Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 2 SUMÁRIO 1 INTRODUÇÃO ..................................................................................... 4 2 CONCEITOS DE FORENSE COMPUTACIONAL ............................... 5 2.1 Isolamento, coleta e preservação ................................................. 5 2.2 Coleta ............................................................................................ 7 2.3 Exame ........................................................................................... 8 2.4 Análise .......................................................................................... 9 2.5 Resultado .................................................................................... 10 2.6 Exames e documentos processuais ............................................ 11 2.7 Computador ................................................................................ 12 2.8 Sites ............................................................................................ 13 2.9 Mensagens eletrônicas (e-mails) ................................................ 13 2.10 Aparelhos móveis (celulares) ...................................................... 14 2.11 Redes de computadores ............................................................. 15 2.12 Internet das Coisas (IoT) ............................................................ 16 2.13 Banco de dados .......................................................................... 16 3 DEFESA CIBERNÉTICA E DOCUMENTOS PROCESSUAIS .......... 20 3.1 Aspectos Jurídicos em Computação Forense ............................. 23 3.2 Lab de Computação Forense: Preservação e Análise da Prova Digital 26 3.3 Duplicação de dados de forma forense ....................................... 27 3.4 Processamento e Análise dos Dados ......................................... 28 3.5 The Sleuth Kit e Autopsy ............................................................. 29 3.6 Princípios da Recuperação de Evidências Digitais ..................... 32 3.7 Técnicas de Recuperação de Arquivos Apagados ...................... 32 3 3.8 Perícias em Dados Voláteis ........................................................ 35 3.9 Técnicas Antiforenses e Anti-Antiforenses .................................. 37 3.10 Wipe ou Sanitarização de Dados ................................................ 37 3.11 Criptografia e Quebra de Senhas ............................................... 39 3.12 Ataques a Dados Criptografados ................................................ 39 3.13 Esteganografia e Esteganálise ................................................... 42 4 BIBLIOGRAFIA .................................................................................. 44 4 1 INTRODUÇÃO Prezado aluno! O Grupo Educacional FAVENI, esclarece que o material virtual é semelhante ao da sala de aula presencial. Em uma sala de aula, é raro – quase improvável - um aluno se levantar, interromper a exposição, dirigir-se ao professor e fazer uma pergunta, para que seja esclarecida uma dúvida sobre o tema tratado. O comum é que esse aluno faça a pergunta em voz alta para todos ouvirem e todos ouvirão a resposta. No espaço virtual, é a mesma coisa. Não hesite em perguntar, as perguntas poderão ser direcionadas ao protocolo de atendimento que serão respondidas em tempo hábil. Os cursos à distância exigem do aluno tempo e organização. No caso da nossa disciplina é preciso ter um horário destinado à leitura do texto base e à execução das avaliações propostas. A vantagem é que poderá reservar o dia da semana e a hora que lhe convier para isso. A organização é o quesito indispensável, porque há uma sequência a ser seguida e prazos definidos para as atividades. Bons estudos! 5 2 CONCEITOS DE FORENSE COMPUTACIONAL 2.1 Isolamento, coleta e preservação Com a evolução da internet, as pessoas ao redor do mundo passaram a usar a maior rede de computadores mundial não apenas para se comunicar, mas também para realizar tarefas do seu dia a dia. Atualmente, as pessoas fazem compras on-line em supermercados, farmácias e grandes redes varejistas, além de realizar diversas transações financeiras pela internet, relativas a serviços públicos e privados. Tudo isso acontece por meio de computadores pessoais, corporativos, celulares e tablets. Assim, embora tenha muitos pontos positivos, esse novo comportamento abre uma grande janela para o crime digital, tornando as pessoas mais vulneráveis (KOZCIAK, 2020). Os vestígios de um crime são a chave que permite aos peritos criminais buscar informações que se tornem evidências e, posteriormente, provas judiciais. Nos casos de crimes digitais, o analista ou perito forense é o profissional responsável pela preservação, pelo levantamento de dados e pela análise de evidências, por meio do uso de técnicas e ferramentas. Apesar da vasta quantidade de crimes realizados no ambiente digital, não existem no mercado muitos profissionais especializados para atuar na área forense. Isso ocorre principalmente devido à qualificação exigida para a realização dessa atividade e à necessidade de o profissional forense ter dispositivos similares aos utilizados pelos criminosos digitais (KOZCIAK, 2020). Segundo Eleutério e Machado (2011, p. 16), diversos profissionais podem estar envolvidos em um procedimento forense computacional: “peritos particulares, auditores de sistemas, profissionais de TI e outros. Além disto, juízes, advogados, delegados, promotores e demais profissionais da área de Direito”. O analista ou perito forense deve conhecer profundamente as leis e ter conhecimentos técnicos relativos a sistemas operacionais, redes, programação e técnicas de coleta e análise de dados. 6 Apesar de o crime digital ocorrer em um ambiente virtual, ele é um crime como outro qualquer. Em todos os tipos de crime, parte-se da seguinte premissa: havendo vestígios a serem analisados, o exame pericial é obrigatório. É o que consta no Código Penal Brasileiro, art. 158: “Quando a infração deixar vestígios, será indispensável o exame de corpo de delito, direto ou indireto, não podendo supri-lo a confissão do acusado” (BRASIL, [1940]). Além dos conhecimentos técnicos, é de suma importância que o profissional forense tenha uma excelente postura comportamental, realizando análises isentas e imparciais. Como afirma Tomás (2009), o perito não deve ter antecedentes que possam levantar suspeitas a respeito do seu caráter e da sua ética profissional. Na investigação de crimes computacionais, há a necessidade intrínseca de busca e apreensão dos equipamentos. Para isso, é fundamental a prévia emissão de mandados de busca e apreensão pelos órgãos públicos competentes. Com o mandado em mãos, o perito faz a identificação do local, conduz a ele, seleciona os equipamentos e os apreende (KOZCIAK, 2020). Durante todo o procedimento de investigação forense, o manuseio das informações deve ser realizado dentro de padrões, garantindo que os vestígios criminais sejam preservados para a correta análise (KOZCIAK, 2020). Para que o processo investigativo se inicie, é necessário: possuir mídias esterilizadas ou uma nova mídia instalada, evitando possíveis contaminações; utilizar ferramentas/softwares para análise forense devidamente licenciadas; garantir que nenhuma fonte de dados seja alterada até a chegada do perito (caso haja alterações no ambiente, isso deve ser reportado no laudo); fazer toda a análise por meio de imagem ou de disco duplicado, ou seja, o material original jamais deve ser manipulado (deve permanecer intacto); 7 caso o equipamento esteja ligado, mantê-lo ligadopara evitar possíveis perdas de dados; apresentar o resultado do exame pericial de forma clara, elucidativa e em uma linguagem acessível; providenciar fotos e filmes do local onde ocorreu o crime, assim como cópias dos sites, para garantir a coleta de mais detalhes. Conforme Sousa (2016) apud Kozciak (2020)., as boas práticas em procedimentos periciais recomendam as fases listadas a seguir. 2.2 Coleta O ambiente que receberá os dados coletados deve ser adequado a parâmetros que permitam a transferência fidedigna para a posterior análise. A parte de infraestrutura, como discos, deve estar funcionando corretamente. Em casos específicos, quando há orçamento suficiente, é possível copiar as informações. Para isso, podem ser utilizados duplicadores de disco ou soluções de software específicas para perícia (KOZCIAK, 2020). Ao final da fase de coleta, o dispositivo para o qual os dados foram copiados deve ser devidamente lacrado e armazenado em local apropriado até a Justiça autorizar o seu descarte ou a sua devolução. Nesse momento, deve ser preenchido o formulário de cadeia de custódia, com os dados dos equipamentos apreendidos, como: mídia, marca, modelo, número de série e disco rígido. A data, a hora e o responsável pelo manuseio e pelo processo forense também devem ser registrados (KOZCIAK, 2020). Na Figura 1, a seguir, veja um exemplo de um formulário de cadeia de custódia. A cadeia de custódia é uma das principais obrigações do perito e é um documento exigido nas análises forenses computacionais, funcionando como uma garantia de autenticidade do processo (KOZCIAK, 2020). 8 2.3 Exame Essa etapa é considerada a mais trabalhosa da investigação. Isso se deve à quantidade de dados para análise, que geralmente têm diferentes formatos, como: arquivos criptografados, áudios, vídeos, imagens, arquivos compactados, entre outros. Os dados coletados na fase anterior devem ser recuperados e catalogados, 9 permitindo uma análise científica que não seja posteriormente questionada (KOZCIAK, 2020). O perito deve realizar uma investigação profunda dos fatos no sistema operacional, assim como considerar todas as hipóteses possíveis, como buscar arquivos que já tenham sido eliminados do sistema. Esse procedimento se chama data carving. De acordo com o National Institute of Standards and Technology (2014, p. 3, tradução nossa), carving é o processo de reconstrução de arquivos deletados, de um espaço de armazenamento não alocado, ou extração de arquivos embutidos em um contêiner de arquivos, baseada no conteúdo do arquivo; metadados do sistema de arquivos devem ser considerados de forma secundária ou completamente ignorados. 2.4 Análise Nessa fase, o perito analisa os dados coletados e examinados nas fases anteriores. O objetivo é encontrar evidências que comprovem o crime digital. A análise pode ser a fase mais demorada de todas as que compõem a investigação (KOZCIAK, 2020). Dependendo do número de dados e arquivos envolvidos, é necessário identificar prioridades e definir o que será analisado. Caso contrário, o processo de análise pode ser inviável, devido ao tempo que se levará para analisar todos os documentos (KOZCIAK, 2020). Para analisar os arquivos criptografados, o perito deve utilizar algum programa de quebra de senha. Ele também pode fazer buscas na memória de acesso aleatório (Random Access Memory [RAM]) a fim de localizar as senhas digitadas. Além disso, existem fontes de consulta como a Biblioteca Nacional de Referência do Software (RDS), que consiste em assinaturas digitais de arquivos conhecidos e rastreáveis até sua origem. Esse tipo de ferramenta facilita o 10 procedimento e pode diminuir o número de arquivos que deverão ser analisados (KOZCIAK, 2020). 2.5 Resultado Nessa etapa final, o perito redige o laudo pericial, apresentando provas e evidências, que deverão ser utilizadas nos processos judiciais. O laudo deve conter todos os detalhes que auxiliem o Judiciário na análise do crime. Ele deve ser claro e apresentar todas as evidências necessárias (KOZCIAK, 2020). No Quadro 1, a seguir, veja uma síntese dos procedimentos periciais Documentar Documentar Redigir laudo Anexar evidências e demais documentos 11 2.6 Exames e documentos processuais Na etapa de exames, o perito deve definir o modelo ideal de abordagem para cada tipo de caso, preservando sempre as condições iniciais, que vão garantir a melhor análise dos vestígios. Nessa etapa, os peritos têm acesso aos equipamentos apreendidos que foram violados ou que aplicaram qualquer tipo de violação legal. Assim, o objetivo dos profissionais é analisar, identificar e localizar todos os arquivos, sistemas e aplicativos que podem conter indícios de crimes (KOZCIAK, 2020). Veja o que Eleutério e Machado (2011, p. 51) destaca a respeito dos materiais questionados, ou seja, dos materiais apreendidos e submetidos a exames forenses: Os materiais questionados mais comuns nesse tipo de exame são os discos rígidos, seguidos pelos CDs e DVDs. No entanto, tais procedimentos devem ser seguidos para qualquer tipo de equipamento de armazenamento computacional, incluindo pen drives, cartões de memória, disquetes, blu-rays, entre outros a serem ainda inventados pelo homem. Um dos itens mais importantes em uma investigação criminal computacional é a identificação do IP (Internet Protocol) do criminoso. O IP é o número atribuído durante o tempo de conexão à internet. Esse número pertence a determinado acesso durante a conexão na rede de computadores mundial, porém, após a desconexão, ele é utilizado por outro usuário da internet. Por esse motivo, o perito precisa identificar a data e o horário da conexão, além do fuso horário e do provedor. Com base na identificação desses dados, o perito deve providenciar um mandado judicial para buscar, junto ao provedor, o responsável pela conexão no dispositivo em que foi cometido o crime (KOZCIAK, 2020). Para identificar o dispositivo utilizado para o crime, o perito precisa descobrir o endereço de controle de acesso à mídia, também chamado de “endereço MAC” (Media Access Control). Esse número identifica a placa de rede e é único para cada dispositivo (KOZCIAK, 2020). 12 Independentemente do dispositivo utilizado para a realização do crime, durante a fase de exame, o perito deve buscar responder a quatro perguntas: o quê? Quando? Onde? Como? O exame pode ser realizado em diferentes tipos de dispositivos, com seus respectivos tipos de análise. A seguir, veja quais são os principais dispositivos (KOZCIAK, 2020). 2.7 Computador Nesse caso, é necessário analisar toda a estrutura do equipamento, plataformas físicas ou servidores, buscando arquivos, dados e acessos que podem caracterizar vestígios de crimes digitais. O grande desafio é o acesso aos computadores utilizados, que podem estar em território nacional ou em outros países. Também é desafiador identificar os usuários e atentar ao sincronismo de horário e ao uso de criptografia complexa para manter o anonimato (FILHO, 2001). https://wmsit.com.br/ 13 O perito deve buscar: mensagens eletrônicas, imagens, planilhas, programas de computador, rastros de navegação, etc. Os principais tipos de crimes cometidos por meio desses dispositivos são: compartilhamento de arquivos de pornografia infantojuvenil, roubo de senhas (malware) e instalação de programas de roubo de dados bancários (FILHO, 2001). 2.8 Sites Nesse caso, os peritos analisam sites existentes, avaliando conteúdos, publicações, domínio da internet e endereçoIP. Conforme Eleutério e Machado (2011, p. 20) apud Filho (2001)., o exame em sites consiste “principalmente na verificação e cópia de conteúdo existente na Internet, em sites e servidores remotos dos mais variados serviços. Além disso, trata-se da investigação do responsável por um domínio de um site e/ou endereço IP”. O perito deve: identificar o serviço web, identificar o site hospedeiro, preservar as evidências, analisar as logs e analisar os aplicativos e serviços da rede. Os principais tipos de crimes cometidos por meio desses dispositivos são: ataques a sites, invasões, plágio, phishing (páginas falsas), malware, pornografia e furto de dados (FILHO, 2001). 2.9 Mensagens eletrônicas (e-mails) A análise de mensagens eletrônicas envolve mensagens transmitidas, remetentes, endereços IP, domínios da internet e conteúdos. Conforme Eleutério e Machado (2011, p. 20), o exame em e-mails corresponde “basicamente à análise 14 das propriedades das mensagens eletrônicas, a fim de identificar hora, data, endereço IP e outras informações do remetente da mensagem”. Nesses casos, o grande desafio é relativo à disponibilidade de registros (logs) suficientes. O perito ainda precisa garantir que os horários estejam sincronizados e lidar com diversos tipos de tecnologias. Em síntese, o perito deve: identificar a mensagem eletrônica, identificar o ambiente, preservar as evidências, verificar a origem da mensagem (cabeçalho) e analisar o corpo do e-mail. Os principais tipos de crimes cometidos por meio desses dispositivos são: questões trabalhistas, calúnia, difamação, desonra, concorrência desleal, ameaças anônimas e espionagem (FILHO, 2001). 2.10 Aparelhos móveis (celulares) Os aparelhos celulares, devido à sua amplitude tecnológica, já podem ser comparados a computadores portáteis. Assim, a análise de celulares é similar à análise realizada em computadores. Ela envolve a análise de mensagens enviadas, incluindo remetentes, números de telefone, datas, horários e dados relacionados a chamadas. Os dados analisados dizem respeito a mensagens enviadas por Short Message Service (SMS) e WhatsApp, por exemplo. Além disso, o perito deve buscar dados deletados (FILHO, 2001). Conforme Eleutério e Machado (2011, p. 20) apud Filho (2001)., o exame em celulares abrange “basicamente a extração dos dados desses aparelhos, a fim de recuperar e formalizar as informações armazenadas em suas memórias (lista de contatos, ligações, fotos, mensagens etc.), de acordo com a necessidade de cada caso”. 15 https://www.zoom.com.br/ O grande desafio aqui é manter-se atualizado em relação às ferramentas mobile, que estão em constante modificação. É necessário possuir os equipamentos adequados para a análise (software e hardware) e atentar à diversidade de funcionalidades existentes. Os principais tipos de crimes cometidos por meio desses dispositivos são: invasões, espionagem, calúnia, difamação e pornografia (FILHO, 2001). 2.11 Redes de computadores A análise de dados trafegados na rede tem foco no trânsito da informação, e não no armazenamento, independentemente do dispositivo emissor e do dispositivo receptor. Nesse caso, é necessário utilizar técnicas e ferramentas para: reconstrução de sessões, análise de protocolos, manipulação de arquivos, identificação de origem e destino, identificação de protocolos e dados, além de recuperação de arquivos capturados no tráfego (FILHO, 2001). Os grandes desafios são: o acesso aos computadores conectados dentro de uma rede, a identificação dos usuários e o sincronismo de horários. Os principais 16 tipos de crimes cometidos por meio de redes são: invasões, plágio, pornografia e furto de dados (FILHO, 2001). 2.12 Internet das Coisas (IoT) Essa área é muito recente. Ela tem crescido bastante à medida que os dispositivos conectados à internet (televisão, carros, refrigeradores, etc.) abrem uma gama de possibilidades de crimes digitais. A investigação forense para tratar da IoT (do inglês Internet of Things) está sendo desenvolvida para coletar e analisar evidências nesses dispositivos (FILHO, 2001). Nesses casos, o desafio é imenso, pois está em jogo uma tecnologia emergente: não existe um único dispositivo, e sim uma rede hiperconectada. O perito deve: identificar o dispositivo, preservar as evidências, analisar as logs e analisar os aplicativos e serviços da rede. Os principais tipos de crimes cometidos por meio desses dispositivos são: invasões, furto de dados e malware (FILHO, 2001). 2.13 Banco de dados A análise ocorre em dados e metadados armazenados em bancos de dados, disponibilizados ou não em servidores. O objetivo é identificar a manipulação de dados armazenados, como possíveis fraudes financeiras e fiscais praticadas em uma empresa (FILHO, 2001). Nesses casos, os grandes desafios são a identificação das tabelas, a busca por dados excluídos e a identificação das transações realizadas. O perito deve: identificar as bases de dados envolvidas, preservar as evidências e analisar as logs. Os principais tipos de crimes cometidos por meio desses dispositivos são: invasões, furto de dados e vazamento de informações (FILHO, 2001). 17 2.14 Algumas considerações Conforme Freitas (2003) apud Filho (2001)., em todos os tipos de dispositivos digitais, a análise pode ser física e/ou lógica. A seguir, veja como cada uma dessas análises se caracteriza. Análise física: tem como objetivo analisar os dados do dispositivo de armazenamento. Isso ocorre da seguinte forma: pesquisa de sequência, busca e extração, inclusive de espaço subaproveitado e livre de arquivos. Esse tipo de análise consiste em buscar todas as URLs, e-mails encontrados e partes inacessíveis do disco. Análise lógica: essa análise é feita arquivo por arquivo. O perito analisa o conteúdo dos arquivos com o apoio de aplicativos que ajudam nesse tipo de extração de dados. A análise forense exige o uso de algumas ferramentas, como: software de imagem de disco; software ou hardware de escrita; ferramentas de hashing; software de recuperação; software de peneira; software de decodificação de criptografia. O volume de crimes digitais tem crescido diariamente; percebe-se um aumento significativo de um ano para outro. Isso demonstra uma mudança comportamental, ou seja, as vítimas têm denunciado os crimes. Para compreender 18 melhor esse contexto, veja o trecho de uma matéria publicada pelo jornal Correio Braziliense em 4 de agosto de 2019: Diariamente, são registrados pelo menos 366 crimes cibernéticos em todo o país. O levantamento mais recente, feito em 2018 pela associação SaferNet Brasil, em parceria com o Ministério Público Federal (MPF), contabilizou 133.732 queixas de delitos virtuais, como pornografia infantil, conteúdos de apologia e incitação à violência e crimes contra a vida e violência contra mulheres ou misoginia e outros. Em comparação ao ano anterior, a quantidade de ocorrências deu um salto de quase 110% — em 2017, a associação registrou 63.698 denúncias. Um fator que contribui para a ação criminosa, na visão de especialistas, é o descuido da população quanto à utilização de ferramentas que protejam os aparelhos celulares das invasões de hackers. Apesar de ser impossível estar 100% protegido, o mínimo de precaução pode reduzir as ameaças à privacidade de cada um (FERNANDES, 2019, documento on-line). Na Figura 2, a seguir, você pode ver um mapa mental (diagrama que representa, a partir de um tema central, todos os itens envolvidos) que exemplifica a variedade de elementos implicados em uma análise forense computacional. A profissão de um perito criminal é muito ampla, envolvendo conhecimentos técnicos e legais em uma grande variedade de assuntos (FILHO, 2001). 1920 3 DEFESA CIBERNÉTICA E DOCUMENTOS PROCESSUAIS A defesa de crimes digitais é um processo complexo pelo fato de a internet não possuir fronteiras, ou seja, qualquer conteúdo é acessado de qualquer lugar do mundo. O termo ciberespaço surge pela primeira vez no romance “Neuromancer”, de William Gibson (CIBERESPAÇO, 2019 apud FILHO, 2001). O ciberespaço (ou espaço cibernético) é uma metáfora que descreve o espaço não físico criado por diversas redes de computadores (a internet), onde as pessoas podem se comunicar de muitas formas, seja por mensagens, e-mails, salas de bate-papo, grupos de discussão, aplicativos de mensagens, dentre outros. Esse espaço cibernético proporciona muitos serviços e no seu ambiente transitam informações sigilosas que estão sujeitas a muitas ameaças, devido ao seu valor e importância. Neste sentido, Nye Junior (2011) apud Filho (2001). observa que nos países com a internet mais desenvolvida, além dessa gama de recursos e soluções, também existe uma forte insegurança para governos, empresas e todas as pessoas dessas nações. Conforme Rachel (2009), Silveira (2018) e Caldeira (2011) apud Filho (2001)., um bom ponto a se considerar em crimes cibernéticos é a distinção entre crimes a distância e crimes plurilocais. Veja: nos crimes a distância, a ação e a consumação do crime ocorrem em lugares distintos, um deles fora do território nacional; nos crimes plurilocais, a ação e a consumação também ocorrem em lugares diversos, mas ambos no território nacional. Qualquer medida que envolva outros países depende de acionamentos entre países para coleta, análise e validação de vestígios de crimes digitais. É o caso, por exemplo, da abertura de dados por empresas como Facebook, Instagram e WhatsApp. Existem também conflitos dentro do território nacional, geralmente relativos à competência de cada foro: o foro do local de onde partiu a ofensa, o foro 21 de domicílio do ofendido e do infrator e ainda o foro do local onde o ofendido toma ciência da ofensa (FILHO, 2001). No Brasil, têm ocorrido evoluções no âmbito legal. A defesa de ataques cibernéticos ganhou reforço com a aprovação do Decreto nº. 10.222, de 5 de fevereiro de 2020, que estabelece a Estratégia Nacional de Segurança Cibernética. O objetivo desse decreto é tornar o Brasil mais próspero e confiável no meio digital, aumentando a resiliência local para ameaças cibernéticas e fortalecendo a segurança do País em âmbito internacional (FILHO, 2001).. Veja o que o decreto diz a respeito: Desse modo, estes objetivos estratégicos visam a nortear as ações estratégicas do País em segurança cibernética, e representam macrodiretrizes basilares para que o setor público, o setor produtivo e a sociedade possam usufruir de um espaço cibernético resiliente, confiável, inclusivo e seguro. São os objetivos estratégicos: 1. Tornar o Brasil mais próspero e confiável no ambiente digital; 2. Aumentar a resiliência brasileira às ameaças cibernéticas; e 3. Fortalecer a atuação brasileira em segurança cibernética no cenário internacional. (BRASIL, 2020, documento on-line). O Decreto nº. 10.222/2020 descreve 10 ações que precisam ser implementadas (BRASIL, 2020): 1. fortalecer as ações de governança cibernética; 2. estabelecer um modelo centralizado de governança em nível nacional; 3. promover um ambiente participativo e colaborativo entre setor público e privado; 4. elevar o nível de proteção do governo; 5. elevar a proteção das infraestruturas críticas nacionais; 6. aprimorar o arcabouço legal sobre segurança cibernética; 7. incentivar a concepção de soluções inovadoras em segurança cibernética; 8. ampliar a cooperação internacional do Brasil em segurança cibernética; 22 9. ampliar a parceria, em segurança cibernética, entre setor público, setor privado, academia e sociedade; 10. elevar o nível de maturidade da sociedade no que diz respeito à segurança cibernética. Outra iniciativa em andamento é a Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº. 13.709, de 14 de agosto de 2018. Essa lei tem como objetivo contribuir para a governança da segurança cibernética nacional por meio de normas e políticas públicas relativas à proteção de dados pessoais e à privacidade, considerando a coleta, o armazenamento, o tratamento e o compartilhamento de dados pessoais. A previsão é que a LGPD entre em vigor no Brasil no dia 16 de agosto de 2020 (FILHO, 2001).. A LGPD tem como base a GDPR europeia: “Seguindo os passos da GDPR (General Data Protection Regulation), que vale para todos os países da União Europeia, a LGPD já engatinhava com a criação do Marco Civil da Internet em 2014” (LGPD..., 2019, documento on-line). A LGPD determina que o usuário tem o direito de acessar seus dados a qualquer momento, conferindo como eles são tratados e compartilhados. A lei também determina que o usuário pode atualizar ou corrigir dados incorretos, deletar dados e transferir dados para outras organizações (públicas ou privadas) (FILHO, 2001). As penalizações previstas pela LGPD consideram multas, bloqueios e sanções para as empresas que descumprirem ou não se adequarem à nova lei. Além disso, a LGPD extravasa o território brasileiro. Ela pode ser aplicada a qualquer empresa, e mesmo as empresas estrangeiras que não têm sede no local estão sujeitas a sanções. A não aplicação da LGPD pode acarretar multas de até R$ 50 milhões. Por esse motivo, observa-se uma corrida das organizações desde 2018, quando a lei foi aprovada, para adaptar seus sistemas e bancos de dados ao novo cenário, o que cria muitas oportunidades para profissionais com conhecimento nesse assunto (FILHO, 2001). Referindo-se às evoluções legais, Souza Junior (2013, p. 32) ressalta o empenho dos órgãos governamentais: 23 A Administração Pública Federal apresenta o real empenho e precaução na criação de um modelo de segurança cibernética para proteção do ciberespaço e dos serviços e informações nele existentes, assim se adaptando ao cenário atual de crimes cibernéticos. É notável que os órgãos governamentais têm atuado de forma mais enfática em relação aos crimes digitais. Como você viu, tal atuação se dá por meio da criação e da aprovação de leis e decretos que suportem judicialmente direitos e deveres no universo digital. Porém, é nítido que a defesa em processos criminais cibernéticos tem um caminho longo a percorrer, seguindo a constante evolução do mundo digital (FILHO, 2001). 3.1 Aspectos Jurídicos em Computação Forense Por ser uma ciência que mira reportar suas análises e resultados a determinada instância da justiça, é estreita sua relação com as leis. Algumas delas afetam diretamente o trabalho dos peritos, pesquisadores e profissionais da área e precisam ser de conhecimento desse grupo (FILHO, 2001). Basicamente, quem sabe como a lei fundamental que garante o exame pericial, temos no Código de Processo Penal - Do exame do corpo de delito e das perícias em geral- Art. 158 e159 que dizem: Art. 158. Quando a infração deixar vestígios, será indispensável o exame de corpo de delito, direto ou indireto, não podendo supri-lo a confissão do acusado. Art. 159. O exame de corpo de delito e outras perícias serão realizados por perito oficial, portador de diploma de curso superior. § 1o Na falta de perito oficial, o exame será realizado por 2 (duas) pessoas idôneas, portadoras de diploma de curso superior preferencialmente na área específica, dentre as que tiverem habilitação técnica relacionada com a natureza do exame. § 2o Os peritos não oficiais prestarão o compromisso de bem e fielmente desempenhar o encargo. anderson.oliveira Realce 24 § 3o Serão facultadas ao Ministério Público, ao assistente de acusação, ao ofendido, ao querelante e ao acusado a formulação de quesitos e indicação de assistente técnico.§ 4o O assistente técnico atuará a partir de sua admissão pelo juiz e após a conclusão dos exames e elaboração do laudo pelos peritos oficiais, sendo as partes intimadas desta decisão. Dessa forma, no campo criminal, é obrigatório o exame pericial em todo crime que deixar resquício. Outro ponto relevante, é a probabilidade do perito da defesa, denominado assistente técnico. Esse profissional pode fazer seu próprio exame pericial e expor as suas conclusões em relatório próprio para a análise do judiciário (FILHO, 2001). Outra lei importante, com relação próxima a um tipo de perícia em informática, é a que aborda do crime de pedofilia. Tipificado no ECA (Estatuto da Criança e do Adolescente), nos artigos 240 e 241. Art. 240. Produzir, reproduzir, dirigir, fotografar, filmar ou registrar, por qualquer meio, cena de sexo explícito ou pornográfica, envolvendo criança ou adolescente: Pena – reclusão, de 4 (quatro) a 8 (oito) anos, e multa. Art. 241. Vender ou expor à venda fotografia, vídeo ou outro registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou adolescente: Pena – reclusão, de 4 (quatro) a 8 (oito) anos, e multa. Art. 241-A. Oferecer, trocar, disponibilizar, transmitir, distribuir, publicar ou divulgar por qualquer meio, inclusive por meio de sistema de informática ou telemático, fotografia, vídeo ou outro registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou adolescente: Pena – reclusão, de 3 (três) a 6 (seis) anos, e multa. Art. 241-B. Adquirir, possuir ou armazenar, por qualquer meio, fotografia, vídeo ou outra forma de registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou adolescente: Pena – reclusão, de 1 (um) a 4 (quatro) anos, e multa. § 1o A pena é diminuída de 1 (um) a 2/3 (dois terços) se de pequena quantidade o material a que se refere o caput deste artigo. É relevante observar algumas das condutas que são crimes em relação à pedofilia e qual o papel do perito em computação forense nesses eventos. Inicialmente, destaca-se que o simples fato de registrar, ou seja, ter fotos de pedofilia no computador ou smartphone já é crime. A função do perito em relação a esse episódio é encontrar tais imagens, que podem estar ocultas, apagadas ou criptografadas. Caso essas imagens sejam localizadas, o próximo passo natural é 25 determinar se o proprietário do dispositivo estava compartilhando essas imagens com outros usuários, o que compõe um crime mais grave. Esse compartilhamento pode acontecer especialmente por aplicativos de redes ponto a ponto (P2P). Cabe ao perito, examinar essa circunstância e documentar todo o cenário localizado (FILHO, 2001). A lei nº 12.965, de 23 de abril de 2014, conhecida como Marco Civil da Internet estipula determinadas regras, das quais as que mais interessam à computação forense são as que regulam o armazenamento dos registros de acesso (logs) dos usuários, como demonstrado a seguir. Art. 1o Esta Lei estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil e determina as diretrizes para atuação da União, dos Estados, do Distrito Federal e dos Municípios em relação à matéria. … Subseção I Da Guarda de Registros de Conexão Art. 13. Na provisão de conexão à internet, cabe ao administrador de sistema autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 1 (um) ano, nos termos do regulamento. § 2o A autoridade policial ou administrativa ou o Ministério Público poderá requerer cautelarmente que os registros de conexão sejam guardados por prazo superior ao previsto no caput. § 5o Em qualquer hipótese, a disponibilização ao requerente dos registros de que trata este artigo deverá ser precedida de autorização judicial, conforme disposto na Seção IV deste Capítulo. Subseção II Da Guarda de Registros de Acesso a Aplicações de Internet na Provisão de Conexão Art. 14. Na provisão de conexão, onerosa ou gratuita, é vedado guardar os registros de acesso a aplicações de internet Subseção III Da Guarda de Registros de Acesso a Aplicações de Internet na Provisão de Aplicações Art. 15. O provedor de aplicações de internet constituído na forma de pessoa jurídica e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento. 26 A lei nº 12.737, de 30 de novembro de 2012, conhecida como lei Carolina Diekmann, tipifica, ou seja, torna crime, vários comportamentos relacionados a atividades de invasão de sistemas de computador, conforme segue. Art. 1o Esta Lei dispõe sobre a tipificação criminal de delitos informáticos e dá outras providências. ... “Invasão de dispositivo informático“ Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa. § 1o Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput. Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede mediante representação, salvo se o crime é cometido contra a administração pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municípios ou contra empresas concessionárias de serviços públicos. ” Resumidamente, essa lei trata das invasões de sistemas e composição e uso de software maliciosos (malware). É função do perito, avaliar os computadores em que sucederam as invasões, gerar como elas ocorreram e se provável apontar na direção do responsável por tais crimes (FILHO, 2001). 3.2 Lab de Computação Forense: Preservação e Análise da Prova Digital O laboratório de computação forense deve ter hardware e software especializado que proporcione as condições técnicas, de maneira hábil, para se conseguir e processar os dados digitais, transformando-os em destaques. Essas tecnologias estão disponíveis em produtos comerciais, softwares desenvolvidos por peritos e softwares livres (FILHO, 2001). 27 3.3 Duplicação de dados de forma forense Uma das primeiras atividades a ser concretizada no laboratório é a cópia dos dados dos equipamentos originais. É nessas cópias que os exames serão realizados (FILHO, 2001). Para consolidar uma cópia de forense, todos os bits do equipamento original devem ser copiados, inclusive de áreas não alocadas do sistema de arquivo. Bem longe dessa necessidade, a ênfase digital deve ser acessada de maneira que tenha proteção contra escrita na interface em que ela for conectada. Essa cautela é precisa para que, ao se conectar a mídia original, nenhum dado seja modificado. Conectar a mídia original sem proteção de escrita pode alterar dados ou metadados de arquivos e essas mudanças podem ser questionadas pelas partes envolvidas. Outra atividade essencial ao fazer a cópia é calcular o hash dos dados originais e o da cópia. Esses valores precisam coincidir, garantindo-se, com isso, a integridade e a cadeia de custódia dos destaques digitais (FILHO, 2001).Têm equipamentos especializados em duplicação pericial. Esses equipamentos consentem que as cópias sejam feitas de forma bastante simplificada e garantem as sugestões mencionadas. Determinadas alternativas de equipamentos que podem ter em um laboratório de computação forense são o Solo IV, da empresa ICS e o Tableaut TD3 da empresa Guidence Software. Esses equipamentos têm entradas protegidas contra escrita para conexão das ênfases originais, vários tipos de adaptadores para as interfaces mais comuns de mídias de armazenamento, entre elas, adaptadores para conexões IDE, SATA, SAS, USB, cartões de memória SDCard, entre outros. Possuem também a vantagem de serem portáteis, podendo ser levados a campo. As figuras 1 e 2 ilustras os equipamentos (FILHO, 2001). Se usar um equipamento comercial especializado em duplicação de dados não for uma alternativa, existem soluções de baixo custo para esse processo. Uma maneira de concretizar essa cópia é empregar uma distribuição Linux montada para análises forenses. Estas distribuições consentem que se monte o disco original do 28 suspeito no modo “somente leitura”. Uma vez montado o disco das ênfases, as cópias podem ser cometidas por programas que seguem essas distribuições, como, por exemplo, o dd, dc3dd, dcfldd, entre outros. Esses programas farão uma cópia de todos os bits do disco de origem, inclusive áreas não alocadas. Alguns deles já realizarão também o cálculo do hash dos dados originais e do arquivo de destino (FILHO, 2001). Duas distribuições que fornecem ferramental forense são a Deft Linux (http://www.deftlinux.net/) e Caine (http://www.caine-live.net/). 3.4 Processamento e Análise dos Dados Uma fez feita a duplicação pericial dos dados e tendo garantido a sua integridade por meio do hash, o próximo passo é o processamento e análise de dados. Essa fase consiste na recuperação dos dados que estão nas mídias, muitos deles apagados, e a disponibilização desses dados aos peritos de modo que possam ser feitas pesquisas sobre eles. Dessa forma, as principais ferramentas dessa etapa do processo deverão entender os sistemas de arquivos envolvidos, executar técnicas de recuperação de dados apagados, indexar esses dados para futuras pesquisas e interpretar essas informações de modo que o grande volume de dados possa ser organizado em subgrupos e tipos para facilitar a análise dos peritos (FILHO, 2001). http://www.caine-live.net/ 29 https://csprojetos.com Para essa tarefa, os principais softwares comerciais são Encase(https://www.guidancesoftware.com/encase-forensic), FTK (http://accessdata.com/solutions/ digital-forensics/ forensic-toolkit-ftk), entre outros. Alternativamente, o IPED (Indexador e Processador de Evidências Digitais) é uma solução desenvolvida porperitos criminais da Polícia Federal que tem se mostrado bastante importante e está disponível para o modo de peritos de outras instituições de segurança pública. Por fim, têm as alternativas livres, como The Sleuth Kit - TSK - e Autopsy ( http://www .sleuthkit.org/). Avaliaremos esses dois últimos com mais detalhes na próxima seção (FILHO, 2001). 3.5 The Sleuth Kit e Autopsy The Sleuth Kit (TSK) é um conjunto de instrumentos de linha de comando e bibliotecas em C para análise de disco rígidos e recuperação de arquivos. O Autopsy é um ambiente gráfico que proporciona uma interface mais amigável sobre o TSK. Ambas as ferramentas são livres, de código aberto e estão em constante desenvolvimento pelos seus mantenedores (FILHO, 2001). https://www.guidancesoftware.com/encase-forensic anderson.oliveira Realce 30 A relevância didática de ferramentas livres é ressaltada por Fagundes, Neukamp e Silva (2011), que apontam que o software de código aberto é um modelo didático, pois promove o pensamento crítico, conta com uma capacidade de adaptação independente, conta com uma comunidade, na qual possui compartilhamento de conhecimento e permite ao aluno, mesmo fora do ambiente acadêmico, acesso às ferramentas de maneira legal. Segundo Carrier (2006), o TSK é composto por mais de 20 programas, estilo linha de comando, organizados em grupos. Os grupos em que os programas são divididos são fundamentados nas entidades das estruturas dos sistemas de arquivos. São eles: categoria de sistemas de arquivos, categoria de conteúdo, categoria de metadados, categoria de aplicação e categorias múltiplas. Pelos comandos do TSK, é possível observar cada uma das entidades do sistema de arquivos. Para usá-los em sua plenitude, é preciso um entendimento de como os disco rígidos são estruturados e como as estruturas lógicas dos sistemas de arquivos trabalham (FILHO, 2001). Os programas do TSK são excelentes instrumentos para destrinchar os dados de um disco. Tem um papel didático relevante e servem como os blocos de construção para ferramentas mais associadas, porém são pouco eficientes para lidar com vários episódios, nos quais o interesse é a recuperação do maior número de dados possível e a apropriada visualização deles, em tempo hábil (FILHO, 2001). Dessa forma nasce a necessidade de se empregar um instrumento que integre os vários programas do TSK e forneça uma interface mais produtiva. Uma alternativa é o Autopsy (FILHO, 2001). O Autopsy emprega as bibliotecas do TSK e oferece uma interface gráfica intuitiva para o processamento dos dados a constituírem avaliados. Após introduzir- se com determinados dados sobre o caso, deve-se informar o arquivo de imagem, que é a cópia forense concretizado conforme narrado antes. Este arquivo pode estar no formato bruto, também conhecido com raw ou dd ou em algum outro formato aproveitado por determinado software ou equipamento de duplicação de dados. Um formato muito popular é o formato E01, introduzido pela EnCase e empregado por diversos outros programas (FILHO, 2001). 31 As figuras 3 e 4 ilustram duas telas do Autopsy. Figura 3 : Autopsy Figura 4 : Autopsy 32 3.6 Princípios da Recuperação de Evidências Digitais Essa seção tem como desígnio exibir conceitos técnicos que aceitem compreender como as ferramentas frequentes no laboratório de computação forense conseguem chegar aos resultados que se propõem. Ter o saber técnico do que está sendo feito e não somente confiar nessas ferramentas e equipamentos como verdadeiras caixas-pretas, que somente proporcionam o resultado, permitirá ao perito uma melhor explanação técnica acerca do que se está periciando, além de ajuda-lo com saberes satisfatórios para responder a possíveis questionamentos das partes ou do juízo (FILHO, 2001). 3.7 Técnicas de Recuperação de Arquivos Apagados Apesar das peculiaridades de cada sistema de arquivos e das técnicas para recuperá-los, essencialmente a recuperação de dados apagados é possível porque ao se apagar um arquivo, ele é apagado somente logicamente do sistema de arquivos, ou seja, o espaço ocupado por aquele arquivo é possibilitado para reutilização, mas por questões de execução o seu conteúdo permanece intacto até que aquele espaço seja necessário para alocar outro arquivo (FILHO, 2001). Determinadas técnicas de recuperação de dados levam em conta a estrutura de dados providas pelos sistemas de arquivos. Para compreender como esse tipo de recuperação de dados é possível, devemos entender, primeiramente, o que ocorre em cada sistema de arquivos quando um arquivo é apagado (FILHO, 2001). Como mostrado por Carrier (2006), nos sistemas de arquivos FAT ao se extinguir um arquivo, o primeiro caractere na tabela de entrada de diretório é suprido por 0xe5 e os endereços na tabela FAT são zerados. Para recuperá-lo, deve-se localizar o nome dele na tabela de diretório, o endereço do primeiro bloco e os 33 metadados que informam o tamanho do arquivo. De posse da informação de qual éo primeiro bloco e o tamanho do arquivo, a recuperação é trivial. Porém, arquivos fragmentados podem inviabilizar a recuperação pelo uso somente dessa técnica. No NTFS, quando um arquivo é apagado, a entrada de diretório na MFT desse arquivo é marcada como não alocada e os blocos desse arquivo são adicionados na tabela de blocos livres. Com isso, a estrutura de alocação de arquivos permanece praticamente intacta, permitindo a recuperação do arquivo até que a entrada de diretório seja reutilizada (FILHO, 2001). No Ext2, o i-node do início de diretório é apagado. Para recuperar arquivos apagados, deve-se observar por i-nodes não alocados. Encontrando-se um i-node não alocado, ele conterá a lista de blocos daquele arquivo apagado. No Ext3 e Ext4, o inode da entrada de diretório não é apagado, contudo, os campos com os endereços dos blocos no i-node são apagados. Assim, tem-se o i-node de determinada entrada de diretório (nome do arquivo), entretanto não se consegue obter a lista de blocos que compunham esses arquivos. A recuperação de arquivos no Ext3 e Ext4 é mais difícil que no Ext2 (FILHO, 2001). Uma outra técnica promissora de recuperação de arquivos apagados é o data carving. No processo clássico de data carving, as estruturas do sistema de arquivos não são levadas em consideração (FILHO, 2001). Merola (2008) menciona o exemplo de arquivos PDF e JPEG. Os arquivos PDF têm uma assinatura inicial, ou seja, iniciam sempre da mesma maneira, o que admite distingui-los de outros tipos de arquivos examinado somente seu conteúdo. Dessa forma, todos os arquivos PDF principiarão com os caracteres “%PDF”. Essa assinatura também é conhecida como cabeçalho do arquivo. Alguns arquivos, além do cabeçalho, têm também um rodapé, ou seja, sempre terminarão com o mesmo caractere. No caso dos PDFs será “%EOF”. Para arquivos JPEG, teremos os padrões “0xFFD8” para o cabeçalho e “0xFFD9” para o rodapé. É com embasamento nas assinaturas dos arquivos que as técnicas fundamentais de data carving laboram. Uma ferramenta usando essa técnica terá uma larga base de assinaturas dos mais variáveis tipos de arquivos. Uma vez identificado o princípio de um arquivo, a ferramenta irá avaliando que tudo o que 34 virá depois dessa assinatura é o corpo do arquivo. Ao localizar o rodapé, a ferramenta conclui a recuperação daquele arquivo e o processo de repete a partir do próximo byte, até que todos os bytes não alocados da mídia de armazenamento sejam processados (FILHO, 2001). Entretanto, dificuldades podem ser localizadas nesse processo. Arquivos podem ter cabeçalho, mas não rodapé. Arquivos podem estar também despedaçados, compactados ou incompletos. Para lidar com essas questões, as técnicas mais avançadas de data carving fundamentam-se não somente nas assinaturas dos arquivos, mas também possuem conhecimento das estruturas internas de cada tipo de arquivo, o que permite às ferramentas tentar encaixar todas as peças, num verdadeiro quebra-cabeça de bytes e fragmentos de estruturas de arquivos (FILHO, 2001). Em relação à recuperação de arquivos nos discos de estado sólido (SSDs), deve-se observar que a dinâmica de leitura e escrita de dados difere dos discos rígidos magnéticos tradicionais, impactando nas técnicas de recuperação de ênfases digitais (FILHO, 2001). Conforme esclarecido por Gomes (2012), diferentemente dos discos rígidos, nos quais os dados podem ser apagados e sobrescritos de forma independente, nos SSDs as páginas na memória flash não podem ser simplesmente regravadas. Sempre que se necessita gravar dados em uma página já ocupada, a controladora do SSD precisa primeiro apagar os dados anteriores, levando a célula ao seu estado original, para só então, realizar a nova intervenção de escrita. Além disso, não é possível apagar apenas uma página, necessita apagar um bloco de páginas. Se tiver dados válidos nessas páginas, elas necessitam ser copiadas e depois reescritas. Todas essas operações podem comprometer a performance do SSD. Para lidar com essas características, os SSDs empregam técnicas de coleta de lixo (garbage collection). O coletor de lixo será executado em segundo plano, pelo próprio hardware do SSD e será responsável por garantir que sempre possua blocos livres, em estado original, prontos para escrita. Para garantir isso, uma de suas tarefas é movimentar dados, realizando uma espécie de desfragmentação do disco. 35 Essa característica tem um impacto negativo sobre a recuperação de arquivos apagados, tendo em vista que a chance de sobreposição de dados não alocados é bem maior por conta do coletor de lixo (FILHO, 2001). 3.8 Perícias em Dados Voláteis Informações importantes podem estar armazenadas somentes na memória RAM. Se o conteúdo do disco rígido estiver criptografado, fazer a extração e análise dos dados voláteis pode permitir a obtenção da chave empregada para proteger os dados do disco. Outras informações como processos em execução e bibliotecas de software carregadas também podem ser alcançadas por meio desse tipo de análise (FILHO, 2001). Silva e Lorens (2009) discorrem sobre a necessidade de um exame pericial em memória RAM, também conhecido como live forensics, tendo em vista que circunstâncias específicas justificam a realização de procedimentos de coleta de vestígios digitais no local em que se encontram instalados os equipamentos computacionais, enquanto ligados e em funcionamento normal. Instalações de equipamentos de amplo porte, não convencionais, ou que provoquem o risco de perda de informações significativas ou ainda, as inviabilizações das perícias são exemplos dessas situações. Destaca-se, também, a situação cada vez mais frequente do uso de criptografia nas mídias de armazenamento. A primeira tarefa a ser concretizada em uma perícia de dados voláteis é conseguir uma cópia da memória RAM. O termo dump de memória também é usado para se mencionar a este tipo de cópia. Existem diversas ferramentas que podem ser usadas para essa tarefa. É interessante que essa ferramenta possa ser executada na máquina alvo sem a precisão de instalação, para não escrever no disco e correr o risco de sobrescrever algum dado não alocado. Um exemplo de ferramenta livre para Windows que faz a cópia de memória é o FTK Imager Lite (figura 5) (FILHO, 2001). 36 Figura 5 Alcançada a cópia da memória RAM, é necessário saber interpretá-la. Para essa tarefa têm softwares que podem auxiliar o perito. Um deles é o framework livre Volatility (http://www.volatilityfoundation.org/) (figura 6) (FILHO, 2001). Figura 6 http://www.volatilityfoundation.org/ http://www.volatilityfoundation.org/ http://www.volatilityfoundation.org/ 37 O Volatility é um conjunto de ferramentas abertas, escritas em Python, destinado à extração de conteúdos digitais armazenados em memória volátil de sistemas operacionais Windows. Realiza interpretação (parser) de dump de memória, crash dump, arquivo de hibernação, snapshot de máquinas virtuais etc. Com o uso desse framework, podem ser alcançados dados referentes a processos em execução, soquetes de rede abertos, DLLs carregadas para cada processo, arquivos abertos para cada processo, chaves de registro para cada processo, memória endereçável de um processo, módulos do kernel do sistema operacional, chaves criptográficas, entre outros (FILHO, 2001). 3.9 Técnicas Antiforenses e Anti-Antiforenses Em uma definição de técnicas antiforenses localizada em Velho et al (2016), os autores classificam-na como um conjunto de técnicas que objetivam inviabilizar, dificultar, iludir ou impossibilitar quea análise forense suceda de maneira satisfatória. Necessariamente, trata-se de formas de manipular os dados digitais de tal maneira que esses dados sejam destruídos de forma irrecuperável, ou, de determinada maneira, não possam ser acessados pelo perito, ou ainda, que iludam o perito em suas conclusões. Assim, cabe ao perito conhecer sobre essas técnicas, saber identificá-las e contorná-las sempre que possível. No restante dessa seção são exibidas as principais técnicas antiforenses e possíveis maneiras de lidar com elas (FILHO, 2001). 3.10 Wipe ou Sanitarização de Dados 38 Ao se apagar um arquivo, os dados desse arquivo não são verdadeiramente apagados, são feitas algumas alterações nas estruturas de controle de alocação de arquivos e aquele espaço ocupado pelo arquivo fica disponível para ser reutilizado, mas especialmente por motivo de performance, os dados desse arquivo apagado continuam na mídia de armazenamento, até o momento em que forem reutilizados por outro arquivo. A partir dessa ocasião, quando os dados são sobrescritos por um arquivo novo, a recuperação torna-se inviável (FILHO, 2001). É por isso que há uma maneira de apagar um arquivo de forma irrecuperável. Para isso, além de ser marcado nas estruturas do sistema operacional como apagado, o seu conteúdo em todo o disco deve ser sobrescrito. Existem até mesmo protocolos para realizar essa técnica, conhecida como wipe ou sanitização de dados. Dependendo da sensibilidade e relevância dos arquivos a serem apagados, esses protocolos sugerem que a área da mídia de armazenamento em que os dados estavam armazenados seja sobrescrita várias vezes. A figura 7 ilustra o programa Disk Wipe, que entrega a técnica de sanitização de dados em uma mídia completa. Nota-se que se pode propor qual protocolo de wipe empregar. Na figura, são expostos de cima para baixo os protocolos do menos para o mais seguro (FILHO, 2001). Figura 7 39 3.11 Criptografia e Quebra de Senhas Criptografia acontece a ser cada vez mais popularizada, sendo que vários sistemas já estão sendo configurados por padrão com seus dados criptografados. Existe também diversos softwares que podem ser habituais para criptografar arquivos, partes de uma mídia de armazenamento ou a mídia inteira (FILHO, 2001). Esses recursos, ressaltantes para a segurança do usuário, concebem um desafio técnico para os peritos, que necessitam tentar ao máximo localizar evidências digitais, mesmo que estas permaneçam protegidas por criptografia. Desse cenário pericial, aparece a necessidade de técnicas de quebra de criptografia e senhas, tornando essa área mais uma área da computação que deve ser dominada pelos peritos (FILHO, 2001). Mas como quebrar a criptografia, tendo em vista que a maior parte dos sistemas usam criptografia forte, com algoritmos robustos e chaves grandes? A resposta encontra-se em atacar o elo mais fraco da segurança da informação, o usuário. Segundo Velho et al (2016), pesquisas mostram que a maioria dos usuários usa senhas fracas. A capacidade humana de memorização não facilita que usuários guardem como senhas sequências muitos grandes e aleatórias. Na maioria das vezes serão usadas expressões que são familiares aos usuários e as senhas tendem a se repetir em vários sistemas. Com isso, ao se deparar com conteúdo criptografado, o perito deve ao menos tentar as técnicas básicas de recuperação de senhas, restringindo-se aos recursos computacionais e a um prazo de tempo de tentativa estipulado (FILHO, 2001). 3.12 Ataques a Dados Criptografados Podemos determinar os ataques a sistemas com senha em dois tipos. Os ataques on-line, que visam sistemas que estão em funcionamento no momento dos 40 ataques. Esse tipo de ataque é menos promissor, já que o tempo de resposta em que diversas senhas podem ser testadas é alto (FILHO, 2001). Os ataques offline ou post-mortem, buscam decifrar os dados já adquiridos das mídias de armazenamento, mas que ainda não estão acessíveis por estarem criptografados. É um ataque mais promissor que o anterior, pois a taxa de senhas que podem ser testadas é muito superior. Para a computação forense, esse é o tipo de ataque que mais interessa e é esse tipo que será discutido no restante da seção (FILHO, 2001). Para se quebrar a criptografia no ataque offline deve-se descobrir qual foi a senha usada pelo usuário para criptografar os dados. Para tanto, as possíveis senhas são testadas uma a uma. Porém, essa tarefa computacional é altamente paralelizável. Dessa maneira, quanto mais processadores o perito tiver a disposição para a tarefa, mais rápido ela poderá ser desempenhada. Hoje em dia, as duas maneiras mais empregadas para paralisar essa tarefa são por meio de cluster de computadores ou por meio de placas de processamento gráfico (GPUs) (FILHO, 2001). Na alternativa de cluster de computadores, usa-se várias máquinas trabalhando em paralelo e em cooperação para o processamento dos ataques ao conteúdo criptografado. Na maioria das vezes usa-se um esquema em que uma das máquinas é um ponto central que gerencia todas as demais, distribuindo a carga de processamento. Outra maneira de conseguir elevado nível de paralelização é por meio do uso de GPUs. As GPUs são projetadas com vários núcleos de processamento para atividades específicas. Essa arquitetura pode ser usada para paralelizar as computações necessárias para quebra de senhas. Uma GPU voltada para jogos, pode ter até aproximadamente 3.000 núcleos (cores). A figura 8 ilustra uma comparação da arquitetura multicore de uma CPU e de uma GPU (FILHO, 2001). 41 Figura 8 A figura 9 expõe um teste de desempenho de quatro configurações de máquinas utilizando GPUs processando quebra de criptografia em vários algoritmos (FILHO, 2001). Figura 9 Fonte: www.hashcat.com, acesso em 22/09/2016 http://www.hashcat.com/ http://www.hashcat.com/ 42 Mesmo com todo poder de processamento dos clusters e das GPUs, testar todas as combinações, num ataque designado força bruta, não é viável para senhas com um tamanho e complexidade razoáveis (mais de 8 caracteres começa a inviabilizar a força bruta). Por conta disso, deve-se tentar antes ataques mais inteligentes, nos quais a chance de se encontrar a senha seja melhor do que o acaso. O ataque de força bruta deve ser o último a ser empregado, somente quando todos os outros tiverem falhado (FILHO, 2001). Um dos ataques que pode alcançar sucesso é o ataque de dicionário. Nesse ataque, tenta-se todas as senhas de um determinado dicionário (lista de palavras), como por exemplo, um dicionário com todas as palavras da língua portuguesa. É um ataque rápido de ser concretizado. Nesse tipo de ataque, a criatividade é o limite. Pode-se tentar dicionários temáticos, palavras que sejam da lista de interesses do alvo e até mesmo procurar dicionários de dados recuperando todas as palavras de outros dispositivos de informática do alvo que não estejam criptografados. Não alcançando sucesso, pode-se tentar a abordagem híbrida. Nesse ataque, cada palavra do dicionário padecerá determinada variação, como por exemplo, colocar o primeiro caractere em maiúsculo, adicionar números ao final de cada palavra etc. Novamente, a criatividade é o limite. Vale observar que, quanto mais variedade for adicionada, maior será o tempo necessário para completar o ataque (FILHO, 2001). 3.13 Esteganografia e Esteganálise Esteganografia, ou escrita oculta, pode ser empregada como uma técnica antiforense. Segundo Velho et al (2016), esteganografia é o estudo de técnicas para esconder a existência de uma mensagem dentro de outra, uma forma de segurança por obscurantismo. Ainda segundo essesautores, a informação a ser escondida é inserida em um arquivo hospedeiro, que precisará ser capaz de sofrer pequenas alterações em seus bytes e, ainda assim, reter suas principais características. 43 A esteganálise tem como objetivo descobrir e revelar mensagens ocultas por técnicas esteganográficas. Sua base é a análise estatística, procurando padrões de ocorrência do uso de técnicas de esteganografia nas mídias suspeitas (FILHO, 2001). 44 4 BIBLIOGRAFIA BRASIL. Decreto Nº 10.222, de 5 de fevereiro de 2020. Aprova a Estratégia Nacional de Segurança Cibernética. Brasília: Casa Civil da Presidência da República, 2020. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019- 2022/2020/decreto/D10222.htm. Acesso em: 11 abr. 2020. BRASIL. Ministério da Justiça. Decreto-Lei Nº 2.848, de 7 de dezembro de 1940. Código Penal. Brasília: Casa Civil da Presidência da República, [1940]. Disponível em: http://www. planalto.gov.br/ccivil_03/decreto-lei/del2848.htm. Acesso em: 11 abr. 2020. CALDEIRA, S. Qual a diferença entre crime plurilocal e crime à distância? Sandro Caldeira, [S. l.], 19 maio 2011. Disponível em: http://www.sandrocaldeira.com/plus/modulos/ noticias/ler.php?cdnoticia=22&cdcategoria=1. Acesso em: 11 abr. 2020. CIBERESPAÇO. In: GLOSSÁRIO da Sociedade da Informação. Lisboa: Associação para a Promoção e Desenvolvimento da Sociedade da Informação, 2019. Disponível em: https://apdsi.pt/glossario/c/ciberespaço. Acesso em: 11 abr. 2020. ELEUTÉRIO, P. M. S.; MACHADO, M. P. Desvendando a computação forense. São Paulo: Novatec, 2011. 200 p. FERNANDES, A. Crimes virtuais e ataques cibernéticos mais do que dobram em um ano. Correio Braziliense, Brasília, 4 ago. 2019. Disponível em: https://www.correiobraziliense. com.br/app/noticia/politica/2019/08/04/interna_politica,775357/crimes-virtuais-e- ataques-ciberneticos-mais-do-que-dobram-em-um-ano.shtml. Acesso em: 11 abr. 2020. FREITAS, A. R. Perícia forense aplicada à informática. Orientador: Duval Costa. 2003. 58 f. Trabalho de Conclusão de Curso (Pós-Graduação “Lato Sensu” em Internet Security) – Instituto Brasileiro de Propriedade Intelectual, São Paulo, 2003. Disponível em: https:// rl.art.br/arquivos/120158.pdf. Acesso em: 11 abr. 2020. FILHO, W. L. S. Crimes Cibernéticos e Computação Forense. Disponível em: http://sbseg2016.ic.uff.br/pt/files/MC2-SBSeg16.pdf. Acesso em: 04/01/2001. LGPD: O manual para compreender a lei geral de proteção de dados. TOTVS, São Paulo, 26 set. 2019. Disponível em: https://www.totvs.com/blog/negocios/lgpd-o- manual- -para-compreender-a-lei-geral-de-protecao-de-dados/. Acesso em: 11 abr. 2020. http://sbseg2016.ic.uff.br/pt/files/MC2-SBSeg16.pdf 45 NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Forensic File Carving Tool Specification: Draft Version 1.0 for Public Comment. Gaithesburg: NIST, 2014. 12 p. Disponível em: https://www.nist.gov/system/files/documents/2017/05/09/fc-req- -public-draft-01-of- ver-01.pdf. Acesso em: 11 abr. 2020. NYE JUNIOR, J. S. The future of power. New York: PublicAffairs, 2011. 320 p. PROCESSO de Investigação. Forense Computacional, [S. l.], [20--]. (Projeto desenvolvido por alunos da disciplina “Direito e Informática” – DIR410011, ministrada pelo professor Aires J. Rover para alunos do programa de mestrado em Ciências da Computação da Universidade Federal de Santa Catarina). Disponível em: https://sites.google.com/a/ cristiantm.com.br/forense/forense- computacional/processo-de-investigacao. Acesso em: 11 abr. 2020. RACHEL, A. R. O que se entende por crime à distância? Jusbrasil, Salvador, 25 set. 2009. Disponível em: https://lfg.jusbrasil.com.br/noticias/1912334/o-que-se- entende-por- -crime-a-distancia-andrea-russar-rachel. Acesso em: 11 abr. 2020. REIS, F. M. Forense computacional: técnicas para preservação de evidências em coleta e análise de artefatos. Orientadora: Ana Cristina Azevedo Pontes de Carvalho. 2013. Monografia (Aperfeiçoamento/Especialização em Computação Forense) – Universidade Presbiteriana Mackenzie, São Paulo, 2013. Disponível em: https://monografias.brasilescola.uol.com.br/computacao/forense-computacional- tecnicas-para-preservacao- -evidencias-coleta-analise-artefatos.htm. Acesso em: 11 abr. 2020. RIOS, A. Brainstorming para Estudos Forenses. Estudos Forenses – Site de Estudo de Computação Forense, [S. l.], 7 maio 2012. Disponível em: https://4en6br.wordpress. com/2012/05/07/brainstorming-para-estudos-forenses/. Acesso em: 11 abr. 2020. SILVEIRA, W. P. Como se define o local do crime nos crimes plurilocais e nos crimes à distância? Jusbrasil, Salvador, 16 abr. 2018. Disponível em: https://wesl.jusbrasil.com.br/ artigos/566936270/como-se-define-o-local-do-crime- nos-crimes-plurilocais-e-nos- -crimes-a-distancia. Acesso em: 11 abr. 2020. SOUSA, A. G. Etapas do processo de computação forense: uma revisão. Acta de Ciências e Saúde, Taguatinga, v. 5, n. 2, p. 99–111, 2016. Disponível em: http://www2.ls.edu.br/ actacs/index.php/ACTA/article/view/138. Acesso em: 11 abr. 2020. SOUZA JUNIOR, A. F. Segurança Cibernética: Política Brasileira e a Experiência Internacional. Orientador: Rosalvo Ermes Streit. 2013. 120 f. Dissertação (Mestrado em Gestão do Conhecimento e Tecnologia da Informação) – Universidade Católica de Brasília, Brasília, 2013. Disponível em: https://bdtd.ucb.br:8443/jspui/bitstream/123456789/1417/1/ Alcyon%20Ferreira%20de%20Souza%20Junior.pdf. Acesso em: 11 abr. 2020. 46 TOMÁS, E. M. C. Crimes informáticos: legislação brasileira e técnicas de forense computacional aplicadas à essa modalidade de crime. Orientador: Mauro Cesar Sobrinho. 2009. 42 f. Monografia (Especialização em Gestão e segurança em redes de computadores) – Centro Universitário Euro-Americano, Brasília, 2009. Disponível em: https://artigos. etc.br/crimes-informaticos-legislacao-brasileira-e- tecnicas-de-forense-computacional- -aplicadas-a-essa-modalidade-de-crime.html. Acesso em: 11 abr. 2020. KOZCIAK, P. C. Conceitos de forense computacional. SAGAH – Soluções Educacionais Integradas, 2020.
Compartilhar