Prévia do material em texto
FACULDADES SENAC - Sorocaba Ana Cristina Trevenzoli Perícia forense computacional – ataques, identificação da autoria, leis e medidas preventivas Sorocaba 2006 ANA CRISTINA TREVENZOLI Perícia forense computacional – ataques, identificação da autoria, leis e medidas preventivas Trabalho de conclusão de curso, da Faculdade Senac de Sorocaba, como exigência parcial para a obtenção do Diploma de Especialização em Segurança de Redes e Sistemas. Orientador: Prof. Marcelo Lau Sorocaba 2006 Trevenzoli, Ana Cristina Perícia forense computacional – ataques, identificação da autoria, leis e medidas preventivas das ameaças sobre o ambiente operacional – Sorocaba, 2006. 89 f. Trabalho de Conclusão de Curso – Centro Universitário Senac Orientador: Prof. Marcelo Lau 1.Crime digital 2. Forense em computação 3.Vírus CDD. 364.168 Aluna: Ana Cristina Trevenzoli Título: Perícia forense computacional – ataques, identificação da autoria, leis e medidas preventivas. A banca examinadora dos Trabalhos de Conclusão em sessão pública realizada em __/__/____, considerou o(a) candidato(a): 1) Examinador(a) 2) Examinador(a) 3) Presidente Trabalho de conclusão de curso apresentado ao Centro Universitário Senac – Campus Sorocaba, como exigência parcial para obtenção de grau de Especialista em Segurança de Redes e Sistemas. Orientador Prof. Marcelo Lau Dedicatória Dedico este trabalho a Deus, meus pais, meu marido Jorge e a todos os colegas do curso de pós- graduação em Segurança de Redes e Sistemas do Senac pela ajuda, incentivo e apoio durante a sua realização. Agradecimentos Ao Professor e Mestre Marcelo Lau pela orientação, apoio, esclarecimentos e ensinamentos técnicos durante todo o decorrer do trabalho. Aos amigos que contribuíram de alguma maneira para a elaboração do trabalho como a advogada Lídia Adriana Macedo com explicações em assuntos jurídicos. Aos colegas do curso de Pós Graduação em Segurança de Redes e Sistemas do Senac Sorocaba pela ajuda na obtenção de bibliografia para a realização das pesquisas. RESUMO Este trabalho apresenta os procedimentos que são utilizados atualmente ou aplicados em futuro próximo para a realização de uma fraude com objetivo de desvio de dinheiro através do computador do cliente de um banco no momento da realização de uma transação financeira. Este trabalho também mostra como um perito computacional trabalha em busca de provas e evidências que serão utilizadas num processo criminal e quais os requisitos e conhecimentos ele precisa ter para ser capaz de realização deste trabalho. Como a polícia utiliza as provas e pistas encontradas pelos peritos para chegar ao autor do crime, descrevendo as dificuldades encontradas neste processo como a identificação da autoria, enquadramento e julgamento dos fraudadores nas leis existentes e quais são os projetos de leis em trâmite que visam regularizar o delito virtual. Finalizando são mostradas as medidas preventivas realizadas pelas instituições financeiras com o objetivo de diminuir as ocorrências dos crimes e quais são as maiores dificuldades para eliminação desse problema que vem crescendo nos últimos anos. ABSTRACT The main purpose of this study is to present the procedures, currently being used or intended to be applied in the future, used to perform frauds and to which goal is to deviate money through the misuse of a bank customer computer while he is doing his financial transactions with the bank. This research also presents the work of a computer forensics specialist in the search for evidences and probes that are going to be used in a legal process and which requirements and knowledge are needed in order to accomplish his work. How the Police uses the probes and tracks found by the computer forensics specialists to get to the author of the crime, describing the difficulties met in this process such as the identification of the authorship, legal framework and judgment of the people commiting barratry of the existing laws and what are the projects of laws being discussed in order to regularize issues of virtual frauds. At last, writs of prevention done by the financial institutions are presented along with the purpose of diminishing the occurrences of computer crimes and what are the major difficulties in order to solve this crescent problem. SUMÁRIO 1. INTRODUÇÃO.............................................................................................10 1.1 CONCEITOS .......................................................................................................................................... 10 1.1.1 Perícia forense ......................................................................................................................................... 10 1.1.2 Perito computacional ............................................................................................................................... 11 1.1.3 Crime Digital ........................................................................................................................................... 11 1.2 JUSTIFICATIVA............................................................................................................................................ 12 1.3 OBJETIVO DO TRABALHO......................................................................................................................... 12 1.4 METODOLOGIA DA PESQUISA................................................................................................................. 13 1.5 ESTRUTURA DO TRABALHO .................................................................................................................... 13 2. INÍCIO DO ATAQUE: ROUBO DE SENHA E INFORMAÇÕES ..............................................................................................15 2.1. Vírus ............................................................................................................................................................... 15 2.2. Cavalo de tróia................................................................................................................................................ 16 2.3. Worm.............................................................................................................................................................. 17 2.4. Spyware.......................................................................................................................................................... 18 2.5. Keyloggers...................................................................................................................................................... 19 2.6. SCAM............................................................................................................................................................. 19 2.7. Pharming e alteração do arquivo hosts ........................................................................................................... 20 2.8. Phishing.......................................................................................................................................................... 21 2.9 Engenharia Social............................................................................................................................................23 3. MÉTODOS ANTI-FORENSE PARA INIBIÇÃO DO TRABALHO DO PERITO............................................................................26 3.1 Criptografia ..................................................................................................................................................... 26 3.2 Rootkits ........................................................................................................................................................... 27 3.3 Esteganografia ................................................................................................................................................. 28 3.4 Ferramentas wipe para apagar os dados .......................................................................................................... 30 3.5 Fluxo de dados alternativo (ADS) ................................................................................................................... 30 3.6 Slack Space...................................................................................................................................................... 31 3.7 Botnet .............................................................................................................................................................. 32 4. TÉCNICAS, PROCEDIMENTOS E FERRAMENTAS..............34 4.1 Forensic and Incident Response Environment (Fire) ...................................................................................... 39 4.2 Trinux .............................................................................................................................................................. 39 4.3 The Sleuth Kit (TSK) ...................................................................................................................................... 40 4.4 Autopsy Forensic Browser (AFB)................................................................................................................... 40 4.5 Cygwin Tools .................................................................................................................................................. 40 4.6 MS-Diskedit .................................................................................................................................................... 41 4.7 MD5summer.................................................................................................................................................... 41 4.8 Strings.............................................................................................................................................................. 41 4.9 FTK (Forensic Toolkit) ................................................................................................................................... 42 4.10 ImageMASSter Solo-3 .................................................................................................................................. 42 4.11 ENCASE ....................................................................................................................................................... 42 5. COMO IDENTIFICAR A AUTORIA DE CRIMES.......................44 6. LEIS E PROJETOS DE LEIS...............................................................50 7. MEDIDAS DE PREVENÇÃO................................................................66 8. CONSIDERAÇÕES FINAIS..................................................................72 8.1 CONCLUSÃO................................................................................................................................................. 72 8.2 TRABALHOS FUTUROS.............................................................................................................................. 75 REFERÊNCIAS................................................................................................77 10 1. INTRODUÇÃO A falta de softwares1 específicos e procedimentos de segurança da informação em computadores pessoais ou mesmo pertencentes a empresas, ajudam no aumento dos crimes digitais2, pois facilitam a obtenção de senhas, números de contas, cartões e outras informações sigilosas. O fraudador consegue obter informações importantes das pessoas que utilizam computador com acesso a serviços disponíveis na Internet, através de programas como spywares, keyloggers, e técnicas como scams, phishings, todos discutidos melhor no capítulo 2, e outras ferramentas com código malicioso que são instaladas nos computadores das vítimas, que reflete o elo mais fraco numa transação financeira online, onde fazem parte também, a entidade financeira e o meio de transmissão das informações, que geralmente são mais seguros. 1.1 CONCEITOS Para que haja um melhor entendimento sobre os termos utilizados no trabalho, serão descritos alguns conceitos importantes. 1.1.1 Perícia forense O termo perícia forense computacional refere-se aos métodos utilizados por profissionais para, obtenção, preservação, análise, e documentação de provas digitais com o objetivo de reuni-las, para reconstruir o cenário no momento da fraude, utilizando em um processo judicial as evidências encontradas. As provas podem ser as mais diversas possíveis como e-mails, arquivos de registros (conhecidos como logs), arquivos temporários com informações pessoais, conexões abertas3, processos em execução4, e outras evidências que possam existir 1 Softwares é o nome em inglês dado aos programas de computadores, que são os aplicativos que utilizamos no computador como Word, Excel, Outlook. 2 O termo crimes digitais está detalhado no decorrer deste capítulo. 3 Quando um computador se conecta com algum outro através da rede, seja local ou pela Internet, uma conexão é criada tanto na máquina de origem (cliente), quanto na máquina de destino (servidor). Dependendo da aplicação ou serviço ao qual o computador cliente quer se conectar, uma conexão é estabelecida, com uma 11 na máquina, mas para serem aceitas num processo jurídico, devem ter sido obtidas de forma lícita. No entanto, pode haver contestações devido às falhas na argumentação e principalmente porque muitas vezes a vítima ou o criminoso estão em países diferentes envolvendo legislações distintas. A eliminação de fronteiras, conseguida através da Internet traz várias vantagens para as pessoas que fazem utilização da Internet, pois permite a troca de informações com países do mundo inteiro, mas também causa problemas devido a políticas diferentes de cada país. 1.1.2 Perito computacional É o profissional capacitado e preparado para realizar uma perícia sendo que uma das habilidades necessárias para um perito nesta área é possuir conhecimentos sobre o funcionamento do sistema operacional a ser pesquisado. Com base nesse conhecimento, o perito tem maior capacitação para reconstituir o cenário do passado (procedimento utilizado para o perito traçar o caminho feito pelo fraudador e facilitar a compreensão do ocorrido) onde há o suspeito crime digital. 1.1.3 Crime Digital Crime digital refere-se a fraudes ou roubos cometidos utilizando-se de computadores e do meio Internet. O fraudador invade um computador, obtém senhas e/ou outros dados confidenciais e realiza um desvio de dinheiro. Há outros crimes realizados como pedofilia, difamação, roubo de identidade, racismo, tráfico de drogas, que se enquadram no termo crime digital, mas não serão citados neste trabalho. porta de comunicação específica da aplicação desejada. Ao encerrar a comunicação, a conexão é fechada, mas enquanto ela permanece ativa chamamos de “conexão aberta”. 4 Ao executar um programa no computador, écriado um processo do mesmo, ou seja, o programa é carregado na memória e começa sua execução, e por isso ele cria um processo que é carregado para que possa funcionar. Caso o processo continue em execução significa que o programa está em atividade. 12 1.2 JUSTIFICATIVA A engenharia social e a inocência dos usuários trabalham em benefício dos criminosos que conseguem induzir um cliente a acessar uma página falsa do seu banco. Apesar de que nos dias atuais o cavalo de tróia5 é o método mais utilizado para fraudes financeiras (LAU, 2006a, p.87). De posse das informações necessárias um fraudador realiza o ataque desviando dinheiro das contas fraudadas e o perito terá que utilizar pistas e falhas deixadas por esses criminosos para conseguir obter provas e chegar até eles. Muitas empresas e entidades financeiras são ameaçadas por esses fraudadores que estão cada vez mais eficientes devido ao avanço tecnológico e à facilidade de obtenção de informações na Internet com a divulgação de técnicas e softwares para pessoas até sem conhecimentos mínimos de informática consigam praticar esses crimes. A falta da existência de leis específicas para crimes virtuais, e o fato do invasor não estar fisicamente no local do crime, gera a sensação de anonimato, tornando os crimes virtuais cada vez mais comuns e elaborados. 1.3 OBJETIVO DO TRABALHO O objetivo deste trabalho é apresentar se houve evolução nos métodos utilizados pelos fraudadores para a realização de uma fraude visando o desvio de dinheiro através da Internet, propondo também identificar se as técnicas para eliminação de provas são eficazes e podem resultar no sucesso do fraudador. Deverá apresentar as qualidades necessárias de um perito para a realização do trabalho investigativo e o que pode ser esperado no futuro em relação à ética desse profissional com o aumento de seu conhecimento técnico. É necessário esclarecer se a identificação da autoria dos crimes é possível ou se o anonimato é garantido. Em casos de sucesso na identificação do autor do crime como estão as leis atuais para julgamento e projetos de leis existentes. 13 Apontar os investimentos em segurança da informação sendo realizados pelos bancos, medidas tomadas com o objetivo de diminuição das fraudes, verificando se as campanhas realizadas, com a finalidade de conscientização dos clientes, estão surtindo efeito, e a maneira como as instituições financeiras agem em relação às perdas de dinheiro e o ressarcimento dos clientes é um outro ponto abordado no trabalho. Além disso, o objetivo é mostrar as medidas preventivas que poderiam ser tomadas com a intenção de resolver ou pelo menos diminuir o problema e qual seria a solução efetiva (se existir) provida pelas instituições financeiras em conjunto com o cliente para eliminação das fraudes virtuais. 1.4 METODOLOGIA DA PESQUISA Este trabalho está baseado em informações disponibilizadas por profissionais da área de segurança da informação e jurídica, sites6 com informações dessa natureza e casos ocorridos que por ventura foram divulgados, bem como experiências de diversos outros profissionais que possam ter envolvimento no trabalho de perícia forense computacional. 1.5 ESTRUTURA DO TRABALHO Os vários tipos de códigos maliciosos utilizados pelos fraudadores e a maneira como a engenharia social contribui para a realização de uma fraude são identificados no capítulo dois. Ao ser realizada uma fraude, na tentativa de eliminação das evidências e garantia da permanência e acesso do fraudador ao computador já invadido, assim como, técnicas conhecidas como anti-forense, discutidas no capítulo três. Diante da ocorrência e denúncia de uma fraude, cometida através dos códigos maliciosos ou engenharia social, o passo seguinte em uma perícia forense computacional é a tentativa de detecção da fraude, no qual estão detalhadas no 5 Termo detalhado e explicado no decorrer do trabalho 6 Site é o termo em inglês utilizado para referenciar uma página ou conjunto de páginas na Internet 14 capítulo quatro algumas técnicas, procedimentos e ferramentas utilizadas pelos peritos para a realização do trabalho em busca das evidências. Ao serem encontradas as possíveis provas e evidências da fraude cometida, os passos e procedimentos realizados em busca da identificação da autoria estão detalhados no capítulo cinco. Caso o fraudador seja localizado e responda por processo criminal será necessário o uso de leis atuais para o julgamento, que estão discutidas no capítulo seis, juntamente com os projetos de leis para crimes virtuais. Com a intenção de prevenir os crimes financeiros realizados a partir da Internet, são discutidas no capítulo sete as medidas preventivas adotadas para minimização das ocorrências dessas fraudes. E, no último capítulo está a conclusão do trabalho e recomendações de trabalhos futuros. 15 2. INÍCIO DO ATAQUE: ROUBO DE SENHA E INFORMAÇÕES O fraudador consegue, além do uso de engenharia social, descrito melhor no item 2.9 deste capítulo, obter informações importantes de contas, números de cartões, senhas das pessoas através de programas como vírus, spyware, keylogger, scam, phishing e outras ferramentas com código malicioso. De posse das informações necessárias ele realiza o ataque desviando dinheiro da conta corrente da vítima. Abaixo seguem exemplos de alguns códigos maliciosos utilizados pelos fraudadores para obtenção das informações sigilosas em ordem cronológica de surgimento: 2.1. Vírus É o primeiro código malicioso criado, em 1986 (HSBC, 2004, p.01) e trata-se de um programa de computador projetado para causar algum dano ao computador realizando alterações sem permissão. Cada vírus tem uma característica principal que pode ser: a coleta de informações, destruição de dados, alteração do código de algum programa de computador, fazendo-o se comportar de maneira diferente, ou o auto envio por e-mail para todos os endereços encontrados na máquina, geralmente forjando o nome do remetente para dificultar ainda mais a detecção do computador realmente infectado. Essa última característica é a predominante nos vírus atuais. Quando uma mensagem infectada com um vírus, é recebida por um servidor de e-mails, que possui algum antivírus, uma mensagem é enviada com um alerta de vírus para o remetente. No entanto, como o remetente foi forjado, a pessoa que recebe esse alerta não foi quem realmente enviou o vírus. Com isso, esta passa a ter uma preocupação grande por pensar que seu computador está infectado e com isso irá procurar atualizar ou instalar um antivírus, procurar por vestígios de infecção, etc, gerando assim perda de tempo e produtividade. 16 Os computadores infectados por vírus possuem, na grande maioria, o sistema operacional Windows, da Microsoft, por ser o mais usado atualmente pela população e por possuir maior número de vulnerabilidades expostas e divulgadas com freqüência. Há vírus para outras plataformas como Macintosh7 e baseados em Linux8 mas além de raros, possuem limitações nos estragos causados. Os métodos de infecção por vírus são vários, desde disquetes, rede local9, programas de compartilhamento de arquivos, execução de programas contaminados, recebidos através de e-mails, entre outros. O vírus muitas vezes coloca uma falsa extensão no arquivo10 para esconder a verdadeira extensão e fazer com que o destinatário pense que se trata de um arquivo inofensivo, encorajando-o a abri-lo. Outro motivo que leva o destinatário a executar o arquivo é a confiança de que realmente foi recebido de uma pessoa conhecida, pois o nome dessa pessoa pode constar no campo de remetente,e muitas vezes também porque o conteúdo do assunto coincide com o que é habitualmente tratado com o destinatário. Os vírus estão mais inteligentes e com isso além de forjarem o remetente, ainda retiram trechos de textos de e-mails já enviados ou recebidos e que podem coincidir com algum assunto já tratado entre o destinatário e o remetente, fazendo com que a mensagem pareça legítima e vinda da pessoa de nome forjado. No entanto não é só por e-mail que um vírus pode aparecer. Algumas falhas de segurança dos sistemas operacionais ou de outros programas instalados na máquina podem permitir que determinados vírus entrem na máquina sem que o usuário possa resolver executar ou não o arquivo contaminado. 2.2. Cavalo de tróia Logo após a criação dos vírus, no mesmo ano, em 1986 (HSBC, 2004, p.01) surgiu o cavalo de tróia. Esse nome foi herdado da lenda, que gerou a expressão “presente de grego”, na qual os soldados gregos haviam presenteado os troianos 7 Computador pessoal desenvolvido pelo fabricante Apple cujo sistema operacional é diferente do Windows, da Microsoft e de sistemas baseados em Linux. 8 Sistema operacional com características do Unix. É gratuito e de domínio público, ao contrário do Windows e Macintosh. 9 É uma rede (interligação de computadores) geralmente limitada a um prédio ou instituição. 10 São as três letras subseqüentes ao ponto que identificam o tipo de arquivo e o software que pode interagir com o mesmo. 17 com um enorme cavalo de madeira que simbolizava a desistência dos mesmos da guerra. Dentro deste cavalo havia soldados gregos que saíram de dentro dele à noite para abrir as portas da cidade de Tróia para entrada de muitos outros soldados para o ataque. Os programas denominados cavalos de tróia, assim como os spywares, também são mal intencionados e têm por objetivo obter informações sigilosas (senhas, números de cartões e contas, certificados digitais, etc) enviando-as para o fraudador. Uma vez ativo, ele monitora a navegação do internauta e mostra uma falsa tela quando este último acessa as páginas seguras de bancos. Dependendo de outras características, essa praga pode permitir que o computador seja acessado remotamente pelo atacante. Além disso, pode possuir outras funções como capturar dados, parar a execução do antivírus e de outros programas relacionados à segurança, apagar arquivos ou modificá-los, atacar outros servidores, entre outras. Como se não bastasse ele ainda possibilita a abertura de portas de comunicação do computador para que outras pessoas possam invadi-lo ou ainda enviar vírus e outros programas mal intencionados. Com isso, a máquina se torna uma presa fácil para hackers11 invadirem e realizarem outros estragos que desejarem tais como, formatá-la, apagar seus arquivos de dados, etc. A infecção por um cavalo de tróia é possível através da instalação de outros programas considerados inofensivos como, por exemplo, jogos, utilitários, programas de computador gratuitos ou, na maior parte das vezes, através de scam (e-mails falsos que fingem ter como remetentes bancos, receita federal, serasa, etc) (BRADESCO, p.03). Aliás, esse método de infecção através de scam12 é usado exclusivamente pelo cavalo de tróia, o que o diferencia dos spywares que não utilizam esse método. 2.3. Worm 11 Nome dado a pessoas que possuem um bom conhecimento de informática, mas os utilizam para fins ilícitos. 12 São e-mails fraudulentos imitando comunicados de bancos, lojas virtuais e outros no qual induz a pessoa a entrar em sites falsos que contém arquivos suspeitos que infectam a máquina. 18 Worm, que significa “verme” em inglês, trata-se de um vírus “inteligente”, diferenciando-o dos tipos mais comuns, e foi criado em 1988 (HSBC, 2004, p.01). Essa inteligência está relacionada à maneira com que ele é disseminado. A rapidez com que contamina outras máquinas é mais eficiente sendo feita de várias maneiras, mas principalmente com envio de e-mails para todos os endereços armazenados localmente, podendo até usar um SMTP13 próprio e através da rede local utilizando-se de pastas compartilhadas. Podem ainda se espalhar com auxílio de outros programas que possuem alguma facilidade, por abrirem algumas portas de comunicação, como programas para download14 e upload15 de arquivos como o Kazaa ou canais de bate-papo como IRC. 2.4. Spyware Um spyware, com surgimento no ano de 2002 (Kaspersky, 2005, P.01), e aprimorado com o passar do tempo, é um software que rouba informações confidenciais (senhas de cartões e de banco, por exemplo) e pessoais, enviando para uma outra pessoa através da Internet, provavelmente o editor do spyware, sem que o dono do computador e das informações tome conhecimento. Ele pode também colher informações sobre hábitos na Internet, como sites mais acessados, preferência de compras, estilo musical, etc. Pode-se considerar que o spyware é um software de dupla funcionalidade porque ele se instala a partir de outro aplicativo, ou seja, o usuário faz download na Internet de algum programa de computador gratuito interessante, por exemplo, para download de músicas, um utilitário, um jogo, etc e junto com o software vem um spyware. Ao instalar um desses programas vindos da Internet, além das funções desejadas do programa em questão, são instaladas funções de espionagem que são realizadas pelo spyware. 13 SMTP – Simple Mail Transfer Protocol. Protocolo padrão utilizado para entrega de e-mails. 14 Copiar arquivos de um computador remoto para um local. 15 Transferir um arquivo do computador local para um outro remoto, através da Internet. 19 Estas ameaças também podem ser instaladas através de programas solicitados enquanto se faz uma navegação na Internet, como por exemplo, plug-in16 ou alguma correção ou recurso do browser17 para permitir corretamente a navegação de um determinado site, ou ainda através da instalação automática de alguns programas que são iniciados ao entrar em determinado site. Os browsers costumam solicitar confirmação para essas instalações, mas caso o sistema operacional esteja sem atualizações recentes de segurança ou estiverem em versões muito antigas, o computador pode não solicitar essa permissão. Outra fonte de infecção ocorre quando a máquina já está infectada por algum vírus, worm, ou cavalo de tróia. Esses códigos maliciosos podem deixar a máquina com brechas de segurança através de portas de comunicação abertas para invasões. 2.5. Keyloggers São aplicativos, como um cavalo de tróia, que tem como objetivo roubar senhas digitadas no teclado, pois possuem recursos para detectar qual tecla o usuário pressionou na hora da digitação da senha para algum acesso confidencial ou sigiloso. Ele mapeia a posição das teclas de uma maneira que possibilite saber exatamente o que foi digitado, e essas informações são enviadas para o atacante. Seu uso em técnicas de cavalo de tróia para furto de informações bancárias foi identificado em 2002 e tem sido aprimorado desde então, “permitindo associação da identificação de tela da aplicação com o dado capturado”, segundo LAU (2004, p.11). 2.6. SCAM 16 Utilitários adicionais que devem ser instalados para visualização de recursos implementados no site visitado. 17 Paginador ou navegador é um programa utilizado para visualizar as páginas na Internet. Exemplo de browser: Internet explorer, netscape. 20 É o método atual mais utilizado para fraudes em Internet Banking no Brasil (LAU; SANCHEZ, 2006, p.03). São e-mails indesejáveis, assim como o spam18, no entanto não chegam apenas com a intenção de vender algum produto, e sim carregam com eles arquivos com cavalos de tróiana tentativa de roubar senhas ou outras informações sigilosas e confidenciais. Inicialmente, criados em 2002, traziam texto forjando ser de uma instituição financeira, e assim, induzindo e tentando convencer a vítima ao acesso, contando com a credibilidade da instituição. Posteriormente passaram a não utilizar somente nomes de instituições financeiras e sim várias outras entidades que poderiam levar a vítima a acessar o site apostando na curiosidade ou preocupação, dependendo do argumento utilizado (LAU, 2004, p.11). O golpe busca atingir a vítima, através da instalação acidental de um programa existente no link19 forjado. A partir da instalação deste agente, os dados são coletados no computador infectado por meio de digitação ou ações realizadas a partir do mouse. Estes programas também são conhecidos como cavalos de tróia. O processo de captura de credenciais pode ser imperceptível a vitima, ou se apresentar na forma de uma tela sobreposta sobre os aplicativos do computador, induzindo a vítima a colaborar voluntariamente com o fornecimento de dados pessoais. “Em geral, os dados capturados são enviados ao fraudador por meio de protocolos de transferência de arquivos (ftp - file transfer protocol), ou protocolos de envio de mensagens (smtp – simple mail transfer protocol)”, segundo Lau e Sanchez (2006, p.02). 2.7. Pharming e alteração do arquivo hosts Surgiram em 2002 e 2003 (LAU; SANCHEZ, 2006, p.04) cavalos de tróia que realizavam alterações no arquivo hosts (arquivo do sistema operacional Windows, verificado inicialmente quando um acesso à rede externa for solicitado) direcionando 18 Spam são mensagens indesejadas, em sua maioria com propagandas de produtos, que chegam às caixas de correio das pessoas sem que elas tenham solicitado ou autorizado esse recebimento. 19 Link é o endereço para um site na Internet no qual basta clicar para que o site vinculado ao link seja aberto. 21 a vítima para um site forjado, ou seja, o acesso não é feito ao site idôneo e sim a um outro definido pelo atacante. A vítima acessa um site forjado, mas ao contrário do phishing (explicado no próximo item, no qual o fraudador precisa convencer a vítima a acessar o site contido no e-mail), no pharming (nome criado apenas em 2005 (LAU; SANCHEZ, 2006, p.04)) a alteração é feita no serviço DNS, que é utilizado pelo sistema operacional para saber o endereço IP20 do servidor do site requisitado. Como o serviço DNS contém informações errôneas referentes ao site procurado pelo sistema operacional, ele carregará as informações da página forjada, na qual o fraudador possui, controle total, e meios para roubar as informações da vítima como senha, número da conta, número de cartão de crédito ou outras confidenciais. 2.8. Phishing Uma das fraudes mais recentes e atualmente a mais utilizada no exterior para fraudes (LAU; SANCHEZ, 2006, p.04), criada em 2003 (LAU, 2004, p.11), é o phishing. São e-mails que chegam à caixa de entrada do destinatário e contém convites para acesso a páginas falsas. Essas páginas são muito bem elaboradas, a ponto de realmente serem confundidas com a página oficial que está sendo forjada, seja do banco, da receita federal, de revistas, jornais ou de alguma loja virtual. No entanto, assim que o destinatário digita suas informações pessoais ou sigilosas, como senhas, números de cartões de crédito, nesse site falso, o remetente da mensagem ou fraudador captura todas essas informações, para serem utilizadas em fraudes, roubos, desvios de dinheiro, etc. 20 O endereço IP é composto por um conjunto de quatro octetos com o formato xxx.yyy.zzz.www. Os valores variam de 0 a 255, formando um endereço único que permitirá ao usuário enviar e receber pacotes de dados pela rede mundial, identificando o remetente e destinatário dos mesmos. COSTA, Marcelo A. Sampaio Lemos. Mundo Virtual sem Lei, 04/02/2004. Instituto de Criminalística Afrânio Peixoto (ICAP). Departamento de Polícia Técnica da Bahia. Disponível em: <http://www.dpt.ba.gov.br/dpt/web/ICAPInterna.jsp?CId=1282&ModId=70> Acessado em 27/09/2006 22 Muitas pessoas podem ser enganadas com esses e-mails, pois além de parecerem realmente idôneos, as pessoas não se atentam muito aos detalhes e muitas vezes, distraídas, pensam tratar-se de um e-mail legítimo. O site que o usuário acessa, a partir do e-mail de phishing pode muitas vezes possuir o cadeado indicando segurança no canto inferior direito, o que leva a vítima a acreditar que realmente está realizando uma conexão segura. “Os dados capturados são enviados ao fraudador por meio dos protocolos de hipertexto (http – hyper text transfer protocol)”, segundo Lau e Sanchez (2006, p.03). Analisando os códigos maliciosos apresentados, é nítida a evolução ocorrida ao longo do tempo, desde os vírus que chegavam as caixas de correios com nomes estranhos e, portanto de fácil detecção para as pessoas com um pouco mais de conhecimento na área de informática, e hoje os phishings e scams se tornaram um método mais eficaz, pois confundem e enganam até profissionais da área, pois buscam assuntos atuais e de interesse da vítima. Até mesmo os cavalos de tróia acabam sendo eficazes, pois devido a uma grande oferta de programas interessantes freeware21 na Internet, cada vez mais as pessoas buscam por essas facilidades e novidades na Internet, como jogos, programas peer-to-peer22 para aquisição de músicas, ferramentas diversas para melhorar performance das máquinas, e outros programas que parecem tentadores e por isso são instalados nas máquinas e trazendo, muitas vezes os códigos maliciosos que fazem os estragos já citados. Os criminosos virtuais estão se especializando cada vez mais e criando códigos de programas mais fáceis de serem infiltrados nas máquinas das vítimas, resultando em cada vez mais sucesso nas tentativas de invasão. O que é preciso acontecer em contrapartida, são os usuários de informática buscarem mais conhecimentos sobre esse mundo digital para conseguirem se defender melhor. 21 Freeware é um tipo de licença de software que permite que o usuário possa instalar em quantas máquinas desejar, não precisa pagar pela licença de uso, mas não pode alterar o código do programa, a não ser que além de freeware o programa também seja open source (código aberto). 22 Peer-to-peer é a tecnologia utilizada por programas como kazaa e Emule para a troca de arquivos de multimídia entre as pessoas. Nesta tecnologia toda máquina é ao mesmo tempo cliente e servidor. Isso significa que a sua máquina estará comas portas de comunicação abertas para que outras pessoas possam se conectar e fazer o download de um arquivo. Com essa brecha de segurança a máquina fica mais vulnerável a um ataque. 23 2.9 Engenharia Social A curiosidade é o que leva a vítima a acessar, na maioria das vezes, um site contido dentro de um scam. Os fraudadores no Brasil procuram conteúdos atuais, apelativos, como sexo ou nudez, preocupantes como nome no Serasa23 ou débito em lojas para que a vítima não questione se o conteúdo é muito estranho e não hesite em abrir. Engenharia social, segundo Cert.br (2005a, p.08) é: “O termo utilizado para descrever um método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações”. O sucesso da engenharia social na área de informática se dá também pelo fato de que muitas pessoas que hoje tem acesso a computadores e Internet, ainda não têm conhecimentos mínimos sobre segurança no meio digital e não tem a consciência de que é um meio altamente inseguro. Pensa-se muito na falta de segurançapara utilizar um caixa eletrônico do banco, por ser um acesso físico, mas ainda não possuem conhecimento adequado para saber o real perigo de acesso confidencial em máquinas inseguras. Decorrente disso, essas pessoas nem sempre estão tão protegidas contra golpes virtuais quanto golpes reais e por isso não acreditam que uma mensagem aparentemente inocente possa causar tanto mal. A engenharia social conta com a curiosidade das pessoas, como disse MITNIK em seu livro: “One method used by attackers to install malicious code is to place programs onto a floppy or CD-ROM and label it with something very enticing (for example, “Personnel Payroll Data – Confidential”). They then drop several copies in areas used by employees. If a single copy is inserted into a computer and the files on it opened, the attacker´s malicious code is executed. This may create a backdoor24, which is used to compromise the system, or may cause other damage to the network” (2002; p.523). 23 Uma das maiores empresas do mundo em análises e informações para decisões de crédito e apoio a negócios. 24 Backdoor tem como tradução exata “porta dos fundos” é uma brecha que pode ter em um sistema operacional que consiste na abertura de portas de comunicação que, por segurança deveriam estar fechadas, e que podem ser exploradas por um invasor devido à facilidade de penetração no sistema por estarem abertas. 24 A curiosidade das pessoas em tomar conhecimento de dados alheios e principalmente confidenciais, faz com que elas não parem para analisar que esse disquete ou cd-rom, conforme citou Mitnik, pode conter códigos maliciosos e se tratar de um golpe, pois estão ansiosas para abri-lo logo e verificar todas as informações que lhe interessam. Como se não bastasse o aproveitamento da falta de conhecimento dos usuários, os fraudadores que se utilizam desse método, ainda contam com funcionários descontentes, invejosos, ambiciosos que acabam passando informações importantes para os bandidos em troca de dinheiro, vingança ou até mesmo de conseguir melhor cargo prejudicando o colega de trabalho. Em outros casos, esses funcionários podem passar informações em troca de algum agrado e também porque julgam que não se trata de uma informação sigilosa, que pode causar algum problema, subestimando o poder de fraudadores em utilizar uma simples informação para um grande golpe, na junção de várias informações de fontes diferentes. Além desses códigos maliciosos, e outros que podem vir a surgir, ainda existem programas para entretenimento e bate-papo como ICQ e MSN, de download de músicas, filmes, clipes como Kazaa e E-mule, que tornam as máquinas mais vulneráveis a ataques. Segundo Cert.br os programas como Kazaa e E-mule oferecem vários riscos à segurança, dentre eles: “Acesso não autorizado: o programa de distribuição de arquivos pode permitir o acesso não autorizado ao seu computador, caso esteja mal configurado ou possua alguma vulnerabilidade. Softwares ou arquivos maliciosos: os softwares ou arquivos distribuídos podem ter finalidades maliciosas. Podem, por exemplo, conter vírus, ser um bot25ou cavalo de tróia, ou instalar backdoors em um computador” (2005c, p.13). Softwares de bate-papo também oferecem riscos de acordo com o Cert.br: “Programas, tais como ICQ, AOL Instant Messenger, Yahoo! Messenger e MSN Messenger, por se comunicarem constantemente com um servidor (senão não teriam como saber quem está no ar), ficam mais expostos e sujeitos a ataques, caso possuam alguma vulnerabilidade” (2005c, p.11). 25 Termo explicado com mais detalhes no decorrer do trabalho. 25 Acesso a sites de relacionamento como orkut também podem acarretar um risco de segurança, pois é uma fonte de disseminação de vírus, devido ao fato de um link estar disponibilizado com textos que inspiram a curiosidade e parecer ter sido colocado por um amigo pode ser aparentemente inofensivo, conforme Lau: “Eles colocam mensagens na página de recados da pessoa (scraps) pedindo que acesse determinado endereço, mas caso ela faça isso, poderá instalar um trojan na própria máquina” (2006b, p.02). Muitos desses códigos maliciosos e técnicas para invasão em um computador podem deixar rastros e pistas importantes para os peritos iniciarem uma investigação. Na tentativa de ocultar ou até mesmo apagar essas pistas, o fraudador utiliza técnicas e ferramentas capazes de inibir o trabalho do perito. Além do objetivo de despistar o perito, o fraudador se utiliza desses métodos para garantir a sua presença novamente no computador invadido sem que ele necessite novamente realizar todos os passos executados para a primeira invasão. Mais detalhes sobre esse assunto está sendo exibido no próximo capítulo. 26 3. MÉTODOS ANTI-FORENSE PARA INIBIÇÃO DO TRABALHO DO PERITO Existem atualmente ferramentas e técnicas que podem ser utilizadas pelos fraudadores mais experientes para inibir o trabalho do perito ou até mesmo destruir por completo as possíveis provas. São conhecidos como métodos anti-forense e estão melhores discutidos no decorrer deste capítulo (WENDEL, p.02). Atualmente a técnica anti-forense que já foi encontrada sendo utilizada pelos fraudadores é a criptografia. As demais, citadas neste capítulo, ainda não foram utilizadas pelos fraudadores, mas podem ser métodos fortemente adquiridos para uso num futuro próximo, pois assim como as técnicas para aumento de segurança estão sofrendo avanços, os fraudadores também têm que buscar inovações. Além disso, talvez hoje os fraudadores não precisem de muita técnica para despistar o perito, pois as dificuldades para descoberta da autoria do crime, devido à falta de arquivos de registros pelos provedores e de leis específicas ainda trazem certo conforto e um sentimento de impunidade26. 3.1 Criptografia É um método utilizado para dificultar o acesso do perito a arquivos de registros do sistema, pois torna o arquivo ilegível caso o perito não consiga decriptá- lo. Muitas vezes o fraudador pode precisar manter um arquivo executável ou algum de outro tipo para facilitar a sua entrada novamente, mas para não deixar suspeitas ele precisa manter em sigilo o conteúdo desse arquivo para que o administrador da máquina não descubra que houve um ataque. Mesmo que seja interceptada uma mensagem enviada do computador da vítima para o fraudador, será muito difícil de ser decifrada então não é possível um perito utilizar essa informação como prova, pois o conteúdo é desconhecido, dificultando o seu trabalho. Para entender melhor sobre isso, segue uma breve explicação de como funciona um processo de criptografia e decifragem. 26 Problemas para identificação de autoria e legislação vigente estão discutidos nos próximos capítulos. 27 A criptografia consiste na substituição do texto claro (legível) por outros caracteres que tornam impossível a leitura, pois se trata de um “embaralhamento” que é determinado pelo algoritmo de criptografia utilizado e por uma chave que pode ser convencional ou pública. Uma criptografia de chave convencional se baseia no uso da mesma chave para criptografar e decifrar. Para que o destinatário possa decifrar a mensagem, ele necessita conhecer a chave utilizada pelo remetente. Uma das dificuldades encontradas nesse tipo de criptografia é estabelecer um canal seguro para troca da chave entre os parceiros. Esse problema já não é encontrado em uma criptografia de chave pública, pois neste método, o remetente possui um par de chaves, denominadas: pública e privada e o destinatário também possui duas chaves. Trata-sede um par de chaves onde apenas a chave privada desse par consegue decifrar uma mensagem cifrada pela chave pública desse mesmo par. Para que o remetente envie uma mensagem cifrada para o destinatário, ele utiliza-se da chave pública do destino e, ao chegar, o mesmo decifra a mensagem utilizando a sua chave privada. Neste método para que a mensagem cifrada seja vista e compreendida por um atacante ou fraudador, ele terá que ter conhecimento da chave privada do destinatário da mensagem. O objetivo deste trabalho não é detalhar o uso e funcionamento das técnicas de criptografia, pois se trata de um tema amplo e não se aplica no contexto. Apenas se fez necessário uma breve descrição para que seja entendido o motivo da garantia de sigilo em informações cifradas. 3.2 Rootkits Após a intrusão em um sistema, o fraudador pode utilizar técnicas, programas e ferramentas capazes de esconder os vestígios do ataque ou apagar esses rastros para que o ataque não tenha evidências e possa manter o fraudador invisível no sistema atacado. O conjunto dessas ferramentas, conhecido como rootkits tem essa funcionalidade e pode ajudar o fraudador a apagar as pistas e também a criar condições para que ele possa atacar novamente o sistema em questão através de 28 facilidades que essas ferramentas proporcionam, instalando backdoors, por exemplo. Elas são capazes de ocultar processos maliciosos em execução, conexões estabelecidas, placas de rede em modo promíscuo27, arquivos de registros do sistema, e até de alterar o funcionamento padrão de executáveis no sistema operacional, scripts de inicialização, fazendo com que, ao utilizar um determinado arquivo executável, o usuário ou administrador da rede possa enviar informações ou abrir portas de comunicação para os fraudadores, dependendo de qual alteração o fraudador configurou no executável padrão do sistema (BERNARDO; 2006; p. 58). Com o uso de rootkits, o executável padrão no sistema operacional pode ser substituído por outros que realizam a tarefa esperada, mas não é confiável, por exemplo, se o comando DIR28 foi substituído, quando o dono do computador executa esse comando pode ser listado tudo menos algum arquivo que identifique ser um cavalo de tróia, ou ao executar um netstat29 são mostradas apenas as conexões que não identifiquem um backdoor. Esse conjunto de ferramentas pode auxiliar o fraudador a manter acesso ao sistema invadido sem necessitar executar os mesmos passos para o primeiro ataque, ou seja, após ter conseguido o ataque, essas ferramentas deixarão o sistema com portas de comunicação abertas ou com configuração previamente facilitada, permitindo ao fraudador ter acesso novamente, sem maiores dificuldades que possam ter sido encontradas no primeiro ataque. 3.3 Esteganografia É a arte de esconder informações em arquivos de multimídia30 utilizando os últimos bits menos significativos do arquivo, pois mesmo alterados não são 27 Uma placa de rede configurada em modo promíscuo permite a captura de todos os dados trafegados na rede. Caso haja um software de sniffer (que captura todos os dados na rede e armazena para análise) nessa máquina, até mesmo senhas trafegadas na rede local podem ser capturadas. 28 Dir é o comando utilizado no sistema operacional Windows que lista os arquivos existentes dentro da pasta especificada junto com o comando. 29 É o comando no sistema operacional que mostra o mapa de conexões, ou seja, todas as conexões existentes na máquina e seu status. 30 O termo multimídia é utilizado para mencionar arquivos de som, imagem, fotografia e vídeo, pois utilizam mais de um sentido do ser humano como audição e visão. 29 percebidos pelos seres humanos, pois as alterações em arquivos áudio, imagem e vídeo, são insignificantes prejudicando muito sensivelmente a qualidade. “Esteganografia é uma palavra de origem grega, onde Stegano significa escondido ou secreto e Grafia: escrita ou desenho”, conforme Coelho e Bento (2004; p.15). Com essa ferramenta um fraudador pode esconder arquivos textos, senhas, códigos binários31 ou qualquer outra informação em arquivos que já existem no sistema, como arquivos de som do Windows e apenas quem está destinado a receber este arquivo consegue decifrar, pois aos olhos de outras pessoas provavelmente não será detectado. Ele pode também fazer uso da esteganografia no caso de fraude utilizando imagens do próprio Windows, como proteção de tela que são arquivos do tipo bitmap (bmp), como imagens de florestas, rios, paisagens, etc, alterando-os com o objetivo de inclusão de dados esteganografados como informações de número de cartão de crédito, senha e outras, e o sistema em algum momento poderia enviar esse arquivo para o fraudador. Com isso dificultaria a detecção de um possível ataque e roubo de informações, pois essas imagens já estão gravadas no sistema operacional e são, aparentemente inofensivas. Esta pode ser uma utilização com objetivos maliciosos da esteganografia, mas é uma técnica que também pode ser utilizada para fins lícitos, como o uso de marcas d´água nos arquivos multimídia. O uso disso tem como objetivo a identificação do dono dos direitos autorais do arquivo em questão devido à facilidade atual de envio de arquivos pela Internet, muitas vezes as informações referentes à criação do arquivo são perdidas. Não é de objetivo deste trabalho se aprofundar em técnicas de esteganografia, portanto foi apenas citado para que o leitor conheça mais uma das opções que podem ser utilizadas por fraudadores para troca de mensagens e de informações de maneira sigilosa e escondida. 31 Códigos binários é um sistema utilizado por apenas dois números, o zero e o um. O termo binário é muito utilizado por profissionais de informática para fazer referência a programas executáveis (que executam ou realizam alguma tarefa). 30 3.4 Ferramentas wipe para apagar os dados A tradução para a palavra wipe em dicionários seria de: apagar, limpar e, no contexto da informática o termo é utilizado para definir ferramentas que tem o objetivo de apagar um arquivo efetivamente de um disco rígido, pois não basta apenas executar um comando delete32 no sistema operacional ou limpar a lixeira do Windows para ter um arquivo apagado definitivamente. Ao se executar um comando para apagar um arquivo, o sistema operacional apenas marca o bloco ou setor do disco como disponível para gravação de outros dados e não apaga fisicamente os dados referentes àquela informação no disco rígido. As ferramentas wipe se destinam a escrever várias vezes sobrescrevendo a informação que se deseja apagar completamente. Cada ferramenta possui sua rotina, mas o objetivo é sobrescrever diversas vezes até que seja praticamente impossível de recuperação. Não é possível garantir que não haja alguma maneira de recuperação, pois há também ferramentas destinadas a esse propósito, mas certamente vai garantir um trabalho maior e ferramentas mais poderosas para conseguir uma recuperação aceitável dessas informações. Dependendo de vários fatores como data de exclusão, tamanho do arquivo, ferramenta wipe utilizada e outros, pode ser possível recuperar apenas partes do arquivo que podem não ser suficiente para um entendimento legível. Há ferramentas gratuitas de wipe e de recuperação de arquivos disponíveis para download na Internet33. 3.5 Fluxo de dados alternativo (ADS) Em sistemas operacionais que utilizam o sistema de arquivos NTFS, há uma parte que o compõe chamado de “Alternate Data Streams” que se trata de informações ocultas que não são listadas com o comando dir do Windows. 32 O comando delete, palavra herdada do inglês, é o mesmo que apagar, sendo utilizado para exclusão deinformações no computador. 33 Uma delas, freeware de nome Dariks Boot pode ser encontrada em http://dban.sourceforge.net e outra de nome Active Kill Disk também freeware pode ser encontrada em http://www.killdisk.com. 31 Explicando em detalhes, tomamos por base um arquivo comum, que possui vários atributos, sendo um deles chamado de DATA, que é um apontamento para os dados do arquivo ou informações de segurança, sendo possível estar apontando para um ou mais arquivos. Esses arquivos adicionais são chamados de fluxo de dados alternados e ficam ocultos. (MARES; p.01). Esses arquivos não serão exibidos no Windows Explorer e, em decorrência disso, o conteúdo deles não será mostrado. Devido ao tamanho ser provavelmente insignificante, não haverá suspeita da existência deles devido ao espaço em disco sendo utilizado misteriosamente (MARES; p.01). Para criar um arquivo ADS basta utilizar o bloco de notas com o seguinte comando: C:>notepad test.txt:alternate.txt. Com isso o arquivo principal será o test.txt o e ADS será o alternate.txt. É possível, posteriormente alterar o conteúdo do alternate.txt com o comando: C:>notepad test.txt:alternate.txt. (MARES; p.02). Com este exemplo foi possível imaginar o uso que um fraudador pode fazer deste atributo do sistema de arquivos NTFS. Ele pode gerar um arquivo de senha ou qualquer outra informação, como um programa malicioso e esconder no sistema de arquivos com o uso do ADS para que nem o Windows Explorer possa encontrar. O fraudador pode anexar arquivos binários a outros comuns existentes no sistema, e que por isso, parecem inofensivos, com o comando: C:>type binary.file >> test.txt:binary.ADS (MARES; p.02). 3.6 Slack Space Outro método que poderá ser utilizado pelos fraudadores para ocultar informações importantes para ele, é através de slack space. Segundo OLIVEIRA (2002b; p.89-90), “Os sistemas operacionais da Microsoft armazenam seus arquivos em disco utilizando blocos de dados de tamanho fixo chamados clusters, contudo, os arquivos em um disco podem ter os mais variados tamanhos, dependendo do seu conteúdo. Desta forma, raramente o tamanho de um arquivo é múltiplo do tamanho de um cluster, o que impede o armazenamento ideal. Sendo assim, é comum que o último cluster associado a um arquivo não seja 32 totalmente utilizado por ele, permitindo que dados excluídos deste e de antigos arquivos possam ser capturados e analisados”. Para acesso a arquivos gravados nesses espaços com a intenção de sigilo e ocultação, é necessário o uso de ferramentas específicas com acesso ao disco em baixo nível. Essa técnica atrapalha a ação do perito, pois é sempre mais um obstáculo, e mais um lugar necessário para procura de evidências, mas também existem ferramentas com o objetivo de eliminar esse problema (OLIVEIRA, 2002b, p.90). 3.7 Botnet O termo botnet vem da junção de duas palavras em inglês, Robot e Network, que expressam neste termo uma rede de robôs, na qual o atacante controla todas as máquinas infectadas por esse código malicioso tornando-as zumbis para realizarem um ataque juntas a um mesmo alvo. O computador é infectado através de vulnerabilidades no sistema operacional ou em falhas em programas instalados e mal configurados. Uma vez que infectaram o computador, esses bots, geralmente se conectam a servidores de IRC (Internet Relay Chat) no qual o invasor ao estar conectado pode enviar os comandos que quiser e serão interpretados pelo bot (CERT.br, 2005b, p.16). Segundo Aquino, “Em 2005, o número de computadores zumbis cresceu de 50% a 60% em todo o mundo, segundo a fabricante de antivírus McAfee. Zumbi é uma máquina seqüestrada por um cracker. Isso significa que o PC foi infectado por um código malicioso (do tipo bot), que permite que outra pessoa o controle de longe, sem o usuário saber. A máquina serve de marionete para o invasor, que poderá acessar dados privados (como senhas do usuário), e usá-la (a máquina) em ataques a sistemas alheios” (2005, p.01). Atualmente o uso dessa ameaça é aplicada para realização de ataques em massa, mas por tratar-se de um código que permite o controle total do atacante ao computador, pode ser utilizado futuramente pelos fraudadores com o objetivo de apagar as evidências e vestígios de ataque a um computador, através de uma 33 formatação da máquina ou destruição como programas do tipo wipe em arquivos que podem ser provas. Foi possível perceber que existem várias técnicas e brechas no sistema operacional Windows que permitem diversas maneiras de ocultação de provas e evidências. Além dessas, existem outras maneiras, ferramentas, métodos e técnicas para tentativa de dificultar o trabalho dos peritos que não foram citados e outros que provavelmente surgirão com o tempo, pois os fraudadores estão se especializando cada vez mais em busca de técnicas novas. Segundo Lau: “Com o passar do tempo, a segurança dos Internet banking aumentou. Conseqüentemente, a técnica dos fraudadores também evoluiu. Quando as instituições financeiras passaram a oferecer os "teclados virtuais", os criminosos criaram os screenloggers, que conseguem capturar dados por meio da imagem apresentada na tela” (2006b, p.02). Devido a isso, um bom perito deve estar sempre atualizado com as novas técnicas de ataque para conseguir identificar possíveis evidências escondidas no sistema operacional analisado. Apesar dessas ferramentas ainda não estarem sendo utilizadas pelos fraudadores, elas constituem várias opções novas que poderão prejudicar significativamente o trabalho dos peritos em busca das provas e novas brechas de segurança são descobertas, sendo que essa divulgação pode ser feita depois que um atacante já se beneficiou com elas. No entanto, de acordo com o dito popular de que não há crime perfeito, mesmo com o uso de métodos, na tentativa de despistar o perito com o uso de pistas falsas ou com ocultação de provas, uma brecha ou outra pista pode ajudá-lo a conseguir mais informações que o levarão a alguma prova. Em decorrência da variedade de métodos, códigos maliciosos existentes e técnicas anti-forense, um computador pode ser infectado e utilizado para fraude seja para danos ao do dono desse computador atacado ou para realização de fraude em outra máquina. Depois de ter sido realizado o ataque, o perito deverá iniciar as investigações em busca de provas e pistas deixadas pelo fraudador. Para a realização desse trabalho o perito conta com várias ferramentas e métodos que o auxiliam, como podem ser vistos no capítulo seguinte. 34 4. TÉCNICAS, PROCEDIMENTOS E FERRAMENTAS O que deve ser feito inicialmente é buscar a preservação das evidências, por isso a primeira técnica a ser aplicada é assegurar a integridade dos discos rígidos, disquetes, cds, pen drives34 ou qualquer outro meio de armazenamento de informações digitais que se deseja rastrear para localização de provas. A maneira como as mídias são armazenadas e manipuladas, é fato determinante para a realização de uma perícia com sucesso ou a perda de informações valiosas, resultando na destruição das provas digitais. Deve-se seguir a RFC 3227 que se trata de um guia, um passo a passo a ser seguido para coleta e armazenamento de evidências de maneira adequada (RFC3227, 2002, p.02). “É sabido que, em se tratando de crimes que envolvam computadores como meio, a coleta, manipulação e exame de provas sem os devidos cuidados podem acarretar na falta de integridade da prova. A coleta e manipulação de equipamentos e mídias sem a observação de condições mínimas de segurança no manuseio podem acarretar danos irrecuperáveis no material coletado. Discos rígidos não suportam golpes35, mídias magnéticas podem apresentar perda de dados se submetidas a campos magnéticos, a superfície pode apresentar desgaste se exposta a calor, umidade e poeira, e assimpor diante”, segundo Costa (p.01). "O perito deverá preservar todos os dispositivos de armazenamento de dados, executar uma 'cópia' integral do(s) HD(s) a ser analisado, executar um hash36 para comprovação da integridade dos dados e, quando necessário, elaborar uma ata notarial37".38 O profissional deve possuir conhecimentos técnicos e procedimentos para a realização do trabalho, protegendo as provas de incidentes, gravações acidentais, 34 Pen drives são unidades de armazenamento de capacidade bem maior que disquetes e que possuem tamanho semelhante a um chaveiro, possibilitando ser carregado no bolso. 35 Golpe neste contexto é o mesmo que queda, pancada, ou qualquer outro acidente físico potencialmente forte para danificar a parte física do equipamento em questão. 36 Processo de verificação de integridade para saber se uma versão de arquivos ou sistema de arquivos é exatamente igual a original ou fonte. 37 Ata notarial é um procedimento legal, no qual a pessoa, devidamente competente, narra os fatos de uma maneira imparcial e verídica, deixando tudo registrado para uso em processo judicial ou como prova, também em processos privados. É necessário quando um fato deve ser devidamente registrado, narrado e documentado para uma ação judicial. 38Rocha (2003, p.03) apud THEIL. 35 destruição, transporte e armazenamento inseguro, e para não precisar tomar uma decisão importante durante esse processo. As decisões geralmente precisam ser tomadas com urgência e sob pressão39, pois dessas decisões depende a integridade das provas devendo-se tomar os devidos cuidados para não invalidá-las juridicamente. Deve possuir também conhecimentos sobre as leis vigentes e importantes para a realização desse trabalho que precisa seguir um padrão para que as provas obtidas sejam válidas perante a lei. Antes de efetuar o desligamento da máquina, com o processo de simplesmente tirá-la da tomada para que não haja alterações de data e hora, é necessário fazer o registro dos dados voláteis, como exemplo conexões estabelecidas, processos em execução, informações na memória RAM40, tabela arp e de roteamento, arquivos de registros e temporários criados pelo sistema operacional ou outro programa executado. Logo após terem sido recuperados os dados mais voláteis, o perito deve realizar a criação de uma imagem da mídia a ser analisada. Para isso deve desligar o computador diretamente da tomada, e não efetuar o desligamento correto41, pois este procedimento realiza alterações nos arquivos, como a data e hora, por exemplo. Ao iniciar o computador, deve-se utilizar alguma ferramenta que permite realizar a inicialização a partir de um cd-rom, como citado nas ferramentas neste capítulo, para não haver qualquer alteração nos arquivos do computador analisado. Antes de iniciar a coleta dos dados e geração da cópia para ser utilizada para análise, deve-se seguir uma metodologia na qual é necessário, respeitar a ordem de volatilidade para a coleta das evidências. Caso essa ordem não seja seguida algumas provas podem ser perdidas, pois uma ação fora de ordem pode alterar ou até apagar outros registros. “A coleta de informações deve seguir a risca a ordem de volatilidade em que os dados estão armazenados, indo dos dispositivos mais 39 “Durante um incidente, dificilmente conseguimos determinar, devido à pressão natural em tal situação, qual a melhor atitude a ser tomada, já que as ações devem ser decididas rapidamente. Temos que ter em mente que qualquer procedimento executado de forma errada pode destruir as provas obtidas ou invalidá-las perante um tribunal”, segundo Pellegrini; Bertacchi e Vita (2005, p.10). 40 Memória RAM é aquela na qual os dados são colocados para terem maior ganho de performance, mas ao desligar o computador, todos os dados contidos nessa memória são perdidos. Por isso é volátil. 41 Quando um computador é desligado corretamente, ou seja, no caso do sistema operacional Windows, ao clicar em iniciar e depois desligar, será executado um procedimento padrão que consiste no fechamento de todos os arquivos abertos, encerramento das conexões existentes, parada dos serviços em execução e qualquer outra ação que o sistema julga correto para o desligamento. Para os procedimentos do perito esse desligamento não é interessante, pois ao fechar os arquivos eles serão modificados nesta hora prejudicando algumas análises. 36 voláteis para os menos voláteis”, segundo Pelegrini, Bertacchi e Vita (2005, p.11), como se segue: 1 – Registradores e memória cache. 2 – Tabela de roteamento, tabela arp e de processos, conexões estabelecidas e pendentes e portas de comunicação abertas. 3 – Sistemas de arquivos temporários. 4 – Discos rígidos. 5 – Registro e monitoramento dos dados relevantes para o sistema comprometido. 6 – Configuração física e topologia da rede. 7 – Mídia de backup (Pelegrini; Bertacchi; Vita, 2005, p.11). Os itens de 1 a 3 devem ser realizados com a máquina ainda ligada e os demais, após a geração da imagem, pois é em cima da cópia da imagem que devem ser realizados todos os procedimentos em busca das provas. Além de seguir a ordem mencionada acima, outros procedimentos devem ser seguidos para garantir a integridade e a validade das evidências. São eles: • Caso a máquina esteja ainda ligada, o perito deve realizar a extração da imagem da tela do computador através de registro fotográfico, que pode servir como prova caso esteja com algum programa aberto ou alguma operação sendo realizada ou finalizada com informações importantes. • O perito deve utilizar apenas ferramentas trazidas com ele e não as que possam existir na mídia a ser analisada, pois podem estar alteradas para realização de uma instrução diferente do padrão da ferramenta. • Ele também não deve utilizar ferramentas que possam alterar as datas de último acesso dos arquivos existentes. • Todos os procedimentos realizados com o objetivo de obtenção de provas devem ser feitos mediante testemunhas para garantir que não tenha perda de validade legal42. 42 O termo legal está relacionado com a legislação do país. 37 • Devem ser respeitados os direitos de privacidade não expondo dados confidenciais para pessoas que não teriam acesso a essas informações de outra maneira. • Todo o processo para obtenção das provas deve ser bem documentado para que, se necessário, um outro perito possa refazer todos os testes para comparar o resultado final em caso de dúvidas ou contestações. A data de início e término dos procedimentos também deve ser documentada e o nome das pessoas que manipularam as informações, bem como o local, também devem ser registrados. • A guarda de todo o material analisado deve ser feito em local seguro e deve-se provar que apenas pessoas autorizadas, sendo um número restrito, possam ter acesso a elas. • De posse de todos os dados o perito inicia os trabalhos utilizando a imagem criada com a cópia fiel do sistema analisado. Para conseguir construir o cenário no momento do incidente, ele inicia a busca pelas provas analisando: Os arquivos de registro. Devem ser analisados todos os arquivos de registro da máquina mesmo que eles possam ter sido alterados pelo fraudador. Para essa análise são utilizadas ferramentas específicas para cada tipo de registro. O sistema de arquivos. O sistema de arquivos deve ser analisado verificando os possíveis arquivos e pastas excluídas na tentativa de recuperar tudo o que for possível utilizando-se de ferramentas especializadas nesse tipo de processo. Arquivos criptografados. São informações cifradas utilizando uma chave secreta que deve ser utilizada para a decifragem da mensagem. Devido ao fato de ser secreta, e o perito provavelmente não terconhecimento dela, são utilizadas outras técnicas como, por exemplo, força bruta. 38 Arquivos esteganografados São arquivos de imagem que possuem informações escondidas utilizando-se de bits menos significativos, que por isso não alteram a qualidade da imagem visivelmente. Há ferramentas para detecção dessas informações que são detalhadas no capítulo 3. Procura por rootkits. Trata-se de um conjunto de ferramentas, com a funcionalidade de ajudar o fraudador a apagar as pistas e também a criar condições para que ele possa atacar novamente o sistema. Está explicado em detalhes no capítulo 3. Busca por detalhes dos processos que estavam sendo executados, tabela de roteamento43, tabela arp44, memória cache45. Neste procedimento o perito utiliza ferramentas específicas para determinar os processos (programa em execução) que estavam ativos e quais informações estão contidas nas tabelas de roteamento e arp e qual o conteúdo da memória cache. Verificação se os executáveis estavam realizando tarefas fora do padrão (engenharia reversa). Este procedimento consiste em localizar programas executáveis no sistema analisado, que podem estar escondidos e convertê- los para o sistema binário com a intenção de verificar qual a função que o código tem como objetivo realizar. É basicamente voltar o programa final para código fonte, o que seria o procedimento contrário da criação de um programa. 43 Tabela de roteamento fica localizada no computador e é utilizada para encaminhar a mensagem/informação de uma rede à outra. Para que o computador saiba para onde deve encaminhar a mensagem ele deve consultar a tabela de roteamento para determinar o destino que a mensagem deve percorrer. 44 Tabela arp é utilizada pelo computador para associar o endereço de máquina de um equipamento na rede com seu endereço IP. 45 Memória de alta velocidade, criada para acompanhar o desempenho do processador. 39 É possível verificar que o trabalho de um perito na área de computação é delicado e exige bastante atenção, conhecimento das técnicas e do sistema operacional, dos procedimentos e metodologia utilizada, pois uma operação feita erroneamente pode causar conseqüências graves e perda definitiva de possíveis provas. Na realização da perícia em uma máquina que já esteja desligada, várias informações, possivelmente importantes, já terão sido perdidas, restando ao profissional a busca pelas evidências sobre os dados não voláteis. Em relação a ferramentas, há uma grande quantidade utilizada para diagnósticos, recuperação de dados e diversos tipos de análises feitas no sistema operacional a ser analisado. Neste trabalho as ferramentas mostradas são de uso, não somente, no sistema operacional Windows. Abaixo segue uma breve descrição de algumas utilizadas por peritos para obtenção de evidências em uma fraude: 4.1 Forensic and Incident Response Environment (Fire) É uma ferramenta que também possui o recurso de live-cd46 e pode ser utilizada para resposta a incidentes, recuperação de dados de partições perdidas, procura por vírus e vulnerabilidades, pois prepara o ambiente para a realização dessas tarefas. Devido a esse recurso a ferramenta provê maior segurança na integridade dos dados, pois pode ser utilizada sem modificar qualquer informação na máquina analisada. Pode ser encontrada em http://fire.dmzs.com/. 4.2 Trinux Trata-se de uma ferramenta, localizada em http://www.trinux.org, que fica armazenada em 3 disquetes, ou em um cd, e traz consigo vários softwares como tcdump, ntop, nmap, iptraf, netcat e vários outros incluindo sniffers, scanners que 46 Live-cd é um cd que contém um sistema operacional linux que não precisa ser instalado para ser utilizado. Basta reiniciar o computador com o cd dentro da unidade de leitura que é possível utilizar o sistema operacional como se estivesse instalado no disco rígido do computador. 40 buscam por vulnerabilidades que são utilizados para diagnóstico da rede, backup e recuperação de dados, entre outros. Assim como outros utilitários citados, ele também se utiliza apenas da memória RAM, ou seja, nada é alterado no disco rígido da máquina, preservando assim a integridade dos dados. 4.3 The Sleuth Kit (TSK) Antigamente conhecida como TASK, é um conjunto de ferramentas que pode ser utilizado em sistema linux e Windows para recuperação de arquivos apagados. Além de ser gratuito, seu código é aberto e possui o recurso de live-cd que permite gerar um cd de boot capaz de carregar a ferramenta sem necessidade de ser instalada no sistema operacional da máquina analisada. O download pode ser encontrado em http://www.sleuthkit.org/sleuthkit/. 4.4 Autopsy Forensic Browser (AFB) Ferramenta utilizada em conjunto com a TASK para prover interface gráfica, sendo também gratuita e de código aberto. Com essa ferramenta, encontrada em http://www.sleuthkit.org/autopsy/index.php, é possível visualizar de maneira mais amigável os dados apagados, detalhes de arquivos e estrutura de arquivos, através de qualquer visualizador HTML. 4.5 Cygwin Tools Essa ferramenta é um ambiente de compilação, utilizada para fazer uma transferência de programas baseados em linux/unix para a plataforma Windows. Com ele é possível executar utilitários e comandos feitos somente para linux, em um ambiente Windows, transformando (compilando) esses utilitários em programas reconhecidos pelo Windows, com extensão .exe, por exemplo. É possível utilizar 41 tanto a linha de comando (shell) do Windows quanto do linux e pode ser encontrada e obtida em http://sources.redhat.com/cygwin/. 4.6 MS-Diskedit Essa ferramenta faz parte do service pack 4 do Windows NT, é integrante do pacote SDK (Software Development Kit) e pode ser encontrado e baixado no endereço: http://www.microsoft.com/downloads/details.aspx?familyid=3755582A- A707-460A-BF21-1373316E13F0&displaylang=en. Ela consegue explorar com detalhes de informações, a estrutura de um disco NTFS permitindo visualizar os atributos dos dados em hexadecimal. 4.7 MD5summer Usado para geração de hash, essa ferramenta, é gratuita, baseada em sistema linux, e pode ser encontrada em http://www.md5summer.org/. Para garantir que uma cópia de um sistema de arquivos, uma imagem ISO, é realmente íntegra, ou seja, foi copiado fielmente, se utiliza ferramentas deste tipo, que geram e verificam checksum MD547. 4.8 Strings Essa ferramenta é capaz de localizar uma string em um determinado arquivo que programas baseados em ASCII não conseguiriam encontrar como o comando grep do linux ou outro programa que busca por caracteres ASCII. Com a ferramenta strings é possível localizar uma determinada string a partir de arquivos executáveis, do tipo UNICODE ou ASCII, funcionando também em Windows 95. É interessante para saber quais comandos e instruções um 47 MD5 é uma função de hash. É gerado um valor baseado no tamanho do conjunto de dados. A partir da cópia, é gerado novamente esse valor e comparado com o original para certificar-se de que se trata de uma cópia íntegra. 42 determinado executável está programado para realizar. Pode-se obter mais detalhes e efetuar o download em www.sysinternals.com/files/strings.zip. 4.9 FTK (Forensic Toolkit) Trata-se de uma ferramenta comercializada pela Access Data (http://www.accessdata.com/products/ftk/), com o valor aproximado de U$S 1,000.00. Tem como funcionalidades, dentre outras: recuperar arquivos excluídos e partições, gerar registros para auditoria e relatórios e possui um algoritmo poderoso de busca por binários padrão, e-mails, mensagens e anexos. Realiza recuperação de senhas, gera hash, analisa arquivos compactados,