Baixe o app para aproveitar ainda mais
Prévia do material em texto
Inserir Título Aqui Inserir Título Aqui Perícia Forense Computacional Tipos de Investigações com Uso da Perícia Forense Computacional Responsável pelo Conteúdo: Me. Marcelo Carvalho Revisão Textual: Prof. Esp. Kelciane da Rocha Campos Nesta unidade, trabalharemos os seguintes tópicos: • Particularidades e Rotinas do Perito Forense Computacional; • Descrição Geral da Atividade; • Coleta de Evidências Computacionais; • Exame de Evidências Computacionais. Fonte: Getty Im ages Objetivo • Descrever tipos de investigações comumente conduzidas por peritos forenses, tipos de evidências analisadas, a capacitação desses profissionais e o relacionamento de suas ati- vidades com o gerenciamento de segurança da informação, em uma visão holística. Caro Aluno(a)! Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o úl- timo momento o acesso ao estudo, o que implicará o não aprofundamento no material trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas. Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns dias e determinar como o seu “momento do estudo”. No material de cada Unidade, há videoaulas e leituras indicadas, assim como sugestões de materiais complementares, elementos didáticos que ampliarão sua interpretação e auxiliarão o pleno entendimento dos temas abordados. Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de troca de ideias e aprendizagem. Bons Estudos! Tipos de Investigações com Uso da Perícia Forense Computacional UNIDADE Tipos de Investigações com Uso da Perícia Forense Computacional Contextualização O trabalho de um perito forense computacional pode ser demandado em diferentes circunstâncias e com propósitos distintos. Nesta unidade, você irá compreender, por meio de exemplos, o seu trabalho em casos onde houver a necessidade de sua atuação para realização de provas para sustentar acusações em âmbito criminal. Neste sentido, é importante perceber que o trabalho do perito forense, que se inicia com a existência de incidentes de segurança, no escopo dessa unidade, concentra-se na análise da evidência computacional. O entendimento do papel do perito, neste escopo, se inicia compreendendo-se que ele, como agente investigador, não deve interferir na evi- dência, mantendo-a o mais original possível, para que seja considerada válida e confiável. Por isso, daremos atenção especial aos tipos de evidências e os cuidados para que es- tas sejam aceitas como parte desses processos de investigação criminal nos quais ocorre a investigação por parte do perito. 6 7 Particularidades e Rotinas do Perito Forense Computacional Como vimos na unidade anterior, o perito forense computacional é um tipo de perito específico, diferenciado em razão dos objetos que ele examina. Em um cenário de crime, por exemplo, dependendo das especialidades periciais requeridas para a coleta de evi- dências, diferentes peritos podem ir a campo. Por exemplo, um perito realizará a análise documentoscópica, avaliando petrecho de falsificação documental, enquanto outro realiza a análise do local do crime e avalia evidências de arrombamento. Já o perito forense com- putacional avalia um dump de memória do aparelho celular da vítima. Nesta seção, vamos verificar os ambientes e atividades que representam a rotina deste perito em especial. Descrição Geral da Atividade Envolve a busca, coleta e análise dos vestígios deixados em objetos computacionais contidos em mídias diversas, dispositivos de hardware, incluindo os de armazenamento eletrônico. Também envolve a análise dos sistemas, aplicativos, redes de computadores e links de telecomunicações envolvidos no armazenamento, processamento e/ou envio de informações. Este profissional avalia não só o conteúdo em si, mas também proprieda- des, configurações e estado físico dos equipamentos de informática em geral, quando se refere à sua natureza, funcionalidade, histórico de utilização, entre outras características. É importante notar que este profissional exerce sua atividade em um contexto de múltiplas pressões e influências externas, que podem influenciá-lo negativamente se mal administradas. Não se trata apenas de pressão de tempo ou qualidade nos resultados, como vemos em várias outras profissões. Como retratado na Figura 1, aqui estamos falando de uma vasta cadeia de influenciadores, principalmente em casos notórios e com divulgação da imprensa. Permanecer alheio a essas pressões e influências para a conclusão de um trabalho isento e idôneo é um grande desafio para o perito. Perícia forense computacional Juízes promotores delegados de polícia Médicos legistas e papilos- copistas Universidades e centros de pesquisa Fornecedores de tecnologias Policiais civis, militares e rodoviários; corpo de bombeiros Vítimas, suspeitos e/ou familiares; testemunhas Organizações de direitos humanos Imprensa Grande público Presidentes de comissões parlamentares de inquéritos e de inquéritos policiais- militares Advogados e assistentes técnicos Fi gura 1 – Ilustração das infl uências externas ao trabalho do perito forense computacional Fonte: Adaptada de TOLEDO & RODRIGUES, 2017 7 UNIDADE Tipos de Investigações com Uso da Perícia Forense Computacional Exemplos de atividades Todas as atividades pressupõem que o perito recebeu a autorização/mandado para realização das coletas e análises nos locais indicados. Trâmites processuais e detalhes estão omitidos para dar foco a exemplos contendo passos principais. Exame de sites e servidores de internet • Objetivo: Análise de vestígios diretamente relacionados a eventos/incidentes ocor- ridos na Internet; • Exemplo de contexto (criminal): Pedofilia e exploração sexual; • Exemplo de rotina: Perito faz uma cópia da página Web, conservando o estado atual da mesma (possivelmente útil na comparação com artefatos encontrados no computador sob investigação, como URLs, imagens, CSS, etc.). Em seguida, visita o local do evento e coleta ou copia os dados em disco e em memória do computa- dor a ser investigado. Observa indícios de compartilhamento, cópia ou reprodução. Em caso de recuperação de imagens, procura por informações de GPS ou da câme- ra fotográfica usada, comprovação de cenas sexuais e estima a idade dos envolvidos. Analisa o cenário de conectividade da infraestrutura identificando equipamentos, provedor de acesso, número da linha telefônica ou ID do modem usado na conexão, etc. e extrai logs, quando possível, desses elementos envolvidos na comunicação. Por último, recebe os dados de acesso do provedor de internet envolvido na comu- nicação, contendo os dados de acesso e logs de ações realizadas no período; • Observações e dificuldades: O processo de coleta de evidências de rede e ob- tenção de dados do(s) provedor(es) de internet que hospedam o site envolvido no escopo da investigação representa uma dificuldade, à medida que pode apresentar resistência ou impossibilidade técnica para disponibilização de dados daquele usuá- rio (ex.: criptografia de dados fim a fim). Mesmo encontrando imagens de boa qua- lidade e resolução, em que apareçam os investigados e que estes sejam conhecidos, a sua identificação unívoca depende do tipo das imagens disponíveis, colocando-os no contexto do ilícito e possibilidade de reconhecimento facial. Correio eletrônico • Objetivo: Examinar mensagens de correio eletrônico (e-mails); • Exemplo de contexto (criminal): Envio de mensagens envolvendo difamação e ameaça; • Exemplo de rotina: Perito copia a(s) mensagem(s) para identificação de origem e/ ou autoria, extração do conteúdo textual/html do correio eletrônico, endereços de e-mail envolvidosna comunicação, anexos e endereço de servidores de envio pre- sentes nas propriedades da mensagem; • Observações e dificuldades: As mensagens podem ter sido codificadas ou não possuírem elementos textuais que claramente exibam conteúdo inteligível. Técnicas de esteganografia podem ter sido aplicadas. Os anexos podem ser protegidos por 8 9 senha ou criptografados. Os endereços de envio são proxies montados apenas para envio temporário, com serviço SMTP não mais existente e, portanto, não mais rastreáveis. Dispositivo de armazenamento portátil ou removível (inclusive BYOD) • Objetivo: Identificação de conteúdo e rastreio de último uso; • Exemplo de rotina: Perito recolhe/desconecta mídia do local (ex.: disco rígido, SD, cartão-chip, pen-drive, disco óptico, disco flexível, fita DAT, CD, DVD, ROM, RAM, etc.) e leva para exame laboratorial, procurando por indícios de uso recente e eventual conteúdo remanescente. Identifica resíduos de manuseio, impressões digitais e restos orgânicos. Verifica trilhas, discos e memórias com informações em meio digital presentes. Extrai conteúdos, tabelas de endereçamento, etc. Categoriza tipos e formatos de arquivos encontrados e identifica palavras-chave de interesse para rastreio e correlacionamento (ex.: números telefônicos, endereços de e-mail, nome de usuários, apelidos virtuais, Crawl Stats e tokens de rastreio Search Engi- ne Optimizers – SEO, cookies, etc.); • Exemplo de contexto (criminal): Roubo de informação; • Observações e dificuldades: Mídias não magnéticas deixam pouca informação remanescente quando formatadas. Computador pessoal • Objetivo: Identificar características particulares que possam ligá-lo a um evento ilícito; • Exemplo de rotina: Perito coleta o computador e leva ao laboratório para análise. Identifica resíduos de manuseio, impressões digitais e restos orgânicos. Desmonta, fotografa partes móveis, identifica componentes com informações de rastreio fabril e realiza a análise de dispositivo de armazenamento portátil ou removível. Procura por indícios específicos de documentos relacionados ao tema e/ou de vantagens para si ou outros, documentada; • Exemplo de contexto (criminal): Espionagem industrial; • Observações e dificuldades: Equipamentos de uso coletivo ou público. Equipa- mentos destruídos deliberadamente pelo autor. Não há arquivos contendo progra- mas ou códigos-fontes capazes de capturar informações (Ex. informações bancá- rias), caracterizando o roubo de informações sob análise. Provas de materialidade e de autoria de crime foram removidas (dispositivo de armazenamento portátil ou removível) ou as que foram usadas residiam em servidor remoto, apenas comanda- das no computador sob análise. Periféricos, equipamentos de rede e telecomunicações conectados • Objetivo: Exames em equipamentos computacionais auxiliares (periféricos); • Exemplo de rotina: Perito mede a potência de sinal e abrangência da cobertu- ra da rede Wi-fi sob análise para determinar locais possíveis de acesso e realiza- ção da ação sob análise. Recolhe e analisa em laboratório os equipamentos Wi-fi 9 UNIDADE Tipos de Investigações com Uso da Perícia Forense Computacional envolvidos no contexto, extraindo logs e informações presentes em disco/SD/ ROM e memória. Avalia o roteador Wi-fi, comprovando a possibilidade de conexão anônima no equipamento e/ou existência de senhas fracas ou autenticação por meio de provedores (neste último caso, solicita autenticações realizadas no período de tempo investigado aos provedores); • Exemplo de contexto (criminal): Rastreio de invasão de sites apontou como ori- gem um Hot-Spot Wi-fi em aeroporto local; • Observações e dificuldades: Equipamentos recebem milhares de conexões e não utilizam Syslog ou outra forma de registro e envio de ações monitoradas para re- positório centralizado. Equipamento Wi-fi não possui autenticação ou não guarda registros de conexão (ex.: impossibilidade física de guarda de registro interno ou evidência de senha de administração default/conhecida com possibilidade de ter sido manipulado para deleção de evidências). Ambiente computacional (data center) • Objetivo: Exames em ambientes computacionais de corporações; • Exemplo de rotina: Perito visita o data center e localiza servidores envolvidos no evento sob análise, após verificar os registros de entrada e direcionamento de tráfego IP (considerando o IP rastreado como origem para o caso sob análise) para a rede interna a partir do endereço de entrada (WAN) no(s) gateway(s) do data center. Perito solicita a retirada ou cópia de informações de disco e memória dos servidores envolvidos; • Exemplo de contexto (criminal): Ataques de negação de serviço (DOS) rastreados a partir de endereço IP de responsabilidade de uma organização; • Observações e dificuldades: Data center opera com conceitos de virtualização, computação em nuvem com alocação distribuída e dinâmica de recursos e balance- amento de carga (load-balance), dificultando a localização de um servidor específico envolvido na ação. É impraticável, nesses casos, a retirada ou cópia de informações de disco e memória de todos os servidores existentes, devido ao tamanho da infra- estrutura de TI. Aplicativo ou sistema de informação • Objetivo: Exame de aplicativos ou sistemas de informação (freeware, comerciais/ proprietários, ou códigos/rotinas desenvolvidas de forma experimental (códigos maliciosos, ransomware, malwares e vírus, trojans, etc.); • Exemplo de rotina: Perito identifica a presença do programa (em execução ou não) por meio da verificação de serviços/threads do sistema operacional. Caso es- teja em execução, extrai os dados de memória. Em seguida, extrai o código do pro- grama para análise laboratorial. Identifica dependência de componentes, existência de backdoor ou componentes antiforenses no código. Após identificar a intenção do código, executa-o em ambiente isolado (sand-box) e observa seu comportamen- to, conexões abertas e tráfego de informação; 10 11 • Exemplo de contexto (criminal): Sequestro de bancos de dados (ransomware) e pedido de resgate com preço fixado em moeda virtual; • Observações e dificuldades: Códigos ofuscados e codificados dificultam a iden- tificação de conteúdo e propósito. Técnicas antiforenses podem agir ativamente contra equipamentos e ferramental de análise usados pelo perito, modificando ou eliminando evidências. Registro histórico, logs e trilhas de auditoria • Objetivo: Exames nos registros de alertas e eventos gerados por um sistema; • Exemplo de rotina: Perito analisa logs de eventos locais e/ou disponíveis em servi- dor centralizado. Combina visualizações de múltiplas fontes (ex.: por meio de Secu- rity Information and Event Management – SIEM) para reconstrução de ações em linha do tempo. Com base nas ações capturadas, estabelece um roteiro de ações e atores envolvidos; • Exemplo de contexto (criminal): Genérico. Crimes virtuais, envolvendo qualquer tipo de interação computacional; • Observações e dificuldades: Logs não apresentam sincronia em relação à refe- rência temporal, impossibilitando a visualização em sequência ou determinação do conjunto de eventos e alertas pertinentes ao escopo da avaliação. Telefone móvel (celulares) • Objetivo: Exames de extração de dados armazenados em aparelhos de telefonia celular; • Exemplo de rotina: Perito coleta o(s) telefone(s) sob investigação e leva para análise laboratorial. Identifica registro de chamadas recebidas, perdidas e realizadas. Identi- fica IMEI ou ESN/HEX ESN e obtém dados de uso junto à operadora de telefonia. No caso de smartfone, verifica registros de acesso à Internet, redes sociais e e-mail. Realiza a cópia de dados em disco e memória. Dependendo do sistema operacional e/ou recursos de guarda de mídia na nuvem associados, solicita dados ao fornecedor do telefone (fabricante e/ou responsável pelo serviço de nuvem associado); • Exemplo de contexto (criminal): Prisão após escuta telefônica; • Observações e dificuldades:Telefones com facilidades de bloqueio e reset remoto podem impossibilitar a extração de dados. Coleta de Evidências Computacionais Tipos de evidência Dependendo do escopo do incidente sob investigação ou mesmo do acesso do perito (escopo de usuário autenticado, por exemplo), diferentes tipos de cópias das evidências podem ser realizados na auditoria. 11 UNIDADE Tipos de Investigações com Uso da Perícia Forense Computacional • Imagem física: informações de todos os segmentos e fragmentos do disco (cópia binária), também conhecidas como RAW; • Imagem lógica: cópia de arquivos de diretórios (equivalente aos arquivos que são exibidos pelo gerenciador de arquivos, ex.: Windows Explorer); • Cópia seletiva: seleção de documentos ou arquivos de interesse para a investigação. Classificações de evidência Dependendo da acessibilidade dada ao perito, algumas classificações de evidência podem não estar acessíveis. Por exemplo, a impossibilidade de recolher fisicamente o servidor envolvido no incidente (pois ele pertence a serviços de outros usuários, por exemplo) pode forçar o perito a realizar exames apenas com a cópia do original. • Evidência digital: informações digitais (dados) guardadas ou transmitidas, relacio- nadas ao incidente e que possuem valor probatório; • Itens físicos: objetos que podem ter sido envolvidos no processo de guarda ou transmissão das informações digitais (dados) relacionadas ao incidente; • Evidência digital original: objetos físicos que guardavam as informações (dados) relacionadas ao incidente no momento da coleta (ex.: servidores, computadores, etc.); • Evidência digital duplicada: uma réplica exata da evidência digital original (nor- malmente efetuada pelo perito no local da coleta). Requisitos para apresentação em juízo Como você viu na unidade anterior, quando caracterizamos as habilidades do perito, tanto as características técnicas quanto as de tradução das percepções obtidas nas evi- dências para produção do laudo serão necessárias para a validade desses dados como prova material em um processo. • Admissível: coletada de forma legal, com procedimentos aceitáveis, devidamente documentados e autorizados; • Autêntica: deve permitir ligar o incidente ao material de evidência coletado; • Completa: deve contar a história completa do incidente, não apenas a perspectiva de interesse de uma parte específica (sem viés); • Confiável: não pode haver nada sobre a evidência que ponha em dúvida sua veracidade; • Acreditável: deve ser entendida pela corte no tribunal. Exemplos de evidências não admissíveis são “grampos telefônicos”, como os que ve- mos em reportagens, que mesmo revelando ilícitos não são aceitas como prova. 12 13 Já em relação à característica de autenticidade, o perito deve comprovar que as evi- dências possuem associação ao incidente. Por exemplo, demonstrando informações de data-hora e usuários nos eventos e alertas anexados como evidência ao processo em que estes são acusados. Ainda nesse sentido, o perito deve comprovar que os eventos e alertas anexados contam toda a sequência temporal sob investigação, ou justifique hiatos em caso de impossibilidade da reconstrução total, sendo considerada completa (com o máximo de dados possível). Ao avaliarmos a propriedade de confiabilidade, o que normalmente se vê (na maioria das vezes produzida automaticamente pelas ferramentas usadas na coleta de evidências) é a geração de HASH para a comprovação de integridade do arquivo/conteúdos copia- dos na investigação. Por fim, a habilidade de tradução e contar a história de eventos suportados pelas evidências técnicas de forma a propiciar o entendimento de leigos é o que confere a característica de ser acreditável. Uma última propriedade ou característica, relacionada ao ciclo de vida da evidência (desde o momento que foi coletada até o momento da apresentação e anexo como prova material), é chamada de cadeia de custódia. Como parte da cadeia de custódia, devemos observar: • onde, quando e por quem (perito) a evidência foi recolhida; • onde, quando e por quem a evidência foi examinada ou manipulada; • quem possui a custódia da evidência (todos os profissionais que manipularam a evidência durante todo seu ciclo de vida); • como foi guardada a evidência (locais e datas). A coleta de evidências forenses computacionais possui uma característica importan- te, relacionada à contaminação dos dados (interferências) causada pelo próprio processo de perícia, que pode impossibilitar ou causar viés nos dados analisados. Ao inserir equi- pamentos adicionais no objeto em análise, dependendo da interface usada, o simples fato de gerar I/O ao SO é suficiente para alterar o estado deste objeto e interferir na possibilidade de conclusões e laudo. Quando um perito observa a evidência coletada, pode não ser possível reconhecer o estado daquele ativo computacional na época do evento em análise, pois dependendo do equipamento, as informações novas, geradas pela interferência do perito, são em quantidade suficiente para sobrepor aquelas que es- tavam presentes originalmente. O simples fato de “logarmos” em um SO, reiniciarmos o servidor ou iniciarmos novos aplicativos para visualização de conteúdo e informação são suficientes para alterar dramaticamente o estado da máquina e, portanto, interferir na observação do estado original do objeto computacional em análise. 13 UNIDADE Tipos de Investigações com Uso da Perícia Forense Computacional Figura 2 – Ferramentas para coleta de evidências computacionais Fonte: archives.fbi.gov Fenômenos de interferência na coleta de evidências Aspectos físicos ligados ao fenômeno de interferência e contaminação dos objetos computacionais pelo observador (perito) são aplicáveis na compreensão desse conceito, um relacionado ao contato direto (Locard) e o outro quântico (Heisenberg), justificando a influência pelo simples fato da observação. Fi gura 3 – Teóricos da infl uência do observador: Locard e Heisenberg Fonte: Adaptado de Wikimedia Commons O princípio de incerteza na mecânica quântica de Heisenberg (conceito estabelecido por ele em 1925) fala da impossibilidade de medição conjunta sem que haja interferência do segundo objeto. Extrapolando para a observação do perito, durante a auditoria, signi- ficaria dizer que se ele não estivesse observando aquele objeto em particular ele estaria diferente do modo que se apresenta. Ou seja, o observador interferiu na evidência so- mente por observá-la. Vale lembrar, no entanto, que essa teoria é percebida em objetos pequenos e não tem proporção perceptível na escala macro. Dessa forma, ainda que conheçamos e aceitemos os efeitos, eles podem ser considerados desprezíveis na escala do trabalho do perito forense computacional. Essa teoria é usada como justificativa por Heisenberg para explicar a incerteza quântica como “uma influência do observador”. 14 15 A teoria de Locard diz que o contato de dois itens produzirá uma permuta/transferên- cia, referindo-se à característica eletrônica (no caso do ativo computacional) em que dois elementos precisam estar em contato e comunicação para que haja a interação, dessa forma caracterizando a interferência. Programa em memory stick (USB) nCASE ou outro equipamento especializado Netcat e remote code execution (RCE) Auditor Auditando nc -l -vvv -p <porta> > <arquivo de destino> nc <ip investigador> <porta> -e /dev/pmem Figura 4 – Comparação da interferência gerada por uma análise usando conexão remota ou inserção local de ferramenta Fonte: Adaptado de Getty Images Comparando dois exemplos de coleta, uma em que o perito conecta seu equipamen- to diretamente e extrai o conteúdo (gerando I/O e usando os recursos da CPU para o acesso à memória no sistema operacional ou, dependendo da ferramenta, interagindo com o Direct Memory Access – DMA) e outra em que ele se conecta via rede para acessar o conteúdo do ativo computacional em análise, temos dois tipos de interferên- cias distintas sendo geradas.Como o acesso via interface física não requer login no SO, dependendo da arquitetura da ferramenta, a interrupção de I/O pode prover acesso à comunicação DMA e acesso aos dados em memória. Já se o mesmo acesso não fornecer acesso, provavelmente a ferramenta precisará executar algum aplicativo para só então acessar a memória, interferindo em maior proporção na evidência. No outro exemplo, via Net Car (nc), o acesso pela rede também pode obter acesso aos dados de arquivos em disco, mas raramente diretamente na memória. Normalmente, o único componente que acessa a memória RAM da máquina é a CPU (processador). O recurso 15 UNIDADE Tipos de Investigações com Uso da Perícia Forense Computacional DMA permite que outros componentes também acessem a memória, sem que a CPU tenha que realizar uma “cópia” para entregar aos solicitantes das interrupções, assim, gerando menor interferência na evidência. Ordem de coleta Outro fator especialmente importante é a ordem de coleta. Chamado de “volatili- dade” ou ordem de volatilidade (OOV), este conceito está relacionado diretamente ao tipo de ativo e sua capacidade interna de guarda de informações. Ativos que retêm por menos tempo a informação e, portanto, precisam receber prioridade na coleta de evi- dências computacionais são chamados altamente voláteis. A volatilidade é, no contexto do perito, a propriedade do ativo que pode impedir que ele consiga ter acesso e analisar a evidência de um dado momento. Ou seja, quanto mais tempo se passa entre o incidente de segurança relacionado e o momento da investigação do perito, maior a chance de os dados que seriam necessários para a observação do perito se perderem devido ao efeito de sobrescrever, conforme citado. ∙ Registradores, cache; ∙ Routing table, ARP cache, process table, estatísticas de Kernel, memória; ∙ Arquivos temporários deKernel, memória; ∙ Arquivos temporários e logs temporários; ∙ Mídias estáticas (HD e SD, SAN, BD, etc). Volatility Order Figura 5 – Ilustração de ordem de volatilidade para coleta em relação aos tipos de ativos Fonte: Adaptado de RFC 3227 Dilema forense Considerando-se a capacidade de interferência do perito na evidência e sabendo-se que o fator tempo joga contra o profissional forense no sentido de que a sua capacidade de análise tende a decair a medida que mais tempo se passa entre o incidente de se- gurança e a investigação, há uma escolha de procedimento de coleta que é conhecida como dilema forense na literatura especializada. De um lado, têm-se a urgência e completude da evidência, que conduzem ao pensa- mento de que quanto mais rápido e mais dados se puder obter sobre um caso, maior será a capacidade de análise e de se reproduzir o que se tinha à época do evento, levando, as- sim, o perito a observar, por exemplo, a OOV para o estabelecimento de prioridades nas 16 17 coletas e seleção de todos os ativos envolvidos no incidente. Neste cenário, a prioridade é manter os ativos em seu funcionamento normal, de forma a não interferir na evidência e coletá-la em sua completude, na ordem de prioridade em relação à volatilidade de seus componentes (ex.: HS/SD e memória RAM), o mais rapidamente possível. De outro lado, temos a abordagem focada em preservação e isolamento, com o in- tuito de segregar e conter o ambiente de forma que ele não “propague” o sintoma para o restante da rede, aceitando que ao “desplugar” a máquina da rede e desligá-la, muitos dados serão perdidos e o processo de investigação será impactado. Perceba que, nessa abordagem, temos o foco no isolamento do incidente e não no processo de produção de provas e coleta de evidências. As técnicas antiforenses, envolvendo métodos utilizados para evitar (ou agir contra) ferra- mentas de extração/análise de evidências, afetam diretamente a capacidade do perito forense computacional em coletar essas evidências e produzir provas aceitas e anexas ao processo. Mais informações sobre essa técnica e exemplos podem ser vistos em: http://bit.ly/2WRl567 Exame de Evidências Computacionais Como você observou, grande parte das análises do perito forense está relacionada a evidências de logs de equipamentos de rede, arquivos provenientes de disco ou presen- tes em memória. Vimos também que, dependendo do tipo de abordagem para a coleta de evidências, haverá uma interferência maior ou menor do perito forense, realizando “transferência” e “contaminação” da prova. Nesta seção, vamos falar um pouco sobre as diferenças conceituais das análises de informação em disco e em memória, pois na próxima unidade já teremos uma explora- ção prática nesse sentido. Então, você poderá vivenciar a experiência de um caso de uso explorando a coleta e a análise de dados contidos nas duas mídias. Como vimos nos tipos de evidência, na seção anterior, quando falamos de análise de arquivos em disco, nos referindo a dados armazenados, seja em HD, SD ou mídia equivalente, utilizamos basicamente dois tipos de cópia: uma cópia RAW, também cha- mada de “bit-a-bit”, que nos proporciona uma cópia do estado em que o arquivo se encontra na mídia de armazenamento e, portanto, pode ser considerada mais “fiel”; e outra, utilizando os recursos do SO e sistema de gerenciamento de arquivos deste, que interpreta as tabelas de alocação e formato configurados, organiza os dados distri- buídos por meio do visualizador e exibe os arquivos e pastas de forma que possamos copiá-los. Quando realizamos a cópia, via gerenciador de arquivos, além de receber este “tratamento” de visualização e interpretação pelo SO e aplicativos, a evidência em questão estará sujeita aos seus controles e restrições. Por exemplo, em uma auditoria envolvendo um computador conectado à rede corporativa (conectada em um Active Directory – AD), por exemplo), haverá restrições de autorização e características de compartilhamento impostas por esses controles. Neste cenário, tanto o Discretionary 17 UNIDADE Tipos de Investigações com Uso da Perícia Forense Computacional Access Control (DAC) quanto o Role-based Access Control (RBAC) podem influenciar a capacidade do auditor, caso haja permissões insuficientes, diretórios com acesso exclu- sivo a um usuário, bitlocker ativo, etc. Como vimos, uma importante tarefa do auditor é construir uma linha de tempo, as- sociando eventos às evidências encontradas. Em relação aos arquivos, além do conteúdo em si, o perito avalia várias propriedades de metadados que podem auxiliar na constru- ção da linha do tempo. Uma propriedade de interesse do perito forense computacional é a análise dos MAC times. Como todos os metadados de sistemas de arquivos, eles podem ser alterados pelo próprio perito ao observá-los. Usar o próprio visualizador do SO, portanto, não é o método mais adequado, pois causa essa “interferência” e “conta- minação” na evidência. Alguns utilitários de cópia de arquivos irão explicitamente setar os MAC times da nova cópia. Já outros vão alterar a propriedade ctimes, que não será idêntica à do arquivo original que está sendo copiado. A maioria dos SO Linux não irá setar a propriedade ctimes, por exemplo; já o Windows usando New Technology File System (NTFS) sim. Normalmente as ferramentas de cópia utilizadas pelos peritos forenses computacionais não causam essa interferência, mas é importante que você saiba desse aspecto técnico e tenha essa preocupação com a preservação das provas. O conjunto completo de propriedades MAC times é composto de: • mtime (tempo de modificação); • atime (tempo de acesso); • ctime (tempo de alteração de metadados e tempo de criação). Os MAC times, assim como outros metadados de arquivos, podem servir ao perito forense compu- tacional para complementar sua percepção de ações registradas em logs de eventos, por exem- plo. Mais detalhes sobre a estrutura e propriedades podem ser vistos em: http://bit.ly/2WQoYs6 Porém, nem sempre o perito terá acesso aos arquivos objeto de sua busca. Aliás, o mais correto seria dizer que quase nunca terá, na medida queum atacante ou mesmo um usuário corporativo raramente deixará para trás rastros tão óbvios de seus ilícitos. Mas, então, onde mais procurar por evidências? Dois locais particularmente interessantes são a memória virtual e espaços de memó- ria tradicionais, o heap e o stack. Como o recurso de memória foi um componente caro e limitado a baixas capacida- des, historicamente, os SOs utilizaram subterfúgios para driblar problemas relacionados a desempenho e capacidade de carregar grandes quantidades de dados que iriam ser uti- lizadas sob demanda por programas, mas que não seriam possíveis de alocar no espaço tradicional da RAM. Neste cenário, a memória secundária (memória virtual) é arquiteta- da usando-se o disco do computador (HD ou SD, por exemplo). Programas complexos, que precisam de vários dados, filtros, parâmetros, templates, etc., raramente os usam ao mesmo tempo e para todas as atividades. Por isso, convém o uso de memória virtual, permitindo a otimização de recursos. 18 19 A paginação é implementada em Sos, normalmente, por hardware específico con- trolado pela CPU: Memory Management Unit (MMU). A paginação é obtida através de consulta a tabelas que contêm os endereços das páginas de memória e os endereços correspondentes das referências na RAM. Para diminuir a necessidade constante des- sa consulta e cópia, há um recurso que funciona como uma cache especial, chamada Translation Look-Aside Buffer (TLB). Nela, são guardados endereços mais utilizados, para maximizar o tempo de acesso, já que o acesso a esse buffer é muito mais rápido quando comparado à memória principal (você já deve ter notado diferença de desempe- nho na primeira vez que iniciamos uma tarefa em aplicativo complexo e as vezes subse- quentes quando vamos repetir o trabalho). O “page size”, usado nas tabelas, podem ser configurados Erro! Fonte de referência não encontrada., mas muito comumente vemos o tamanho default do SO durante as investigações. Figur a 6 – Ilustração de page size em SO Linux Ubuntu Quando acessamos um desses programas, então, além de acessar e salvar novos ar- quivos em disco e, no contexto da análise forense, deixar rastros em forma de arquivos, há também uma porção de outros rastros em disco que dizem respeito ao uso desse programa, mas no contexto de memória virtual Erro! Fonte de referência não encon- trada., que também devem ser coletados e analisados. Cabe ao perito associar esses fragmentos de informação em memória virtual, baseado nas referências de memória dos programas em uso na RAM, à época do delito sob investigação. CPU limit base yes no s d s{ segment table < + physical memorytrap; addressing error Figura 7 – Ilustração de CPU e processo de segmentação e construção de tabela de referência Fonte: Aadaptada de HENDLER et. al; 2015 19 UNIDADE Tipos de Investigações com Uso da Perícia Forense Computacional Memória compartilhada (virtual) Memória Endereços Page table Endereços Page table Figu ra 8 – Ilustração de mapeamento da memória virtual na tabela Fonte: Adaptada de TANENBAUM et. al; 2014 Há também a situação em que o perito terá que rastrear as informações ou estados e resíduos de uso de programa nas porções de memória heap e stack. Exemplos práticos serão abordados nas próximas unidades, mas, por ora, imagine que não há arquivos e o que resta é a memória RAM e uma possível evidência de que o usuário (computador investigado que era usado pelo usuário réu da ação) abriu e visualizou aquele arquivo. O perito, então, procura por visualizadores comuns para aquele arquivo (ex.: PDF reader) e procura por evidências de seu uso em processos de memória. A partir de endereços EIP (Ponteiro de instrução), EBP (Ponteiro para a base da memória) e ESP (Ponteiro para o stack), é possível procurar por referências na memória. Caso estes não tenham sido alocados para novos processos e programas, posteriormente (por isso a importância em obtermos rapidamente a evidência e contaminarmos o mínimo possível com novas requisições ao SO) podemos encontrar resíduos desse PDF e seu conteúdo, suportando a evidência de acusação, por exemplo. Entender o processo de alocação de memória em pilha para instruções de programas du- rante sua compilação e variáveis globais no stack e dinâmica para variáveis e dados criados durante a execução do programa (runtime) pode ajudar a entender como o perito pode atuar em certos casos. Mais detalhes sobre a estrutura e propriedades podem ser vistos em: http://bit.ly/2WWjex3 20 21 Falamos sobre exemplos de atividades do perito forense no contexto corporativo. Nesta abordagem, diferenciamos cenários de atuação, com contextos práticos em casos de investigação forense em que o perito (acompanhado ou não de outros profissionais peritos de áreas correlatas) realiza o seu trabalho de acordo com a evidência computacional em questão e o cenário criminal sob investigação. Observamos características de tipos de evidências e condições para que estas sejam aceitas em tribunal como prova material. Concluímos com esta unidade uma visão do papel do perito forense computacional na loca- lização e análise de diferentes tipos de informação residente nos computadores sob análise. Esperamos que você tenha gostado e adquirido esses novos conhecimentos. 21 UNIDADE Tipos de Investigações com Uso da Perícia Forense Computacional Material Complementar Indicações para saber mais sobre os assuntos abordados nesta Unidade: Livros Perícia forense computacional: teoria e prática aplicada FARMER, D. Perícia forense computacional: teoria e prática aplicada. 1ª ed. Pearson: São Paulo, 2006. Vídeos DMA controller basic operation Entenda, sem muitos detalhes técnicos, qual a função do DMA e como este influencia o estado da memória (em inglês) https://youtu.be/ltvpkuQRZao Virtual Memory: 3 What is Virtual Memory? Memória virtual (em inglês) https://youtu.be/qlH4-oHnBb8 Leitura Perícia digital: estratégias para analisar e manter evidências íntegras em forense computacional SILVA, TBF. Perícia digital: estratégias para analisar e manter evidências íntegras em forense computacional. TCC – Unisul Digital, 2017. http://bit.ly/2WMBNDA 22 23 Referências HENDLER, D.; ADLER, M.; ZIVAN, R. Operating systems. 5ª ed. Negev, Israel: Ben Gurion University, 2015. 445 p. SÊMOLA, M. Gestão da segurança da informação: uma visão executiva. 2ª ed . Rio de Janeiro: Elsevier, 2014. 172 p. TANENBAUM, A. S.; BOS, H. Modern operating systems. 4ª ed. Englewood Cliffs, NJ, USA: Prentice Hall Press, 2014. 1136 p. TOLEDO, J. C.; RODRIGUES, C. V. A value based method for measuring performance on Forensic Science service. Gest. Prod., São Carlos, v. 24, n. 3, p. 538-556, 2017. 23
Compartilhar