Baixe o app para aproveitar ainda mais
Prévia do material em texto
109 COMPUTAÇÃO FORENSE Unidade III 5 INVESTIGANDO SISTEMAS EMBARCADOS Sistemas embarcados são sistemas eletrônicos digitais, em geral programáveis, incorporados aos mais diversos dispositivos de automação, controle ou processamento de dados. Em geral independentes, muito mais simples que sistemas de propósito geral (como os computadores), os sistemas embarcados costumam executar poucas tarefas, sendo bastante limitados em recursos de processamento, energia e memória, já que são construídos com funções específicas. Basicamente são compostos por um circuito integrado (unidade de processamento) em uma placa de circuito impresso que executa um software. Entre os exemplos de sistemas embarcados estão os videogames, as calculadoras, as urnas eletrônicas, os celulares, as impressoras, as placas eletrônicas usadas em automóveis e os eletrodomésticos, entre outros (veja a figura 43). Figura 43 – Veículo terrestre não tripulado da EuroLink Systems apresentado na Feira Mundial de Embarcados de 2014 Os dispositivos que abarcam esses sistemas podem interagir com o ambiente à sua volta. Há aplicações que exigem que algumas tarefas sejam executadas dentro de um prazo determinado, mesmo em dispositivos com sistemas embarcados. Os sistemas indicados para esse tipo de aplicação são chamados de sistema de tempo real, justamente por atuarem em sistemas críticos ou que realmente dependam de respostas em um tempo determinado. Entre os exemplos de sistemas reais podem ser citados os sistemas para monitoramento de pacientes e para veículos autônomos e aplicações responsáveis pelo controle de plantas industriais. Apesar de esse tipo de interação conferir funcionalidades adicionais a esses equipamentos, eventuais análises forenses podem ser prejudicadas. 110 Unidade III Por exemplo, em alguns carros sofisticados, sensores detectam a ocorrência de gotas d’água da chuva e acionam automaticamente o limpador de para-brisa. Porém, muitas vezes esse simples acionamento apaga todo o histórico de execuções anterior, dificultando uma eventual investigação. Neste conteúdo, o termo genérico usado será sistema embarcado, mas, na verdade, o termo embarcado é uma subcategoria do termo sistema embutido. Além deste, também existem os sistemas integrados. Sistemas integrados são compostos pela junção hardware e software e se assemelham muito a um computador de uso geral, porém, é uma adaptação que cumpre funções mais específicas. Um exemplo é o caixa de um supermercado, que executa algumas funções e controla alguns periféricos. Como a arquitetura é a mesma dos computadores convencionais, as técnicas forenses já mencionadas servem para análise desses sistemas. Já os sistemas embutidos são incorporados fisicamente aos dispositivos. Não são, portanto, adaptações de computadores de uso geral, são projetados desde o início para tarefas muito específicas. Os sistemas embutidos são os que mais se aproximam da definição inicial dada sobre embarcados: são dotados de recursos mínimos de processamento, memória e armazenamento, sendo que alguns desses sistemas interagem com o ambiente por meio de sensores. Um exemplo é o sistema interno das smart TVs. A internet foi um motivador para a criação de interfaces web para muitos sistemas embarcados. A vantagem disso é que essas interfaces são menos complexas e permitem economia de recursos. Contudo, pode-se perceber que pelas características desses sistemas a complexidade das análises periciais é bem maior que aquelas realizadas em computadores. Os veículos terrestres (automóveis, caminhões, motos e afins) vêm aumentado significativamente o uso de dispositivos embarcados. São módulos computadorizados que controlam um ou mais sistemas dos veículos. Esses módulos coletam informações, recebem comandos, disponibilizam dados, fazem cálculos, enviam instruções a outros sistemas e tomam decisões. Estão ligados, por exemplo, a itens relacionados ao conforto, à segurança, à tração e ao entretenimento. Observação Componentes embarcados estão presentes em diversos equipamentos. Neste conteúdo, o assunto tem por base os veículos simplesmente porque podem ser formulados exemplos de problemas e de soluções durante a investigação. Um dos problemas do crescimento de componentes eletrônicos nos veículos é justamente o aumento da complexidade dos softwares que realizam esse tipo de controle. Grande parte da inovação – e, consequentemente, do custo – de um veículo está na eletrônica embarcada. Programas mais complexos podem resultar em problemas mais difíceis de serem resolvidos e em dificuldades na obtenção de dados 111 COMPUTAÇÃO FORENSE e na manutenção. Além disso, por aceitarem conexões remotas, esses sistemas estão sujeitos a acesso e uso indevido por entidades não autorizadas – invasão ou paralização, por exemplo. Lembrete Há cinco etapas primordiais da atividade forense: (1) identificação; (2) isolamento; (3) registro; (4) coleta; e (5) preservação. 5.1 Desafios da computação forense nos sistemas embarcados A perícia forense em sistemas embarcados contém alguns desafios. Na análise forense tradicional, aplicada sobre um computador, por exemplo, há uma quantidade cada vez maior de dados que são processados. Por isso, há técnicas padronizadas que permitem a análise e a extração dessas informações. Apesar de existirem métodos para a extração de dados de sistemas embarcados, até pelas restrições desses sistemas, a quantidade de informações pode ser baixa. A falta de padronização dos componentes eletrônicos (vários fabricantes) também é um fator nocivo para a perícia forense. As vias de acesso aos dados e as variáveis usadas podem não ser as mesmas, dependendo do fabricante. Por sofrer influência do ambiente em que está inserido, a análise de um sistema embarcado requer que ele seja analisado durante o funcionamento. Isso pode ser ruim, pois a própria análise tende a influenciar os resultados, prejudicando uma das etapas primordiais da atividade forense: a preservação. Além da dificuldade na preservação do estado e dos dados de um sistema embarcado, algumas falhas desses componentes são intermitentes. Falhas intermitentes ocorrem quando, devido à interação do componente com o ambiente, um determinado conjunto de situações gera o problema. A dificuldade na identificação do problema está justamente no fato de o problema parar quando as situações específicas que o geraram cessam. Esse é mais um dos motivos pelos quais sistemas embarcados devem passar por perícia forense enquanto estiverem funcionando. Exemplo da dificuldade da preservação de evidências: o simples fechamento da porta de um veículo com diversas funções eletrônicas controladas por um sistema embarcado pode apagar uma série de evidências que estavam gravadas, prejudicando a etapa de preservação. Informações sobre quais portas estavam abertas ou se o carro estava ligado antes do fechamento podem ser substituídas pela informação de que as portas agora estão fechadas. As restrições nos recursos desses sistemas, fruto da miniaturização e da especificidade desses equipamentos, colabora para isso. Exemplo de falha intermitente: imagine um componente eletrônico que controle automaticamente a maciez da suspensão de um veículo. Suponha que esse sistema seja influenciado pela trepidação do veículo contra o solo. Se um componente mecânico do veículo, como o escapamento, estiver mal acoplado ou trepidando demais, isso pode influir na leitura do sistema, levando-o a controlar a suspensão 112 Unidade III de forma errada. Perceba que o desligamento do carro não permite que o problema seja detectado. Isso dificulta bastante o trabalho do perito forense, que percebe a intermitência do problema, mas não sabe exatamente o porquê de ela ocorrer. Diante dos desafios presentes na análise forense de embarcados há algumas soluções gerais que podem ser adotadas. Verificar com o fabricante se há instrumentos e ferramentas específicas que permitam a extração e a análise dos dadosde um determinado sistema embarcado é uma ação simples, mas muitas vezes esbarra em segredos industriais protegidos pelo fabricante ou em componentes fornecidos por terceiros que contêm poucas especificações. A memória RAM de um componente embarcado é bastante valiosa, pois nela estão informações atuais que são evidências essenciais para a investigação. Porém, essas informações tendem a ser voláteis e de difícil acesso. A figura a seguir mostra os dois lados de uma memória do tipo flash. Figura 44 – Dois lados de uma mesma memória do tipo flash Na figura, um dos lados da memória (esquerdo) mostra as terminações dos circuitos integrados, que podem estar soldados à placa, fato que impossibilitaria um acesso elétrico à memória. Na verdade, a retirada da memória da placa, o acesso e a leitura dos dados diretamente pelos circuitos elétricos da memória, já é, por si só, uma tarefa extremamente complexa que pode danificar os componentes, devendo ser deixada a cargo de especialistas. 5.2 Registradores embarcados em veículos Em relação aos veículos, há um equipamento chamado Event Data Recorder (EDR), criado exatamente para registrar eventos gerados pelos componentes embarcados. As especificações dos EDR são criadas pelos fabricantes e é difícil dizer a capacidade de cada um deles. Eles são muito usados como equipamentos de auditoria e rastreamento, da mesma forma que as famosas caixas-pretas das aeronaves. Em geral, esses equipamentos gravam dados relativos aos últimos cinco segundos antes de um acidente – por esse motivo, costumam estar associados aos módulos de controle dos airbags ou do motor. Pode parecer pouco tempo, mas os dados recolhidos podem ajudar muito nas investigações sobre um acidente. Entre os exemplos de dados registrados pelo EDR estão informações sobre a posição, 113 COMPUTAÇÃO FORENSE velocidade e direção do veículo, o estado e valores de diversas variáveis do veículo, os assentos ocupados, a posição dos controles etc. Os EDR podem ser úteis para os profissionais forenses, contudo, os fabricantes costumam dificultar o acesso aos dados com a alegação de garantir a confidencialidade de segredos industriais contidos nos sistemas embarcados e no próprio EDR. Na verdade, os fabricantes não possuem qualquer interesse em ver os dados de seus próprios veículos apontando falhas ou erros de projeto, por isso há tantas restrições a esse tipo de acesso. Nos Estados Unidos, a lei determina que os fabricantes não podem dificultar o acesso aos dados presentes nos EDR, sendo que para veículos novos devem ser disponibilizados sistemas que permitam a captura dos dados no prazo de seis meses. Um software de uso geral, usado para captura dos dados dos EDR, é o Crash Data Retrieval (CDR), fabricado pela Bosch (veja a figura 45). Figura 45 – Interface do software CDR da Bosch O CDR é um módulo (em verde na figura) que possui cabos e conexões aos sistemas embarcados de um veículo e um computador. Funciona sob o sistema operacional Windows e pode ser utilizado em exames locais ou em laboratório. O CDR funciona mesmo quando um veículo acidentado não pode ser ligado ou quando o EDR não funciona – neste caso, o equipamento pode ser acoplado diretamente ao CDR, porém, deve-se atentar para a retirada cuidadosa do EDR do veículo, já que essa ação pode prejudicar o funcionamento do componente, inviabilizando a preservação dos dados. A respeito da extração das evidências de um EDR, é interessante notar que, isolados, esses dados não são uma prova definitiva sobre o que aconteceu. Isso ocorre porque mesmo dados eletrônicos precisos podem conter imperfeições. Por exemplo, a velocidade extraída do EDR pode ser reativa ao giro da roda, e não à velocidade real do veículo. Por esse motivo, os dados extraídos devem ser usados como vestígios, que em conjunto com outras informações e dados vão formar evidências mais robustas e provas. Circunstâncias externas, como marcas de frenagem da pista, ângulo da batida, marcas no veículo, entre outras evidências, também devem ser avaliadas em conjunto com os dados do EDR. Uma constatação sobre todos esses dados gerados pelos sistemas embarcados dos veículos é que, diferentemente de sistemas cibernéticos/computacionais, é preciso a presença de um profissional forense que também seja perito em eletrônica, já que esse conhecimento é imprescindível para o manuseio desses sistemas formados por microprocessadores e microcontroladores. 114 Unidade III Observação Um microprocessador (ou processador) é um circuito integrado (chip) que realiza cálculos e toma decisões. Está presente em smartphones, em placas-mãe e em uma série de dispositivos. Um microcontrolador pode ser programado para várias funções, pois contém processador, memórias e periféricos. Ele é embarcado no dispositivo e controla várias ações de veículos, eletrodomésticos e máquinas. As figuras a seguir mostram um microprocessador AMD FX 8310 e um microcontrolador Motorola. Figura 46 – Microprocessador AMD FX 8310 Figura 47 – Microcontrolador Motorola. O chip com o microprocessador está no centro 115 COMPUTAÇÃO FORENSE Os microcontroladores são reprogramáveis, ou seja, é possível alterar sua programação constantemente. Contudo, para que isso não seja feito por qualquer pessoa, alguns equipamentos contêm a segurança baseada em tamper-proof. O tamper-proof garante que um equipamento, dispositivo ou circuito eletrônico não possa ser aberto e acessado fisicamente. Em geral, há mecanismos físicos que quebram ou queimam o circuito, caso alguém queira acessá-lo fisicamente. Maquininhas de cartão de crédito, módulos EDR e alguns circuitos eletrônicos são exemplos de equipamentos que podem conter tamper-proof. A figura a seguir mostra outro exemplo, no qual uma etiqueta é usada para garantir a inviolabilidade de uma embalagem. Perceba que caso a etiqueta seja retirada, as marcas que ficam deixam clara a tentativa de acesso à embalagem. Figura 48 – Etiqueta que garante o tamper-proof A presença de tantos componentes eletrônicos nos equipamentos cotidianos das pessoas é uma via de mão dupla. Ao mesmo tempo em que fornecem segurança, desempenho e conforto, esses equipamentos podem trazer problemas ao serem manipulados maliciosamente por atacantes ou até pelos fabricantes. Um exemplo de como componentes eletrônicos embarcados presentes nos veículos podem ser manipulados pelos fabricantes é o escândalo Volkswagen-Diesel de poluição (‘DIESELGATE’..., 2015; DIESELGATE..., 2019). Frente a uma série de acusações da Agência Ambiental Americana, iniciadas ainda em 2015, a Volkswagen admitiu ter fraudado os dados de cerca de 11 milhões de veículos por meio da manipulação do software responsável por gerar os dados de poluição diesel. Os valores de poluição gerados para o elemento óxido de nitrogênio (NOx) nos motores eram até 40 vezes mais altos que os apontados pelos limites legais. A fraude atingiu outras marcas do grupo Volks, como Audi, Porsche, Seat e Skoda. A justiça considerou culpados diversos dirigentes e engenheiros. As indenizações em 2018 e 2019 chegaram a € 2,335 bilhões, mas o caso ainda não foi fechado, pois a fraude se estendeu para diversos países, inclusive para o Brasil, e há uma série de prejudicados exigindo indenizações. 116 Unidade III A repercussão do caso foi tão grande que outras montadoras admitiram fraudes e fizeram acordos para indenizar os prejudicados. Desde que estejam conectados a alguma rede, de preferência à internet, atacantes sempre podem encontrar vulnerabilidades e manipular sistemas embarcados em veículos, equipamentos como marca-passos e até aeronaves. Um exemplo de ataque de controle remoto malicioso de veículos é o teste realizado por dois atacantes dirigido a um veículo Jeep Cherokee 2014 da Chrysler (DE LONGE..., 2015; GREENBERG, 2015). No teste, os atacantes conseguiram enviar comandos aos sistemas embarcados através da conexão à internet que o modelo possui. Os ataques foram direcionados inicialmenteaos sistemas de rádio, buzina e ar-condicionado. Contudo, o teste também provou ser possível o corte no sistema de freios, na transmissão e no acelerador com o veículo em movimento. A direção também pode ser controlada quando o veículo está na marcha a ré. A vulnerabilidade que permitiu o teste de ataque estava no sistema multimídia Uconnect, que possui acesso à internet e permitiu a reescrita do código do chip do sistema de entretenimento. De lá, os atacantes conseguiram enviar comandos para outras centrais que acionam partes mecânicas do veículo. 5.3 Investigando equipamentos mobile Onipresentes no dia das pessoas, os equipamentos móveis/portáteis, aqui chamados mobiles, são tão utilizados nas tarefas cotidianas que se tornaram registradores das atividades e comportamentos da sociedade. Fotos, mensagens, aplicativos usados, localização, agendas, contatos, enfim, qualquer recurso usado gera dados que são evidências úteis em uma eventual investigação. A ideia principal aqui é apresentar as formas mais concretas para que se consiga extrair e analisar vestígios preservando os dados. 5.4 Contextualizando os dispositivos mobile Ainda que a investigação dos aparelhos mobile seja um tanto específica, o básico da análise forense continua valendo. O profissional forense deve buscar recolher e analisar evidências sobre quem está envolvido em um eventual crime cometido com aquele aparelho; o que houve e foi considerado crime; quando as ações investigadas aconteceram; como e em quais circunstâncias o delito foi cometido; e finalmente onde o crime foi consumado (aparelho, local etc.). Os resultados da investigação devem ser documentados e todos os cuidados com a coleta, preservação e veracidade dos dados continuam importantes nesse tipo de investigação. Apesar de existirem outras definições, aqui vamos entender como parte da categoria mobile os aparelhos de uso pessoal que podem ser transportados pelos usuários. Entram nessa categoria os celulares, aparelhos global postion system (GPS), leitores de e-books, personal digital assistance (PDA), smartphones, tablets e eventuais dispositivos que possuam memória ROM não removível. Evidentemente, os dispositivos mobiles também possuem capacidade para comportar memória ROM removível adicional, na forma de cartões ou pen drives, porém essa distinção serve justamente para diferenciar de equipamentos mais robustos, como os notebooks, que se enquadram na categoria de equipamentos computacionais. 117 COMPUTAÇÃO FORENSE O foco das análises forenses recai sobre os celulares, smartphones e tablets, que são computadores de bolso com acesso à rede de telefonia e de dados (internet) e constituem a maioria absoluta das necessidades de análise forense. Duas características dos smartphones são a grande quantidade de fabricantes e a vida útil curta que esses aparelhos possuem. Isso se deve ao avanço constante da tecnologia, aliado a altas doses de marketing, que levam os consumidores à troca e atualização constante dos dispositivos. Apesar de também haver uma variedade de sistemas operacionais, nos últimos anos o padrão tem se estabelecido em torno de Android (Google), iOS (Apple) e, em medida menor, Windows Phone (Microsoft). Esses sistemas também passam por variações constantes, fato que acaba por dificultar as análises forenses, que também precisam ser atualizadas de acordo com a versão do sistema utilizado. Há várias tecnologias usadas para transmissão de sinais de rádio usadas pelos dispositivos mobile: Time Division Multiple Access (TDMA), Code Division Multiple Access (CDMA), Global Systems for Mobile Communications (GSM), Universal Mobile Telecommunications System (UTMS) e Integrated Digital Enhanced Network (iDEN), entre outras. Da mesma forma, para a transmissão de dados há tecnologias nativas desses dispositivos, que podem ser utilizadas para a transmissão de dados (acesso à internet) de forma alternativa ao WiFi, que aliás também é suportado nestes aparelhos: General Packet Radio Service (GPRS), Enhanced Data Rates for GSM Evolution (EDGE), Wideband Code Division Multiple Access (WCDMA), High Speed Downlink Packte Access (HSDPA) e Long Term Evolution (LTE) – esta última compatível com as tecnologias 4G e 5G. Muitas vezes, nas investigações cotidianas, é importante para o profissional forense entender minimamente as formas de transmissão usadas. 5.5 Identificando dispositivos mobile Em se tratando da identificação de aparelhos para fins forenses, um item que liga os aparelhos à tecnologia de transmissão é a presença de cartões do tipo subscriber identity module (SIM), popularmente chamados de chips de celulares. Esses cartões (veja a figura a seguir) são encontrados nos tamanhos SIM (1FF), Mini SIM (2FF), Micro SIM (3FF) e NanoSIM (4FF) e estão presentes em todos os aparelhos, exceto nos mais antigos, com tecnologia TDMA ou CDMA. Os mais usados atualmente são os menores, do tipo 4FF. Figura 49 – Cartões SIM de diferentes tamanhos 118 Unidade III É importante diferenciar cartões SIM, mostrados na figura anterior, de cartões de memória, usados para expandir a memória ROM dos aparelhos mobile. Os cartões de memória (veja a figura 50) também contam com diversos tamanhos, porém os mais usados nos aparelhos atuais são os menores (MicroSD). Figura 50 – Cartões de memória do tipo flash usados em dispositivos mobile Cartões SIM possuem duas funcionalidades: (1) aquela que permite a associação do aparelho mobile com a operadora e a linha telefônica; e (2) aquela que permite a recepção/transmissão de sinais de rádio. A associação entre a linha telefônica (fornecida pelas operadoras) com os aparelhos portadores de cartões SIM se dá por meio do eletronic serial number (ESN), um número identificador de 32 bits. Os 14 primeiros números de ESN indicam o fabricante, enquanto os restantes compõem um identificador do aparelho. Além dessas identificações, um cartão SIM também possui o integrated circuit chip identifier (ICCID), um número único de 19 a 20 algarismos (veja a figura 51). Figura 51 – ICCID de um cartão SIM Na figura pode ser visto um ICCID impresso no cartão SIM (19 primeiros dígitos). Os dois primeiros números (89) indicam que ele faz parte da categoria de telecomunicações; os próximos 1 a 3 dígitos indicam o código do país; os próximos 1 a 4 dígitos indicam a operadora; os demais são um número serial do cartão, exceto o algoritmo final, que é um dígito verificador calculado. 119 COMPUTAÇÃO FORENSE Saiba mais No site a seguir é possível consultar números ICCID, identificando a operadora a que o cartão pertence: INTERNATIONAL NUMBERING PLANS. Analysis of SIM card numbers. [s.d.]b. Disponível em: numberingplans.com/?page=analysis&sub=simnr. Acesso em: 21 jan. 2021. Cartões SIM possuem um código de bloqueio de quatro dígitos chamado personal identification number (PIN). Também há um código definido e repassado ao proprietário pela operadora denominado personal unblocking key (PUK). Se o código PIN for incorretamente inserido por três vezes, só é possível o desbloqueio por meio da inserção do código PUK. Se o PUK for inserido com erro por dez vezes, o cartão SIM fica inutilizado definitivamente. Em geral, esses códigos (PIN e PUK) estão impressos na embalagem plástica que acomoda o cartão SIM (veja a figura a seguir). Figura 52 – Embalagem de cartão SIM com códigos PIN e PUK O international mobile subscriber identify (IMSI), composto de 15 dígitos, é outro número identificador gravado na memória interna do cartão SIM, em geral usado pelas operadoras. Algumas ferramentas forenses permitem a criação do cellular network isolation card (CNIC), um clone do cartão SIM que conserva os mesmos ICCID e IMSI originais, porém, sem agenda, dados de telefonia, chamadas e short message service (SMS). A vantagem do CNIC é que o aparelho se mantém isolado da rede, sem as chaves PIN e PUK. Com isso, o profissional forense pode acessar o mobile sem ser notado e com a preservação dos dados.120 Unidade III Outra identificação importante é o international mobile station equipment identity (Imei), composto por 15 dígitos, que está gravado na memória interna do aparelho mobile e serve para identificá-lo (veja a figura 53). Figura 53 – Etiqueta com o Imei de um celular colada atrás da bateria Em aparelhos mobile cuja bateria pode ser removida, há uma etiqueta onde podem ser encontradas informações como as da figura que acabamos de apresentar. Em outros aparelhos, nos quais não há possibilidades de remoção da bateria, como os da Apple, o código do modelo, seguido do Imei, está impresso na parte de trás ou no suporte do cartão SIM. Segundo a Agência Nacional de Telecomunicações (Anatel), uma forma de verificar o número Imei é digitar *#06# no celular e apertar a tecla para ligar (NASCIMENTO, 2020). De posse dos primeiros oito dígitos do Imei é possível identificar a marca e o modelo de um aparelho mobile. Isso é muito bom para que o profissional forense consiga prosseguir com a investigação, já que nem todas as ferramentas forenses funcionam com todas as marcas/modelo. Esse tipo de consulta pode ser realizado tanto em sites especializados como em ferramentas forenses. Contudo, certos cuidados devem ser tomados contra a falsificação de números Imei. Apesar de todos esses identificadores serem úteis para identificação dos dispositivos, operadoras, linhas e usuários em caso de roubos, fraudes e na própria perícia forense, em alguns casos a obtenção de informações pode ser bastante complexa. 5.6 Coletando evidências em dispositivos mobiles Para a coleta de evidências em cartões SIM há ferramentas forenses específicas, já que se tratam de cartões inteligentes (smartcards) protegidos por criptografia. Um cartão SIM contém agenda, mensagens de texto SMS, registro de chamadas (sem data e hora), além de uma série de outras informações sobre telefonia e números identificadores diversos como ICCID e IMSI. Assim como em equipamentos computacionais, cuidados com a identificação e extração de evidências físicas nos dispositivos mobiles também são essenciais. 121 COMPUTAÇÃO FORENSE Devido às telas sensíveis, em geral, os smartphones contêm vestígios físicos que podem ser úteis para a identificação dos usuários, como material genético usado na identificação do DNA e impressões digitais. Mesmo vestígios de padrão de senhas geométricas realizadas com os dedos podem ser descobertas frente a uma análise cuidadosa. Dados voláteis só se mantêm enquanto o mobile estiver ligado. Frente ao fato de que o investigador não costuma ser o dono do aparelho investigado, os dados da memória RAM são mais difíceis de serem capturados por um investigador. Contudo, ainda há carência de métodos e ferramentas para a captura automatizada de logs e conteúdo de memória. Entre as recomendações está o isolamento do aparelho da rede de telefonia para evitar apagamento de dados de forma automática/remota. A figura a seguir mostra uma classificação usada para as formas de extração e coleta de dados de meios voláteis: Avançada Física Lógica Manual Figura 54 – Classificação das formas de extração de dados em memória volátil de mobiles Quanto mais os níveis de classificação para a extração de dados mostrados na figura estão próximos ao topo, mais tecnologia é necessária no processo de coleta. A extração manual é a mais básica e não requer conhecimentos avançados. Consiste na execução de processos do próprio aparelho para a identificação de dados que estão na memória. O perito manuseia o celular por meio de aplicativos e funções de configuração com o intuito de coletar evidências da memória RAM. Em geral, é um processo demorado e perigoso, com grandes riscos à preservação dos dados. Deve, portanto, ser executado apenas em último caso, com a transcrição ou foto das evidências recolhidas. Já a extração lógica é aquela que faz uso de dispositivos ou softwares forenses para a extração das evidências. A conexão de dispositivos pode ser feita por meio de adaptadores, conexão USB ou mesmo remotamente via Bluetooth. Esse tipo de extração funciona de forma semiautomática, com as ferramentas enviando comandos e recebendo dados através das application programming interfaces (API) do sistema operacional. Mesmo com o uso de programas e dispositivos, nesse tipo de análise, dados apagados não são recuperados. 122 Unidade III Há uma variante da extração lógica que captura os dados diretamente do sistema de arquivos do mobile, chamada file system dump, por meio de API específicas. Com isso, a estrutura de diretórios e arquivos presentes no mobile é replicada em um arquivo compactado, que pode ser investigado mediante algumas decodificações. A vantagem desse método é que eventuais informações recentemente apagadas e ainda não sobrescritas podem até ser recuperadas. Quando se faz uma extração física, ferramentas e dispositivos extraem diretamente os dados presentes na memória RAM. Uma das vantagens é a recuperação maciça de dados, inclusive de blocos não alocados da memória. Uma das desvantagens é que o método gera certo trabalho adicional para a montagem das informações da memória de forma coerente. Uma das formas mais usadas para a extração física da RAM em mobiles é o uso da ferramenta hexadecimal dump, que consiste em um bootloader. Esse tipo de ferramenta é enviado para a memória RAM e captura os dados fisicamente. Há casos em que a inicialização do sistema operacional nem mesmo é necessária. Porém, nem todos os sistemas operacionais aceitam bootloaders. A opção passa a ser a instalação de pequenos aplicativos temporários que vão permitir esse tipo de extração, com a desvantagem de alterarem um pouco o ambiente interno do aparelho. Uma boa documentação de todo o processo pode compensar esses contratempos. Outra técnica é a JTAG extraction, que é o acesso físico ao circuito integrado da memória do aparelho. Isso acontece a partir de pontos de acesso previamente estabelecidos no dispositivo e permite que os dados sejam eletronicamente transferidos. A técnica, contudo, exige a desmontagem do aparelho para que se tenha acesso aos componentes da placa do mobile. A extração avançada é a que requer mais conhecimentos prévios de eletrônica do profissional forense. A ideia é remover a memória RAM (o circuito integrado) da placa de circuito impresso (placa-mãe) do dispositivo. Na técnica chip-off, o conteúdo da memória removida é lido bit a bit com a ajuda de um dispositivo próprio para isso. O problema dessa técnica é que ela requer engenharia reversa (sempre trabalhosa) para ordenar os dados binários brutos resultantes do processo. Também existe uma técnica mais avançada denominada micro read, que consiste na leitura do estado de cada porta lógica do circuito integrado de memória RAM. Isso deve ser feito com um microscópio eletrônico, equipamento e especialistas com conhecimento profundo em hardware, o que significa um custo altíssimo. Por essa razão é que esse tipo de análise só é recomendado quando a investigação é essencial. Observação De acordo com Velho et al. (2016), até 2016 não havia nenhum órgão de segurança pública utilizando esse tipo de técnica, seja pela ausência de ferramentas e especialistas, seja pelo custo. Sistemas de sincronização de conteúdo entre celulares, computadores ou nuvens computacionais podem ser muito úteis ao investigador caso sejam adequadamente configurados antes de uma 123 COMPUTAÇÃO FORENSE eventual investigação. O cuidado que deve ser tomado nessas operações diz respeito à sobreposição de informações importantes durante esses processos. Os cartões de memória removíveis devem seguir os mesmos procedimentos definidos para as mídias computacionais. Devem ser isolados, identificados, documentados e ter a escrita bloqueada e devem ser extraídos dos aparelhos com o máximo de cuidado, principalmente se a operação for realizada in loco. Como podem conter evidências que podem ser importantes para a investigação, os cartõesde memória podem ser duplicados (backup) para a garantia de segurança. Contudo, apesar de todas essas recomendações, a simples apreensão de um aparelho mobile não garante o acesso a todos os dados que ele contém. Tendo em vista que o número da linha telefônica não fica necessariamente gravado no smartphone ou no cartão SIM, é difícil para o profissional forense saber exatamente a qual número um aparelho está associado. A situação piora, tendo em vista que um usuário pode solicitar à operadora que troque o seu número telefônico. Solicitações sobre qual é o número de uma linha telefônica podem ser feitas às operadoras a partir da apresentação ICCID ou do IMSI. Contudo, há um entrave importante nesse processo. O art. 17-B da Lei n. 12.683/2012 e o art. n. 15 da Lei n. 12.850/2013 expressam que as autoridades “[...] terão acesso, exclusivamente, aos dados cadastrais do investigado que informam qualificação pessoal, filiação e endereço, independentemente de autorização judicial, mantidos pela Justiça Eleitoral, pelas empresas telefônicas” (BRASIL, 2012a; 2013). Ambas as leis tratam sobre a liberação de informações telefônicas sem autorização judicial e são relacionadas à lavagem de dinheiro e ao crime organizado. Por isso, para investigações que não envolvem esses crimes específicos, algumas operadoras podem se recusar a fornecer esse número sem uma ordem judicial. Saiba mais Conheça essas leis na íntegra. Sobre lavagem de dinheiro: BRASIL. Lei n. 12.683, de 9 de julho de 2012. Brasília, 2012a. Disponível em: planalto.gov.br/ccivil_03/_Ato2011-2014/2012/Lei/L12683.htm. Acesso em: 21 jan. 2021. Sobre organizações criminosas: BRASIL. Lei n. 12.850, de 2 de agosto de 2013. Brasília, 2013. Disponível em: planalto.gov.br/ccivil_03/_ato2011-2014/2013/lei/l12850.htm. Acesso em: 21 jan. 2021. 124 Unidade III Uma solução razoável para o problema da demora da obtenção do número de uma linha telefônica na justiça é acoplar o cartão SIM do celular investigado a um outro aparelho especial, sem informações armazenadas em seu interior, dedicado exclusivamente para esse fim. Em seguida, basta uma ligação para algum serviço identificador de chamadas para a obtenção do número da linha. Todavia, é importante que assim que possível o aparelho seja desligado para evitar maiores contaminações ao cartão SIM original. Também é preciso ressaltar que todo o procedimento deve ser documentado de acordo com as melhores práticas sugeridas na análise forense. Além desses problemas, em caso de apreensão de dispositivos mobile há diversos cenários que podem ocorrer e prejudicar o curso das investigações, cada um com suas próprias peculiaridades. O fluxo ilustrado na figura a seguir mostra três cenários de extração de dados de aparelhos mobile: (1) mobile ligado e desbloqueado; (2) mobile ligado e bloqueado; e (3) mobile desligado. Encaminhar para exame Documentar e finalizar coleta Bateria removível? Bloqueado por senha? Modo avião Desativar 4G, WiFi, Bluetooth e GPS Documentar data e hora (foto) Conectar carregador Desativar autobloqueio Ativar USB debugging Desligar mobile Remover cartões SIM e memóriaRemover a bateria Solicitar senha e número do fone ao proprietário Bloqueado por senha? Mobile apreendido Ligado? NÃO NÃO NÃO NÃO SIM SIM SIM SIM Figura 55 – Fluxo de extração de dados de mobile 125 COMPUTAÇÃO FORENSE 5.6.1 Mobile ligado e desbloqueado Se um smartphone estiver ligado e desbloqueado, uma análise sobre o conteúdo das mensagens, aplicativos usados, ligações, contatos e afins é extremamente rápida e simples. Porém, a continuidade da conexão do aparelho com a internet representa um risco, já que ações remotas, como apagamento de mensagens ou sistemas de segurança que apagam dados, podem alterar o estado das evidências. Desligar o aparelho, sem antes configurar novas senhas, não é uma opção sensata, pois ele pode ser bloqueado na reinicialização. Os cuidados tomados para esse cenário devem seguir uma lógica voltada para a preservação. • A primeira coisa a ser feita é ligar o aparelho a um carregador para impedir o término abrupto da bateria e o desaparecimento de informações presentes na RAM. • Deve-se também colocar o aparelho em modo avião. Essa ação simples impede eventuais acessos maliciosos remotos. Isso também pode ser feito acondicionando o dispositivo em uma sacola de Faraday, que impede a chegada e saída de sinais de rádio, isolando o aparelho. • Desbloqueio de alguns serviços de comunicação não desativados pelo modo avião, como o GPS, também são recomendados, já que o apagamento de dados por geolocalização também é possível. • Em seguida, deve-se verificar se existe uma senha de bloqueio configurada; se houver, deve-se eliminá-la. Com isso, se houver necessidade, é perfeitamente possível desligar o aparelho para uma análise posterior em laboratório. • Bloqueios automáticos ativados por tempo de inatividade devem ser cancelados ou colocados no tempo máximo. A ideia é impedir a necessidade de recolocação de senhas. • Se o sistema operacional do mobile permitir, deve ser acionado o modo USB debugging usado para acesso físico à memória do sistema. 5.6.2 Mobile ligado e bloqueado Quando o aparelho está ligado, mas bloqueado, é importante colocar o mobile em modo avião ou em uma sacola de Faraday para evitar a propagação de sinais de rádio. Em seguida, é importante anotar a data e o horário exibidos no aparelho, anotando qualquer discrepância com o horário real. O próximo passo é desligar o aparelho e retirar sua bateria. Como modo avião não desativa funções de GPS e eventuais ações remotas, como apagamento de dados, elas podem funcionar com geolocalização. A remoção da bateria evita que o aparelho inicialize automaticamente por meio de alarmes temporais previamente configurados ou simplesmente pelo aperto acidental do botão de ligar. Caso não seja possível a retirada da bateria (aparelhos com baterias não removíveis), deve-se retirar todos os cartões SIM e de memória para impedir reconexões indevidas à rede de telefonia (SIM). 126 Unidade III 5.6.3 Mobile desligado A recomendação para aparelhos desligados é a retirada da bateria para evitar inicializações automáticas. A retirada dos cartões SIM também é importante, pois garante que em caso de inicialização não aconteçam reconexões à rede de telefonia. Cartões de memória também devem ser retirados. Caso a inicialização do aparelho seja inevitável, o ideal é impedir a propagação de sinais usando uma sacola de Faraday ou bloqueadores de sinais chamados radio jammers. A figura a seguir mostra um fluxo para a extração de dados de cartões SIM, bem mais simples que o mostrado na figura 56: Documentar extração Documentar ICCID e operadora Solicitante do exame deve contatar a operadora Efetuar leitura direta SIM em ferramenta forense Testar código padrão da operadora Clonar SIM para uso no exame do aparelho (se presente) CARTÃO SIM apreendido Bloqueado PUK? Bloqueado PIN? Mais 1 tentativa? Desbloqueado? NÃO NÃO NÃO NÃO SIM SIM SIM SIM Figura 56 – Fluxo com a extração de dados em cartões SIM 127 COMPUTAÇÃO FORENSE 5.7 Documentação das evidências de um mobile Documentar todos os procedimentos relacionados às investigações e evidências extraídas de qualquer cenário é muito importante. Porém, a documentação das evidências de aparelhos mobile ganham mais importância ainda devido às características desses aparelhos e seus componentes. Em investigações é comum que haja uma grande quantidade de aparelhos que devem passar por investigação. Componente retirados, como cartões SIM, baterias, cartões de memória, entre outros, são pequenos e fáceis de serem misturados entre os aparelhos ou mesmo de serem perdidos. Por isso, a documentação deve ser rigorosa – deve-se chegar aos detalhes, como marcar de qual slot um cartão SIM foi retirado. Sempre que possível, os componentes devem ser mantidos junto aos aparelhoscom documentação fotográfica e/ou escrita, com etiquetas coladas na parte posterior do aparelho e dos componentes. Além dos números identificadores diversos, como ICCID, Imei, operadora e ESN, também deve ser anotado o nome do proprietário e o número da linha do aparelho. Em seguida, os aparelhos devem passar pelos cuidados já relatados neste tópico, com o adicional que devem ser lacrados e enviados para a perícia. Na verdade, uma das controvérsias sobre a apreensão de aparelhos mobile é a definição sobre quais aparelhos serão periciados e quais não serão. Mas a pergunta que fica é: não podem ser todos periciados? Devido ao volume de aparelhos e o pouco tempo disponível dos profissionais forenses, o assunto se torna relevante. O resultado disso é que periciar todos os aparelhos pode ser um desperdício de tempo e dinheiro, já que muitos podem conter informações irrelevantes. Por outro lado, periciar apenas uma amostragem pode deixar de fora evidências importantíssimas para a investigação. Não há uma fórmula mágica para resolver essa questão. Análises prévias nos aparelhos, feitas in loco, podem ajudar um pouco na escolha sobre quais aparelhos passarão por uma investigação mais apurada. Entretanto, análises assim podem ser superficiais e não demonstrar exatamente quais são os aparelhos importantes. Além disso, sempre existe o perigo de que a preservação dos dados não seja mantida em uma investigação prévia in loco. 5.8 Ferramentas forenses recomendadas As principais ferramentas forenses para extração e análise de dados em mobiles é comercial. Mesmo distribuições Linux voltadas para a análise forense que contêm ferramentas open source para esse fim, como a Deft (http://na.mirror.garr.it/mirrors/deft/, acesso em: 27 jan. 2021), possuem limitações. Há algumas ferramentas baseadas em hardware que extraem diretamente os dados dos mobiles, como o Cellebrite Ufed Touch (cellebrite.com/pt/products/ufed-ultimate-pt/, acesso em: 27 jan. 2021), e outras baseadas em software, como o Micro Systemation XRY (msab.com, acesso em: 27 jan. 2021), que realmente necessitam de um computador para realizar a extração de dados. Além desses, há o Magnet Forensics Internet Evidence Finder e o Belkasoft Evidence Center. 128 Unidade III Devido à diversidade de equipamentos mobile e ao avanço constante da tecnologia, nem todas as ferramentas funcionam para todos os aparelhos. Isso torna comum o uso de várias ferramentas diferentes – o que é bom, pois uma complementa a outra, mas invariavelmente os resultados podem ser diferentes. Saiba mais O site a seguir pode ser utilizado para consultas de números Imei: INTERNATIONAL NUMBERING PLANS. Analysis of Imei numbers. [s.d.]a. Disponível em: numberingplans.com/?page=analysis&sub=imeinr. Acesso em: 21 jan. 2021. Entre os programas, pode ser citado o Phone Detective: phonedetective.com/ 5.9 Ataques lógicos comuns contra dispositivos mobile É bastante comum o ataque aos sistemas operacionais dos dispositivos mobile, em especial os smartphones. A razão é a disseminação desses aparelhos pela sociedade. O entendimento do funcionamento desses sistemas, dos principais ataques ou da forma de atuação dos criminosos cibernéticos pode ajudar muito nas investigações forenses. Uma forma bastante comum de ataque é o envio de SMS com links promocionais que direcionam os usuários para páginas ou aplicativos maliciosos de instalação automática. Entre os exemplos está o AndroidOS.FakePlayer, que se aproveitava de vulnerabilidades dos sistemas operacionais para inscrever o dispositivo em serviços de mensagens tarifados. Análises na lista de SMS recebidos podem indicar ao profissional forense eventuais links maliciosos ou serviços oferecidos a um usuário/aparelho sob investigação. Essas listas podem ser consultadas no próprio aparelho quando este estiver em “modo avião”, para evitar contaminações, ou também por meio de ferramentas forenses como os aparelhos Universal Forensic Extraction Device (Ufed), disponibilizados pela empresa Cellebrite (cellebrite.com/pt/ufed-ultimate-4/, acesso em: 27 jan. 2021), que são capazes de extrair praticamente quaisquer dados de smartphones e cartões de memória (veja a figura a seguir). 129 COMPUTAÇÃO FORENSE Figura 57 – Extrator de dados Ufed O Android é atualmente o sistema operacional mais utilizado em smartphones no mundo, sendo utilizado por diversos fabricantes. Parte do sucesso do Android está no seu padrão open source, baseado nos sistemas Unix (possui um kernel Linux), que fornece uma API para que os desenvolvedores trabalhem via Software Development Kit (SDK). A questão é que muitas vezes esse tipo de desenvolvimento pode levar à execução de funções no nível do kernel, com privilégios excessivos. Somadas às vulnerabilidades inerentes a um sistema operacional de uso mundial, essas questões trazem insegurança à plataforma. Tabela 5 – Mercado de dispositivos mobile Sistema operacional (mobile) % de mercado 2020 Android 70,29 iOS 29,14 Outros 0,57 Fonte: Net Marketshare (s.d.). A tabela mostra o mercado de sistemas operacionais mobile no período entre abril de 2019 e abril de 2020. 130 Unidade III Por padrão, o Android não permite que um usuário possua privilégios de root (administrador), porém, aplicativos como o KingoRoot (kingoapp.com/) e o OneClickRoot (oneclickroot.com/) conseguem burlar essa restrição. Outro problema latente no Android é sua “natureza”, que permite a instalação de quaisquer aplicativos compatíveis. Em linhas gerais, isso não é um problema, já que o Android gera uma sandbox (área reservada) para execução individual de cada aplicativo. Porém, essas execuções estão condicionadas às permissões que o usuário concedeu ao instalar o aplicativo, as quais podem representar problemas futuros, já que o usuário não tem como saber o que o aplicativo vai realmente fazer com as concessões que recebeu. Cada aplicativo possui um arquivo chamado AndroidManifest.xml, que especifica as permissões concedidas (GPS, câmera, agenda, fotos, áudio etc.). A instalação de aplicativos a partir da loja virtual oficial do Google (Google Play Store) minimiza, mas não resolve por completo o problema. Observação O problema da existência de aplicativos maliciosos em lojas virtuais terceirizadas também acontece com os sistemas operacionais Blackberry e Windows Phone, cuja proliferação é bem menor. Some-se a isso as já citadas vulnerabilidades (dos aplicativos e do sistema operacional) e a concentração de serviços que utilizam autenticação nesses aparelhos e está criado o ambiente propício para que o roubo de senhas e os sequestros de conta aconteçam. Saiba mais Vulnerabilidades do Android podem ser pesquisadas em: source.android.com/security/index.html Os sites a seguir permitem consultas a vulnerabilidades diversas de hardware e software: cve.mitre.org/ securityfocus.com/ Exames dos aplicativos, logs, bases de dados usadas pelas aplicações (arquivos AndroidManifest.xml), cache da API do Android ou mesmo a análise de eventuais malwares, instalados em um smartphone, são imprescindíveis para o bom andamento de uma investigação forense. 131 COMPUTAÇÃO FORENSE O sistema operacional iOS da Apple é proprietário (possui o código fonte fechado) e, apesar de permitir o desenvolvimento de aplicativos por terceiros, possui uma política mais restrita para a instalação de aplicações vindas de sua própria loja virtual. Ainda assim, ameaças e vulnerabilidades acontecem. Um exemplo é o processo chamado de jailbreak, usado por hackers para desbloquear os recursos protegidos do iOS e instalar aplicativos não licenciados. 6 INVESTIGANDO NUVENS COMPUTACIONAIS Uma nuvem computacional (cloud computing) é um modelo que disponibiliza, por meio de uma rede, acesso a uma série de serviços e recursos computacionais (servidores, aplicações, suporte, armazenamento, dispositivos de rede, rede e serviços). Por meio do compartilhamento desses recursos, apresenta potencial para reduçãode custos, agilidade, escalabilidade, eficiência, disponibilidade e trabalho colaborativo. Em suma, o termo nuvem computacional significa serviços de TI oferecidos por rede de forma compartilhada. Foge do compromisso deste livro-texto explicar detalhadamente a constituição de um ambiente de nuvem, mas uma explicação geral sobre as principais características e riscos associados a esses ambientes se faz necessária, principalmente para que sejam propostas medidas para a realização adequada de análises forenses nesses cenários. 6.1 Desmistificando os ambientes de nuvem computacional O primeiro ponto a ser desmistificado em relação aos ambientes de nuvens computacionais é que se tratam de simples ambientes para armazenamento de dados. Os mais diversos serviços são oferecidos em nuvem. A figura a seguir mostra a página inicial da Amazon AWS (aws.com) com alguns serviços de tecnologia oferecidos: Figura 58 – Alguns serviços de nuvem oferecidos pela Amazon AWS 132 Unidade III A figura 59 mostra a arquitetura clássica encontrada em uma nuvem computacional: Serviço por demanda Software como Serviço (SaaS) Compartilhamento de recursos Self-service Plataforma como Serviço (PaaS) Modelo pague-o-que-usar Infraestrutura como Serviço (IaaS) Monitoramento dos recursos Características essenciais Tipologia Implantação Pública Privada Híbrida Comunitária Figura 59 – Arquitetura clássica de um ambiente de nuvem computacional Como pode ser visto na figura, há várias características que compõem um ambiente de nuvem: administração e manutenção centralizadas, self-service de recursos (elasticidade: paga o que usa), monitoramento de recursos e serviços, mobilidade, portabilidade e compartilhamento de recursos. Os principais modelos de serviços oferecidos são: • Infrastructure as a service (IaaS), ou infraestrutura como um serviço: oferece infraestrutura física aos clientes (servidores, storages, rede). Em geral, este modelo oferece mais flexibilidade, pois permite que o usuário implante controles de segurança. • Platform as a service (PaaS), ou plataforma como um serviço: oferece plataformas de desenvolvimento aos clientes (linguagens de programação, Google Apps Engine, Microsoft Azure, sistemas operacionais diversos). Em geral, neste modelo os controles de segurança são de responsabilidade do provedor de serviços, enquanto os logs podem ficar a cargo do usuário. • Software as a service (SaaS), ou software como um serviço: oferece aplicativos aos clientes (Google Docs, Netsuite, Amazon AWS). Em geral, neste modelo, controles de segurança e logs são responsabilidade do provedor. Já os modelos de implantação podem ser divididos em: • Pública: os recursos são oferecidos/alugados para o público em geral. 133 COMPUTAÇÃO FORENSE • Privada: os recursos são usados apenas por uma empresa. • Comunitária: diversas organizações dividem a nuvem. • Híbrida: combina dois ou mais modelos de implantação. Contudo, mesmo com todas as vantagens oferecidas por esses ambientes, há uma série de inconvenientes e problemas de segurança que devem ser levados em conta pelos usuários. • Conexão constante: — dependência de conexão; — disponibilidade de recursos. • Perda de governança: — alguns processos não são mais realizados pelo cliente (backup). • Aprisionamento na nuvem: — falta de portabilidade nos dados de um provedor para outro. • Necessidade de proteção dos dados contra ataques internos: — confidencialidade (roubo, vazamento de dados); — integridade (perda, degradação); — tamper-proof; — problemas de privacidade e violação de dados. • Dificuldade na integração de serviços e recursos. • Infraestrutura não preparada para compartilhamento. • Sequestro de conta (phishing e quebras de senha): — autenticação fraca. • Criptografia que pode ocasionar lentidão. 134 Unidade III • Ataques contra a disponibilidade (denial of service – DoS e distributed denial of service – DDoS), injeção de código (SQL injection, cross-site scripting), ataques à comunicação man in the middle (MITM). • Interferência entre máquinas virtuais paralelas. • Contratos e acordos de service level agreement (SLA) sem garantia: — os dados podem estar em outro país, fora do alcance da lei. • Operações e processos fora da lei. O trabalho de Velho et al. (2016) vai ainda mais longe, categorizando os principais problemas de segurança encontrados em um ambiente de nuvem de acordo com o quadro a seguir: Quadro 12 – Categorização dos principais problemas de segurança em nuvens computacionais Nível de segurança Ataques Descrição Básica SQL injection Acesso e uso não autorizado de banco de dados por meio da inserção de código malicioso Cross site scripting Inserção de código malicioso em páginas web Man in the middle Elemento malicioso que faz a intermediação entre uma comunicação Rede DNS Tradução falsa de endereços de sites que ocasiona acessos a endereços maliciosos falsos Sniffer Captura de tráfego detalhado de rede Reúso de IP Acesso aos dados de um primeiro usuário que disponibilizou seu IP para outro host na rede. Ocorre devido à defasagem de tempo de caches DNS Prefixo IP no Border Gateway Router (BGP) Ataques que promovem a troca maliciosa de rotas previamente estabelecidas entre sistemas autônomos (SA) atendidos por BGP Aplicação DoS e DDoS Ataques contra a disponibilidade de servidores Envenenamento de cookie Atualização e uso de cookies de forma maliciosa Ataque por backdoor Aberturas e vulnerabilidades em sistemas ou equipamentos deixadas de forma proposital por fabricantes, desenvolvedores ou mesmo atacantes Quebra de captcha Quebra da segurança oferecida por sistema de captcha Virtualização Vulnerabilidades no hypervisor Falhas que permitem a execução de códigos maliciosos no host (pai) com o controle das máquinas virtuais em execução Rootkits de máquina virtual Modificação das chamadas de sistema vindas do hypervisor para o host (pai) para execução de códigos maliciosos Escape de máquina virtual Exploit executado de uma máquina que permite acesso irrestrito ao host (pai) Virtualized environment neglected operations manipulation (Venom) Uso de vulnerabilidades presentes nas unidades virtuais de disquetes para movimentação lateral entre as máquinas virtuais Adaptado de: Velho et al. (2016). 135 COMPUTAÇÃO FORENSE Monitoramentos de rede com SDPI podem ser úteis para a solução de alguns dos problemas listados no quadro. 6.2 Desafios forenses nas nuvens computacionais Em relação à investigação forense, a própria natureza distribuída do armazenamento das nuvens dificulta a investigação. Em um armazenamento em nuvem distribuído, diferentes configurações de segurança podem estar sendo utilizadas. Com isso não há garantia que o mesmo nível de segurança esteja sendo aplicado para todos os dados que estão armazenados. Muitas vezes o perito forense encontra dificuldades para saber onde estão armazenados os dados, principalmente quando se investigam nuvens privadas, cujas configurações podem não estar disponíveis de forma tão clara quanto nos grandes provedores públicos. Acessos a dados virtualizados muitas vezes ocorrem através de camadas de acesso, sem contar que a quantidade de usuários/acessos pode ser grande. Tudo isso dificulta bastante o trabalho forense. Sendo assim, uma série de questões pode ser levantada em relação à investigação dos locais de armazenamento em nuvens: • O dispositivo que acessou a nuvem mantém uma cópia parcial dos dados ou das informações que foram repassados para nuvem? • Existem disponíveis metadados ou atributos sobre os serviços que podem ser usados para recuperar dados armazenados na nuvem? • As atividades executadas pelos usuários no acesso à nuvem podem ajudar a elucidar a investigação? Lembrete Os três principais tipos de modelo de nuvem são: SaaS, PaaS e IaaS. Pensando na tipologia da nuvem, há algumas recomendações que podem ajudar os profissionais forenses na coleta, preservação, registro eanálise das evidências em nuvens computacionais. Para a perícia forense em ambientes SaaS é bastante comum a disponibilização de logs de aplicativos, sistemas operacionais e servidores, já que o foco é a execução de softwares. Esses registros, em geral, estão do “lado” da nuvem e concentram informações de aplicações e dados, mesmo quando estes estão distribuídos. Consequentemente, podem ajudar na coleta de evidências. Nos ambientes voltados para PaaS, o usuário costuma desenvolver o código do software, com isso ele acaba compartilhando com a nuvem informações e códigos úteis para a investigação forense. Além do código fonte, capturas do tráfego de rede e informações administrativas repassadas entre a nuvem e o usuário podem ser úteis nesse processo de investigação. 136 Unidade III Análises em ambiente IaaS, em geral, são mais ricos na disponibilização de dados para investigação, já que incluem informações sobre os hypervisors, API e sistemas operacionais em uso, logs de servidores, dados dos links e do tráfego de rede, além de informações administrativas e de gerenciamento. Esses dados, porém, estão divididos entre o usuário e o provedor de nuvem. Observação Muitos provedores de nuvem são internacionais. Assim, deve-se observar quais se adéquam ao Safe Harbor Privacy, um conjunto de regras para privacidade e segurança. Saiba mais Informações sobre os princípios adotados pelo Safe Harbor Privacy podem ser encontrados em: FARRELL, H. Constructing the International Foundations of E-Commerce – The EU-U.S. Safe Harbor Arrangement. International Organization, v. 57, n. 2, 2003, p. 277-306. Disponível em: https://bit.ly/3wsDAfn. Acesso em: 2 jan. 2020. Tendo em vista sua natureza distribuída – dificilmente há um único local onde estão localizados hardware e software –, há alguns desafios a serem resolvidos nos ambientes de nuvens computacionais: • a dificuldade que um profissional forense tem para realizar um exame em um hardware; • a dificuldade de analisar máquinas virtuais que foram instanciadas uma única vez e desapareceram. Observação Uma instância é a cópia independente de uma máquina virtual executada, muitas vezes em conjunto com outras. Em ambos os casos, uma das poucas alternativas é solicitar os logs das máquinas pai (hosts) e das máquinas virtuais ainda em execução. Dentro do possível, o isolamento e o armazenamento de snapshots das instâncias investigadas (se estiverem em funcionamento) são uma boa medida. 137 COMPUTAÇÃO FORENSE Observação Snapshots são gravações do estado de uma máquina virtual que permitem a restauração delas exatamente ao ponto em que estavam antes da gravação. Uma recomendação de auditoria em ambientes virtualizados é a instalação de SDPI nas máquinas virtuais que permitam a geração de logs e alertas de segurança. Esses alertas podem ser direcionados para sistemas na máquina pai (host) que acionam snapshots automáticos das máquinas virtuais instanciadas. A vantagem desse procedimento é o armazenamento do estado das máquinas virtuais no momento da detecção de uma suposta ameaça. Em caso de comprometimento por alguma ameaça, a restauração do snapshot pode servir para auditar o que aconteceu, já que os logs da máquina virtual estão preservados. Análises dos logs do pool de máquinas virtuais ou mesmo multicorrelações também são recomendadas. Lembrete Um serviço de segurança de auditoria é aquele implementado para permitir o rastreamento de um evento ou comportamento. É importante entender que o termo ambientes virtualizados se estende além da simples utilização de máquinas virtuais. Tecnologias como as Network Functions Virtualization (NFV) e as Software Defined Networks (SDN), esta última mostrada em mais detalhes na figura a seguir, estendem o gerenciamento desses ambientes a outros patamares. Observação A tecnologia NFV pode ser encarada como uma espécie de complemento da SDN, já que torna virtual dispositivos de rede como roteadores, switches e firewalls, entre outros equipamentos de TI. 138 Unidade III Aprendizagem de MAC Algoritmos de roteamento Sistema de detecção de intrusos Balanceador de rede Re de tr ad ic io na l Switch Firewall Roteador Aplicações de rede e máquinas virtuais So ft w ar e De fin ed N et w or ki ng Controladora SDN Figura 60 – Comparação entre uma rede tradicional e uma SDN Perceba na figura que nas redes tradicionais o plano de controle, responsável pelo gerenciamento da rede, e o plano de dados, que engloba o tráfego de rede e todas as suas peculiaridades, funcionam juntos. Em outras palavras, um administrador enxerga a infraestrutura de controle de uma rede em conjunto com o tráfego de dados proporcionado por essa rede. O resultado é que caso o administrador queira fazer um controle apurado sobre os dados que trafegam pela rede, deve recorrer a equipamentos e softwares que realizam essas funções de forma independente. Por exemplo, caso haja a necessidade de filtrar um determinado tráfego, pode-se recorrer a um controle de segurança como um firewall, que pode separar o tráfego malicioso do fluxo normal de dados. Em uma SDN ocorre a separação física do plano de controle do plano de dados, sendo que o plano de controle permite que diversas funções da rede sejam gerenciadas de forma mais direta e prática por meio de software. Isso ocorre por meio de uma controladora que pode ser programada para o gerenciamento adequado do fluxo de dados. Em geral, essa controladora é a camada intermediária entre as máquinas virtuais e os equipamentos físicos e funciona por meio de programação de tabelas que utilizam, na maior parte das vezes, um protocolo chamado Openflow. Sendo assim, um administrador pode gerenciar uma rede de acordo com os dados que ela trafega. Levando-se em conta o exemplo 139 COMPUTAÇÃO FORENSE usado na rede tradicional, um filtro ou mesmo um firewall virtual pode ser implementado em uma SDN de forma que o administrador consiga controlar os fluxos da rede virtual em tempo real e com mais facilidade via software. As SDN são amplamente usadas em ambientes de nuvens computacionais. Como toda tecnologia em evolução – pelo menos até a criação deste conteúdo em 2020 –, as SDN ainda contam uma série de ameaças e vulnerabilidades atreladas ao seu uso. Nada mais natural, já que significam uma quebra de paradigma em relação às redes tradicionais. Entretanto, para a análise forense, o uso de SDN pode ser bastante benéfico, já que uma série de informações sobre os fluxos de dados entre as máquinas virtuais é previamente configurada pelo administrador. Além disso, logs de rede e informações sobre as máquinas virtuais e aplicações também ficam registradas a partir do uso de API. Sendo assim, uma SDN pode conter um registro mais preciso sobre o comportamento de uma rede, fato que beneficia muito o trabalho de um profissional forense. Outras duas tecnologias que tendem a beneficiar o trabalho de análise forense em ambientes de nuvens computacionais são os conceitos de fog computing e edge computing, ilustrados na figura 61: Distribuição Usuários Edge Nuvem Fog Figura 61 – Fog e edge computing, camadas intermediárias entre a nuvem e o usuário Como mostra a figura, um ambiente fog computing é uma camada bidirecional entre os usuários finais e a nuvem computacional. Trata-se de uma plataforma virtualizada que provê serviços de computação, armazenamento e rede, tipicamente, (mas não exclusivamente) nas bordas da nuvem. Um ambiente fog computing entrega e recebe da nuvem serviços prontos, diminuindo a quantidade de tarefas destinadas ao ambiente de nuvem computacional e facilitando a entrega ao usuário. 140 Unidade III Entre os serviços desempenhados em um ambiente fog podem ser citados: mobilidade, distribuição geográfica, processamento e armazenamento intermediário e descentralização. Um ambiente edge computing é composto pelos equipamentos que o usuário utiliza para se conectar aos ambientes fog ede nuvem. O termo edge é mais utilizado quando dispositivos voltados para rede de sensores e IoT são utilizados. Nesses casos, processamentos locais e intermediários compartilhados como fog e edge são mais comuns, assim como os serviços oferecidos por esses ambientes. Imagine um paciente que contenha um marca-passo multifuncional no coração. Esse dispositivo, além de ajudar a regular os batimentos cardíacos, fornece uma série de informações sobre o estado de saúde do paciente em tempo real. Em geral, um dispositivo como esse não possui uma capacidade de transmissão de dados muito avançada, por isso, as informações são repassadas para o smartphone do usuário, que está sempre com ele. O smartphone, por sua vez, é responsável por organizar essas informações e repassá-las, através da internet, ao sistema hospitalar. Após um pré-processamento, que inclui relatórios sobre o estado de saúde do paciente em questão, o sistema hospitalar envia esses dados para um sistema de armazenamento mais amplo, que pode inclusive fornecer dados ao sistema hospitalar em caso de necessidade. Neste exemplo, o marca-passo e o smartphone estão em uma rede de sensores sem fio que faz parte do ambiente edge computing, o sistema hospitalar é a fog computing e o sistema de armazenamento é a nuvem computacional. Em ambientes nos quais existe integração entre edge/fog/cloud, a coleta, a preservação e até o isolamento de dados tendem a ser mais simplificados. Ambientes edge permitem o acesso aos dispositivos, que podem ser periciados fisicamente. Já ambientes fog tendem a ser geograficamente localizados e passíveis de investigação, fato que pode não ocorrer em uma nuvem computacional fora do país, por exemplo. Apesar de todas as dificuldades para a prática forense, o próprio ambiente de nuvem pode fornecer os meios para a preservação, coleta e análise de evidências. O conceito de forensic-as-a-service (FaaS) especifica um conjunto de serviços e recursos executados no ambiente de nuvem computacional voltados para atender as necessidades de uma investigação forense (veja a figura a seguir). Observação Fraud-as-a-service (FaaS) também é um termo relacionado às nuvens computacionais. É usado por criminosos que produzem softwares utilizados em fraudes e operações ilegais. 141 COMPUTAÇÃO FORENSE Preservação, coleta e análise de evidências Redução e filtragem de dados Geração automatizada de logs e snapshots Controles de segurança Suporte legalFaaS Análise de ambientes virtuais BigData Analytics Multicorrelação Figura 62 – Recursos envolvidos em um modelo FaaS Como pode ser visto na figura, devido ao grande volume de dados disponível nesses ambientes, um modelo como o FaaS costuma ter mecanismos e ferramentas que consigam captar, filtrar e disponibilizar de maneira organizada os dados para investigação. Entre os exemplos de ferramentas que podem ser utilizados em um ambiente voltado para auxiliar os profissionais forenses está o Haddop e suas funcionalidades de Mapreduce, usadas em processos de BigData Analytics. Um processo de BigData Analytics diz respeito à manipulação de grandes conjuntos de dados, com informações de todos os tipos, formatos e procedências. A ideia é extrair dados relevantes e verdadeiros a partir de grandes volumes de forma rápida. Redes sociais, notícias, e-mails, banco de dados, arquivos, entre outros podem ser fonte de dados exploradas e organizadas em um processo de BigData Analytics. O Hadoop (hadoop.apache.org/) é um software open source que realiza processamento distribuído (em vários servidores) e que funciona como um gerenciador de banco de dados não relacional. O Hadoop é composto por diversos módulos. Um deles, o MapReduce, é um sistema usado para processamento paralelo. 6.3 Examinando controles de segurança Controles de segurança como firewalls e SDPI, já citados em tópicos anteriores, podem ser fontes valiosas de informações, pois ao mesmo tempo em que examinam a rede, geram logs com informações sobre os eventos em tempo real. 142 Unidade III 6.3.1 Examinando SDPI SDPI podem atuar como controles de detecção, examinando o tráfego de rede como network intrusion detection (Nids) ou mesmo máquinas em uso como host intrusion detection (Hids), alertando sobre desvios de comportamento (baseado em padrões) ou sobre ameaças conhecidas (baseado em assinaturas). Quando tomam decisões além da simples emissão de alertas, os SDPI são chamados preventivos. Saiba mais Entre os bons exemplos de SDPI estão o Snort (snort.org/), o Ossec (ossec.net/), o Tripwire (tripwire.com/) e o Portsentry (sourceforge.net/ projects/sentrytools/files/) (acessos em: 27 jan. 2021). Um Nids é composto por (1) um equipamento que possui uma interface de rede utilizada para gerenciamento e (2) uma ou mais interfaces de rede para monitoração, que funcionam em modo promíscuo (veja a figura 63). Interface de gerenciamento Portas espelhadas Interfaces de monitoração Console IDSNids Figura 63 – Replicação de portas de switches para monitoramento de Nids Como mostra a figura, em termos de configuração de rede, as portas dos switches devem estar espelhadas, replicando a comunicação das outras portas para monitoramento do Nids. Neste caso, um Nids funciona como um investigador passivo que pode interceptar comunicações entre a vítima e o atacante (veja a figura 64). Monitoramento do Nids Nids Vítima Firewall Hacker Meio compartilhado Figura 64 – Nids funcionando como elemento passivo de captura e análise de tráfego 143 COMPUTAÇÃO FORENSE Perceba na figura que um Nids pode realizar uma série de ações: classificação de informações relevantes, reconstrução dos fluxos de comunicação de rede, análise dos cabeçalhos TCP/IP, análise do protocolo de aplicação, análise de payloads (conteúdo do pacote) e de estados da rede, análise de eventos, análise temporal, emissão de alertas, geração de logs, correlacionamentos e tomada de decisões. Além de tudo isso, um Nids compara ou insere o tráfego coletado e classificado no motor de detecção (engines). A figura 65 mostra um engine de assinaturas de ataques (black/white list): Decodificação Coleta e classificação Motor(es) de detecção Ex. base de assinaturas Log Contramedida Alerta Análise numérica e/ou estatística Figura 65 – Engine de uma base de assinaturas Cada módulo da figura possui um significado, porém, cabem explicações para os dois principais: • Decodificação: processo que transforma os dados capturados em um único formato. Por exemplo, antes da decodificação um dado tinha o formato definido pela linguagem de programação utilizada: /scripts/..%c0%af../ Depois da codificação, o formato foi alterado para sua forma normal: /scripts/../../. Isso significa que o conjunto de caracteres %c0%af foi transformado na sua forma normal, ou seja, “/”. • Análise numérica ou estatística: consiste na análise quantitativa dos dados ou eventos capturados pelo Nids. Compreende a geração de estatísticas e gráficos com tendências que indiquem padrões de comportamentos, previsões com base nos dados analisados, identificação de anomalias que representem desvios de comportamento ou quebra de limite (veja a figura a seguir). 144 Unidade III 00:00 06:00 12:00 18:00 00:00 Padrão 10 27,4 90 59 12 Dia 1 11 29 88 57 11 Dia 2 12 59 91 58 13 Análise/Monitoração e detecção – Análise estatística Alerta de desvio 100 80 60 40 20 0 Figura 66 – Exemplo de anomalia detectada Na figura, constata-se que o alerta do Nids foi gerado devido a um comportamento totalmente diferente do padrão/limite estabelecido. 6.3.2 Examinando firewalls, sniffers e softwares de varredura Firewalls são elementos filtrantes pré-programados que vasculham o tráfego de rede à procura de fluxos de dados maliciosos. Esses controles também realizam outras atividades como network address translation (NAT), roteamento, proxy, hardening, geração de logs, VPN e serviços de autenticação, entre outros. Outros controlesde segurança, como os sniffers, os honeypots e os softwares de varredura, podem ser utilizados tanto para análise e levantamento de evidências, úteis a um administrador de segurança ou profissional forense, como para levantamento de informações para ataques mais sofisticados. Sniffers são programas que varrem a rede de modo passivo, capturando e exibindo os pacotes de dados em formatos padronizados. A partir do resultado de um sniffer é possível saber a quantidade, a categoria, o tipo, o destino, a origem, o tamanho, as características e o conteúdo de cada pacote. Honeypots ou honeynets são redes, servidores, equipamentos ou sistemas desenvolvidos para atrair ataques. Configurados propositalmente para parecerem vulneráveis, esses sistemas são usados para registrar, contabilizar e analisar as tentativas de ataque. Ainda que os resultados sejam analisados bem depois da efetivação dos ataques, esses elementos são considerados controles de detecção e análise. 145 COMPUTAÇÃO FORENSE Observação Não faz parte do objetivo deste conteúdo explicar minuciosamente os ataques aqui descritos. Contudo, como os exemplos utilizados são bem conhecidos, uma busca pela internet pode elucidar eventuais dúvidas. Já os softwares de varredura procuram por vulnerabilidades lógicas em sistemas, servidores, máquinas e redes. A partir do envio de pacotes de dados específicos e da análise das respostas enviadas por cada elemento estudado, os softwares de varredura determinam informações e encontram vulnerabilidades que podem ser exploradas de forma maliciosa. Como dito, todos esses elementos podem ser utilizados para que o profissional forense consiga realizar o levantamento de evidências de forma precisa, principalmente se recorrer ao multicorrelacionamento dos logs gerados. 6.3.3 Examinando alguns ataques clássicos Ataques de flood (inundação) são ataques contra a disponibilidade de servidores ou sites. Em geral, diversos pacotes maliciosos são enviados com o intuito de travar ou deixar o servidor lento. Na forma mais clássica, em servidores web, esse tipo de ataque realiza inúmeras conexões three-hand-shake incompletas com um servidor a fim de exaurir os recursos da vítima, como mostra a figura 67: Ataque SYN Flood 1 conexão pendente do atacante para o servidor Atacante Servidor Segmento 1 SYN SYN Segmento 2 ack Segmento 3 ack Nã o e nv iad o pel o a tac an te Figura 67 – Clássico ataque synflood contra um servidor web Na figura, o servidor fica um tempo esperando o segmento 3, que deveria vir como resposta do cliente. O tempo de espera é curto e consome pouquíssima memória, mas caso inúmeros pacotes desse tipo cheguem, a vítima pode ter problemas para lidar com o ataque. Variações desse tipo de ataque podem surgir, como o envio de flags inválidos ou pacotes malformados. 146 Unidade III As figuras a seguir mostram ataques de flood UDP em curso detectados pelo sniffer TCPDump. “UDP Flood ou Inundação” 10/25-21:10:27.556618 10.0.161.191:4924 -> 10.0.161.49:1935 UDP TTL:128 TOS:0x0 ID:18657 IpLen:20 DgmLen:69 Len: 41 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+= 10/25-21:10:27.556633 10.0.161.191:4924 -> 10.0.161.49:1935 UDP TTL:128 TOS:0x0 ID:18658 IpLen:20 DgmLen:69 Len: 41 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+= 10/25-21:10:27.572232 10.0.161.191:4924 -> 10.0.161.49:1935 UDP TTL:128 TOS:0x0 ID:18659 IpLen:20 DgmLen:69 Len: 41 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+= 10/25-21:10:27.572237 10.0.161.191:4924 -> 10.0.161.49:1935 UDP TTL:128 TOS:0x0 ID:18660 IpLen:20 DgmLen:69 Len: 41 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+= 10/25-21:10:27.572242 10.0.161.191:4924 -> 10.0.161.49:1935 UDP TTL:128 TOS:0x0 ID:18661 IpLen:20 DgmLen:69 Len: 41 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+= 10/25-21:10:27.572256 10.0.161.191:4924 -> 10.0.161.49:1935 UDP TTL:128 TOS:0x0 ID:18662 IpLen:20 DgmLen:69 Len: 41 ......... =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+= 10/25-21:10:27.918248 10.0.161.191:4924 -> 10.0.161.49:1935 UDP TTL:128 TOS:0x0 ID:18751 IpLen:20 DgmLen:69 ........ Figura 68 – Ataque do tipo UDP flood capturado pelo TCPDump (mesmo IP e mesma porta de origem) 147 COMPUTAÇÃO FORENSE “UDP Flood ou Inundação” – Outro exemplo 10/26-07:52:06.590830 10.0.161.249:2638 -> 10.0.161.49:991 UDP TTL:64 TOS:0x0 ID:11069 IpLen:20 DgmLen:81 Len: 53 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+= 10/26-07:52:07.591666 10.0.161.249:2639 -> 10.0.161.49:991 UDP TTL:64 TOS:0x0 ID:10096 IpLen:20 DgmLen:81 Len: 53 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+= 10/26-07:52:08.592526 10.0.161.249:2640 -> 10.0.161.49:991 UDP TTL:64 TOS:0x0 ID:60451 IpLen:20 DgmLen:81 Len: 53 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+= 10/26-07:52:09.593395 10.0.161.249:2641 -> 10.0.161.49:991 UDP TTL:64 TOS:0x0 ID:47457 IpLen:20 DgmLen:81 Len: 53 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+= 10/26-07:52:10.594269 10.0.161.249:2642 -> 10.0.161.49:991 UDP TTL:64 TOS:0x0 ID:38451 IpLen:20 DgmLen:81 Len: 53 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+= 10/26-07:52:11.595121 10.0.161.249:2643 -> 10.0.161.49:991 UDP TTL:64 TOS:0x0 ID:19069 IpLen:20 DgmLen:81 Len: 53 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+= 10/26-07:52:12.595978 10.0.161.249:2644 -> 10.0.161.49:991 UDP TTL:64 TOS:0x0 ID:51908 IpLen:20 DgmLen:81 Len: 53 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+= 10/26-07:52:13.596848 10.0.161.249:2645 -> 10.0.161.49:991 UDP TTL:64 TOS:0x0 ID:23749 IpLen:20 DgmLen:81 Len: 53 ............ Figura 69 – Ataque do tipo UDP flood capturado pelo TCPDump (mesmo IP com porta de origem sequencial) Pode-se perceber que o ataque executado na primeira figura conserva o mesmo IP e porta de origem, enquanto o da figura seguinte conserva o IP, mas gera uma variação sequencial na porta de origem. Trata-se de um spoofing cujo objetivo é dificultar a detecção e o bloqueio do lado da vítima. 148 Unidade III O termo spoofing é uma gíria usada para designar qualquer tipo de falsificação em ataques de rede, IP, portas, endereços físicos etc. Na figura a seguir é possível ver o protocolo TCP sendo usado para um ataque de SYN flood: TCP SYN Flood 04/12-19:11:16.509428 113.90.216.254:1576 -> 10.0.161.69:80 TCP TTL:64 TOS:0x0 ID:53870 IpLen:20 DgmLen:40 ******S* Seq: 0x63C3D47C Ack: 0x24088C6E Win: 0x200 TcpLen: 20 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 04/12-19:11:17.502417 78.152.129.136:1577 -> 10.0.161.69:80 TCP TTL:64 TOS:0x0 ID:2946 IpLen:20 DgmLen:40 ******S* Seq: 0x200099BF Ack: 0x7438936 Win: 0x200 TcpLen: 20 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 04/12-19:11:18.502358 111.97.208.241:1578 -> 10.0.161.69:80 TCP TTL:64 TOS:0x0 ID:40110 IpLen:20 DgmLen:40 ******S* Seq: 0xB33D704 Ack: 0x4AFB1F3C Win: 0x200 TcpLen: 20 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 04/12-19:11:19.502386 249.222.20.29:1579 -> 10.0.161.69:80 TCP TTL:64 TOS:0x0 ID:3668 IpLen:20 DgmLen:40 ******S* Seq: 0x1A379987 Ack: 0x274CE756 Win: 0x200 TcpLen: 20 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 04/12-19:11:20.502346 29.169.220.142:1580 -> 10.0.161.69:80 TCP TTL:64 TOS:0x0 ID:59532 IpLen:20 DgmLen:40 ******S* Seq: 0x6FA19403 Ack: 0x3CC5C0B4 Win: 0x200 TcpLen: 20 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 04/12-19:11:21.502875 128.34.250.206:1581 -> 10.0.161.69:80 TCP TTL:64 TOS:0x0 ID:43862 IpLen:20 DgmLen:40 ******S* Seq: 0x31F776BA Ack: 0x37E4497B Win: 0x200 TcpLen: 20 .............................. Figura 70 – Ataque do tipo TCP SYN flood capturado pelo TCPDump 149 COMPUTAÇÃO FORENSE Na figura, os ataques usam o protocolo TCP para inundar um servidor com pacotes do tipo SYN – veja o “S” nos logs do pacote. As tentativas de ataques de injeção SQL também podem ser rastreadas. Por meio da análise dos
Compartilhar