COMPUTAÇÃO FORENSE Livro-Texto - Unidade III

Prévia do material em texto

109
COMPUTAÇÃO FORENSE
Unidade III
5 INVESTIGANDO SISTEMAS EMBARCADOS
Sistemas embarcados são sistemas eletrônicos digitais, em geral programáveis, incorporados aos 
mais diversos dispositivos de automação, controle ou processamento de dados. Em geral independentes, 
muito mais simples que sistemas de propósito geral (como os computadores), os sistemas embarcados 
costumam executar poucas tarefas, sendo bastante limitados em recursos de processamento, energia e 
memória, já que são construídos com funções específicas. Basicamente são compostos por um circuito 
integrado (unidade de processamento) em uma placa de circuito impresso que executa um software. 
Entre os exemplos de sistemas embarcados estão os videogames, as calculadoras, as urnas eletrônicas, 
os celulares, as impressoras, as placas eletrônicas usadas em automóveis e os eletrodomésticos, entre 
outros (veja a figura 43).
Figura 43 – Veículo terrestre não tripulado da EuroLink Systems 
apresentado na Feira Mundial de Embarcados de 2014
Os dispositivos que abarcam esses sistemas podem interagir com o ambiente à sua volta. Há 
aplicações que exigem que algumas tarefas sejam executadas dentro de um prazo determinado, mesmo 
em dispositivos com sistemas embarcados. Os sistemas indicados para esse tipo de aplicação são chamados 
de sistema de tempo real, justamente por atuarem em sistemas críticos ou que realmente dependam de 
respostas em um tempo determinado. Entre os exemplos de sistemas reais podem ser citados os 
sistemas para monitoramento de pacientes e para veículos autônomos e aplicações responsáveis pelo 
controle de plantas industriais. Apesar de esse tipo de interação conferir funcionalidades adicionais a 
esses equipamentos, eventuais análises forenses podem ser prejudicadas.
110
Unidade III
Por exemplo, em alguns carros sofisticados, sensores detectam a ocorrência de gotas d’água da chuva 
e acionam automaticamente o limpador de para-brisa. Porém, muitas vezes esse simples acionamento 
apaga todo o histórico de execuções anterior, dificultando uma eventual investigação.
Neste conteúdo, o termo genérico usado será sistema embarcado, mas, na verdade, o termo 
embarcado é uma subcategoria do termo sistema embutido. Além deste, também existem os 
sistemas integrados.
Sistemas integrados são compostos pela junção hardware e software e se assemelham muito a um 
computador de uso geral, porém, é uma adaptação que cumpre funções mais específicas. Um exemplo 
é o caixa de um supermercado, que executa algumas funções e controla alguns periféricos. Como a 
arquitetura é a mesma dos computadores convencionais, as técnicas forenses já mencionadas servem 
para análise desses sistemas.
Já os sistemas embutidos são incorporados fisicamente aos dispositivos. Não são, portanto, 
adaptações de computadores de uso geral, são projetados desde o início para tarefas muito específicas. 
Os sistemas embutidos são os que mais se aproximam da definição inicial dada sobre embarcados: 
são dotados de recursos mínimos de processamento, memória e armazenamento, sendo que alguns 
desses sistemas interagem com o ambiente por meio de sensores. Um exemplo é o sistema interno 
das smart TVs.
A internet foi um motivador para a criação de interfaces web para muitos sistemas embarcados. 
A vantagem disso é que essas interfaces são menos complexas e permitem economia de recursos. 
Contudo, pode-se perceber que pelas características desses sistemas a complexidade das análises 
periciais é bem maior que aquelas realizadas em computadores.
Os veículos terrestres (automóveis, caminhões, motos e afins) vêm aumentado significativamente o 
uso de dispositivos embarcados. São módulos computadorizados que controlam um ou mais sistemas 
dos veículos. Esses módulos coletam informações, recebem comandos, disponibilizam dados, fazem 
cálculos, enviam instruções a outros sistemas e tomam decisões. Estão ligados, por exemplo, a itens 
relacionados ao conforto, à segurança, à tração e ao entretenimento.
 Observação
Componentes embarcados estão presentes em diversos equipamentos. 
Neste conteúdo, o assunto tem por base os veículos simplesmente 
porque podem ser formulados exemplos de problemas e de soluções 
durante a investigação.
Um dos problemas do crescimento de componentes eletrônicos nos veículos é justamente o aumento 
da complexidade dos softwares que realizam esse tipo de controle. Grande parte da inovação – e, 
consequentemente, do custo – de um veículo está na eletrônica embarcada. Programas mais complexos 
podem resultar em problemas mais difíceis de serem resolvidos e em dificuldades na obtenção de dados 
111
COMPUTAÇÃO FORENSE
e na manutenção. Além disso, por aceitarem conexões remotas, esses sistemas estão sujeitos a acesso e 
uso indevido por entidades não autorizadas – invasão ou paralização, por exemplo.
 Lembrete
Há cinco etapas primordiais da atividade forense: (1) identificação; 
(2) isolamento; (3) registro; (4) coleta; e (5) preservação.
5.1 Desafios da computação forense nos sistemas embarcados
A perícia forense em sistemas embarcados contém alguns desafios.
Na análise forense tradicional, aplicada sobre um computador, por exemplo, há uma quantidade 
cada vez maior de dados que são processados. Por isso, há técnicas padronizadas que permitem a análise 
e a extração dessas informações. Apesar de existirem métodos para a extração de dados de sistemas 
embarcados, até pelas restrições desses sistemas, a quantidade de informações pode ser baixa.
A falta de padronização dos componentes eletrônicos (vários fabricantes) também é um fator 
nocivo para a perícia forense. As vias de acesso aos dados e as variáveis usadas podem não ser as 
mesmas, dependendo do fabricante.
Por sofrer influência do ambiente em que está inserido, a análise de um sistema embarcado requer 
que ele seja analisado durante o funcionamento. Isso pode ser ruim, pois a própria análise tende a 
influenciar os resultados, prejudicando uma das etapas primordiais da atividade forense: a preservação.
Além da dificuldade na preservação do estado e dos dados de um sistema embarcado, algumas falhas 
desses componentes são intermitentes. Falhas intermitentes ocorrem quando, devido à interação do 
componente com o ambiente, um determinado conjunto de situações gera o problema. A dificuldade na 
identificação do problema está justamente no fato de o problema parar quando as situações específicas 
que o geraram cessam. Esse é mais um dos motivos pelos quais sistemas embarcados devem passar por 
perícia forense enquanto estiverem funcionando.
Exemplo da dificuldade da preservação de evidências: o simples fechamento da porta de um veículo 
com diversas funções eletrônicas controladas por um sistema embarcado pode apagar uma série de 
evidências que estavam gravadas, prejudicando a etapa de preservação. Informações sobre quais 
portas estavam abertas ou se o carro estava ligado antes do fechamento podem ser substituídas pela 
informação de que as portas agora estão fechadas. As restrições nos recursos desses sistemas, fruto da 
miniaturização e da especificidade desses equipamentos, colabora para isso.
Exemplo de falha intermitente: imagine um componente eletrônico que controle automaticamente 
a maciez da suspensão de um veículo. Suponha que esse sistema seja influenciado pela trepidação 
do veículo contra o solo. Se um componente mecânico do veículo, como o escapamento, estiver mal 
acoplado ou trepidando demais, isso pode influir na leitura do sistema, levando-o a controlar a suspensão 
112
Unidade III
de forma errada. Perceba que o desligamento do carro não permite que o problema seja detectado. Isso 
dificulta bastante o trabalho do perito forense, que percebe a intermitência do problema, mas não sabe 
exatamente o porquê de ela ocorrer.
Diante dos desafios presentes na análise forense de embarcados há algumas soluções gerais que 
podem ser adotadas.
Verificar com o fabricante se há instrumentos e ferramentas específicas que permitam a extração 
e a análise dos dadosde um determinado sistema embarcado é uma ação simples, mas muitas vezes 
esbarra em segredos industriais protegidos pelo fabricante ou em componentes fornecidos por terceiros 
que contêm poucas especificações.
A memória RAM de um componente embarcado é bastante valiosa, pois nela estão informações 
atuais que são evidências essenciais para a investigação. Porém, essas informações tendem a ser voláteis 
e de difícil acesso. A figura a seguir mostra os dois lados de uma memória do tipo flash.
Figura 44 – Dois lados de uma mesma memória do tipo flash
Na figura, um dos lados da memória (esquerdo) mostra as terminações dos circuitos integrados, 
que podem estar soldados à placa, fato que impossibilitaria um acesso elétrico à memória. Na verdade, 
a retirada da memória da placa, o acesso e a leitura dos dados diretamente pelos circuitos elétricos 
da memória, já é, por si só, uma tarefa extremamente complexa que pode danificar os componentes, 
devendo ser deixada a cargo de especialistas.
5.2 Registradores embarcados em veículos
Em relação aos veículos, há um equipamento chamado Event Data Recorder (EDR), criado 
exatamente para registrar eventos gerados pelos componentes embarcados. As especificações dos EDR 
são criadas pelos fabricantes e é difícil dizer a capacidade de cada um deles. Eles são muito usados 
como equipamentos de auditoria e rastreamento, da mesma forma que as famosas caixas-pretas das 
aeronaves. Em geral, esses equipamentos gravam dados relativos aos últimos cinco segundos antes de 
um acidente – por esse motivo, costumam estar associados aos módulos de controle dos airbags ou 
do motor. Pode parecer pouco tempo, mas os dados recolhidos podem ajudar muito nas investigações 
sobre um acidente. Entre os exemplos de dados registrados pelo EDR estão informações sobre a posição, 
113
COMPUTAÇÃO FORENSE
velocidade e direção do veículo, o estado e valores de diversas variáveis do veículo, os assentos ocupados, 
a posição dos controles etc.
Os EDR podem ser úteis para os profissionais forenses, contudo, os fabricantes costumam dificultar 
o acesso aos dados com a alegação de garantir a confidencialidade de segredos industriais contidos nos 
sistemas embarcados e no próprio EDR. Na verdade, os fabricantes não possuem qualquer interesse em 
ver os dados de seus próprios veículos apontando falhas ou erros de projeto, por isso há tantas restrições 
a esse tipo de acesso.
Nos Estados Unidos, a lei determina que os fabricantes não podem dificultar o acesso aos dados 
presentes nos EDR, sendo que para veículos novos devem ser disponibilizados sistemas que permitam a 
captura dos dados no prazo de seis meses. Um software de uso geral, usado para captura dos dados dos 
EDR, é o Crash Data Retrieval (CDR), fabricado pela Bosch (veja a figura 45).
Figura 45 – Interface do software CDR da Bosch
O CDR é um módulo (em verde na figura) que possui cabos e conexões aos sistemas embarcados 
de um veículo e um computador. Funciona sob o sistema operacional Windows e pode ser utilizado em 
exames locais ou em laboratório. O CDR funciona mesmo quando um veículo acidentado não pode ser 
ligado ou quando o EDR não funciona – neste caso, o equipamento pode ser acoplado diretamente 
ao CDR, porém, deve-se atentar para a retirada cuidadosa do EDR do veículo, já que essa ação pode 
prejudicar o funcionamento do componente, inviabilizando a preservação dos dados.
A respeito da extração das evidências de um EDR, é interessante notar que, isolados, esses dados 
não são uma prova definitiva sobre o que aconteceu. Isso ocorre porque mesmo dados eletrônicos 
precisos podem conter imperfeições. Por exemplo, a velocidade extraída do EDR pode ser reativa ao 
giro da roda, e não à velocidade real do veículo. Por esse motivo, os dados extraídos devem ser usados 
como vestígios, que em conjunto com outras informações e dados vão formar evidências mais robustas 
e provas. Circunstâncias externas, como marcas de frenagem da pista, ângulo da batida, marcas no 
veículo, entre outras evidências, também devem ser avaliadas em conjunto com os dados do EDR.
Uma constatação sobre todos esses dados gerados pelos sistemas embarcados dos veículos é que, 
diferentemente de sistemas cibernéticos/computacionais, é preciso a presença de um profissional forense 
que também seja perito em eletrônica, já que esse conhecimento é imprescindível para o manuseio 
desses sistemas formados por microprocessadores e microcontroladores.
114
Unidade III
 Observação
Um microprocessador (ou processador) é um circuito integrado (chip) 
que realiza cálculos e toma decisões. Está presente em smartphones, em 
placas-mãe e em uma série de dispositivos.
Um microcontrolador pode ser programado para várias funções, pois 
contém processador, memórias e periféricos. Ele é embarcado no dispositivo 
e controla várias ações de veículos, eletrodomésticos e máquinas.
As figuras a seguir mostram um microprocessador AMD FX 8310 e um microcontrolador Motorola.
Figura 46 – Microprocessador AMD FX 8310
Figura 47 – Microcontrolador Motorola. 
O chip com o microprocessador está no centro
115
COMPUTAÇÃO FORENSE
Os microcontroladores são reprogramáveis, ou seja, é possível alterar sua programação 
constantemente. Contudo, para que isso não seja feito por qualquer pessoa, alguns equipamentos 
contêm a segurança baseada em tamper-proof. O tamper-proof garante que um equipamento, 
dispositivo ou circuito eletrônico não possa ser aberto e acessado fisicamente. Em geral, há mecanismos 
físicos que quebram ou queimam o circuito, caso alguém queira acessá-lo fisicamente. Maquininhas 
de cartão de crédito, módulos EDR e alguns circuitos eletrônicos são exemplos de equipamentos que 
podem conter tamper-proof. A figura a seguir mostra outro exemplo, no qual uma etiqueta é usada para 
garantir a inviolabilidade de uma embalagem. Perceba que caso a etiqueta seja retirada, as marcas que 
ficam deixam clara a tentativa de acesso à embalagem.
Figura 48 – Etiqueta que garante o tamper-proof
A presença de tantos componentes eletrônicos nos equipamentos cotidianos das pessoas é uma 
via de mão dupla. Ao mesmo tempo em que fornecem segurança, desempenho e conforto, esses 
equipamentos podem trazer problemas ao serem manipulados maliciosamente por atacantes ou até 
pelos fabricantes.
Um exemplo de como componentes eletrônicos embarcados presentes nos veículos podem ser 
manipulados pelos fabricantes é o escândalo Volkswagen-Diesel de poluição (‘DIESELGATE’..., 2015; 
DIESELGATE..., 2019). Frente a uma série de acusações da Agência Ambiental Americana, iniciadas ainda 
em 2015, a Volkswagen admitiu ter fraudado os dados de cerca de 11 milhões de veículos por meio da 
manipulação do software responsável por gerar os dados de poluição diesel. Os valores de poluição 
gerados para o elemento óxido de nitrogênio (NOx) nos motores eram até 40 vezes mais altos que os 
apontados pelos limites legais.
A fraude atingiu outras marcas do grupo Volks, como Audi, Porsche, Seat e Skoda. A justiça considerou 
culpados diversos dirigentes e engenheiros. As indenizações em 2018 e 2019 chegaram a € 2,335 bilhões, 
mas o caso ainda não foi fechado, pois a fraude se estendeu para diversos países, inclusive para o Brasil, 
e há uma série de prejudicados exigindo indenizações.
116
Unidade III
A repercussão do caso foi tão grande que outras montadoras admitiram fraudes e fizeram acordos 
para indenizar os prejudicados.
Desde que estejam conectados a alguma rede, de preferência à internet, atacantes sempre 
podem encontrar vulnerabilidades e manipular sistemas embarcados em veículos, equipamentos 
como marca-passos e até aeronaves. Um exemplo de ataque de controle remoto malicioso de 
veículos é o teste realizado por dois atacantes dirigido a um veículo Jeep Cherokee 2014 da Chrysler 
(DE LONGE..., 2015; GREENBERG, 2015).
No teste, os atacantes conseguiram enviar comandos aos sistemas embarcados através da conexão 
à internet que o modelo possui. Os ataques foram direcionados inicialmenteaos sistemas de rádio, 
buzina e ar-condicionado. Contudo, o teste também provou ser possível o corte no sistema de freios, 
na transmissão e no acelerador com o veículo em movimento. A direção também pode ser controlada 
quando o veículo está na marcha a ré.
A vulnerabilidade que permitiu o teste de ataque estava no sistema multimídia Uconnect, que possui 
acesso à internet e permitiu a reescrita do código do chip do sistema de entretenimento. De lá, os 
atacantes conseguiram enviar comandos para outras centrais que acionam partes mecânicas do veículo.
5.3 Investigando equipamentos mobile
Onipresentes no dia das pessoas, os equipamentos móveis/portáteis, aqui chamados mobiles, são 
tão utilizados nas tarefas cotidianas que se tornaram registradores das atividades e comportamentos da 
sociedade. Fotos, mensagens, aplicativos usados, localização, agendas, contatos, enfim, qualquer recurso 
usado gera dados que são evidências úteis em uma eventual investigação. A ideia principal aqui é 
apresentar as formas mais concretas para que se consiga extrair e analisar vestígios preservando os dados.
5.4 Contextualizando os dispositivos mobile
Ainda que a investigação dos aparelhos mobile seja um tanto específica, o básico da análise forense 
continua valendo. O profissional forense deve buscar recolher e analisar evidências sobre quem está 
envolvido em um eventual crime cometido com aquele aparelho; o que houve e foi considerado crime; 
quando as ações investigadas aconteceram; como e em quais circunstâncias o delito foi cometido; 
e finalmente onde o crime foi consumado (aparelho, local etc.). Os resultados da investigação devem 
ser documentados e todos os cuidados com a coleta, preservação e veracidade dos dados continuam 
importantes nesse tipo de investigação.
Apesar de existirem outras definições, aqui vamos entender como parte da categoria mobile os 
aparelhos de uso pessoal que podem ser transportados pelos usuários. Entram nessa categoria 
os celulares, aparelhos global postion system (GPS), leitores de e-books, personal digital assistance 
(PDA), smartphones, tablets e eventuais dispositivos que possuam memória ROM não removível. 
Evidentemente, os dispositivos mobiles também possuem capacidade para comportar memória ROM 
removível adicional, na forma de cartões ou pen drives, porém essa distinção serve justamente para 
diferenciar de equipamentos mais robustos, como os notebooks, que se enquadram na categoria de 
equipamentos computacionais.
117
COMPUTAÇÃO FORENSE
O foco das análises forenses recai sobre os celulares, smartphones e tablets, que são computadores 
de bolso com acesso à rede de telefonia e de dados (internet) e constituem a maioria absoluta das 
necessidades de análise forense.
Duas características dos smartphones são a grande quantidade de fabricantes e a vida útil curta 
que esses aparelhos possuem. Isso se deve ao avanço constante da tecnologia, aliado a altas doses 
de marketing, que levam os consumidores à troca e atualização constante dos dispositivos. Apesar de 
também haver uma variedade de sistemas operacionais, nos últimos anos o padrão tem se estabelecido 
em torno de Android (Google), iOS (Apple) e, em medida menor, Windows Phone (Microsoft). Esses 
sistemas também passam por variações constantes, fato que acaba por dificultar as análises forenses, 
que também precisam ser atualizadas de acordo com a versão do sistema utilizado.
Há várias tecnologias usadas para transmissão de sinais de rádio usadas pelos dispositivos mobile: 
Time Division Multiple Access (TDMA), Code Division Multiple Access (CDMA), Global Systems for Mobile 
Communications (GSM), Universal Mobile Telecommunications System (UTMS) e Integrated Digital 
Enhanced Network (iDEN), entre outras. Da mesma forma, para a transmissão de dados há tecnologias 
nativas desses dispositivos, que podem ser utilizadas para a transmissão de dados (acesso à internet) 
de forma alternativa ao WiFi, que aliás também é suportado nestes aparelhos: General Packet Radio 
Service (GPRS), Enhanced Data Rates for GSM Evolution (EDGE), Wideband Code Division Multiple 
Access (WCDMA), High Speed Downlink Packte Access (HSDPA) e Long Term Evolution (LTE) – esta última 
compatível com as tecnologias 4G e 5G. Muitas vezes, nas investigações cotidianas, é importante para 
o profissional forense entender minimamente as formas de transmissão usadas.
5.5 Identificando dispositivos mobile
Em se tratando da identificação de aparelhos para fins forenses, um item que liga os aparelhos 
à tecnologia de transmissão é a presença de cartões do tipo subscriber identity module (SIM), 
popularmente chamados de chips de celulares.
Esses cartões (veja a figura a seguir) são encontrados nos tamanhos SIM (1FF), Mini SIM (2FF), Micro 
SIM (3FF) e NanoSIM (4FF) e estão presentes em todos os aparelhos, exceto nos mais antigos, com 
tecnologia TDMA ou CDMA. Os mais usados atualmente são os menores, do tipo 4FF.
Figura 49 – Cartões SIM de diferentes tamanhos
118
Unidade III
É importante diferenciar cartões SIM, mostrados na figura anterior, de cartões de memória, usados 
para expandir a memória ROM dos aparelhos mobile. Os cartões de memória (veja a figura 50) também 
contam com diversos tamanhos, porém os mais usados nos aparelhos atuais são os menores (MicroSD).
Figura 50 – Cartões de memória do tipo flash usados em dispositivos mobile
Cartões SIM possuem duas funcionalidades: (1) aquela que permite a associação do aparelho mobile 
com a operadora e a linha telefônica; e (2) aquela que permite a recepção/transmissão de sinais de 
rádio. A associação entre a linha telefônica (fornecida pelas operadoras) com os aparelhos portadores 
de cartões SIM se dá por meio do eletronic serial number (ESN), um número identificador de 32 bits. 
Os 14 primeiros números de ESN indicam o fabricante, enquanto os restantes compõem um identificador 
do aparelho.
Além dessas identificações, um cartão SIM também possui o integrated circuit chip identifier (ICCID), 
um número único de 19 a 20 algarismos (veja a figura 51).
Figura 51 – ICCID de um cartão SIM
Na figura pode ser visto um ICCID impresso no cartão SIM (19 primeiros dígitos). Os dois primeiros 
números (89) indicam que ele faz parte da categoria de telecomunicações; os próximos 1 a 3 dígitos 
indicam o código do país; os próximos 1 a 4 dígitos indicam a operadora; os demais são um número 
serial do cartão, exceto o algoritmo final, que é um dígito verificador calculado.
119
COMPUTAÇÃO FORENSE
 Saiba mais
No site a seguir é possível consultar números ICCID, identificando a 
operadora a que o cartão pertence:
INTERNATIONAL NUMBERING PLANS. Analysis of SIM card numbers. 
[s.d.]b. Disponível em: numberingplans.com/?page=analysis&sub=simnr. 
Acesso em: 21 jan. 2021.
Cartões SIM possuem um código de bloqueio de quatro dígitos chamado personal identification 
number (PIN). Também há um código definido e repassado ao proprietário pela operadora denominado 
personal unblocking key (PUK). Se o código PIN for incorretamente inserido por três vezes, só é possível 
o desbloqueio por meio da inserção do código PUK. Se o PUK for inserido com erro por dez vezes, o 
cartão SIM fica inutilizado definitivamente. Em geral, esses códigos (PIN e PUK) estão impressos na 
embalagem plástica que acomoda o cartão SIM (veja a figura a seguir).
Figura 52 – Embalagem de cartão SIM com códigos PIN e PUK
O international mobile subscriber identify (IMSI), composto de 15 dígitos, é outro número 
identificador gravado na memória interna do cartão SIM, em geral usado pelas operadoras.
Algumas ferramentas forenses permitem a criação do cellular network isolation card (CNIC), 
um clone do cartão SIM que conserva os mesmos ICCID e IMSI originais, porém, sem agenda, dados de 
telefonia, chamadas e short message service (SMS). A vantagem do CNIC é que o aparelho se mantém 
isolado da rede, sem as chaves PIN e PUK. Com isso, o profissional forense pode acessar o mobile sem 
ser notado e com a preservação dos dados.120
Unidade III
Outra identificação importante é o international mobile station equipment identity (Imei), 
composto por 15 dígitos, que está gravado na memória interna do aparelho mobile e serve para 
identificá-lo (veja a figura 53).
Figura 53 – Etiqueta com o Imei de um celular colada atrás da bateria
Em aparelhos mobile cuja bateria pode ser removida, há uma etiqueta onde podem ser encontradas 
informações como as da figura que acabamos de apresentar. Em outros aparelhos, nos quais não há 
possibilidades de remoção da bateria, como os da Apple, o código do modelo, seguido do Imei, está 
impresso na parte de trás ou no suporte do cartão SIM. Segundo a Agência Nacional de Telecomunicações 
(Anatel), uma forma de verificar o número Imei é digitar *#06# no celular e apertar a tecla para ligar 
(NASCIMENTO, 2020).
De posse dos primeiros oito dígitos do Imei é possível identificar a marca e o modelo de um aparelho 
mobile. Isso é muito bom para que o profissional forense consiga prosseguir com a investigação, já que 
nem todas as ferramentas forenses funcionam com todas as marcas/modelo. Esse tipo de consulta pode 
ser realizado tanto em sites especializados como em ferramentas forenses. Contudo, certos cuidados 
devem ser tomados contra a falsificação de números Imei.
Apesar de todos esses identificadores serem úteis para identificação dos dispositivos, operadoras, 
linhas e usuários em caso de roubos, fraudes e na própria perícia forense, em alguns casos a obtenção 
de informações pode ser bastante complexa.
5.6 Coletando evidências em dispositivos mobiles
Para a coleta de evidências em cartões SIM há ferramentas forenses específicas, já que se tratam de 
cartões inteligentes (smartcards) protegidos por criptografia. Um cartão SIM contém agenda, mensagens 
de texto SMS, registro de chamadas (sem data e hora), além de uma série de outras informações sobre 
telefonia e números identificadores diversos como ICCID e IMSI.
Assim como em equipamentos computacionais, cuidados com a identificação e extração de evidências 
físicas nos dispositivos mobiles também são essenciais.
121
COMPUTAÇÃO FORENSE
Devido às telas sensíveis, em geral, os smartphones contêm vestígios físicos que podem ser úteis 
para a identificação dos usuários, como material genético usado na identificação do DNA e impressões 
digitais. Mesmo vestígios de padrão de senhas geométricas realizadas com os dedos podem ser 
descobertas frente a uma análise cuidadosa.
Dados voláteis só se mantêm enquanto o mobile estiver ligado. Frente ao fato de que o investigador 
não costuma ser o dono do aparelho investigado, os dados da memória RAM são mais difíceis de serem 
capturados por um investigador. Contudo, ainda há carência de métodos e ferramentas para a captura 
automatizada de logs e conteúdo de memória. Entre as recomendações está o isolamento do aparelho 
da rede de telefonia para evitar apagamento de dados de forma automática/remota.
A figura a seguir mostra uma classificação usada para as formas de extração e coleta de dados de 
meios voláteis:
Avançada
Física
Lógica
Manual
Figura 54 – Classificação das formas de extração de dados em memória volátil de mobiles
Quanto mais os níveis de classificação para a extração de dados mostrados na figura estão próximos 
ao topo, mais tecnologia é necessária no processo de coleta.
A extração manual é a mais básica e não requer conhecimentos avançados. Consiste na execução de 
processos do próprio aparelho para a identificação de dados que estão na memória. O perito manuseia o 
celular por meio de aplicativos e funções de configuração com o intuito de coletar evidências da memória 
RAM. Em geral, é um processo demorado e perigoso, com grandes riscos à preservação dos dados. Deve, 
portanto, ser executado apenas em último caso, com a transcrição ou foto das evidências recolhidas.
Já a extração lógica é aquela que faz uso de dispositivos ou softwares forenses para a extração 
das evidências. A conexão de dispositivos pode ser feita por meio de adaptadores, conexão USB ou 
mesmo remotamente via Bluetooth. Esse tipo de extração funciona de forma semiautomática, com as 
ferramentas enviando comandos e recebendo dados através das application programming interfaces 
(API) do sistema operacional. Mesmo com o uso de programas e dispositivos, nesse tipo de análise, dados 
apagados não são recuperados.
122
Unidade III
Há uma variante da extração lógica que captura os dados diretamente do sistema de arquivos do 
mobile, chamada file system dump, por meio de API específicas. Com isso, a estrutura de diretórios e 
arquivos presentes no mobile é replicada em um arquivo compactado, que pode ser investigado mediante 
algumas decodificações. A vantagem desse método é que eventuais informações recentemente apagadas 
e ainda não sobrescritas podem até ser recuperadas.
Quando se faz uma extração física, ferramentas e dispositivos extraem diretamente os dados 
presentes na memória RAM. Uma das vantagens é a recuperação maciça de dados, inclusive de blocos 
não alocados da memória. Uma das desvantagens é que o método gera certo trabalho adicional para a 
montagem das informações da memória de forma coerente.
Uma das formas mais usadas para a extração física da RAM em mobiles é o uso da ferramenta 
hexadecimal dump, que consiste em um bootloader. Esse tipo de ferramenta é enviado para a 
memória RAM e captura os dados fisicamente. Há casos em que a inicialização do sistema operacional 
nem mesmo é necessária. Porém, nem todos os sistemas operacionais aceitam bootloaders. A opção 
passa a ser a instalação de pequenos aplicativos temporários que vão permitir esse tipo de extração, 
com a desvantagem de alterarem um pouco o ambiente interno do aparelho. Uma boa documentação 
de todo o processo pode compensar esses contratempos.
Outra técnica é a JTAG extraction, que é o acesso físico ao circuito integrado da memória do 
aparelho. Isso acontece a partir de pontos de acesso previamente estabelecidos no dispositivo e permite 
que os dados sejam eletronicamente transferidos. A técnica, contudo, exige a desmontagem do aparelho 
para que se tenha acesso aos componentes da placa do mobile.
A extração avançada é a que requer mais conhecimentos prévios de eletrônica do profissional 
forense. A ideia é remover a memória RAM (o circuito integrado) da placa de circuito impresso (placa-mãe) 
do dispositivo. Na técnica chip-off, o conteúdo da memória removida é lido bit a bit com a ajuda de 
um dispositivo próprio para isso. O problema dessa técnica é que ela requer engenharia reversa (sempre 
trabalhosa) para ordenar os dados binários brutos resultantes do processo. Também existe uma técnica 
mais avançada denominada micro read, que consiste na leitura do estado de cada porta lógica do 
circuito integrado de memória RAM. Isso deve ser feito com um microscópio eletrônico, equipamento 
e especialistas com conhecimento profundo em hardware, o que significa um custo altíssimo. Por essa 
razão é que esse tipo de análise só é recomendado quando a investigação é essencial.
 Observação
De acordo com Velho et al. (2016), até 2016 não havia nenhum órgão 
de segurança pública utilizando esse tipo de técnica, seja pela ausência de 
ferramentas e especialistas, seja pelo custo.
Sistemas de sincronização de conteúdo entre celulares, computadores ou nuvens computacionais 
podem ser muito úteis ao investigador caso sejam adequadamente configurados antes de uma 
123
COMPUTAÇÃO FORENSE
eventual investigação. O cuidado que deve ser tomado nessas operações diz respeito à sobreposição de 
informações importantes durante esses processos.
Os cartões de memória removíveis devem seguir os mesmos procedimentos definidos para as mídias 
computacionais. Devem ser isolados, identificados, documentados e ter a escrita bloqueada e devem ser 
extraídos dos aparelhos com o máximo de cuidado, principalmente se a operação for realizada in loco. 
Como podem conter evidências que podem ser importantes para a investigação, os cartõesde memória 
podem ser duplicados (backup) para a garantia de segurança.
Contudo, apesar de todas essas recomendações, a simples apreensão de um aparelho mobile não 
garante o acesso a todos os dados que ele contém. Tendo em vista que o número da linha telefônica 
não fica necessariamente gravado no smartphone ou no cartão SIM, é difícil para o profissional forense 
saber exatamente a qual número um aparelho está associado. A situação piora, tendo em vista que um 
usuário pode solicitar à operadora que troque o seu número telefônico.
Solicitações sobre qual é o número de uma linha telefônica podem ser feitas às operadoras a partir 
da apresentação ICCID ou do IMSI. Contudo, há um entrave importante nesse processo.
O art. 17-B da Lei n. 12.683/2012 e o art. n. 15 da Lei n. 12.850/2013 expressam que as autoridades “[...] 
terão acesso, exclusivamente, aos dados cadastrais do investigado que informam qualificação pessoal, 
filiação e endereço, independentemente de autorização judicial, mantidos pela Justiça Eleitoral, pelas 
empresas telefônicas” (BRASIL, 2012a; 2013). Ambas as leis tratam sobre a liberação de informações 
telefônicas sem autorização judicial e são relacionadas à lavagem de dinheiro e ao crime organizado. 
Por isso, para investigações que não envolvem esses crimes específicos, algumas operadoras podem se 
recusar a fornecer esse número sem uma ordem judicial.
 Saiba mais
Conheça essas leis na íntegra.
Sobre lavagem de dinheiro:
BRASIL. Lei n. 12.683, de 9 de julho de 2012. Brasília, 2012a. Disponível em: 
planalto.gov.br/ccivil_03/_Ato2011-2014/2012/Lei/L12683.htm. Acesso em: 
21 jan. 2021.
Sobre organizações criminosas:
BRASIL. Lei n. 12.850, de 2 de agosto de 2013. Brasília, 2013. Disponível em: 
planalto.gov.br/ccivil_03/_ato2011-2014/2013/lei/l12850.htm. Acesso em: 
21 jan. 2021.
124
Unidade III
Uma solução razoável para o problema da demora da obtenção do número de uma linha telefônica 
na justiça é acoplar o cartão SIM do celular investigado a um outro aparelho especial, sem informações 
armazenadas em seu interior, dedicado exclusivamente para esse fim. Em seguida, basta uma ligação para 
algum serviço identificador de chamadas para a obtenção do número da linha. Todavia, é importante 
que assim que possível o aparelho seja desligado para evitar maiores contaminações ao cartão SIM 
original. Também é preciso ressaltar que todo o procedimento deve ser documentado de acordo com as 
melhores práticas sugeridas na análise forense.
Além desses problemas, em caso de apreensão de dispositivos mobile há diversos cenários que 
podem ocorrer e prejudicar o curso das investigações, cada um com suas próprias peculiaridades. O fluxo 
ilustrado na figura a seguir mostra três cenários de extração de dados de aparelhos mobile: (1) mobile 
ligado e desbloqueado; (2) mobile ligado e bloqueado; e (3) mobile desligado.
Encaminhar para 
exame
Documentar e 
finalizar coleta
Bateria 
removível?
Bloqueado 
por senha?
Modo avião
Desativar 4G, WiFi, 
Bluetooth e GPS
Documentar data e 
hora (foto)
Conectar 
carregador
Desativar 
autobloqueio 
Ativar USB 
debugging
Desligar mobile
Remover cartões 
SIM e memóriaRemover a bateria
Solicitar senha e 
número do fone ao 
proprietário
Bloqueado 
por senha?
Mobile apreendido
Ligado?
NÃO
NÃO
NÃO
NÃO
SIM
SIM
SIM
SIM
Figura 55 – Fluxo de extração de dados de mobile
125
COMPUTAÇÃO FORENSE
5.6.1 Mobile ligado e desbloqueado
Se um smartphone estiver ligado e desbloqueado, uma análise sobre o conteúdo das mensagens, 
aplicativos usados, ligações, contatos e afins é extremamente rápida e simples. Porém, a continuidade da 
conexão do aparelho com a internet representa um risco, já que ações remotas, como apagamento 
de mensagens ou sistemas de segurança que apagam dados, podem alterar o estado das evidências. 
Desligar o aparelho, sem antes configurar novas senhas, não é uma opção sensata, pois ele pode ser 
bloqueado na reinicialização.
Os cuidados tomados para esse cenário devem seguir uma lógica voltada para a preservação.
• A primeira coisa a ser feita é ligar o aparelho a um carregador para impedir o término abrupto da 
bateria e o desaparecimento de informações presentes na RAM.
• Deve-se também colocar o aparelho em modo avião. Essa ação simples impede eventuais acessos 
maliciosos remotos. Isso também pode ser feito acondicionando o dispositivo em uma sacola de 
Faraday, que impede a chegada e saída de sinais de rádio, isolando o aparelho.
• Desbloqueio de alguns serviços de comunicação não desativados pelo modo avião, como o GPS, 
também são recomendados, já que o apagamento de dados por geolocalização também é possível.
• Em seguida, deve-se verificar se existe uma senha de bloqueio configurada; se houver, deve-se 
eliminá-la. Com isso, se houver necessidade, é perfeitamente possível desligar o aparelho para 
uma análise posterior em laboratório.
• Bloqueios automáticos ativados por tempo de inatividade devem ser cancelados ou colocados no 
tempo máximo. A ideia é impedir a necessidade de recolocação de senhas.
• Se o sistema operacional do mobile permitir, deve ser acionado o modo USB debugging usado 
para acesso físico à memória do sistema.
5.6.2 Mobile ligado e bloqueado
Quando o aparelho está ligado, mas bloqueado, é importante colocar o mobile em modo avião ou 
em uma sacola de Faraday para evitar a propagação de sinais de rádio. Em seguida, é importante anotar 
a data e o horário exibidos no aparelho, anotando qualquer discrepância com o horário real.
O próximo passo é desligar o aparelho e retirar sua bateria. Como modo avião não desativa funções de 
GPS e eventuais ações remotas, como apagamento de dados, elas podem funcionar com geolocalização. 
A remoção da bateria evita que o aparelho inicialize automaticamente por meio de alarmes temporais 
previamente configurados ou simplesmente pelo aperto acidental do botão de ligar. Caso não seja 
possível a retirada da bateria (aparelhos com baterias não removíveis), deve-se retirar todos os cartões 
SIM e de memória para impedir reconexões indevidas à rede de telefonia (SIM).
126
Unidade III
5.6.3 Mobile desligado
A recomendação para aparelhos desligados é a retirada da bateria para evitar inicializações 
automáticas. A retirada dos cartões SIM também é importante, pois garante que em caso de inicialização 
não aconteçam reconexões à rede de telefonia. Cartões de memória também devem ser retirados. Caso 
a inicialização do aparelho seja inevitável, o ideal é impedir a propagação de sinais usando uma sacola 
de Faraday ou bloqueadores de sinais chamados radio jammers.
A figura a seguir mostra um fluxo para a extração de dados de cartões SIM, bem mais simples que o 
mostrado na figura 56:
Documentar 
extração
Documentar 
ICCID e 
operadora
Solicitante do 
exame deve 
contatar a 
operadora
Efetuar leitura 
direta SIM em 
ferramenta 
forense
Testar código 
padrão da 
operadora
Clonar SIM para 
uso no exame 
do aparelho 
(se presente)
CARTÃO SIM 
apreendido
Bloqueado 
PUK?
Bloqueado 
PIN?
Mais 1 
tentativa?
Desbloqueado?
NÃO
NÃO
NÃO
NÃO
SIM
SIM
SIM
SIM
Figura 56 – Fluxo com a extração de dados em cartões SIM
127
COMPUTAÇÃO FORENSE
5.7 Documentação das evidências de um mobile
Documentar todos os procedimentos relacionados às investigações e evidências extraídas de qualquer 
cenário é muito importante. Porém, a documentação das evidências de aparelhos mobile ganham mais 
importância ainda devido às características desses aparelhos e seus componentes.
Em investigações é comum que haja uma grande quantidade de aparelhos que devem passar 
por investigação. Componente retirados, como cartões SIM, baterias, cartões de memória, entre 
outros, são pequenos e fáceis de serem misturados entre os aparelhos ou mesmo de serem perdidos. 
Por isso, a documentação deve ser rigorosa – deve-se chegar aos detalhes, como marcar de qual slot 
um cartão SIM foi retirado. Sempre que possível, os componentes devem ser mantidos junto aos 
aparelhoscom documentação fotográfica e/ou escrita, com etiquetas coladas na parte posterior 
do aparelho e dos componentes.
Além dos números identificadores diversos, como ICCID, Imei, operadora e ESN, também deve ser 
anotado o nome do proprietário e o número da linha do aparelho. Em seguida, os aparelhos devem 
passar pelos cuidados já relatados neste tópico, com o adicional que devem ser lacrados e enviados 
para a perícia.
Na verdade, uma das controvérsias sobre a apreensão de aparelhos mobile é a definição sobre 
quais aparelhos serão periciados e quais não serão. Mas a pergunta que fica é: não podem ser todos 
periciados? Devido ao volume de aparelhos e o pouco tempo disponível dos profissionais forenses, o 
assunto se torna relevante. O resultado disso é que periciar todos os aparelhos pode ser um desperdício 
de tempo e dinheiro, já que muitos podem conter informações irrelevantes. Por outro lado, periciar 
apenas uma amostragem pode deixar de fora evidências importantíssimas para a investigação.
Não há uma fórmula mágica para resolver essa questão. Análises prévias nos aparelhos, feitas 
in loco, podem ajudar um pouco na escolha sobre quais aparelhos passarão por uma investigação mais 
apurada. Entretanto, análises assim podem ser superficiais e não demonstrar exatamente quais são os 
aparelhos importantes. Além disso, sempre existe o perigo de que a preservação dos dados não seja 
mantida em uma investigação prévia in loco.
5.8 Ferramentas forenses recomendadas
As principais ferramentas forenses para extração e análise de dados em mobiles é comercial. Mesmo 
distribuições Linux voltadas para a análise forense que contêm ferramentas open source para esse 
fim, como a Deft (http://na.mirror.garr.it/mirrors/deft/, acesso em: 27 jan. 2021), possuem limitações. 
Há algumas ferramentas baseadas em hardware que extraem diretamente os dados dos mobiles, como 
o Cellebrite Ufed Touch (cellebrite.com/pt/products/ufed-ultimate-pt/, acesso em: 27 jan. 2021), e 
outras baseadas em software, como o Micro Systemation XRY (msab.com, acesso em: 27 jan. 2021), que 
realmente necessitam de um computador para realizar a extração de dados. Além desses, há o Magnet 
Forensics Internet Evidence Finder e o Belkasoft Evidence Center.
128
Unidade III
Devido à diversidade de equipamentos mobile e ao avanço constante da tecnologia, nem todas 
as ferramentas funcionam para todos os aparelhos. Isso torna comum o uso de várias ferramentas 
diferentes – o que é bom, pois uma complementa a outra, mas invariavelmente os resultados podem 
ser diferentes.
 Saiba mais
O site a seguir pode ser utilizado para consultas de números Imei:
INTERNATIONAL NUMBERING PLANS. Analysis of Imei numbers. [s.d.]a. 
Disponível em: numberingplans.com/?page=analysis&sub=imeinr. Acesso em: 
21 jan. 2021.
Entre os programas, pode ser citado o Phone Detective:
phonedetective.com/
5.9 Ataques lógicos comuns contra dispositivos mobile
É bastante comum o ataque aos sistemas operacionais dos dispositivos mobile, em especial 
os smartphones. A razão é a disseminação desses aparelhos pela sociedade. O entendimento do 
funcionamento desses sistemas, dos principais ataques ou da forma de atuação dos criminosos 
cibernéticos pode ajudar muito nas investigações forenses.
Uma forma bastante comum de ataque é o envio de SMS com links promocionais que direcionam 
os usuários para páginas ou aplicativos maliciosos de instalação automática. Entre os exemplos está o 
AndroidOS.FakePlayer, que se aproveitava de vulnerabilidades dos sistemas operacionais para inscrever 
o dispositivo em serviços de mensagens tarifados.
Análises na lista de SMS recebidos podem indicar ao profissional forense eventuais links 
maliciosos ou serviços oferecidos a um usuário/aparelho sob investigação. Essas listas podem ser 
consultadas no próprio aparelho quando este estiver em “modo avião”, para evitar contaminações, 
ou também por meio de ferramentas forenses como os aparelhos Universal Forensic Extraction Device 
(Ufed), disponibilizados pela empresa Cellebrite (cellebrite.com/pt/ufed-ultimate-4/, acesso em: 
27 jan. 2021), que são capazes de extrair praticamente quaisquer dados de smartphones e cartões 
de memória (veja a figura a seguir).
129
COMPUTAÇÃO FORENSE
Figura 57 – Extrator de dados Ufed
O Android é atualmente o sistema operacional mais utilizado em smartphones no mundo, 
sendo utilizado por diversos fabricantes. Parte do sucesso do Android está no seu padrão open 
source, baseado nos sistemas Unix (possui um kernel Linux), que fornece uma API para que os 
desenvolvedores trabalhem via Software Development Kit (SDK). A questão é que muitas vezes 
esse tipo de desenvolvimento pode levar à execução de funções no nível do kernel, com privilégios 
excessivos. Somadas às vulnerabilidades inerentes a um sistema operacional de uso mundial, essas 
questões trazem insegurança à plataforma.
Tabela 5 – Mercado de dispositivos mobile
Sistema operacional (mobile) % de mercado 2020
Android 70,29
iOS 29,14
Outros 0,57
Fonte: Net Marketshare (s.d.).
A tabela mostra o mercado de sistemas operacionais mobile no período entre abril de 2019 e 
abril de 2020.
130
Unidade III
Por padrão, o Android não permite que um usuário possua privilégios de root (administrador), porém, 
aplicativos como o KingoRoot (kingoapp.com/) e o OneClickRoot (oneclickroot.com/) conseguem burlar 
essa restrição.
Outro problema latente no Android é sua “natureza”, que permite a instalação de quaisquer 
aplicativos compatíveis. Em linhas gerais, isso não é um problema, já que o Android gera uma sandbox 
(área reservada) para execução individual de cada aplicativo. Porém, essas execuções estão condicionadas 
às permissões que o usuário concedeu ao instalar o aplicativo, as quais podem representar problemas 
futuros, já que o usuário não tem como saber o que o aplicativo vai realmente fazer com as concessões 
que recebeu. Cada aplicativo possui um arquivo chamado AndroidManifest.xml, que especifica as 
permissões concedidas (GPS, câmera, agenda, fotos, áudio etc.). A instalação de aplicativos a partir da 
loja virtual oficial do Google (Google Play Store) minimiza, mas não resolve por completo o problema.
 Observação
O problema da existência de aplicativos maliciosos em lojas virtuais 
terceirizadas também acontece com os sistemas operacionais Blackberry e 
Windows Phone, cuja proliferação é bem menor.
Some-se a isso as já citadas vulnerabilidades (dos aplicativos e do sistema operacional) e a 
concentração de serviços que utilizam autenticação nesses aparelhos e está criado o ambiente propício 
para que o roubo de senhas e os sequestros de conta aconteçam.
 Saiba mais
Vulnerabilidades do Android podem ser pesquisadas em:
source.android.com/security/index.html
Os sites a seguir permitem consultas a vulnerabilidades diversas de 
hardware e software:
cve.mitre.org/
securityfocus.com/
Exames dos aplicativos, logs, bases de dados usadas pelas aplicações (arquivos AndroidManifest.xml), 
cache da API do Android ou mesmo a análise de eventuais malwares, instalados em um smartphone, são 
imprescindíveis para o bom andamento de uma investigação forense.
131
COMPUTAÇÃO FORENSE
O sistema operacional iOS da Apple é proprietário (possui o código fonte fechado) e, apesar 
de permitir o desenvolvimento de aplicativos por terceiros, possui uma política mais restrita para a 
instalação de aplicações vindas de sua própria loja virtual. Ainda assim, ameaças e vulnerabilidades 
acontecem. Um exemplo é o processo chamado de jailbreak, usado por hackers para desbloquear os 
recursos protegidos do iOS e instalar aplicativos não licenciados.
6 INVESTIGANDO NUVENS COMPUTACIONAIS
Uma nuvem computacional (cloud computing) é um modelo que disponibiliza, por meio de 
uma rede, acesso a uma série de serviços e recursos computacionais (servidores, aplicações, suporte, 
armazenamento, dispositivos de rede, rede e serviços). Por meio do compartilhamento desses recursos, 
apresenta potencial para reduçãode custos, agilidade, escalabilidade, eficiência, disponibilidade e 
trabalho colaborativo. Em suma, o termo nuvem computacional significa serviços de TI oferecidos por 
rede de forma compartilhada.
Foge do compromisso deste livro-texto explicar detalhadamente a constituição de um ambiente de 
nuvem, mas uma explicação geral sobre as principais características e riscos associados a esses ambientes 
se faz necessária, principalmente para que sejam propostas medidas para a realização adequada de 
análises forenses nesses cenários.
6.1 Desmistificando os ambientes de nuvem computacional
O primeiro ponto a ser desmistificado em relação aos ambientes de nuvens computacionais é que se 
tratam de simples ambientes para armazenamento de dados. Os mais diversos serviços são oferecidos 
em nuvem. A figura a seguir mostra a página inicial da Amazon AWS (aws.com) com alguns serviços de 
tecnologia oferecidos:
Figura 58 – Alguns serviços de nuvem oferecidos pela Amazon AWS
132
Unidade III
A figura 59 mostra a arquitetura clássica encontrada em uma nuvem computacional:
Serviço por 
demanda
Software como 
Serviço (SaaS)
Compartilhamento de recursos
Self-service
Plataforma como 
Serviço (PaaS)
Modelo 
pague-o-que-usar
Infraestrutura como 
Serviço (IaaS)
Monitoramento 
dos recursos
Características essenciais
Tipologia
Implantação
Pública Privada Híbrida Comunitária
Figura 59 – Arquitetura clássica de um ambiente de nuvem computacional
Como pode ser visto na figura, há várias características que compõem um ambiente de nuvem: 
administração e manutenção centralizadas, self-service de recursos (elasticidade: paga o que usa), 
monitoramento de recursos e serviços, mobilidade, portabilidade e compartilhamento de recursos.
Os principais modelos de serviços oferecidos são:
• Infrastructure as a service (IaaS), ou infraestrutura como um serviço: oferece infraestrutura 
física aos clientes (servidores, storages, rede). Em geral, este modelo oferece mais flexibilidade, 
pois permite que o usuário implante controles de segurança.
• Platform as a service (PaaS), ou plataforma como um serviço: oferece plataformas de 
desenvolvimento aos clientes (linguagens de programação, Google Apps Engine, Microsoft 
Azure, sistemas operacionais diversos). Em geral, neste modelo os controles de segurança são de 
responsabilidade do provedor de serviços, enquanto os logs podem ficar a cargo do usuário.
• Software as a service (SaaS), ou software como um serviço: oferece aplicativos aos clientes 
(Google Docs, Netsuite, Amazon AWS). Em geral, neste modelo, controles de segurança e logs são 
responsabilidade do provedor.
Já os modelos de implantação podem ser divididos em:
• Pública: os recursos são oferecidos/alugados para o público em geral.
133
COMPUTAÇÃO FORENSE
• Privada: os recursos são usados apenas por uma empresa.
• Comunitária: diversas organizações dividem a nuvem.
• Híbrida: combina dois ou mais modelos de implantação.
Contudo, mesmo com todas as vantagens oferecidas por esses ambientes, há uma série de 
inconvenientes e problemas de segurança que devem ser levados em conta pelos usuários.
• Conexão constante:
— dependência de conexão;
— disponibilidade de recursos.
• Perda de governança:
— alguns processos não são mais realizados pelo cliente (backup).
• Aprisionamento na nuvem:
— falta de portabilidade nos dados de um provedor para outro.
• Necessidade de proteção dos dados contra ataques internos:
— confidencialidade (roubo, vazamento de dados);
— integridade (perda, degradação);
— tamper-proof;
— problemas de privacidade e violação de dados.
• Dificuldade na integração de serviços e recursos.
• Infraestrutura não preparada para compartilhamento.
• Sequestro de conta (phishing e quebras de senha):
— autenticação fraca.
• Criptografia que pode ocasionar lentidão.
134
Unidade III
• Ataques contra a disponibilidade (denial of service – DoS e distributed denial of service – DDoS), 
injeção de código (SQL injection, cross-site scripting), ataques à comunicação man in the 
middle (MITM).
• Interferência entre máquinas virtuais paralelas.
• Contratos e acordos de service level agreement (SLA) sem garantia:
— os dados podem estar em outro país, fora do alcance da lei.
• Operações e processos fora da lei.
O trabalho de Velho et al. (2016) vai ainda mais longe, categorizando os principais problemas de 
segurança encontrados em um ambiente de nuvem de acordo com o quadro a seguir:
Quadro 12 – Categorização dos principais problemas 
de segurança em nuvens computacionais
Nível de segurança Ataques Descrição
Básica
SQL injection Acesso e uso não autorizado de banco de dados por meio da inserção de código malicioso
Cross site scripting Inserção de código malicioso em páginas web
Man in the middle Elemento malicioso que faz a intermediação entre uma comunicação
Rede
DNS Tradução falsa de endereços de sites que ocasiona acessos a endereços maliciosos falsos
Sniffer Captura de tráfego detalhado de rede
Reúso de IP
Acesso aos dados de um primeiro usuário que disponibilizou seu IP 
para outro host na rede. Ocorre devido à defasagem de tempo de 
caches DNS
Prefixo IP no Border Gateway 
Router (BGP)
Ataques que promovem a troca maliciosa de rotas previamente 
estabelecidas entre sistemas autônomos (SA) atendidos por BGP
Aplicação
DoS e DDoS Ataques contra a disponibilidade de servidores
Envenenamento de cookie Atualização e uso de cookies de forma maliciosa
Ataque por backdoor Aberturas e vulnerabilidades em sistemas ou equipamentos deixadas de forma proposital por fabricantes, desenvolvedores ou mesmo atacantes
Quebra de captcha Quebra da segurança oferecida por sistema de captcha
Virtualização
Vulnerabilidades no 
hypervisor
Falhas que permitem a execução de códigos maliciosos no host (pai) 
com o controle das máquinas virtuais em execução
Rootkits de máquina virtual Modificação das chamadas de sistema vindas do hypervisor para o host (pai) para execução de códigos maliciosos
Escape de máquina virtual Exploit executado de uma máquina que permite acesso irrestrito ao host (pai)
Virtualized environment 
neglected operations 
manipulation (Venom)
Uso de vulnerabilidades presentes nas unidades virtuais de disquetes 
para movimentação lateral entre as máquinas virtuais
Adaptado de: Velho et al. (2016).
135
COMPUTAÇÃO FORENSE
Monitoramentos de rede com SDPI podem ser úteis para a solução de alguns dos problemas 
listados no quadro.
6.2 Desafios forenses nas nuvens computacionais
Em relação à investigação forense, a própria natureza distribuída do armazenamento das nuvens 
dificulta a investigação. Em um armazenamento em nuvem distribuído, diferentes configurações de 
segurança podem estar sendo utilizadas. Com isso não há garantia que o mesmo nível de segurança 
esteja sendo aplicado para todos os dados que estão armazenados.
Muitas vezes o perito forense encontra dificuldades para saber onde estão armazenados os dados, 
principalmente quando se investigam nuvens privadas, cujas configurações podem não estar disponíveis 
de forma tão clara quanto nos grandes provedores públicos. Acessos a dados virtualizados muitas vezes 
ocorrem através de camadas de acesso, sem contar que a quantidade de usuários/acessos pode ser 
grande. Tudo isso dificulta bastante o trabalho forense.
Sendo assim, uma série de questões pode ser levantada em relação à investigação dos locais de 
armazenamento em nuvens:
• O dispositivo que acessou a nuvem mantém uma cópia parcial dos dados ou das informações que 
foram repassados para nuvem?
• Existem disponíveis metadados ou atributos sobre os serviços que podem ser usados para recuperar 
dados armazenados na nuvem?
• As atividades executadas pelos usuários no acesso à nuvem podem ajudar a elucidar a investigação?
 Lembrete
Os três principais tipos de modelo de nuvem são: SaaS, PaaS e IaaS.
Pensando na tipologia da nuvem, há algumas recomendações que podem ajudar os profissionais 
forenses na coleta, preservação, registro eanálise das evidências em nuvens computacionais.
Para a perícia forense em ambientes SaaS é bastante comum a disponibilização de logs de aplicativos, 
sistemas operacionais e servidores, já que o foco é a execução de softwares. Esses registros, em geral, 
estão do “lado” da nuvem e concentram informações de aplicações e dados, mesmo quando estes estão 
distribuídos. Consequentemente, podem ajudar na coleta de evidências.
Nos ambientes voltados para PaaS, o usuário costuma desenvolver o código do software, com isso 
ele acaba compartilhando com a nuvem informações e códigos úteis para a investigação forense. Além 
do código fonte, capturas do tráfego de rede e informações administrativas repassadas entre a nuvem 
e o usuário podem ser úteis nesse processo de investigação.
136
Unidade III
Análises em ambiente IaaS, em geral, são mais ricos na disponibilização de dados para investigação, 
já que incluem informações sobre os hypervisors, API e sistemas operacionais em uso, logs de servidores, 
dados dos links e do tráfego de rede, além de informações administrativas e de gerenciamento. 
Esses dados, porém, estão divididos entre o usuário e o provedor de nuvem.
 Observação
Muitos provedores de nuvem são internacionais. Assim, deve-se 
observar quais se adéquam ao Safe Harbor Privacy, um conjunto de regras 
para privacidade e segurança.
 Saiba mais
Informações sobre os princípios adotados pelo Safe Harbor Privacy 
podem ser encontrados em:
FARRELL, H. Constructing the International Foundations of E-Commerce 
– The EU-U.S. Safe Harbor Arrangement. International Organization, v. 57, 
n. 2, 2003, p. 277-306. Disponível em: https://bit.ly/3wsDAfn. Acesso em: 
2 jan. 2020.
Tendo em vista sua natureza distribuída – dificilmente há um único local onde estão localizados 
hardware e software –, há alguns desafios a serem resolvidos nos ambientes de nuvens computacionais:
• a dificuldade que um profissional forense tem para realizar um exame em um hardware;
• a dificuldade de analisar máquinas virtuais que foram instanciadas uma única vez e 
desapareceram.
 Observação
Uma instância é a cópia independente de uma máquina virtual 
executada, muitas vezes em conjunto com outras.
Em ambos os casos, uma das poucas alternativas é solicitar os logs das máquinas pai (hosts) e 
das máquinas virtuais ainda em execução. Dentro do possível, o isolamento e o armazenamento de 
snapshots das instâncias investigadas (se estiverem em funcionamento) são uma boa medida.
137
COMPUTAÇÃO FORENSE
 Observação
Snapshots são gravações do estado de uma máquina virtual que 
permitem a restauração delas exatamente ao ponto em que estavam 
antes da gravação.
Uma recomendação de auditoria em ambientes virtualizados é a instalação de SDPI nas máquinas 
virtuais que permitam a geração de logs e alertas de segurança. Esses alertas podem ser direcionados 
para sistemas na máquina pai (host) que acionam snapshots automáticos das máquinas virtuais 
instanciadas. A vantagem desse procedimento é o armazenamento do estado das máquinas virtuais no 
momento da detecção de uma suposta ameaça. Em caso de comprometimento por alguma ameaça, a 
restauração do snapshot pode servir para auditar o que aconteceu, já que os logs da máquina virtual 
estão preservados. Análises dos logs do pool de máquinas virtuais ou mesmo multicorrelações também 
são recomendadas.
 Lembrete
Um serviço de segurança de auditoria é aquele implementado para 
permitir o rastreamento de um evento ou comportamento.
É importante entender que o termo ambientes virtualizados se estende além da simples utilização 
de máquinas virtuais. Tecnologias como as Network Functions Virtualization (NFV) e as Software 
Defined Networks (SDN), esta última mostrada em mais detalhes na figura a seguir, estendem o 
gerenciamento desses ambientes a outros patamares.
 Observação
A tecnologia NFV pode ser encarada como uma espécie de complemento 
da SDN, já que torna virtual dispositivos de rede como roteadores, switches 
e firewalls, entre outros equipamentos de TI.
138
Unidade III
Aprendizagem 
de MAC
Algoritmos de 
roteamento
Sistema de 
detecção de 
intrusos
Balanceador 
de rede
Re
de
 tr
ad
ic
io
na
l
Switch
Firewall
Roteador
Aplicações de rede e máquinas virtuais
So
ft
w
ar
e 
De
fin
ed
 N
et
w
or
ki
ng
Controladora SDN
Figura 60 – Comparação entre uma rede tradicional e uma SDN
Perceba na figura que nas redes tradicionais o plano de controle, responsável pelo gerenciamento 
da rede, e o plano de dados, que engloba o tráfego de rede e todas as suas peculiaridades, funcionam 
juntos. Em outras palavras, um administrador enxerga a infraestrutura de controle de uma rede em 
conjunto com o tráfego de dados proporcionado por essa rede. O resultado é que caso o administrador 
queira fazer um controle apurado sobre os dados que trafegam pela rede, deve recorrer a equipamentos 
e softwares que realizam essas funções de forma independente. Por exemplo, caso haja a necessidade 
de filtrar um determinado tráfego, pode-se recorrer a um controle de segurança como um firewall, que 
pode separar o tráfego malicioso do fluxo normal de dados.
Em uma SDN ocorre a separação física do plano de controle do plano de dados, sendo que o plano 
de controle permite que diversas funções da rede sejam gerenciadas de forma mais direta e prática 
por meio de software. Isso ocorre por meio de uma controladora que pode ser programada para o 
gerenciamento adequado do fluxo de dados. Em geral, essa controladora é a camada intermediária entre 
as máquinas virtuais e os equipamentos físicos e funciona por meio de programação de tabelas que 
utilizam, na maior parte das vezes, um protocolo chamado Openflow. Sendo assim, um administrador 
pode gerenciar uma rede de acordo com os dados que ela trafega. Levando-se em conta o exemplo 
139
COMPUTAÇÃO FORENSE
usado na rede tradicional, um filtro ou mesmo um firewall virtual pode ser implementado em uma SDN 
de forma que o administrador consiga controlar os fluxos da rede virtual em tempo real e com mais 
facilidade via software.
As SDN são amplamente usadas em ambientes de nuvens computacionais. Como toda tecnologia 
em evolução – pelo menos até a criação deste conteúdo em 2020 –, as SDN ainda contam uma série de 
ameaças e vulnerabilidades atreladas ao seu uso. Nada mais natural, já que significam uma quebra 
de paradigma em relação às redes tradicionais.
Entretanto, para a análise forense, o uso de SDN pode ser bastante benéfico, já que uma série 
de informações sobre os fluxos de dados entre as máquinas virtuais é previamente configurada pelo 
administrador. Além disso, logs de rede e informações sobre as máquinas virtuais e aplicações também 
ficam registradas a partir do uso de API. Sendo assim, uma SDN pode conter um registro mais preciso 
sobre o comportamento de uma rede, fato que beneficia muito o trabalho de um profissional forense.
Outras duas tecnologias que tendem a beneficiar o trabalho de análise forense em ambientes 
de nuvens computacionais são os conceitos de fog computing e edge computing, ilustrados 
na figura 61:
Distribuição
Usuários
Edge
Nuvem
Fog
Figura 61 – Fog e edge computing, camadas intermediárias entre a nuvem e o usuário
Como mostra a figura, um ambiente fog computing é uma camada bidirecional entre os usuários 
finais e a nuvem computacional. Trata-se de uma plataforma virtualizada que provê serviços de 
computação, armazenamento e rede, tipicamente, (mas não exclusivamente) nas bordas da nuvem. 
Um ambiente fog computing entrega e recebe da nuvem serviços prontos, diminuindo a quantidade de 
tarefas destinadas ao ambiente de nuvem computacional e facilitando a entrega ao usuário.
140
Unidade III
Entre os serviços desempenhados em um ambiente fog podem ser citados: mobilidade, distribuição 
geográfica, processamento e armazenamento intermediário e descentralização.
Um ambiente edge computing é composto pelos equipamentos que o usuário utiliza para se conectar 
aos ambientes fog ede nuvem. O termo edge é mais utilizado quando dispositivos voltados para rede de 
sensores e IoT são utilizados. Nesses casos, processamentos locais e intermediários compartilhados como 
fog e edge são mais comuns, assim como os serviços oferecidos por esses ambientes.
Imagine um paciente que contenha um marca-passo multifuncional no coração. Esse dispositivo, 
além de ajudar a regular os batimentos cardíacos, fornece uma série de informações sobre o estado de 
saúde do paciente em tempo real.
Em geral, um dispositivo como esse não possui uma capacidade de transmissão de dados muito 
avançada, por isso, as informações são repassadas para o smartphone do usuário, que está sempre com 
ele. O smartphone, por sua vez, é responsável por organizar essas informações e repassá-las, através da 
internet, ao sistema hospitalar. Após um pré-processamento, que inclui relatórios sobre o estado de saúde 
do paciente em questão, o sistema hospitalar envia esses dados para um sistema de armazenamento 
mais amplo, que pode inclusive fornecer dados ao sistema hospitalar em caso de necessidade. Neste 
exemplo, o marca-passo e o smartphone estão em uma rede de sensores sem fio que faz parte do 
ambiente edge computing, o sistema hospitalar é a fog computing e o sistema de armazenamento é a 
nuvem computacional.
Em ambientes nos quais existe integração entre edge/fog/cloud, a coleta, a preservação e até o 
isolamento de dados tendem a ser mais simplificados. Ambientes edge permitem o acesso aos 
dispositivos, que podem ser periciados fisicamente. Já ambientes fog tendem a ser geograficamente 
localizados e passíveis de investigação, fato que pode não ocorrer em uma nuvem computacional fora 
do país, por exemplo.
Apesar de todas as dificuldades para a prática forense, o próprio ambiente de nuvem pode fornecer 
os meios para a preservação, coleta e análise de evidências. O conceito de forensic-as-a-service 
(FaaS) especifica um conjunto de serviços e recursos executados no ambiente de nuvem computacional 
voltados para atender as necessidades de uma investigação forense (veja a figura a seguir).
 Observação
Fraud-as-a-service (FaaS) também é um termo relacionado às nuvens 
computacionais. É usado por criminosos que produzem softwares utilizados 
em fraudes e operações ilegais.
141
COMPUTAÇÃO FORENSE
Preservação, 
coleta e análise 
de evidências
Redução e 
filtragem 
de dados Geração 
automatizada de 
logs e snapshots
Controles de 
segurança
Suporte 
legalFaaS
Análise de 
ambientes 
virtuais
BigData 
Analytics
Multicorrelação
Figura 62 – Recursos envolvidos em um modelo FaaS
Como pode ser visto na figura, devido ao grande volume de dados disponível nesses ambientes, um 
modelo como o FaaS costuma ter mecanismos e ferramentas que consigam captar, filtrar e disponibilizar 
de maneira organizada os dados para investigação. Entre os exemplos de ferramentas que podem 
ser utilizados em um ambiente voltado para auxiliar os profissionais forenses está o Haddop e suas 
funcionalidades de Mapreduce, usadas em processos de BigData Analytics.
Um processo de BigData Analytics diz respeito à manipulação de grandes conjuntos de dados, 
com informações de todos os tipos, formatos e procedências. A ideia é extrair dados relevantes e 
verdadeiros a partir de grandes volumes de forma rápida. Redes sociais, notícias, e-mails, banco 
de dados, arquivos, entre outros podem ser fonte de dados exploradas e organizadas em um 
processo de BigData Analytics.
O Hadoop (hadoop.apache.org/) é um software open source que realiza processamento distribuído 
(em vários servidores) e que funciona como um gerenciador de banco de dados não relacional. 
O Hadoop é composto por diversos módulos. Um deles, o MapReduce, é um sistema usado para 
processamento paralelo.
6.3 Examinando controles de segurança
Controles de segurança como firewalls e SDPI, já citados em tópicos anteriores, podem ser fontes 
valiosas de informações, pois ao mesmo tempo em que examinam a rede, geram logs com informações 
sobre os eventos em tempo real.
142
Unidade III
6.3.1 Examinando SDPI
SDPI podem atuar como controles de detecção, examinando o tráfego de rede como network 
intrusion detection (Nids) ou mesmo máquinas em uso como host intrusion detection (Hids), 
alertando sobre desvios de comportamento (baseado em padrões) ou sobre ameaças conhecidas 
(baseado em assinaturas). Quando tomam decisões além da simples emissão de alertas, os SDPI são 
chamados preventivos.
 Saiba mais
Entre os bons exemplos de SDPI estão o Snort (snort.org/), o Ossec 
(ossec.net/), o Tripwire (tripwire.com/) e o Portsentry (sourceforge.net/
projects/sentrytools/files/) (acessos em: 27 jan. 2021).
Um Nids é composto por (1) um equipamento que possui uma interface de rede utilizada para 
gerenciamento e (2) uma ou mais interfaces de rede para monitoração, que funcionam em modo 
promíscuo (veja a figura 63).
Interface de 
gerenciamento
Portas espelhadas
Interfaces de monitoração
Console IDSNids
Figura 63 – Replicação de portas de switches para monitoramento de Nids
Como mostra a figura, em termos de configuração de rede, as portas dos switches devem estar 
espelhadas, replicando a comunicação das outras portas para monitoramento do Nids. Neste caso, um 
Nids funciona como um investigador passivo que pode interceptar comunicações entre a vítima e o 
atacante (veja a figura 64).
Monitoramento do Nids
Nids
Vítima
Firewall Hacker
Meio compartilhado
Figura 64 – Nids funcionando como elemento passivo de captura e análise de tráfego
143
COMPUTAÇÃO FORENSE
Perceba na figura que um Nids pode realizar uma série de ações: classificação de informações 
relevantes, reconstrução dos fluxos de comunicação de rede, análise dos cabeçalhos TCP/IP, análise 
do protocolo de aplicação, análise de payloads (conteúdo do pacote) e de estados da rede, análise de 
eventos, análise temporal, emissão de alertas, geração de logs, correlacionamentos e tomada de decisões.
Além de tudo isso, um Nids compara ou insere o tráfego coletado e classificado no motor de 
detecção (engines). A figura 65 mostra um engine de assinaturas de ataques (black/white list):
Decodificação
Coleta e classificação
Motor(es) de detecção
Ex. base de assinaturas
Log
Contramedida
Alerta
Análise numérica e/ou estatística
Figura 65 – Engine de uma base de assinaturas
Cada módulo da figura possui um significado, porém, cabem explicações para os dois principais:
• Decodificação: processo que transforma os dados capturados em um único formato. Por exemplo, 
antes da decodificação um dado tinha o formato definido pela linguagem de programação utilizada:
/scripts/..%c0%af../
Depois da codificação, o formato foi alterado para sua forma normal:
/scripts/../../.
Isso significa que o conjunto de caracteres %c0%af foi transformado na sua forma normal, ou seja, “/”.
• Análise numérica ou estatística: consiste na análise quantitativa dos dados ou eventos 
capturados pelo Nids. Compreende a geração de estatísticas e gráficos com tendências que 
indiquem padrões de comportamentos, previsões com base nos dados analisados, identificação de 
anomalias que representem desvios de comportamento ou quebra de limite (veja a figura a seguir).
144
Unidade III
00:00 06:00 12:00 18:00 00:00
 Padrão 10 27,4 90 59 12
 Dia 1 11 29 88 57 11
 Dia 2 12 59 91 58 13
Análise/Monitoração e detecção – Análise estatística
Alerta de 
desvio
100
80
60
40
20
0
Figura 66 – Exemplo de anomalia detectada
Na figura, constata-se que o alerta do Nids foi gerado devido a um comportamento totalmente 
diferente do padrão/limite estabelecido.
6.3.2 Examinando firewalls, sniffers e softwares de varredura
Firewalls são elementos filtrantes pré-programados que vasculham o tráfego de rede à procura de 
fluxos de dados maliciosos. Esses controles também realizam outras atividades como network address 
translation (NAT), roteamento, proxy, hardening, geração de logs, VPN e serviços de autenticação, 
entre outros.
Outros controlesde segurança, como os sniffers, os honeypots e os softwares de varredura, podem 
ser utilizados tanto para análise e levantamento de evidências, úteis a um administrador de segurança 
ou profissional forense, como para levantamento de informações para ataques mais sofisticados.
Sniffers são programas que varrem a rede de modo passivo, capturando e exibindo os pacotes de 
dados em formatos padronizados. A partir do resultado de um sniffer é possível saber a quantidade, a 
categoria, o tipo, o destino, a origem, o tamanho, as características e o conteúdo de cada pacote.
Honeypots ou honeynets são redes, servidores, equipamentos ou sistemas desenvolvidos 
para atrair ataques. Configurados propositalmente para parecerem vulneráveis, esses sistemas são 
usados para registrar, contabilizar e analisar as tentativas de ataque. Ainda que os resultados sejam 
analisados bem depois da efetivação dos ataques, esses elementos são considerados controles de 
detecção e análise.
145
COMPUTAÇÃO FORENSE
 Observação
Não faz parte do objetivo deste conteúdo explicar minuciosamente 
os ataques aqui descritos. Contudo, como os exemplos utilizados são bem 
conhecidos, uma busca pela internet pode elucidar eventuais dúvidas.
Já os softwares de varredura procuram por vulnerabilidades lógicas em sistemas, servidores, 
máquinas e redes. A partir do envio de pacotes de dados específicos e da análise das respostas 
enviadas por cada elemento estudado, os softwares de varredura determinam informações e encontram 
vulnerabilidades que podem ser exploradas de forma maliciosa.
Como dito, todos esses elementos podem ser utilizados para que o profissional forense 
consiga realizar o levantamento de evidências de forma precisa, principalmente se recorrer ao 
multicorrelacionamento dos logs gerados.
6.3.3 Examinando alguns ataques clássicos
Ataques de flood (inundação) são ataques contra a disponibilidade de servidores ou sites. 
Em geral, diversos pacotes maliciosos são enviados com o intuito de travar ou deixar o servidor lento.
Na forma mais clássica, em servidores web, esse tipo de ataque realiza inúmeras conexões 
three-hand-shake incompletas com um servidor a fim de exaurir os recursos da vítima, como mostra 
a figura 67:
Ataque SYN Flood
1 conexão pendente do atacante para o servidor
Atacante Servidor
Segmento 1 SYN
SYN Segmento 2
ack
Segmento 3 ack
Nã
o e
nv
iad
o 
pel
o a
tac
an
te
Figura 67 – Clássico ataque synflood contra um servidor web
Na figura, o servidor fica um tempo esperando o segmento 3, que deveria vir como resposta do 
cliente. O tempo de espera é curto e consome pouquíssima memória, mas caso inúmeros pacotes desse 
tipo cheguem, a vítima pode ter problemas para lidar com o ataque. Variações desse tipo de ataque 
podem surgir, como o envio de flags inválidos ou pacotes malformados.
146
Unidade III
As figuras a seguir mostram ataques de flood UDP em curso detectados pelo sniffer TCPDump.
	 “UDP Flood ou Inundação”
10/25-21:10:27.556618 10.0.161.191:4924 -> 10.0.161.49:1935
UDP TTL:128 TOS:0x0 ID:18657 IpLen:20 DgmLen:69 Len: 41
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=
10/25-21:10:27.556633 10.0.161.191:4924 -> 10.0.161.49:1935
UDP TTL:128 TOS:0x0 ID:18658 IpLen:20 DgmLen:69 Len: 41
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=
10/25-21:10:27.572232 10.0.161.191:4924 -> 10.0.161.49:1935
UDP TTL:128 TOS:0x0 ID:18659 IpLen:20 DgmLen:69 Len: 41
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=
10/25-21:10:27.572237 10.0.161.191:4924 -> 10.0.161.49:1935
UDP TTL:128 TOS:0x0 ID:18660 IpLen:20 DgmLen:69 Len: 41
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=
10/25-21:10:27.572242 10.0.161.191:4924 -> 10.0.161.49:1935
UDP TTL:128 TOS:0x0 ID:18661 IpLen:20 DgmLen:69 Len: 41
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=
10/25-21:10:27.572256 10.0.161.191:4924 -> 10.0.161.49:1935
UDP TTL:128 TOS:0x0 ID:18662 IpLen:20 DgmLen:69 Len: 41
.........
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=
10/25-21:10:27.918248 10.0.161.191:4924 -> 10.0.161.49:1935
UDP TTL:128 TOS:0x0 ID:18751 IpLen:20 DgmLen:69
........
Figura 68 – Ataque do tipo UDP flood capturado pelo TCPDump (mesmo IP e mesma porta de origem)
147
COMPUTAÇÃO FORENSE
	 “UDP Flood ou Inundação” – Outro exemplo
10/26-07:52:06.590830 10.0.161.249:2638 -> 10.0.161.49:991
UDP TTL:64 TOS:0x0 ID:11069 IpLen:20 DgmLen:81 Len: 53
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=
10/26-07:52:07.591666 10.0.161.249:2639 -> 10.0.161.49:991
UDP TTL:64 TOS:0x0 ID:10096 IpLen:20 DgmLen:81 Len: 53
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=
10/26-07:52:08.592526 10.0.161.249:2640 -> 10.0.161.49:991
UDP TTL:64 TOS:0x0 ID:60451 IpLen:20 DgmLen:81 Len: 53
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=
10/26-07:52:09.593395 10.0.161.249:2641 -> 10.0.161.49:991
UDP TTL:64 TOS:0x0 ID:47457 IpLen:20 DgmLen:81 Len: 53
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=
10/26-07:52:10.594269 10.0.161.249:2642 -> 10.0.161.49:991
UDP TTL:64 TOS:0x0 ID:38451 IpLen:20 DgmLen:81 Len: 53
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=
10/26-07:52:11.595121 10.0.161.249:2643 -> 10.0.161.49:991
UDP TTL:64 TOS:0x0 ID:19069 IpLen:20 DgmLen:81 Len: 53
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=
10/26-07:52:12.595978 10.0.161.249:2644 -> 10.0.161.49:991
UDP TTL:64 TOS:0x0 ID:51908 IpLen:20 DgmLen:81 Len: 53
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=
10/26-07:52:13.596848 10.0.161.249:2645 -> 10.0.161.49:991
UDP TTL:64 TOS:0x0 ID:23749 IpLen:20 DgmLen:81 Len: 53
............
Figura 69 – Ataque do tipo UDP flood capturado pelo TCPDump (mesmo IP com porta de origem sequencial)
Pode-se perceber que o ataque executado na primeira figura conserva o mesmo IP e porta de origem, 
enquanto o da figura seguinte conserva o IP, mas gera uma variação sequencial na porta de 
origem. Trata-se de um spoofing cujo objetivo é dificultar a detecção e o bloqueio do lado da vítima.
148
Unidade III
O termo spoofing é uma gíria usada para designar qualquer tipo de falsificação em ataques de rede, 
IP, portas, endereços físicos etc.
Na figura a seguir é possível ver o protocolo TCP sendo usado para um ataque de SYN flood:
	 TCP SYN Flood
04/12-19:11:16.509428 113.90.216.254:1576 -> 10.0.161.69:80
TCP TTL:64 TOS:0x0 ID:53870 IpLen:20 DgmLen:40
******S* Seq: 0x63C3D47C Ack: 0x24088C6E Win: 0x200 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
04/12-19:11:17.502417 78.152.129.136:1577 -> 10.0.161.69:80
TCP TTL:64 TOS:0x0 ID:2946 IpLen:20 DgmLen:40
******S* Seq: 0x200099BF Ack: 0x7438936 Win: 0x200 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
04/12-19:11:18.502358 111.97.208.241:1578 -> 10.0.161.69:80
TCP TTL:64 TOS:0x0 ID:40110 IpLen:20 DgmLen:40
******S* Seq: 0xB33D704 Ack: 0x4AFB1F3C Win: 0x200 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
04/12-19:11:19.502386 249.222.20.29:1579 -> 10.0.161.69:80
TCP TTL:64 TOS:0x0 ID:3668 IpLen:20 DgmLen:40
******S* Seq: 0x1A379987 Ack: 0x274CE756 Win: 0x200 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
04/12-19:11:20.502346 29.169.220.142:1580 -> 10.0.161.69:80
TCP TTL:64 TOS:0x0 ID:59532 IpLen:20 DgmLen:40
******S* Seq: 0x6FA19403 Ack: 0x3CC5C0B4 Win: 0x200 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
04/12-19:11:21.502875 128.34.250.206:1581 -> 10.0.161.69:80
TCP TTL:64 TOS:0x0 ID:43862 IpLen:20 DgmLen:40
******S* Seq: 0x31F776BA Ack: 0x37E4497B Win: 0x200 TcpLen: 20 
..............................
Figura 70 – Ataque do tipo TCP SYN flood capturado pelo TCPDump
149
COMPUTAÇÃO FORENSE
Na figura, os ataques usam o protocolo TCP para inundar um servidor com pacotes do tipo SYN – 
veja o “S” nos logs do pacote.
As tentativas de ataques de injeção SQL também podem ser rastreadas. Por meio da análise dos