função da necessidade de espaço. Comportando-se como uma extensão da RAM no disco, esta área pode conter importantes informações sobre o estado atual da máquina, que se perdem com o desligamento tradicional. Nesses casos, portanto, a recomendação é remover o cabo de força, o que ocasionaria a manutenção dos dados de swap no disco para posterior análise. Vale lembrar que o procedimento de remoção do cabo pode causar outros problemas, devendo, portanto, ser utilizado somente em situações extremas, quando por exemplo o perito suspeitar de criptografia, wipe ou exclusão de dados em andamento. 2.4. Cadeia decustódia Segundo a ISO 27037, a cadeia de custódia compreende o registro documental de toda a cronologia de movimentação de um vestígio. Este documento deve ser criado no momento seguinte a coleta ou aquisição da evidência, e deverá conter todo o seu histórico de localização e manuseio, desde o momento em que foi obtido até o seu estado atual. Ele detalha os responsáveis pela sua guarda ou retirada, mantendo o registro completo de sua movimentação desde a coleta. “O Análise Computacional Forense – Página 24 de 38 propósito de manter o registro de cadeia de custódia é manter a identificação do acesso e movimento da potencial evidência digital a qualquer tempo”20. Segundo a ISO 27097, o registro da cadeia de custódia deverá conter as seguintes informações: ▪ Identificador único da evidência;. ▪ Quem acessou a evidência e o tempo e local em que ocorreu. ▪ Quem checou a evidência interna e externamente nas instalações de preservação da evidência e quando isto ocorreu. ▪ Motivo de a evidência ter sido verificada (qual caso e propósito) e a autoridade relevante, se aplicável. ▪ Quaisquer alterações inevitáveis da potencial evidência digital, assim como o nome do indivíduo responsável para tanto e a justificativa para a introdução da alteração. 20 ISO 27037:2012 - Guidelines for identification, collection, acquisition and preservation of digital evidence, página 11, tradução livre. Análise Computacional Forense – Página 25 de 38 Figura 6 – Formulário de cadeia de custódia. Fonte: http://atoxicologiaufsj.blogspot.com/2011/11/toxicologia-forense-uso-e- importancia.html. http://atoxicologiaufsj.blogspot.com/2011/11/toxicologia-forense-uso-e-importancia.html http://atoxicologiaufsj.blogspot.com/2011/11/toxicologia-forense-uso-e-importancia.html Análise Computacional Forense – Página 26 de 38 Capítulo 3. Adquirindo e Coletando dados 3.1. Live Analysis A Live Analysis ou análise ao vivo acontece no momento do contato inicial com a evidência. Tem como objetivo obter sua “fotografia” e compreensão da tal qual o estado em que foi encontrada. Na Live Analysis, as evidências são obtidas com o sistema em execução. Neste tipo de trabalho, o perito poderá obter importantes informações sobre o dispositivo em análise, através os seguintes recursos: ▪ Análise de logs, processos e informações obtidas a partir do Sistema Operacional. ▪ Dump de memória. ▪ Dados do disco, obtidos por meio de uma aquisição lógica. Conforme mencionado acima, para evitar o cometimento de erros recomenda-se que o perito observe uma cronologia de passos nas suas atividades. A construção dessa rotina pode ser feita individualmente, mas recomenda-se no mínimo observar as seguintes práticas: Documentar data e hora: ao iniciar sua atividade, o perito deverá documentar a data e hora local, bem como gravar um registro com a hora do sistema. Utilizar um flash drive forense: no momento em que iniciar a análise de um dispositivo, o perito deverá utilizar sempre programas que modifiquem o mínimo possível o estado da memória. Além disso, em hipótese alguma deverá instalar ou executar programas diretamente no objeto que será periciado. Realizar um dump da memória: durante a sua execução, os programas carregam muitos dados importantes na memória RAM. Coletar esses dados para posterior análise pode representar uma parte vital da perícia. Análise Computacional Forense – Página 27 de 38 Utilize uma mídia completamente limpa: para gravar os dados coletados, recomenda-se utilizar uma mídia completamente limpa. Isso é, um dispositivo que tenha tido todos os dados excluídos, com a sobrescrita de zeros no seu conteúdo. Registre o hash: somente o registro do hash dos programas utilizados, dos arquivos e conteúdos extraídos, scripts e dump de memória, pode garantir a inquestionável correspondência entre os dados periciados e aqueles contidos no dispositivo em análise. No procedimento de “live aquisition”, popularmente muitas vezes chamado de aquisição “a quente” ou “online”, deve-se priorizar a coleta das evidências, segundo a sua volatilidade, conforme recomendações da RFC 3227. ▪ CPU, cache de memória e registros. ▪ Tabelas de roteamento. ▪ Cache ARP. ▪ Estado do processo e processos em execução. ▪ Módulos e estatísticas do kernel. ▪ Memória principal (RAM). ▪ Arquivos de sistema temporários. ▪ Arquivos de swap. ▪ Configuração e conexões de rede. ▪ Configurações do sistema. ▪ Histórico de comandos. ▪ Arquivos abertos, dados da área de transferência e usuários conectados. ▪ O sistema de arquivos. Análise Computacional Forense – Página 28 de 38 3.2. Dump de memória Dados contidos na RAM são considerados voláteis, já que são perdidos quando a máquina/dispositivo é desligada. Por sua natureza dinâmica e temporária, também são apagados ou sobrescritos de acordo com o próprio uso do sistema, motivo pelo qual até mesmo o programa utilizado para coletar o conteúdo da RAM deve ser o mais leve e menos intrusivo possível, para não modificar de modo relevante o conteúdo já existente em memória. Essas alterações devem ser bem documentadas para evitar a destruição de suas evidências legais. A aquisição ao vivo geralmente faz as seguintes modificações em qualquer máquina Windows: ▪ Alterações no registro. ▪ Entradas de memória. ▪ Gravação de pequena de dados em uma unidade de disco. No Windows, uma ferramenta fácil de usar e pouco intrusiva é o Dumpit. Ela é uma fusão de duas ferramentas confiáveis, win32dd e win64dd, combinadas em um único executável, que pode ser executado a partir de um pendrive. Outra ferramenta bastante utilizada é o FTK Imager. Todavia, mesmo em sua opção “portable”, por ser uma ferramenta gráfica, acabará modificando um pouco mais o estado da memória, quando executada. Em sistemas Linux mais antigos, o comando dd pode ser usado para ler o conteúdo da memória física no arquivo do dispositivo /dev/mem. Entretanto, em sistemas Linux recentes (kernel 2.6 em diante), o /dev/mem fornece acesso apenas a um intervalo restrito de endereços, em vez da memória física completa do sistema. Para tal é necessário utilizar o fmem, um módulo do kernel que cria o dispositivo /dev/fmem, semelhante ao /dev/mem, mas sem limitações http://www.forensicswiki.org/wiki/Physical_memory Análise Computacional Forense – Página 29 de 38 3.3. Aquisição de disco Antes de prosseguirmos, é importante destacarmos dois procedimentos distintos para tratamento/obtenção de dados não voláteis: “Live Aquisition” e “Dead Aquisition”. Na primeira situação, o perito coleta os dados a partir do computador ligado, tal qual ele foi oportunamente encontrado no momento da apreensão ou do trabalho do First Responder. Na “dead/offline aquisition”, o dispositivo é desligado, removido e coletado para análise em laboratório. A escolha entre um método ou outro deve ser baseada na análise do perito. Um dos principais parâmetros a ser considerado neste caso é a presença ou não de criptografia, volume dos dados e criticidade dos sistemas. Atualmente existe uma grande variedade de ferramentas, inclusive de uso livre, para aquisição de dados: ▪ Imager FTK. ▪ Encase Forensics. ▪ X-Ways Forensics. ▪ ProDiscover. ▪ Guymager. ▪ SMART Linux. ▪ Macquisição. Na escolha da ferramenta, a recomendação é utilizar aquela que menos modificar dados na memória. Atualmente, as duas principais ferramentas para geração de imagens de disco são o EnCase Enterprise, da Guidance Software, ou o http://www.accessdata.com/ http://www.guidancesoftware.com/ http://www.x-ways.net/ http://www.techpathways.net/ http://guymager.sourceforge.net/ http://www.asrdata.com/ http://www.blackbagtech.com/ Análise Computacional Forense – Página 30 de 38 FTK Imager , do AccessData.21 Apresentamos a seguiruma breve descrição do FTK Imager.35 FTK IMAGER: O FTK Imager é uma ferramenta desenvolvida pela AccessData (www.accessdata.com), que permite a criação e posterior visualização de uma imagem forense dos dados. Usando o FTK, você pode visualizar imagens forenses de discos rígidos, disquetes, CDs, DVDs e outras mídias de armazenamento criadas com o próprio FTK Imager, ou pode visualizar imagens criadas com outras ferramentas em diferentes formatos. Isso significa que, mesmo que outra organização ou pessoa com software diferente tenha criado uma imagem forense, você ainda poderá visualizar o arquivo de imagem e determinar se ele contém alguma evidência. Com o FTK Imager você poderá escolher entre a geração de uma imagem física ou lógica do dispositivo. No primeiro caso, o programa vai gerar uma cópia completa, bit a bit de todo os clusters ou conteúdo do HD. Imagens lógicas, por sua vez, são geradas a partir de partes especificas do disco, selecionadas pelo usuário no momento da sua geração, e que são, portanto, reconhecidas pelo sistema de arquivo em uso, por exemplo, uma unidade lógica a:\, b:\ ou c:\. O FTK Imager possibilita os seguintes tipos de imagem, conforme relacionado abaixo e ilustrado a seguir: ▪ Unidade física: permite escolher uma unidade física como fonte, com todas as partições e espaço não alocado. ▪ Unidade lógica: permite escolher uma unidade lógica como fonte, por exemplo, E: \ drive. 21 https://www.sciencedirect.com/topics/computer-science/forensic-acquisition. file:///C:/Users/Usuario/Documents/igti/www.accessdata.com https://www.sciencedirect.com/topics/computer-science/forensic-acquisition Análise Computacional Forense – Página 31 de 38 ▪ Arquivo de imagem: permite escolher um arquivo de imagem como fonte, por exemplo, se você precisar converter sua imagem forense de um formato para outro. ▪ Conteúdo de uma pasta: permite escolher uma pasta como fonte. Obviamente nenhum arquivo excluído será incluído. ▪ Dispositivo Fernico: permite restaurar imagens de vários CD / DVDs. Figura 7 – Tipos de imagem. Dead/Offline Aquisition: Conforme discutido anteriormente, em muitas situações pode não ser possível ou recomendado realizar uma “live Aquisition”. Nestes casos, o perito deverá coletar a mídia/dispositivo e realizar a aquisição dos dados para geração da imagem em laboratório. Análise Computacional Forense – Página 32 de 38 Este procedimento geralmente é feito conectando-se o dispositivo que será analisado a uma estação forense. Este equipamento pode ter diferentes configurações e sistemas operacionais, sendo que alguns fabricantes comercializam appliances especificamente construídos para essa finalidade. São os chamados FREDs (Forensic Recovery of Evidence Device). Trata-se de hardwares com softwares e recursos especiais para facilitar o trabalho de duplicação e extração de discos, telefones etc. Estes equipamentos possuem hardwares de última geração e uma série de interfaces para captura de discos SATA, IDE, SSD etc. Vale lembrar sempre a importância de se utilizar entre a estação forense e a evidência objeto da extração dos dados, um dispositivo bloqueador de escrita. Com este procedimento, garante-se a preservação da evidência em seu estado original, evitando possíveis acessos de escrita aos dispositivos feitos pelo Sistema Operacional, sem o conhecimento ou consentimento do usuário. A figura a seguir ilustra alguns dispositivos duplicadores de mídia. Figura 8 – FRED. Fonte: http://advanceit.biz/home/products/forensic-tools/forensic-systems/fred-l/. https://www.insectraforensics.com/Digital-Intelligences-FRED-DX/en. http://advanceit.biz/home/products/forensic-tools/forensic-systems/fred-l/ https://www.insectraforensics.com/Digital-Intelligences-FRED-DX/en%20/ Análise Computacional Forense – Página 33 de 38 Capítulo 4. Análise Forense Nessa unidade apresentamos as ferramentas utilizadas na disciplina22. Nas próximas sessões, você conhecerá alguns exemplos de softwares utilizados para geração da imagem forense, dump de memória, análise de redes, forense de disco etc. Vale lembrar que, por questões didáticas, detalhes de funcionamento, operação, comandos e uso das ferramentas são apresentados nos vídeos da disciplina.23 4.1. Dump de Memória Para realização do dump de memória RAM, apresentamos dois aplicativos: Ftk Imager Lite e o Dumpit. FTK Imager Lite: O FTK Imager é um produto da accessdata, presente na suíte FTK. Segundo o próprio fabricante, seu Foresic ToolKit permite aumentar a velocidade das análises. “Poderoso e comprovado, o FTK processa e indexa dados antecipadamente para uma pesquisa mais rápida. Diferentemente de outras soluções, o FTK usa um banco de dados de casos compartilhados, reduzindo o custo e a complexidade de vários conjuntos de dados.” O FTK Imager é especificamente a aplicação que faz a geração da imagem de disco também, sendo utilizado para dump de memória. A versão Lite refere-se a sua apresentação portable, portanto executável a partir de mídia externa. Há de se 22 As descrições das ferramentas são baseadas nas apresentações e comentários da internet, de seus próprios fabricantes oficiais, acrescidas de observações práticas complementares, realizadas pelo autor da disciplina. Análise Computacional Forense – Página 34 de 38 destacar, porém, que se tratando de uma aplicação gráfica, para a atividade de dump de memória, a sugestão é avaliar o uso de ferramentas o mais leves quanto possível, como por exemplo o DUMPIT. https://accessdata.com/. Dumpit: “Este utilitário é usado para gerar um despejo de memória física de máquinas Windows. Ele funciona com máquinas x86 (32 bits) e x64 (64 bits). O despejo de memória bruta é gerado no diretório atual, apenas uma pergunta de confirmação é solicitada antes de iniciar. Perfeito para flash drives forense, para obter respostas rápidas a incidentes.” Volatility: Para análise dos dumps coletados, utilizamos nesta disciplina o Volatility. Volatility é um framework forense para análise de memória, de código aberto para resposta a incidentes e análise de malware. Está escrito em Python e suporta Microsoft Windows, Mac OS X e Linux. O Volatility é mantido pela Volatility Foundation, uma organização sem fins lucrativos, independente, que mantém e promove a análise forense de memória de código aberto. https://www.volatilityfoundation.org/. Diversos exemplos de casos e materiais para análise de memória podem ser encontrados em: https://github.com/volatilityfoundation/volatility/wiki. 4.3. Analise forense de imagem de disco Para análise da imagem de disco, utilizamos na disciplina o Authopsy. Trata- se de uma ferramenta gráfica, extensível, que suporta a adição de diversos plugins específicos para análises do histórico de navegação, arquivos recentes, chaves de registro, contatos de telefone, e-mail, WhatsApp etc. Por permitir o uso centralizado, os peritos podem trabalhar simultaneamente, “tagueando” arquivos/evidências e compartilhando observações sobre os casos. https://accessdata.com/ https://www.volatilityfoundation.org/ https://github.com/volatilityfoundation/volatility/wiki Análise Computacional Forense – Página 35 de 38 Segundo o fabricante, o Autopsy® é a principal plataforma forense digital de código aberto de ponta a ponta. Criada pela Basis Technology com os principais recursos que você espera em ferramentas forenses comerciais, a Autopsy é uma solução rápida, completa e eficiente de investigação em disco rígido, que evolui de acordo com suas necessidades. 4.3. Forense na nuvem Para forense de dados armazenados na nuvem, três abordagens principais são possíveis: ▪ Obtenção dos dados a partir de requisição judicial ao provedor do serviço. ▪ Verificação dos itens de sincronismo com a nuvem nas estações de trabalho.▪ Acesso as plataformas com suporte de senhas e ferramentas. A análise a partir da requisição realizada ao provedor do serviço, quase sempre é a mais complexa e demorada. Isso porque além de todos os trâmites legais necessários à sua realização, muitas vezes os provedores não têm mais os dados requisitados ou até mesmo se negam a fornecê-los. É verdade que tratados internacionais forneceram acordos para o fornecimento dos dados, na mesma medida que o marco civil da internet previu o tempo mínimo em que os dados e logs devem ser armazenados pelos provedores. Todavia, em muitos casos, pelos motivos expostos, o que se vê, sobre tudo em plataformas globais ou internacionais, é que o fornecimento destes dados pelos próprios provedores, embora viável e possível, não é uma solução trivial. A obtenção dos dados contidos na nuvem a partir das pastas de sincronização do usuário, muito provavelmente é o método mais fácil para obtenção dos dados armazenados nestes serviços. Todavia, embora representem um espelho do conteúdo, dependem da manutenção de um sincronismo e não representam Análise Computacional Forense – Página 36 de 38 efetivamente uma forense na nuvem, uma vez que o conteúdo obtido tem origem no próprio dispositivo do suspeito. Por fim, a análise forense em nuvem pode ser obtida através do suporte de ferramentas, que acessam os serviços e organizam os dados em uma apresentação amigável ao perito. Neste caso, a maioria dos softwares necessita da senha de logon nos serviços para realizar este trabalho. Esta foi a abordagem utilizada nesta disciplina. Para obtenção da senha, recorreu-se a uma análise hexadecimal ao dump de memória. Tendo-se obtido login e password dos serviços do Google, a ferramenta Elcomsoft Cloud Explorer foi utilizada para gerar um “takeout archive” dos dados do usuário contidos no Google. 4.4. Análise de redes A principal ferramenta utilizada para captura de tráfego de rede atualmente é o Wireshark. O Wireshark é o analisador de protocolo de rede mais utilizado e amplamente utilizado no mundo. Ele permite que você veja o que está acontecendo na sua rede em um nível microscópico e é o padrão de fato (e geralmente de jure) em muitas empresas comerciais e sem fins lucrativos, agências governamentais e instituições educacionais. O desenvolvimento do Wireshark prospera graças às contribuições voluntárias de especialistas em redes ao redor do mundo, e é a continuação de um projeto iniciado por Gerald Combs em 1998. O Wireshark possui um rico conjunto de recursos que inclui o seguinte24: ▪ Inspeção profunda de centenas de protocolos, com mais sendo adicionados o tempo todo. ▪ Captura ao vivo e análise off-line. 24 https://www.wireshark.org/ https://www.wireshark.org/ Análise Computacional Forense – Página 37 de 38 ▪ Navegador de pacotes de três painéis padrão. ▪ Multiplataforma: executa no Windows, Linux, macOS, Solaris, FreeBSD, NetBSD e muitos outros. ▪ Os dados de rede capturados podem ser navegados por uma GUI ou pelo utilitário TShark no modo TTY. ▪ Os filtros de exibição mais poderosos do setor. ▪ Análise de VoIP avançada: ‒ (...) ‒ A saída pode ser exportada para XML, PostScript®, CSV ou texto sem formatação. 4.5. Análise de malware Dentre as atividades mais desafiadores da forense, a análise de malware pode ser feita de duas formas básicas: estática ou dinâmica. A análise estática é feita a partir de amostras do malware, porém apenas se executar o código. O objeto de estudo ou exame neste caso é o hash e outras assinaturas do arquivo. O malware é avaliado em engenharia reversa por meio da linguagem assembly e seu código hexadecimal. Deste modo, são avaliadas as instruções e operações de memória, empacotamento do código, entre outras. Na análise dinâmica envolve a avaliação do malware durante a sua execução, em um ambiente controlado. O malware é executado em uma sandbox e todos os desdobramentos de sua operação são estudados e avaliados neste ambiente, com o propósito de entender o seu funcionamento e comportamento. No contexto da disciplina, será realizada uma análise estática, utilizado o volatility para identificar um malware carregado na memória. Análise Computacional Forense – Página 38 de 38 Referências ELEUTÉRIO, Pedro M. da Silva; MACHADO, Márcio Pereira. Desvendando a Computação Forense. 1. ed. São Paulo: Novatec, 2011. PESSOA, Fabrício Lana. Descomplicando a Perícia Computacional Forense. Belo Horizonte: Edição Própria, (no prelo). VELHO, Jesus Antônio. Org. Tratado de Computação Forense. São Paulo, Millennium Editora, 2016