Baixe o app para aproveitar ainda mais
Prévia do material em texto
Marcelo Antonio Sampaio Lemos Costa Página 1 de 107 Marcelo Antonio Sampaio Lemos Costa Página 2 de 107 INTRODUÇÃO A COMPUTAÇÃO FORENSE 1. Histórico Conceito de Perícia Computação – a atividade História da computação 2. Crimes por computador Conceito de Computação Forense Diferença entre Perícia e Resposta a incidentes Primeiros Crimes Panorama Atual Principais Modalidades Local de crime Os Computadores 9 Hardware 9 Software 1. Sistema operacional 2. Utilitários 3. Aplicativos 3. Terminologia Pericial Mídia de provas Mídia de destino Imagem restaurada Sistema operacional nativo Análise ao vivo Análise off-line OBJETOS DE PERÍCIA 4. Os computadores Hardware 9 Memória 9 Drives, discos e volumes 9 O disco rígido 1. Geometria do disco 2. Cabeças de leitura/escrita 3. Trilha 4. Setor 5. Cilindro 6. Setor absoluto 9 O layout do disco rígido 1. Master Boot Record (MBR) 2. Partition Table (Tabela de Partição) 3. Extended DOS Partition (Partição Estendida do DOS) 4. Volume Sector Boot (Setor de Inicialização do Volume) 5. Inter-Partition Space (Espaço Entre Partições) Software 9 Sistemas operacionais 9 Sistemas de arquivos 1. FAT (File Allocation Table) 2. NTFS (New Technology File System) 3. EXT2 4. CDFS Marcelo Antonio Sampaio Lemos Costa Página 3 de 107 5. HFS e HFS+ 6. UFS 9 Conceitos em sistema de arquivos 1. Clusters 2. Cluster Bitmaps 3. Root Folder (Pasta Raiz) 4. File Entries (Entrada de Arquivos) 5. File Slack (Folga do Arquivo) 6. Logical File Size (Tamanho Lógico do Arquivo) 7. Physical File Size (Tamanho Físico do arquivo) 8. RAM Slack (Folga da RAM) Conceitos Básicos de rede 9 Arquitetura 9 Protocolos – Conceitos 9 Recursos 9 Sistemas Operacionais de Rede 9 Meio físico 9 TCP/IP NORMAS E PROCEDIMENTOS 5. Procedimentos Gerais para a Investigação e Perícia de Informática Coleta de evidências 9 Busca e apreensão; 9 Identificação do material apreendido; 9 Estabelecimento da “Cadeia de custódia”; Manipulação 9 Acondicionamento; 9 Transporte; 9 Guarda; 9 Remessa para perícia; Exames periciais 9 Recebimento do material; 9 Identificação do material; 9 Exames “a quente”; 9 Duplicação pericial de mídias; 9 Inicialização segura; 9 Exames em mídia; 9 Documentação dos exames; Elaboração do Laudo Pericial 9 Abordagem; 9 Metodologia; 9 Padrão do documento; PERÍCIA DOS CRIMES DE INFORMÁTICA 6. Duplicação pericial Introdução Duplicação Pericial Linha de Tempo – Timeline Imagens Periciais Soma de Verificação Cuidados Iniciais Marcelo Antonio Sampaio Lemos Costa Página 4 de 107 9 Discos SCSI 9 Discos IDE Criando um disco de sistema com inicialização controlada e bloqueio de escrita Ferramentas 9 O Encase 1. Trabalhando com o Encase 2. Adquirindo uma imagem via DOS 9 O Data Dumper (dd) 1. Trabalhando com o dd 9 O Ghost 1. Trabalhando com o Ghost 9 O Safeback 1. Trabalhando com o Safeback IDENTIFICAÇÃO DE AUTORIA 7. Identificação de autoria Evidências 9 Evidências do usuário 1. Analisando arquivos 9 Evidências do sistema 1. Evidências do sistema na máquina de origem 2. Evidências do sistema na máquina alvo 9 Senhas e Proteções 1. Passando pelo BIOS 2. Acessando o sistema operacional 3. Imagem do LC 4. Alterando permissões e criptografia nativa 5. Arquivos com senha de proteção 6. Ataque força bruta 7. Ataque dicionário 8. Softwares 9. Elcomsoft Co. Ltd. 10. Accessdata Corp. 11. LostPassword Protocolo TCP/IP O endereço IP Máscara de sub-rede Características do TCP/IP Identificando a autoria pela análise de registros (LOG) Atribuindo um endereço IP Identificando o autor Camuflando o IP IP Spoofing Proxies Redes de IP privado Contas de acesso roubadas Quiosques e cyercafés Identificando a autoria em análise de pacotes A perícia Confirmando a autoria Identificando a autoria em análise de arquivos Ataques via web Defacement Detectando ataques Marcelo Antonio Sampaio Lemos Costa Página 5 de 107 Logs do IIS Logs do Apache Analisando logs de ataque Outros logs IDS 8. Análise ao vivo Direcionando a saída de comandos para um arquivo 9 Nunca no disco examinado 9 No floppy 9 Num dispositivo USB (se suportado) 9 Netcat 9 Criando um arquivo - > 9 Acrescentado a um arquivo existente - >> Dump de memória 9 Linux 9 Windows Examinando processos ativos Dominando os comandos executados no equipamento 9 Doskey /history (DOS, Win9x, W2k e WXP) 9 History (_nix) Aplicação de comandos no console (prompt) 9 Iniciando o console (prompt) 9 Data, usuários logados, portas, conexões, etc. O RELATÓRIO E A LEGISLAÇÃO 9. O laudo pericial Documentando o exame Recebendo os equipamentos Iniciando os exames Duplicação Pericial Encadeamento de ações Definido a metodologia Arquivando a documentação O Laudo Pericial 10. Legislação Normas e Políticas Legislações Marcelo Antonio Sampaio Lemos Costa Página 6 de 107 Introdução a Computação Forense Histórico Computação – A computação nos dias atuais é responsável pela automatização de praticamente todas as nossas atividades, que vão desde o processamento nos sistemas governamentais ao simples controle de batimentos cardíacos em um relógio de pulso. Quase tudo que nos cerca, que envolva componentes eletrônicos está intimamente relacionado com a atividade computacional. De forma bastante resumida podemos dizer que a computação é a organização e execução de rotinas e métodos de caráter repetitivo e sua relação com a informação. Conceito de Perícia – Perícia é ato traduzido por relatório, laudo, documento ou outra forma de expressão, emitido por profissional que detém conhecimento específico, em matéria a ser discutida. No caso da perícia criminalística a perícia será realizada por perito oficial ou, na ausência deste, por perito nomeado pelo juiz do caso. História da computação No século XVII, Blaise Pascal constrói a primeira calculadora mecânica com capacidade de operar somas e subtrações; 1801 - Joseph Marie Jacquard criou um tear mecânico cujos padrões dos tecidos eram “desenhados” num cartão perfurado, representando o primeiro programa para o primeiro processador; Em meados do século XIX Charles Babage concebeu um calculador mecânico que era capaz de somar com precisão números com até 50 casas decimais além de um dispositivo que lia cartões com instruções para manipulação dos dados e um conjunto de cerca de mil registradores que “memorizavam” os resultados que por fim eram impressos. 1941 - O primeiro computador apareceu em Konrad Zuse, Alemanha, o Z3. Era programável e construído com componentes eletromecânicos; 1942 - Apareceu nos Estados Unidos, o primeiro protótipo de calculador eletrônico, conhecido como ABC Computer em homenagem a seus idealizadores, John V. Atanasoff e Clifford Berry; 1943 - Construído em Bletchley Park, Inglaterra o primeiro computador eletrônico programável, criado por Alan Turing para uso em criptografia e quebra de códigos; 1944 - No final da segunda guerra mundial, a Marinha Americana em conjunto com a Universidade de Harvard e a IBM criaram o Mark I, um computador composto por componentes eletromagnéticos e que ocupava uma área de 120 m2. 1946 - Quase ao mesmo tempo aparecia um computador desenvolvido pelo exército, totalmente baseado em válvulas, chamado ENIAC (Eletronic Numeric Integrator and Calculator) projetado por J. Presper Eckert e John Mauchly. Assim como o Mark I, foi desenvolvido com fins militares, no auxílio ao cálculo de trajetórias balísticas; 1951 - O UNIVAC que foi o primeiro computador produzido em escala comercial; 1953 – A IBM Corporation lança o IBM 701; 1957 – Lançado o IBM 305 e o NCR 304 (O primeiro construídocom transistores); Marcelo Antonio Sampaio Lemos Costa Página 7 de 107 1959 – Surgiu o PDP1 o primeiro mini-computador. 1960 – É criada a primeira linguagem de programação voltada para aplicações comerciais, conhecida como COBOL (Common Business Oriented Language). 1961 – Criado o primeiro circuito integrado de distribuição comercial. 1971 – Surge o Intel 4004 de 4 bits, os primeiros microprocessadores comerciais, criados pela Intel Corporation, composto por cerca de 2000 transistores. 1972 – A Micro Instrumentation and Telemetry Systems lança o primeiro microcomputador para uso pessoal. 1973 – A Xérox lança o ALTO, um microcomputador completo que incluía o monitor. 1975 - Edward Roberts, William Yates e Jim Bybee produzem o ALTAIR 8800 que eram microcomputadores para vendas ao público. 1976 - Steve Jobs e Steve Wozniak lançam o APPLE I, o primeiro microcomputador a fazer sucesso comercialmente. 1977 – Lançado o APPLE II, o PET (Personal Eletronic Transactor) e o TRS-80 (Tandy Radio Shack's). 1980 – A Seagate produz o primeiro Hard Disk com capacidade para cinco megabytes. 1981 – A IBM lança o IBM PC, precursor dos atuais microcom- putadores pessoais (PC – Personal Computer) com o MS-DOS como sistema operacional. Surge também o Osborne I, o primeiro computador portátil. No fim dos anos cinqüenta, o Departamento de Defesa dos Estados Unidos criou a ARPA - Advanced Research Projects Agency, com a função de conduzir as pesquisas de ciência e tecnologia aplicáveis às forças armadas. Em 1969 foi criada a ARPANET com o objetivo de interligar várias unidades militares por todo os Estados Unidos. Nos anos seguintes novas unidades foram incorporadas, abrindo espaço também para as universidades. Em 1971 surgiu de forma experimental o email, mas somente em 1972 apareceu o primeiro software de correio eletrônico. No começo da década de 80, mais precisamente em 1982 surgiu o protocolo TCP/IP, protocolo este utilizado até hoje. A rede experimenta um crescimento brutal e em 1983 surge a MILNET, composta pelas unidades militares que se separavam da ARPANET. Foram então criados os primeiros domínios em 1985. Eram o edu, org e gov. A partir daí a rede começou a ser chamada de Internet, contendo várias conexões internacionais. Nessa época apareceram outras redes internacionais que mais tarde foram integradas à Internet. Começava uma expansão inimaginável. Em 1990 o termo ARPANET foi oficialmente deixado de ser utilizado e a partir dessa época seu uso passou a ser disseminado e com o surgimento do WWW, ficando ao alcance de toda a população. Surgiu então o Mosaic, o primeiro browser e logo em seguida vieram o Netscape e o Internet Explorer. O lado comercial explodiu. Surgiram os provedores de acesso para reforçar a estrutura. Crimes por computador Computação Forense - Computação Forense é a ciência que trata do exame, análise e investigação de um incidente computacional, ou seja, que envolvam a computação como meio, sob a ótica forense, sendo ela civil ou penal. Na Marcelo Antonio Sampaio Lemos Costa Página 8 de 107 criminalística a Computação Forense trata o incidente computacional na esfera penal, determinando causas, meios, autoria e conseqüências. Diferença entre Perícia e Resposta a incidentes - Diferentemente da perícia, a resposta a incidentes envolve todo o processo de atendimento ao incidente em si, desde sua comunicação até as determinações finais envolvendo ajustes na política de segurança, etc. A resposta a incidentes está mais diretamente voltada às corporações que têm em seus sistemas a condição de sua sobrevivência. A perícia atinge a todos os segmentos, das corporações ao usuário doméstico. Podemos considerar a perícia como uma das etapas que constituem a resposta a incidentes, quando se pretende identificar autoria e ressarcimento dos danos provocados. Como já dissemos, na criminalística a perícia visa determinar causas, meios, autoria e conseqüências e sua relação aos tipos penais em vigor. Para nós a computação forense abrange todo o trabalho de caráter investigativo e pericial, desenvolvido nos crimes que envolvem a computação como meio. Primeiros Crimes – As primeira fraudes eram na contabilidade bancária, cometidas por funcionários responsáveis pela área de informática da instituição, fraudes contra o governo, fraudes contra o usuário. Em Crime by computer, o autor Donn B. Parker cita o primeiro caso que se teve notícia nos EUA, mais precisamente no estado de Minnesota, noticiado através do Minneapolis Tribune do dia 18 de outubro de 1966, sob o título "PERITO EM COMPUTADOR ACUSADO DE FALSIFICAR SEU SALDO BANCÁRIO". Panorama atual - O Gartner Group, estima que os PHISHING SCAMS, e-mails falsos criados para "pescar" dados financeiros dos internautas (como os que circulam por aqui usando os nomes dos bancos, de empresas e lojas conhecidas ou do Banco Central) custaram 1,2 bilhão de dólares às administradoras de cartão de crédito e bancos americanos no ano passado diz também que cerca de 57 milhões de americanos estiveram sujeitos a este tipo de fraude online em 2003 (Fonte: Info online). No Brasil não temos estatísticas sobre o fato, mas somente a uma quadrilha que atua no Pará atribui-se fraudes num montante de R$ 500.000.000,00 Principais Modalidades Defacement (Violação de sites); Difamação em sites; Ataque a servidores; Falso email; 9 Roubo de dados (PHISHING SCAM) 9 Difamação 9 Ameaças Local de crime Os crimes de informática são erroneamente chamados de crimes virtuais, uma vez que não são irreais e deles decorrem, efetivamente, danos à vida e ao patrimônio das pessoas. Ao contrário do que possam acreditar os leigos, eles também ocorrem em um determinado tempo e espaço, dando origem a um "local" que necessita cuidados, visando à sua preservação. O que mais diretamente diferencia a constatação da ocorrência de um crime de Informática é que as provas do seu cometimento são extremamente frágeis e a falta dos conhecimentos necessários à preservação dos locais desse novo tipo de delito, costuma destruir indícios da maior importância para a sua elucidação. Por outro lado, a diferença mais marcante entre a prática dos crimes de Informática e os demais crimes é que naqueles o autor pode cometer a infração sem a necessidade de se defrontar com a vítima ou com a polícia. Não há a necessidade de usar armas, empreender fugas espetaculares, nem se expor a riscos de vida. Marcelo Antonio Sampaio Lemos Costa Página 9 de 107 O crime de informática se dá através do uso de um computador, uma linha telefônica e conhecimentos específicos que permeiam o universo da Tecnologia da Informação. Carlos Kedhy1 conceitua local de crime como sendo “... toda área onde tenha ocorrido qualquer fato que reclame as providências da polícia”. Eraldo Rabelo2, por sua vez, define aquela área como sendo “... a porção de espaço compreendida num raio que tendo por origem o ponto no qual é constatado o fato, se estenda de modo a abranger todos os lugares em que, aparente, necessária ou presumivelmente, hajam sido praticados, pelo criminoso, ou criminosos, os atos materiais, preliminares ou posteriores, à consumação do delito e com este diretamente relacionados”. De forma objetiva podemos considerar um local de crime como sendo qualquer área interna, externa ou mista onde tenha sido registrada uma infração penal e que guarde os indícios de sua ocorrência. O local de crime neste tipo específico de delito, onde computadores foram utilizados como meio, será discutido aqui por analogia, observadas as definições formais dos autores inicialmente referidos, cujos conceitos continuam válidos na atualidade. Imaginemos um crime de homicídio onde o autor, após cometer o seu ato, empreende fuga, passando por uma determinada área descarta a arma do crime, e alguns quilômetros após abandona o veículo.Este crime possui um local composto por uma área imediata, que é a área onde foi encontrado o corpo, e duas áreas mediatas que são os pontos de encontro da arma utilizada e do abandono do veículo, que poderão conter elementos identificadores do autor. Outras áreas relacionadas poderão surgir no decorrer das investigações – como a residência do autor – onde pode ter ocorrido o planejamento do crime. Os crimes de informática seguem uma lógica bastante semelhante, como veremos a seguir. Imaginemos um crime onde o autor, que reside em São Paulo, adotando uma técnica de camuflagem de IP, retira de forma fraudulenta dinheiro da conta bancária de um indivíduo residente em Manaus (AM) e camufla sua operação através de um proxy3 situado na China. Em seguida imaginemos outro crime onde um ataque de DDOS4 (Distributed Denied of Service – Negação de Serviço Distribuído) é cometido a partir de 100.000 computadores conectados a Internet, contra um organismo governamental ligado à segurança nacional, deixando-os fora de operação por horas consecutivas e causando prejuízos de grande monta. As 100.000 máquinas encontravam-se contaminadas por um vírus que permitiam que fossem utilizadas sem o conhecimento de seus donos, e estavam situadas em vários continentes. O local de crime de ambos os casos envolve áreas espalhadas por todo o mundo, sendo no primeiro o Brasil e a China, e no segundo, praticamente toda a superfície do planeta. As situações que pedi que imaginássemos são na verdade casos reais, ocorridos com grande intensidade a partir deste início de século. Nesses casos expostos, o local de crime seria todo o planeta, com áreas imediatas, mediatas e relacionadas, locais físicos e locais virtuais. 1 KEHDY, Carlos – Elementos de Criminalística, 1ª. Ed. São Paulo: Luzes Gráfica Editora Ltda. 1968. 2 RABELO, Eraldo – Contribuição ao Estudo dos Locais de Crime – Revista de Criminalística do Rio Grande do Sul, ano 6, no. 7. 1968. 3 Proxy – Um agente do software que age em nome de um usuário. Ao tentar uma conexão com um determinado website, o proxy troca o IP do usuário pelo seu IP e ao receber o pacote o redireciona para o usuário requisitante. 4 DDOS – Distributed Denied of Service ou Ataque de negação de serviço distribuído – Modalidade e ataque que provoca a interrupção de um serviço fazendo com que um servidor pare de cumprir com uma determinada tarefa Marcelo Antonio Sampaio Lemos Costa Página 10 de 107 Em consonância com os conceitos utilizados para local de crime, podemos dizer que em um crime de Informática esta área compreende todo e qualquer espaço utilizado para planejar e cometer o crime, mesmo que abranja uma grande extensão territorial e que extrapole jurisdições, limites geográficos, fronteiras políticas, etc. Dentro desta definição mantemos ainda os conceitos referentes a áreas imediatas e áreas mediatas, que poderemos definir como: Áreas imediatas – São as áreas relacionadas diretamente ao fato. Podemos citar como exemplo o equipamento e instalações da vítima, caso tenha contribuído de alguma forma para a execução do crime, equipamentos e instalações-alvo, caso o crime seja o dano a um serviço, a um servidor ou a seu conteúdo, e o equipamento e instalações do autor. Nos crimes de informática a vítima estará em um local e o autor quase sempre estará em outro, que pode ser uma residência ou escritório na mesma cidade ou ainda no lado oposto do planeta. Áreas mediatas – São as áreas com vinculação indireta ao crime, que contenham equipamentos e instalações que possam ter contribuído de forma indireta para a execução do crime, registrando a ação de forma a contribuir para sua elucidação. Nesta categoria podemos incluir servidores de registros (logs5) e suas instalações, roteadores, equipamentos de backup, servidores espelho de ataques, etc. Algumas considerações devem ainda ser feitas com relação aos locais de crime de Informática, as áreas imediatas e mediatas, quanto ao fato de serem locais físicos ou locais virtuais. O local físico é considerado o espaço real que abriga as evidências e o local virtual é onde se abrigam as informações voláteis, sem registro definitivo. Pode parecer um contra-senso, mas os locais virtuais estão situados em espaços físicos reais: os circuitos internos dos computadores. A sua qualificação se dá em função de não existirem de forma perene naqueles ambientes e pelo fato de que só podem ser acessado ali através de comandos executados pelos Peritos em Informática. Estes locais virtuais guardam informações sobre a prática de um crime de informática, que são os indícios da sua existência. São dados extremamente frágeis e certamente virão a ser perdidos, caso cuidados especiais não sejam tomados. Como local virtual pode-se citar como exemplo o sistema operacional ativo dos equipamentos da vítima e do autor, que guardam nas suas memórias as lista dos comandos executados. Desligando esses equipamentos todos os dados serão perdidos de forma irremediável. Como locais físicos podem ser referidas as áreas onde estão instalados os equipamentos da vítima e autor, ou os equipamentos usados como meio, que registraram a ação do autor, locais onde estejam armazenadas mídias que contenham as evidências do crime, mídias de suporte físico que contenham dados e evidências do crime, roteadores, servidores, etc. Por fim podemos dizer que nos locais de crime de Informática, pelas características especiais das quais se reveste este tipo de delito, a fragilidade dos indícios é de tal ordem que, como a nenhum outro, a ele se aplica a analogia de Eraldo Rabelo, para quem um local de crime é “...um livro extremamente frágil e delicado, cujas páginas por terem a consistência de poeira, desfazem-se, não raro, ao simples toque de mãos imprudentes, inábeis ou negligentes, perdendo-se desse modo para sempre, os dados preciosos que ocultavam, à espera da argúcia dos peritos". Os computadores – Os computadores podem ser divididos de forma bem simplória em: 5 Logs – São registros efetuados por sistemas, relacionando a atividade do mesmo em função do tempo, usuário, etc., dependendo de como estejam configurados. Marcelo Antonio Sampaio Lemos Costa Página 11 de 107 Hardware - Qualquer componente físico de um computador. A palavra hardware poderia ser livremente traduzida como equipamento. Na categoria de hardware enquadram-se monitores, teclados, placas-mãe, mouses, scanners, modems, discos rígidos, etc. Software - Um programa de computador. O software consiste de um conjunto de instruções em linguagem de máquina que controlam e determinam o funcionamento do computador e de seus periféricos. 9 Sistema operacional - Software destinado a a controlar a alocação de recursos do computador, como comunicação com os usuários, espaço em discos, uso de memória, tempo que cada programa pode rodar, distribui tarefas e controla os softwares aplicativos e utilitários e o funcionamento das placas de vídeo, de som, CD-ROM, impressoras, etc. Como exemplos temos o OS2, BeOS, MacOS, o Unix, o Linux, o MS-DOS, PC-DOS e os Windows 95/98/NT/2000/XP/2003. 9 Utilitários - Software destinado a preencher alguma lacuna de gerenciamento desprezada pelo Sistema Operacional ou pelos programas aplicativos. Geralmente cada utilitário tem uma função específica relacionada ao hardware ou à tarefas correlacionadas com os demais programas. Como exemplo de utilitários temos os programas antivírus, os conjuntos de ferramentas como o Norton System Works, firewalls, IDS, particionadores, etc. 9 Aplicativos - Software com alguma função prática para o computador. Por exemplo, os Editores de Texto, Planilhas, Programas Gráficos, etc. Terminologia Pericial Mídia de provas – O suporte original (disco rígido) que precisa ser investigado, seja o sistema de um suspeito ou a vítima de um ataque. Mídiade destino – O suporte no qual a mídia de provas é duplicada. Em outras palavras, a imagem pericial de uma unidade de provas é transferida à mídia de destino. Imagem restaurada – Cópia da imagem pericial devolvida a sua forma original, inicializável. Sistema operacional nativo – Sistema operacional usado quando a mídia de provas (ou a duplicação pericial) é inicializada para análise. Análise ao vivo (Análise a quente) – A análise feita quando estão se tomando medidas de investigação (pesquisando ou acessando arquivos, examinando logs, etc.) com a mídia de provas em funcionamento. Análise off-line (Análise a frio) – Análise feita quando se examina a mídia de provas ou a duplicação pericial em um disquete de inicialização controlada ou outro sistema. A mídia de prova e a imagem restaurada não são o suporte primário usado durante o processo de inicialização. Marcelo Antonio Sampaio Lemos Costa Página 12 de 107 Objetos de perícia Os computadores - Os computadores são compostos de dois componentes essenciais. O hardware e o software. Hardware – O hardware é a porção física do equipamento, composto por uma série de componentes eletrônicos e mecânicos (cada vez em menor quantidade). São componentes de hardware: o processador, a memória, discos rígidos, placas de funções diversas, teclado, mouse, monitor, scanners, impressoras, etc. • Memória - A memória é a parte do hardware responsável pelo armazenamento dos dados que estão sendo utilizados pelo processador de forma mais imediata. Nela são carregados os programas enquanto estão sendo executados. A memória RAM (random access memory – memória de acesso aleatório) de um computador é volátil, ou seja, se o equipamento é desligado seu conteúdo é perdido. No campo pericial faremos acesso a dados armazenados em memória apenas em exames “a quente”, ou seja, com a máquina alvo da perícia ainda ligada, ou ainda em arquivos com o conteúdo da memória. • Disco rígido – O disco rígido é um hardware formado por um conjunto de discos, utilizados para armazenar dados. O disco rígido é o principal alvo de nossos exames. É nos discos que encontraremos a maioria das evidências de arquivos. • Drives, discos e volumes - Drives são hardwares, ou seja, são componentes físicos e podemos citar como exemplo o disco rígido, o floppy disk, o zip disk, etc. O disco é também hardware, mas a denominação é dada ao suporte da mídia, seja ótico, magnético, etc. O volume é um conceito e não um dispositivo físico. Chamamos de volume a uma partição montada. O Disco rígido • Geometria do disco - O disco rígido possui discos em números variáveis, sendo que cada disco é acessado por um conjunto de cabeças de leitura/escrita. Cada disco possui uma série de anéis concêntricos chamados de trilhas, e cada trilha é dividida em setores e cada setor dividido em bytes. O número e posição dessas estruturas fazem parte da geometria do disco. • Cabeças de leitura/escrita - Para cada lado de um disco, existe uma cabeça correspondente de leitura/escrita, que varre a superfície a uma distância muito pequena permitindo escrita e leitura de dados na mídia. • Trilha - Cada disco é dividido em círculos concêntricos chamados de trilhas. Não é uma estrutura física, e é definida quando o disco sofre uma formatação física, também chamada de formatação de baixo nível. As trilhas são numeradas seqüencialmente iniciando em zero para a trilha situada na parte mais externa do disco, sendo incrementada de um para cada trilha que se avança em direção ao centro do disco. • Setor - O setor é um grupo de bytes dentro de uma trilha e é o menor grupo de bytes que pode ser endereçado em um disco rígido. O número de bytes varia, mas normalmente são de 512 bytes. No caso do CD-ROM o tamanho do setor é de 2048 bytes. Os setores são numerados seqüencialmente, começando por um, entretanto setores com mesmo número, em trilhas distintas, não implicam que estejam alinhados. Marcelo Antonio Sampaio Lemos Costa Página 13 de 107 • Cilindro - O cilindro é também uma estrutura lógica formada pelas trilhas situadas em cada lado de cada disco, acessados simultaneamente pelas cabeças de leitura/escrita. Como os braços estão no mesmo alinhamento, as trilhas sobrepostas formam uma espécie de cilindro virtual. • Setor absoluto – Discos rígidos mais antigos contêm um número de cilindros, cabeças e setores (CHS) definidos e presentes nos disco rígido e lidos através do BIOS. O BIOS endereçava um setor utilizando o CHS como referência. Nos discos atuais estes números não se referem diretamente a estrutura do hardware. Estes números são lidos pelo BIOS que por sua vez os leu partir do driver de baixo nível do disco, que devem fazer sentido com a estrutura física do hardware. Os BIOS atuais referenciam o setor por apenas um número O layout do disco rígido • Master Boot Record (MBR) – O primeiro setor absoluto do disco (setor 0) é assim denominado. Ele contém informações que habilitam o computador a encontrar a tabela de partição e o sistema operacional. A primeira coisa que o computador faz quando é ligado é ler o código presente na MBR, carregá-lo na memória e executá-lo. A tarefa é bastante simples, lê-se a tabela de partição situada ao fim do setor zero para definir que disco e que partição contém a inicialização do sistema operacional. • Partition Table (Tabela de Partição) – A tabela de partição descreve as quatro primeiras partições, sua localização no disco e qual partição é inicializável. Esta informação ocupa apenas um byte e todo o layout lógico de um disco está contido em apenas 64 bytes. • Extended DOS Partition (Partição Estendida do DOS) - Normalmente cada tabela de partição descreve um volume a ser montado pelo sistema de arquivos. A tabela de partição pode abrigar até quatro partições chamadas de partições primárias, inicializáveis se estiverem marcadas como ativas. Se a tabela de partições possui mais de quatro partições, a partição excedente é criada com a denominação de partição estendida. Nesta configuração o primeiro setor de cada partição estendida é um setor de inicialização com outra tabela de partição. • Volume Sector Boot (Setor de Inicialização do Volume) – Desde que cada partição contenha um sistema de arquivos diferente, cada partição conterá um setor de inicialização do volume que é utilizado para descrever o tipo de sistema de arquivos da partição e abrigar o código de inicialização necessário para montar o sistema de arquivos. Este código é diferente do MBR descrito anteriormente. A tarefa do volume sector boot é encontrar um arquivo na pasta raiz (io.sys no caso do DOS) que é carregado e dará continuidade ao processo de inicialização até o final do processo. No linux o LILO boot loader serve para o mesmo propósito. Ele localiza o Super Block que descreve o resto do sistema de arquivos. • Inter-Partition Space (Espaço Entre Partições) – Os setores da trilha entre o início de uma partição e o setor de inicialização da partição, normalmente não são utilizados pelos sistemas de arquivos. Isto resulta em dezenas ou centenas de setores desperdiçados. Entretanto, desde que esta área é inacessível a todos os visualizadores de disco de baixo nível, teoricamente será possível ocultar informação ali. O EnCase rotula Marcelo Antonio Sampaio Lemos Costa Página 14 de 107 estas áreas como Unused Partition Área (área não utilizada da partição) e permite que seu conteúdo seja inspecionado. Software – O software é o componente que em forma de um código processa dados e informações, utilizando os vários componentes físicos do equipamento. A interação entre software e o hardware é o objeto do trabalho pericial, portanto é de extrema importância compreender como funciona a memória, disco rígido, mídias magnéticas e óticas, softwares, protocolos de comunicação e tudo o mais que possa funcionar como evidência da execução de um crime. Sistemas operacionais• Sistemas operacionais – São sistemas responsáveis pelo funcionamento dos computadores, pela interação entre seus componentes, etc. É o sistema operacional que faz interface entre o hardware e as demais aplicações, escreve e lê arquivos nos discos, carrega e descarrega conteúdo na memória do equipamento. Dentre as funções básicas, pode-se citar: Definição da interface com o usuário; Compartilhamento de hardware entre usuários; Compartilhamento de dados entre usuários; Gerenciamento dos dispositivos de entrada e saída; Tratamento e recuperação de erros Sistemas de arquivos • Sistemas de arquivos – Um sistema de arquivos é um conjunto de estruturas lógicas e de rotinas, que permitem ao sistema operacional definir regras de proteção e manipulação de arquivos no disco rígido. Diferentes sistemas operacionais usam diferentes sistemas de arquivos. Para ilustrar este quadro, suponha que duas pessoas são incumbidas de organizar vários documentos, de modo que possam localizar qualquer um deles com facilidade. As duas deverão trabalhar isoladamente e cada uma delas irá organizar os documentos da maneira que achar pessoalmente mais conveniente e provavelmente uma não entenderá a forma de organização da outra. De forma análoga, os sistemas operacionais organizam o espaço do disco rígido para permitir armazenar e acessar os dados de maneira eficiente, de acordo com os recursos, limitações e objetivos do sistema. É de fundamental importância conhecer os conceitos sobre os diversos sistemas de arquivos base dos sistemas operacionais, pois é desse conhecimento que poderemos nos preparar para analisar o conteúdo de um disco. Temos a seguir alguns dos sistemas operacionais e seus respectivos sistemas de arquivos: Microsoft Windows 9x, Me, DOS FAT16 / FAT32 Microsoft Windows NT NTFS, NTFS4, NTFS5 Microsoft Windows 2K e XP FAT16/FAT32/NTFS4/NTFS5 Linux Minix, EXT, EXT2, EXT3 OS/2 HPFS Unix UFS • FAT (File Allocation Table) – A FAT é uma matriz de números que fica situada próximo do início de um volume DOS. Estes números podem ser de 1½ bytes (12 bits), 2 bytes (16 bits) ou 4 bytes (32 bits) de comprimento, dependendo do tamanho do volume. É por isso que os sistemas de arquivos FAT são comumente denominados de FAT12, FAT16 e FAT32. Cada entrada na FAT corresponde diretamente a um cluster e há sempre uma entrada na FAT para cada cluster. Cada entrada Marcelo Antonio Sampaio Lemos Costa Página 15 de 107 possui um código que indica se o cluster está livre, se o cluster está danificado ou se este é o último cluster em um arquivo. Se não for um destes códigos, o número fará referência ao cluster seguinte na seqüência do arquivo. O primeiro cluster na seqüência é gravado nas propriedades do arquivo, que são armazenados na pasta pai. A FAT é conseqüentemente uma lista ligada de sentido único dos clusters para cada arquivo em um volume. As pastas em um volume FAT são armazenadas como um arquivo especial. O conteúdo destes arquivos é gravado cada pasta como uma pasta filho. As “pastas arquivos” ocupam espaço no volume junto com outros arquivos normais. • NTFS (New Technology File System) – O NTFS possui uma estrutura avançada, desenvolvida para superar as limitações de outros sistemas de arquivos desenvolvidos anteriormente. Desenvolvido para concorrer com o sistema de arquivos do Unix e baseado nos conceitos funcionais do HPFS (High Performance File System), sistema de arquivos do OS/2, desenvolvido em conjunto pela Microsoft e IBM. O descritor dos arquivos para cada arquivo é armazenado na Master File Table (MFT) ou “Tabela Mestre de Arquivos”, incluindo a referência sobre a própria MFT. Cada descritor de arquivo contém o nome e outros atributos do arquivo, resultando numa extensa lista. A lista contém a localização de cada arquivo no volume. Outro arquivo chamado de Volume Bitmap descreve os clusters livres no volume. As pastas são armazenadas em uma estrutura b-tree6 (árvore b) para um rápido acesso ao disco. • EXT2 – O sistema de arquivos EXT2 foi o primeiro sistema de arquivos utilizado no sistema operacional Linux. Partições EXT2 são divididas em uma série de grupos. Cada grupo contém uma série de inodes e blocos. A tabela de inodes descreve os arquivos que estão localizados em cada grupo, indicando atributos dos arquivos como o usuário e grupo proprietário do arquivo, modo de acesso ao arquivo (leitura, escrita, executável). Para se saber o número do inode do arquivo basta dar o comando num shell unix, # ls –i. • CDFS – O padrão ISO9660 é utilizado para descrever a estrutura de arquivos em um CD. Existe um grande número de variações da estrutura básica. A mais conhecida é ao padrão Joliet que é utilizado pelo Microsoft Windows para permitir nome de arquivos unicode. • HFS e HFS+ – Este é o sistema de arquivos do Macintosh e Power Macintosh. • UFS – Este é o sistema de arquivos comum aos Unix. Entretanto, como sorvete e basic, o Unix possui diversos sabores. Conceitos em sistema de arquivos • Clusters – O cluster é um grupo de setores em um volume lógico e é utilizado para armazenar arquivos e pastas. Os clusters devem conter um número de setores em potência de dois (como 2, 4, 8, 16, etc.). O DOS mantém as informações sobre cada cluster na File Alocation Table (Tabela de Alocação de Arquivos). Partições NTFS guardam o mesmo tipo de informação na File Extents Table (Tabela de Extensões de Arquivo) e no Volume Bitmap (Mapa de Bits do Volume). Partições EXT2 6 B-Trees são árvores de busca desenvolvidas para trabalharem em discos magnéticos ou qualquer outro dispositivo de armazenamento de acesso direto em memória secundária. Em uma aplicação comum de uma B-Tree, a quantidade de dados é tão grande que provavelmente não caberia na memória principal. A B-Tree copia blocos específicos para a memória principal quando necessário e os grava no disco se os blocos tiverem sido alterados. Marcelo Antonio Sampaio Lemos Costa Página 16 de 107 armazenam informações no Inode Table (Tabela Inode) e no Block Bitmaps (Mapa de Bits do Bloco). Os inodes são estruturas de dados do Unix que contém informações sobre os arquivos. Cada arquivo possui um inode number que informa sua localização, o usuário e grupo do seu proprietário, seu modo de acesso, etc. Os CDS normalmente possuem uma un-fragmented file extensions (extensões de arquivos não fragmentadas) e por isso não necessitam de um Cluster Bitmap ou FAT. • Cluster Bitmaps – Cada cluster em um sistema de arquivos está alocado ou disponível para alocação. No DOS o estado dos clusters é mantido na FAT. Uma entrada de valor zero indica que o cluster está disponível, de outro modo existem diferentes códigos para indicar a que parte do arquivo o cluster pertence. No NTFS o mantém uma trilhas dos clusters livres com um bitmap (mapa de bits). É um arquivo que contém um bit para cada cluster existente no volume, colocado no ato da formatação do drive. Partições EXT2 contêm um bloco de bitmaps para cada grupo, mas o conceito é o mesmo. • Root Folder (Pasta Raiz) – Todos os sistemas de arquivos possuem uma estrutura de árvore que suporta arquivos e pastas dentro de pastas, até um nível predeterminado. A raiz dessa estrutura é sempre armazenada em um local conhecido. a. Em volumes FAT 12 e FAT16 a pasta raiz fica localizada em uma posição fixa e contém um número máximo de entradas determinado quando o volume é formatado. O número de arquivos e pastas na pasta raiz é limitado, mas o número e o tamanho do resto das pastas no disco é essencialmente ilimitado, porque eles são tratados como arquivos normais e podem ser expandidos se houver espaço disponível no volume; b. Em volume FAT32 a pasta raiz é tratada como um arquivo e pode conter qualquer número de arquivos ou pastas. Sua localização é armazenada no volume boot record; c. Em partições NTFS a pasta raiz fica armazenada como umarquivo especial na master file table (tabela de arquivos master); d. Em partições EXT2 a pasta raiz fica armazenada como um Inode especial no primeiro setor; e. CDFS armazena pasta raiz no setor de inicialização. • File Entries (Entrada de Arquivos) – Em volumes FAT e EXT2, um folder é tratado exatamente como um arquivo. Cada folder contém um cluster de partida que pode ser expandido ou contraído a medida que vai se copiando ou excluindo arquivos de seu interior. Cada arquivo em uma pasta é representado por uma entrada de 32 bytes na tabela. Em outras palavras, o conteúdo de um arquivo “pasta” é uma matriz de dados contendo informações sobre os arquivos da pasta. Cada entrada na pasta pode ser um arquivo ou uma pasta. Desta forma a estrutura da árvore de pastas vai se definindo. Uma entrada de 32 bytes contém espaço suficiente para um arquivo com nome do tipo 8.3. O Windows 95 implementou nomes longos para arquivos utilizando o espaço restante para armazenar os caracteres adicionais. • File Slack (Folga do Arquivo) - O espaço existente entre o fim lógico do arquivo e o fim físico é chamado de file slack. Suponhamos que um arquivo qualquer ocupa dois clusters de 1024 bytes. Seu tamanho físico é de dois clusters, ou seja 2048 bytes, mas seu tamanho lógico é menor Marcelo Antonio Sampaio Lemos Costa Página 17 de 107 que 2048 e maior que 1024 bytes. O espaço remanescente do segundo cluster fica livre e pode conter dados de um arquivo ou pasta gravado anteriormente naquela área física do disco. No diagrama seguinte vemos um esquema do exemplo dado onde a região cinza representa o file slack. • Logical File Size (Tamanho Lógico do Arquivo) – Todos os sistemas de arquivos mantêm uma lista com o tamanho exato dos arquivos em bytes, que é o número que você consegue ver nas propriedades do arquivo, como o tamanho, conforme imagem a seguir. • Physical File Size (Tamanho Físico do arquivo) – O tamanho físico do arquivo é a quantidade total de espaço alocado para o arquivo no Cluster 1 Cluster 2 Final lógico do Final físico do arquivo File Slack Dados do arquivo X Cluster 1 Cluster 2 Final lógico do Final físico do arquivo Dados do arquivo X no File Slack Marcelo Antonio Sampaio Lemos Costa Página 18 de 107 disco. Um arquivo ou uma pasta sempre ocupam um número inteiro de clusters mesmo que eles não preencham totalmente o espaço em disco dos clusters. Um arquivo ocupa pelo menos um cluster mesmo que esteja vazio. Conseqüentemente mesmo que um arquivo tenha somente 5 bytes, o tamanho físico é de um cluster. O EnCase mostra para todos arquivos ambos os tamanhos, físico e lógico. Tamanho ocupado em disco de 698 Mb Tamanho ocupado em disco de 24,4 Gb Marcelo Antonio Sampaio Lemos Costa Página 19 de 107 • RAM Slack (Folga da RAM) – Antes de um arquivo ser escrito no disco ele será colocado em um buffer em algum lugar da memória RAM. Se o buffer for preenchido parcialmente com informação antes de o conteúdo ser escrito no disco, os espaços livres remanescente do buffer serão escritos no disco. Desta forma informação que nunca foi salva pode ser encontrada na RAM slack, no disco. O EnCase busca por padrão, dados nestas áreas. Redes – Redes são estruturas físicas e lógicas voltadas para a integração de comutadores, facilitando o compartilhamento e acesso a dados e informações. As redes permitem um gerenciamento de recursos mais eficiente, ajudam a manter os dados atualizados, permite a comunicação de grupos de trabalhos e indivíduos. Atualmente podem ser domésticas ou coorporativas, de pequeno, médio e grande porte, pode ser uma LAN (local area network, ou rede local), que é uma rede que une os micros de um escritório, prédio, ou mesmo um conjunto de prédios próximos, usando cabos ou ondas de rádio, pode ser uma WAN (wide area network, ou rede de longa distância), que interliga micros situados em cidades, países ou mesmo continentes diferentes, usando links de fibra óptica, microondas ou mesmo satélites. Geralmente uma WAN é formada por várias LANs interligadas. Arquiteturas - A arquitetura de rede mais utilizada é a Ethernet, mas existem outras como a Token Ring, Arcnet, etc. Uma arquitetura de rede define como os sinais irão trafegar através da rede. Todo o trabalho é feito de maneira transparente pela placa de rede, que funciona de maneira diferente de acordo com a arquitetura para a qual tenha sido construída. Protocolos – Cabos e placas de rede servem para estabelecer uma ligação física entre os micros, a fim de permitir a transmissão de dados. Os protocolos, por sua vez, constituem um conjunto de padrões usados para permitir que os micros “falem a mesma língua” e possam se entender. Os protocolos mais usados atualmente são o TPC/IP (protocolo padrão na Internet), NetBEUI e IPX/SPX. Podemos fazer uma analogia com o sistema telefônico: veja que as linhas, centrais, aparelhos, etc. servem para criar uma ligação que permite a transmissão de voz. Mas, para que duas pessoas possam se comunicar usando o telefone, existem vários padrões. Por exemplo, para falar com um amigo você discará seu número, ele atenderá e dirá “alô” para mostrar que está na linha. Vocês se comunicarão usando a língua Portuguesa, que também é um conjunto de códigos e convenções e, finalmente, quando quiser terminar a conversa, você irá despedir-se e desligar o telefone. Recursos – Tudo que é compartilhado através da rede, seja um arquivo, um CD-ROM, disco rígido ou impressora, é chamado de recurso. O micro que disponibiliza o recurso é chamado de servidor ou host, enquanto os micros que usam tal recurso são chamados de clientes, ou guests. Sistemas Operacional de Redes – Conhecido por N.O.S. (Network Operational System) é o último componente de uma rede e permitirá a comunicação entre os diversos componentes. São N.O.S. o Windows 3.11/95/98/Me/NT/2K/2003, Novell Netware, Linux, Solaris, entre vários outros. Cada sistema possui seus próprios recursos e limitações, sendo mais adequado para um tipo específico de rede. Meio físico – Aqui estão incluídos o cabeamento, as placas de rede e equipamentos ativos como hubs, switches, roteadores, bridges, modems, conversores de mídia, etc. A arquitetura e a topologia da rede é que definirão que tipo de meio físico deverá ser utilizado. As características dos cabos são deter. Marcelo Antonio Sampaio Lemos Costa Página 20 de 107 Protocolos TCP/IP – Transmission Control Protocol/Internet Protocol – É um conjunto de protocolos que foi desenvolvido para permitir aos computadores compartilharem recursos numa rede. Toda a família de protocolos inclui um conjunto de padrões que especificam os detalhes de como comunicar computadores, assim como também convenções para interconectar redes e rotear o trafego. O TCP e o IP são protocolos individuais, mas eles não são os únicos protocolos que compõem essa família. A família de protocolos é composta por: ARP (Address Resolution Protocol) ICMP (Internet Control Message Protocol) UDP (User Datagram Protocol) RIP (Routing Information Protocol) HTTP (Hypertext Transfer Protocol) NNTP (Network News Transfer Protocol) SMTP (Simple Mail Transfer Protocol) SNMP Simple Network Management Protocol FTP File Transfer Protocol TFTP Trivial File Transfer Protocol INET PHONE Telephone Services on Internet IRC Internet Relay Chat RPC Remote Procedure Call NFS Network File System DNS Domain Name System Uma transferência se inicia com um pedido de leitura ou escrita de um arquivo, o qual também serve para pedir uma conexão. Se o servidor reconhece o pedido, a conexão é aberta e o arquivo é enviado num bloco de tamanho fixo de 512 bytes. Cada pacote de dados contem um bloco de dados e deve ser reconhecido por um pacote de acknowledgment (ACK) antes que o próximo pacote possa ser enviado. Um pacote dedados menor que 512 bytes sinaliza a terminação de uma transferência. Se um pacote consegue se perder na rede, o receptor indicara time-out e poderá retransmitir seu ultimo pacote (o qual pode ser dados ou um reconhecimento). Isto motiva ao transmissor do pacote perdido a retransmitir o pacote perdido. O transmissor tem que guardar apenas um pacote para retransmissão, pois cada passo de reconhecimento garante que todos os pacotes anteriores tenham sido recebidos. Marcelo Antonio Sampaio Lemos Costa Página 21 de 107 Normas e Procedimentos Introdução Considerando as recentes técnicas, meios e problemas que envolvem os crimes de informática e a ação de perícia criminal sobre evidências de delitos desta natureza, se faz necessário a adoção de protocolos para a coleta, manipulação, exame e preparação do laudo pericial, visando a integridade da prova e sua aceitação perante a justiça. Em muitos casos, os locais de crime podem apontar a presença de computadores e mídias que possam estar relacionados ao crime em análise, ou ainda, munidos de uma ordem judicial, proceder a uma busca e apreensão de equipamentos e mídias que possam estar ligados a um caso qualquer. A observação a certos procedimentos pode significar a diferença entre o sucesso e o fracasso da perícia a ser realizada. É sabido que, em se tratando de crimes que envolvam computadores como meio, a coleta, manipulação e exame de provas sem os devidos cuidados podem acarretar na falta de integridade da prova. A coleta e manipulação de equipamentos e mídias sem a observação de condições mínimas de segurança no manuseio podem acarretar danos irrecuperáveis no material coletado. Discos rígidos não suportam golpes, mídias magnéticas podem apresentar perda de dados se submetidas a campos magnéticos, a superfície pode apresentar desgaste se exposta a calor, umidade e poeira, e assim por diante. O acesso aos dados de forma não controlada também pode impor alterações irrecuperáveis nos dados, seja nos próprios arquivos ou nos metadados destes arquivos. Visando evitar tais problemas o trabalho a seguir sugere a adoção de critérios e metodologias para a realização destas atividades. Portanto as seguintes condições deverão ser rigorosamente observadas para a coleta, manipulação e exames de equipamentos e mídias. Inicialmente vamos dividir o trabalho em tópicos de forma a estruturar os protocolos e facilitar a busca pelos procedimentos a serem adotados em cada caso. 1. Coleta de evidências 1.a. Busca e apreensão; 1.b. Identificação do material apreendido; 1.c. Estabelecimento da “Cadeia de custódia”; 2. Manipulação 2.a. Acondicionamento; 2.b. Transporte; 2.c. Guarda; 2.d. Remessa para perícia; 3. Exames periciais 3.a. Recebimento do material; 3.b. Identificação do material; 3.c. Exames “a quente”; 3.d. Duplicação pericial de mídias; 3.e. Inicialização segura; 3.f. Exames em mídia; 3.g. Documentação dos exames; 4. Elaboração do Laudo Pericial 4.a. Abordagem; 4.b. Metodologia 4.c. Padrão do documento; Marcelo Antonio Sampaio Lemos Costa Página 22 de 107 1. COLETA DE EVIDÊNCIAS 1.a. Busca e apreensão 1.a.1. Os equipamentos objetos da apreensão, como computadores, devem ser desligados através dos comandos apropriados a cada situação, observadas as diferença entre os diversos sistemas operacionais; 1.b. Identificação do material apreendido 1.b.1. Todo material apreendido deve ser relacionado em relatório apropriado, constando data e hora da operação de apreensão, local da apreensão, nome do proprietário do equipamento, descrição e quantificação do material apreendido, nome dos integrantes da ação e outras informações que se entenda ser pertinentes; 1.b.2. Deverá acompanhar o relatório, uma cópia da ordem judicial, caso exista; 1.c. Estabelecimento da “Cadeia de Custódia” 1.c.1. Assim como em todo e qualquer objeto apreendido em local de crime, os materiais de informática apreendidos deverão ter anotado em seu relatório de apreensão, o nome de todas as pessoas que estejam de posse dos mesmos e a situação envolvendo o referido material. Um modelo de “Cadeia de custódia” com a estrutura do documento e relação de situações encontra-se no anexo I; 2. MANIPULAÇÃO 2.a. Acondicionamento 2.a.1. Todos os equipamentos e mídias apreendidos deverão, se possível, estar acondicionados em suas embalagem originais ou em embalagens apropriadas de forma a que se evite danos aos mesmos; 2.b. Transporte 2.b.1. O material resultante da apreensão deve ser transportado de forma a manter uma distância mínima de cinqüenta centímetros de fontes de calor com temperatura entre 45ºC e 70ºC, fonte emissora de ondas eletromagnéticas como aparelhos de telefonia móvel e rádios VHF portáteis que estejam operativos ou ainda de campos magnéticos tais como caixas acústicas, imãs, etc.; 2.b.2. O material deverá estar posicionado de maneira que não se desloquem verticalmente em função de impactos no veículo de transporte e horizontalmente em função de ação de forças centrípetas presentes em manobras de curvas e evasão na condução do veículo transportador; 2.c. Guarda 2.c.1. Caso não seja possível a remessa imediata para a perícia, os materiais apreendidos devem ficar armazenados em local livre de umidade, calor excessivo, campos magnéticos e eletromagnéticos como os citados no item 2.b.1.; 2.c.2. Os equipamentos apreendidos não deverão, sob nenhuma hipótese, serem ligados antes da realização da perícia; Marcelo Antonio Sampaio Lemos Costa Página 23 de 107 2.d. Remessa para perícia 2.d.1. Os materiais deverão ser encaminhados para a perícia, acompanhados do relatório da busca e apreensão, da ordem judicial (se houver) e da guia de requisição de exames periciais; 2.d.2. Utilizando-se de novo transporte deverão ser observados os procedimentos do item 2.b.; 3. EXAMES PERICIAIS 3.a. Recebimento do material 3.a.1. O material deve ser conferido e observado a existência dos documentos citados no item 2.d.1.; 3.a.2. O transporte interno deverá obedecer a todos os critérios estabelecidos no item 2.b.; 3.b. Identificação do material 3.b.1. O material encaminhado para a perícia deverá ser identificado individualmente no caso de equipamentos mídias, exceto no caso de lotes grandes deste último material onde o objetivo da perícia seja a pesquisa de conteúdo relacionado ao caso, sendo que nesse caso a identificação do material se dará após identificação da mídia questionada; 3.b.2. A identificação deverá conter as informações básicas do relatório de apreensão, tais como data e hora da operação de apreensão, local da apreensão, nome do proprietário do equipamento, descrição sucinta, data e hora do recebimento do equipamento no laboratório, nome do perito que recebeu o material, nome do perito responsável pelos exames, status do exame (a iniciar, em andamento e concluído), tipo de mídia (se original ou duplicação) e data de conclusão dos exames, conforme modelo constante do anexo II; 3.c. Exames “ao vivo” 3.c.1. Exames só deverão ser realizado com o equipamento ainda ativo (“a quente”) em casos de total impossibilidade, tais como os casos de identificação de entradas ARP, histórico de comandos, etc.; 3.d. Duplicação pericial de mídias 3.d.1. Toda mídia que não possua possibilidade de bloqueio de escrita deverá sofrer um processo de duplicação bit-a-bit, de forma a permitir a preservação integral de todo o conteúdo da mídia, incluindo os espaços não referenciados nas tabelas de arquivos específicas dos sistemas de arquivos que já tenham sido utilizados anteriormente e que possam ter algum conteúdo; 3.d.2. A duplicação pericial deverá ser realizada em conjunto com recurso de bloqueio de escrita em disco, podendo este ser um recurso de hardware ou de software, ou ainda presente no próprio software de duplicação. Estes softwares por sua vez, deverão ser homologados pelo mercado ou por instituiçãovoltada para o trabalho pericial e/ou jurídico, desde que os aspectos técnicos básicos sejam respeitados; A realização de uma duplicação pericial depende de uma série de fatores que aumentarão ou diminuirão o grau de dificuldade para realizar a operação em Marcelo Antonio Sampaio Lemos Costa Página 24 de 107 questão. O fator preponderante é a escolha da ferramenta que será utilizada para a tarefa, visto que esta determinará os procedimentos a serem seguidos. Adotaremos como ferramenta de análise e criação de imagens, o EnCase, produzida pela Guidance Software, baseando os procedimentos e instruções de trabalho de acordo com as situações listadas a seguir: Situação 1. A máquina suspeita possui disco rígido compatível com os padrões tecnológicos de mercado, no caso atual, os padrões ATA 66/100/133. • Na condição mais favorável retira-se o disco rígido e o instala na estação pericial; • Instala-se um disco rígido compatível e procede-se a criação da imagem disco a disco (on fly), observando os procedimentos para inicialização segura. Situação 2. A máquina suspeita possui disco rígido incompatível com os padrões tecnológicos de mercado (discos IDE antigos, discos SCSI), mas o disco apresenta compatibilidade com os recursos da estação pericial. • Retirar o disco rígido e o instalar na estação pericial. Situação 3. A máquina suspeita possui disco rígido incompatível com os padrões tecnológicos de mercado (discos IDE antigos, discos SCSI), e não apresenta compatibilidade com os recursos da estação pericial. • Deve-se verificar o estado de funcionamento do equipamento, observando sempre os procedimentos para inicialização segura; • No caso do equipamento suspeito estar funcionando adequadamente, deve-se verificar se sua interface de rede é compatível com os drivers de rede fornecidos com os discos de boot do EnCase; • Não sendo compatível deve-se instalar uma nova interface compatível ou criar um disco de boot com os drivers adequados; • Caso o equipamento suspeito não apresente condições de funcionamento, deve-se preparar uma estação que atenda as condições mínimas necessárias para instalar o disco rígido e realizar a duplicação pericial. 3.e. Inicialização segura 3.e.1. Nos casos em que a duplicação seja realizada no equipamento questionado, os seguintes passos deverão ser seguidos para uma inicialização segura: • Desconecte o cabo de força do equipamento questionado caso esteja conectado a alguma tomada; • Abra o gabinete do mesmo e verifique a configuração e as conexões da placa mãe com os dispositivos de mídia, tais como discos rígidos, dispositivos de disquetes, CD-ROMs, etc; • Desconecte o cabo de força de todos os discos rígidos existentes; • Conecte ou reconecte, conforme for, o cabo de força do equipamento em questão, observando os valores de tensão da fonte estão ajustados para a tensão das tomadas do laboratório, ajustando-os, nos casos de fontes com ajuste manual, se necessário; Marcelo Antonio Sampaio Lemos Costa Página 25 de 107 • Ligue o equipamento e acesse o CMOS setup através dos comandos adequados, verificando no BIOS o dispositivo preferencial de boot e alterando-o, se necessário, para o tipo de mídia a ser utilizada para o boot, podendo ser o drive de disquetes, CD-ROM, etc.; • Saia do BIOS e salve as alterações e documente as alterações realizadas e ainda se necessário, a geometria apresentada na configuração dos discos rígidos, se não estiver com a opção “auto” marcada; • Coloque a mídia de boot com o software de duplicação e inicialize o equipamento, verificando se o dispositivo ajustado para o “boot” está em condições de inicializar o sistema operacional da mídia; • Em caso negativo, providencie a substituição do drive danificado por outro em bom estado; • Em caso positivo reconecte os cabos de força de todos os discos rígidos existentes ligue o equipamento permitindo a inicialização pela mídia do duplicador; • Proceda a duplicação de acordo com recursos existentes no seu software de duplicação, anexando um disco rígido para receber a duplicação ou enviando a mesma via rede para uma estação pericial; 3.f. Exames em mídia; 3.f.1. Após a duplicação, as mídias contendo as provas originais deverão ser preservadas e isoladas. Os exames serão realizados nas mídias duplicadas que deverão estar devidamente identificadas e etiquetadas, como as originais; 3.f.2. Os exames poderão ser realizados com softwares aplicativos e utilitários de uso comum, como visualizadores para imagens, texto formatado, ilustrações vetoriais, e de conteúdo diverso; 3.g. Documentação dos exames; 3.g.1. A realização dos exames deverá ser totalmente documentada de forma a permitir que qualquer outro perito tenha condições de realizar os exames solicitados obtendo resultados idênticos; 4. ELABORAÇÃO DO LAUDO PERICIAL 4.a. Abordagem 4.a.1. O laudo deverá ser elaborado utilizando a linguagem técnica sem excessos e evitando ao máximo expressões complexas muito comuns no meio da computação; 4.b. Metodologia 4.b.1. Deverá ser informada a metodologia de trabalho utilizada durante a realização dos exames, incluindo aí as técnicas empregadas, os softwares e hardwares empregados; 4.c. Padrão do documento 4.c.1. O laudo deverá seguir as recomendações técnicas constantes das NBR 10719 - Apresentação de Relatórios Técnicos-científicos. Marcelo Antonio Sampaio Lemos Costa Página 26 de 107 Duplicação Pericial A preservação da evidência na Computação Forense Introdução A preservação de evidências nas análises criminalísticas é de fundamental importância na perícia, já que, quanto menos inalterado o estado das coisas em um local de crime maior é a chance de sucesso na produção das provas. Na computação forense não podia ser diferente, a não preservação pode implicar em provas produzidas após a apreensão das evidências, prejudicando de forma irreversível a comprovação de autoria. Vamos supor que durante a prisão de um suspeito de crime, foi apreendido seu notebook e o mesmo foi levado a uma delegacia e recolhido para perícia. Antes do envio do equipamento para a perícia e após dois dias da apreensão resolve-se ligá- lo e verificar seu conteúdo. Vários arquivos são abertos, imagens são visualizadas, revelando conteúdo de interesse para o caso e que irá se constituir em única prova contra o suspeito. Envia-se então o equipamento para perícia solicitando o exame e que se faça a análise das imagens e dos documentos identificados na delegacia. A perícia constatará a existência do material citado, entretanto as datas de último acesso aos arquivos são posteriores a data da prisão do suspeito. Como poderia o suspeito ter acessado seu computador se tinha sua liberdade restringida na época do último acesso? Como se poderia garantir a autoria dos arquivos pelo suspeito? Como se garantiria que não houve acréscimo, supressão ou alteração no conteúdo dos arquivos encontrados na máquina do suspeito? As provas nos crimes de informática são extremamente voláteis e questionáveis se não se seguir algumas regras para sua obtenção. Antes, porém falemos sobre algumas diferenças entre a perícia criminalística e a resposta a incidentes. A resposta a incidentes está mais diretamente voltada às corporações que têm em seus sistemas a condição de sua sobrevivência e a necessidade de garantir-se a sua integridade e funcionamento. Envolve todo o processo de atendimento ao incidente em si, desde sua comunicação inicial até as determinações finais envolvendo ajustes na política de segurança, etc. A perícia é uma das etapas que constituem a resposta a incidentes, quando se pretende identificar autoria e ressarcimento dos danos provocados. A perícia criminalística tem ainda uma ótica ainda mais específica, ficando seu campo de atuação restrito a esfera penal, quando a informática foi meio para a prática do ilícito penal ou abriga evidências da motivação,do planejamento e da execução de um crime. Portanto trataremos daqui em diante da perícia do equipamento, mas como nunca é demais lembrar, apreendendo-se computadores de qualquer natureza, sejam de mesa ou portáteis, não os ligue, aguarde a realização da perícia. Duplicação pericial Como dissemos antes, a preservação da prova é essencial e ligar o equipamento pode ser o maior erro que se pode cometer neste tipo de perícia, portanto em mídias que não possuam proteção contra escrita, devemos duplicá-las para depois examina-la. A duplicação pericial consiste em criar uma cópia da mídia de provas para que nela se faça os exames necessários. A duplicação pericial consiste na cópia bit a bit de um disco ou partição, sem que durante o processo a ferramenta utilizada proceda qualquer ação de escrita na mídia de prova. A cópia deverá Marcelo Antonio Sampaio Lemos Costa Página 27 de 107 abranger todos os clusters e seu conteúdo mesmo que não exista alocação de dados, os seja deverá copiar os dados gravados, espaços sub-aproveitados e espaços não alocados (espaços livres). Os espaços livres são clusters que não possuem dados alocados e estão livres para serem sobrescritos. Como sabemos um arquivo apagado permanece no disco, apenas a área em disco ocupada e colocada em disponibilidade para a gravação de outros arquivos, mas enquanto isto não ocorre os dados daqueles clusters estarão disponíveis para recuperação. Os espaços sub-aproveitados são folgas de um cluster que não esteja totalmente ocupado, também conhecido como file slack. Ao formatarmos um disco, o sistema de arquivos utilizado determinará, em função do tamanho do disco ou partição, o tamanho do cluster. Vamos supor que temos um disco com 20 gigabytes com sistema de arquivo FAT32, logo cada cluster terá 16 Kbytes pois a FAT32 adota valores padrão conforme a tabela a seguir: Tamanho da partição Tamanho do cluster Até 8 Gb 4 kb Entre 8 Gb e 16 Gb 8 Kb Entre 16 Gb e 32 Gb 16 Kb Maior que 32 Gb 32 Kb Neste disco é gravado um arquivo X de 19 Kb que ocupará dois clusters, visto que cada cluster só comporta 16 Kb o segundo cluster terá 3 kb de dados do arquivo e a marcação de fim do arquivo, conforme ilustração a seguir. Num segundo momento o arquivo foi apagado e em seu lugar foi gravado um ícone com 700 bytes, que consequentemente só ocupará o cluster n, conforme a próxima ilustração. Cluster n Cluster n+1 Final lógico do arquivo Final físico do arquivo File Slack Dados do arquivo X – 16 Kb 3Kb Cluster n Cluster n+1 Ícone Final lógico do arquivo Final físico do arquivo Dados do arquivo X no File Slack Marcelo Antonio Sampaio Lemos Costa Página 28 de 107 O espaço em amarelo possui parte dos dados do arquivo X que pode ser recuperado com as ferramentas corretas. A computação forense já possui um número grande de ferramentas de duplicação e análise de evidência, tanto para o ambiente Windows quanto para o Linux. A escolha da ferramenta é um passo decisivo para o sucesso do trabalho pericial, devendo-se observar nesta etapa a facilidade de uso, o custo, a necessidade de ferramentas auxiliares, etc. A Forensic Focus (http://www.forensicfocus.com) possui no seu site uma enquete para determinar a ferramenta mais utilizada para fazer duplicação pericial (imaging evidence), cujo resultado podemos ver no gráfico abaixo: Fonte: Forensic Focus Se utilizarmos um software de duplicação pericial como do dd, o Ghost, o Safeback, certamente obteremos o resultado esperado na duplicação, mas teremos de utilizar ferramentas de terceiros para recuperar arquivos apagados, visualizá-los, etc. O Linux apresenta algumas particularidades úteis para o exame. É gratuito, o dd é excelente para realizar a duplicação dos discos e partições, a montagem destes dispositivos podem ser realizadas em modo de leitura, preservando os dados nelas contidos. No DOS o processo é feito através de uma mídia inicializável, com um bloqueador de escrita em disco, utilizando-se algumas ferramentas para seu ambiente como o Ghost, como o Safeback ou como o Encase para DOS. No Windows o processo de duplicação é mais rápido, mas diversos cuidados devem ser adotados. O primeiro deles é bloquear a mídia de provas contra escrita, pois o Windows quando detecta uma mídia portando um sistema de arquivos compatível, promove uma série de alterações como criação de uma lixeira (pasta recycler), dados da última inicialização etc. Nestes casos a recomendação é que se utilize hardwares específicos para bloqueio de escrita. Como vimos acima na pesquisa da Forensic Focus, o Encase é líder de preferência para a criação de uma duplicação pericial. Acontece que o Encase não é um software de duplicação pericial e sim uma solução das mais completas para análise pericial de provas digitais. Linha de tempo (timeline) Mas porque os exames devem ser realizados em uma cópia e não na mídia original? Essa resposta decorre da necessidade de se estabelecer o que se chama na Computação Forense de timeline ou linha de tempo, que é uma cronologia de eventos relacionados ao caso em avaliação. Marcelo Antonio Sampaio Lemos Costa Página 29 de 107 Os arquivos possuem características que permitem identificar sua data de criação, última alteração e último acesso, conhecidos como metadados7. O simples fato de abrirmos um arquivo de computador, altera seu estado, que pode ser desde a data do último acesso, como informações relativas à máquina em que o mesmo foi trabalhado. Ao anexarmos uma mídia de prova em uma estação pericial contendo Microsoft Windows e essa mídia for reconhecida pelo sistema operacional como um sistema de arquivos compatível, ocorrerão alterações nos metadados dos arquivos do disco, comprometendo a integridade das provas. Com uma mídia de prova duplicada podemos fazer os exames com tranqüilidade pois uma nova cópia pode ser gerada a qualquer momento restaurando todas as características e status originais. Existem softwares comerciais que permitem acessar os dados de uma mídia, com a visualização de seu conteúdo, sem promover uma alteração sequer do material examinado. Lembremos a realidade brasileira, onde os laboratórios de criminalística são obrigados a efetuar adaptações de técnicas e metodologias para efetuar alguns exames. Muitas vezes procedemos a análise de arquivos e dados utilizando um gerenciador de arquivos padrão como o Windows Explorer, Ztree (clone do Xtree), entre outros, que apesar de não ser o ideal, muitas vezes são utilizados em virtude de não dispormos de uma grande variedade de ferramentas de software e hardware que nos permita um exame perfeito do material em questão. Entretanto com a duplicação pericial, onde uma cópia perfeita da mídia de prova pode ser realizada com relativa facilidade e quantas vezes forem necessárias, o uso dos gerenciadores de arquivos pode ser permitido com os devidos cuidados de se estabelecer a timeline antes de manipularmos material existente. A timeline pode mostrar toda a evolução de um caso, desde seu início até o seu desfecho final, que será de grande utilidade para demonstrar a premeditação, organização e metodologia utilizada no cometimento do ilícito. Estabelecer a timeline antes dos exames dos arquivos pode ser complexo. Nesse caso recomendo que em uma midia de destino os arquivos sejam pesquisado e verificado o seu conteúdo, etc. Depois, em uma nova imagem, estabelecemos a timeline dos arquivos encontrados examinando as datas de criação, alteração e acesso dos mesmos. Imagens periciais As imagens podem ser produzidas de formas diferentes, dependendo diretamente do tipo de exame a ser realizado, da infra-estrutura disponível, da metodologia a ser empregada. Adiante abordaremos a questão do laboratório de Computação Forense, seu mobiliário, sistemas, equipamentos de apoio, mídias, ferramentas e instalaçõesfísicas, pois esses fatores estarão intrinsecamente ligados às condições de produzir perícias de qualidade e determinar a forma de execução dos exames. Tratando-se de mídias como os discos rígidos, as imagens podem ser produzidas de três formas básicas: • Removendo a mídia do equipamento questionado, transferindo-a para uma estação apta a recebê-la e promover a duplicação pericial; • Produzindo a imagem no próprio equipamento a ser examinado, inserindo no mesmo um novo disco e utilizando ferramentas apropriadas para esse tipo de duplicação; 7 Metadados – São dados dos arquivos. Indicam status dos dados como data de criação, data de acesso, data de modificação, tamanho, atributos, etc. Marcelo Antonio Sampaio Lemos Costa Página 30 de 107 • Promover a produção da imagem através de uma comunicação com canal de dados protegido, em rede, para uma estação pericial previamente preparada para executar esse processo; Tratando-se de perícias criminais, normalmente os equipamentos ficam de posse dos peritos forenses até o final dos exames e expedição do laudo pericial, dessa forma quase sempre se terá tranqüilidade necessária para escolher a forma com que será realizada a duplicação pericial. Em mídias avulsas ou removíveis a duplicação é mais simples e fácil de ser realizada e existem softwares específicos para tal fim. No caso de uma mídia que teve arquivos apagados ou que pelo menos se suspeita que esse fato tenha ocorrido, a duplicação deve ser integral. Chamada no meio técnico de cópia “bit-a- bit”, esta duplicação copia setor a setor, bloco a bloco, com seu conteúdo, mesmo que um arquivo já não faça parte da tabela de alocação de arquivos. Mas antes de qualquer ação, deve-se estar atento a alguns fatores de extrema importância para a execução da duplicação. O principal deles refere-se às características e geometria dos discos rígidos, como tamanho, número de cilindros, cabeças e setores de forma que haja compatibilidade e capacidade da nova mídia de armazenar a imagem da mídia questionada. No caso de mídias removíveis como disquetes, zip disks, cds, etc., basta se utilizar uma mídia com as mesmas características. Existem diversos softwares e até mesmo hardwares para facilitar a execução de duplicações periciais, entretanto deve-se tomar muito cuidado quando da escolha da solução a ser empregada e sua confiabilidade. A escolha deve ser precedida de alguns cuidados e devem cumprir alguns requisitos para que possa ser utilizado. O primeiro e mais importante ponto a ser observado é que a ferramenta adotada não poderá de forma alguma fazer alterações na mídia original que contém as provas e o motivo é mais que óbvio. Essa característica precisa ser real e poderá ser necessário fazer a comprovação durante uma ação judicial através de uma soma de verificação. Pode ser solicitada aos peritos a repetição do processo de cópia de forma a assegurar a metodologia empregada. Lembremos que trata-se de um trabalho cientifico e a metodologia empregada deve ser clara de forma a permitir que qualquer outro técnico tenha condições de repetir o trabalho, nas mesmas condições. Por fim, se durante a duplicação de uma mídia acontecer de encontrarmos algum setor danificado, o utilitário deve ser capaz de reservar uma área idêntica e continuar o processo de cópia. Soma de verificação A soma de verificação é uma assinatura digital resultante da utilização de um algoritmo sobre a mídia de prova e sobre a mídia de destino, que resultará numa identificação única e que poderá ser verificada a qualquer momento. Se houver qualquer alteração sobre a mídia de prova essa assinatura será alterada e não coincidirá com a assinatura original. Logo, se fizermos uma soma de verificação de uma mídia de prova antes e depois de sua duplicação e, mantido os resultados, poderemos afirmar que não houve alterações de estado na mídia de prova questionada. Utilizamos um algoritmo MD5 para efetuar somas de verificação, pois sua confiabilidade e aceitação já vêm de um longo tempo. Em abril de 1992 foi publicada a RFC 1321 (ftp://ftp.isi.edu/in-notes/rfc1321.txt) por Ron Rivest do MIT Laboratory for Computer Science and RSA Data Security, Inc., que descreve suas características. É possível encontrar pela Internet diversos softwares baseados nesse algoritmo, inclusive gratuitos, como MD5Summer de Luke Pascoe de Auckland, na Nova Zelândia (http://homepages.ihug.com.ng/~floydian/md5) Marcelo Antonio Sampaio Lemos Costa Página 31 de 107 desenvolvido para o ambiente operacional Windows em todas as suas versões atuais 95, 98, Me, NT, 2000 e XP, compatível também para ler somas geradas sob o ambiente Linux. Cuidados iniciais No ato de uma duplicação pericial devemos tomar alguns cuidados essenciais para garantir a total integridade da mídia de prova. Isso implica que não poderá haver em nenhuma hipótese, escrita de dados na mídia a ser duplicada. Os dados dela constante, assim como os metadados não poderão sofrer qualquer alteração. Tratando-se de mídia removíveis, a proteção contra escrita normalmente é de fácil execução. Podemos citar como exemplos os disquetes e as fitas DAT, que possuem dispositivos físicos contra escrita, como podemos ver nas imagens a seguir. Os CDs normalmente possuem acesso direto somente leitura, sendo necessário um utilitário para promover a escrita no disco, o que implica que é praticamente impossível uma escrita acidental. Os ZIP disks possuem proteção eletrônica contra escrita, o que faz ser necessário, além da instalação do hardware(ZIP Drive) na estação pericial, a instalação dos drivers e utilitários fornecido pelo fabricante, que permitem a ativação e desativação da proteção. Nos casos dos discos rígidos, o problema da proteção contra escrita adquire outros contornos. O tipo, marca e o modelo do disco rígido influirá diretamente na forma de proteção. Mesmo assim dividimos a solução em duas categorias, com soluções distintas. DISCOS RÍGIDOS SCSI Os discos rígidos SCSI8 normalmente apresentam proteção física contra escrita e sua configuração varia entre marcas e modelos. Nos casos em que não houver indicação clara no próprio disco rígido, pode-se consultar a documentação do equipamento no site do fabricante, indicados no anexo III. Essa proteção está normalmente localizada na placa controladora do disco rígido, em um bloco de pinos e seu ajuste se dá através de jumpers fechando o par apropriado, como podemos ver nas imagens a seguir. Etiqueta do disco rígido indicando a posição dos pinos que ajustam a proteção 8 SCSI - Small Computer System Interface Marcelo Antonio Sampaio Lemos Costa Página 32 de 107 Bloco de pinos que ajustam a proteção DISCOS RÍGIDOS IDE Os discos rígidos IDE9 não possuem recurso para bloqueio de escrita por meio físico. Mas podemos utilizar um disco de boot10, montados em um disquete ou um CD com sistema de inicialização controlada, que veremos mais adiante Mas ainda assim não estaremos 100% seguros, pois o modo como se processa a escrita, varia de acordo com o sistema operacional. Uma segunda opção fica com a utilização de um hardware específico para tal fim. O mais conhecido deles é o FastBlock da Guidance Software, Inc. (www.guidancesoftware.com), que descreveremos adiante. Manipulando os discos Ao instalarmos a mídia de prova na estação pericial ou colocarmos a mídia de destino na estação a ser analisada, devemos tomar o cuidado de configurar corretamente a geometria dos discos e a ordem de inicialização. A geometria dos discos pode ser efetuada no setup do BIOS (Basic Input Output System). Os BIOS mais novos possuem recursos de autodetecção de discos rígidos, mas caso haja dúvidas podemos consultar a documentação do disco no site do fabricante (anexo III). Outra forma de verificar a geometria do disco é examinando o adesivo situado na parte superior
Compartilhar