Baixe o app para aproveitar ainda mais
Prévia do material em texto
Computação Forense Aula 1: Coleta de dados Apresentação A computação forense e a investigação digital são áreas de conhecimento da segurança da informação. Segundo Carrier (2005), a investigação digital é um processo em que uma hipótese é desenvolvida e testada para responder algumas questões a respeito de uma ocorrência digital, se elas suportam ou desmentem a hipótese apresentada. A forense computacional é uma extensão da investigação digital, ela é mais formal, pois tem como objetivo levar o resultado da investigação ao Fórum, e deve ter todo o rigor da lei. Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online Objetivo Descrever o que é um material a ser examinado e como garantir a cadeia de custódia; Identi�car os tipos de material que podem ser periciados. Introdução Vamos de�nir o que uma evidência e o que é um indício digital. Veremos como coletar, preservar o local da apreensão, a integridade da evidência e a integridade da linha de tempo da evidência durante a investigação. Tipos de dispositivos Evidência digital Uma evidência digital pode ter qualquer tamanho, por exemplo, um Byte, um endereço IP, e pode ser coletada de uma memória volátil, ou seja, a memória RAM ou da memória não volátil como discos rígidos, pendrives, cartões de memória ou qualquer outro dispositivo capaz de armazenar dados. Segundo a Secretaria de Estado de Segurança Pública do Paraná (2020), em seu guia de apreensão de equipamentos computacionais, os tipos de materiais que podem ser apreendidos e ilustrados na Figura 1 são: "Equipamentos computacionais podem tomar várias formas, como portáteis (laptop, notebook, notebook, ultrabook, booktop, wearable, tablet, PDAs, smartphones), desktops (torre, minitorre, dockstation), servidores (racks, torres, mainframes), all-in-one (tudo em um), smart tv" - Secretaria de Estado de Segurança Pública, 2020. Figura 1- Tipos de equipamento. Fonte: SECRETARIA DE ESTADO DE SEGURANÇA PÚBLICA DO PARANÁ, 2020. No caso de servidores, storages, ou racks de servidores, muitas vezes não é viável apreender o equipamento para realizar a coleta em laboratório; neste caso, o perito deve bloquear o acesso a estes equipamentos pela rede e realizar uma cópia forense para servir como prova e outra cópia para servir como cópia de trabalho. Deve ser extraído o HASH do equipamento original e comparado com o HASH extraído das cópias. Figura 2- Discos rígidos. Fonte: SECRETARIA DE ESTADO DE SEGURANÇA PÚBLICA DO PARANÁ, 2020. Os discos rígidos ilustrados na Figura 2, internos ou externos, são potenciais fontes de dados e, sempre que possível, devem ser apreendidos e realizada a cópia forense, gerando uma imagem do disco. As mídias removíveis ilustradas na Figura 3, como pendrives, disquetes, cds, dvds, Blu-ray, cartões de memória e outros dispositivos podem disfarçar a existência de uma memória não volátil. Outros tipos de mídias removíveis podem ser canivetes, caneta espiã, relógio espião, dentre outros. Comentário Da mesma forma que para os discos rígidos, deve ser realizada uma cópia forense das mídias removíveis encontradas, gerando uma imagem forense que será utilizada para o exame pericial. Figura 3 - Mídias Removíveis. Fonte: SECRETARIA DE ESTADO DE SEGURANÇA PÚBLICA DO PARANÁ, 2020. Procedimento para coleta de mídia em computador Vamos de�nir o que uma evidência e o que é um indício digital. Veremos como coletar, preservar o local da apreensão, a integridade da evidência e a integridade da linha de tempo da evidência durante a investigação. Conforme o guia, a apreensão de vestígios digitais da Secretaria de Segurança Pública do Paraná (2020) deve ser realizada da seguinte forma: 1. Veri�que se o computador está desligado. Se não estiver, desconecte o cabo de força. 2. Posicione-se de frente para a parte traseira do gabinete. 3. Remova os parafusos da lateral direita (se o gabinete tiver tampa inteiriça, remova os demais parafusos). 4. Remova a tampa, puxando para trás e para fora. 5. Localize o disco rígido (HD). Atenção: Se encontrar mais de um HD, as portas que estão conectadas devem ser anotadas e etiquetadas no HD correspondente. Exemplo: Porta SATA1, SATA 2 etc. �. Remova os parafusos ou presilhas de �xação. 7. Solte os conectores do HD e remova-o. �. Veri�que se no gabinete existe mais alguma mídia de armazenamento computacional (cartões de memória, CD/DVD etc.). 9. Preencha o formulário de remessa de mídia de armazenamento e envie juntamente com o HD. 10. Identi�que unicamente o HD colando etiqueta com os dados da origem (proprietário, IP, processo, alvo, desktop). 11. Guarde imediatamente o HD na caixa de proteção, colocando-o entre as camadas de plástico bolha. 12. Identi�que unicamente a caixa colando etiqueta com os dados da origem e destino. 13. Lacre a caixa. 14. Veri�que se tudo está de acordo com a Portaria nº 82/2014 da SENASP e parecer 963/2015 da PRC/PGE-PR. Mouses, teclados e caixas de som não devem ser apreendidos, a não ser que tenham cartões de memória embutidos. Preservação da Evidência A cópia forense deve ser realizada utilizando ferramentas de cópia bit a bit, de forma a garantir que todos os dados foram copiados, inclusive os apagados e os espaços em branco. Muitas vezes a evidência está em áreas consideradas apagadas do disco, mas é possível recuperar esta informação na maioria dos casos. O Linux é o principal sistema operacional para realizar a cópia forense, pois é possível fazer a cópia sem montar os discos, evitando que o carimbo de tempo dos arquivos seja alterado. Ferramentas como dd, dc3dd podem ser utilizados para a cópia. Outra maneira de se fazer a cópia é utilizar duplicadores de mídia, estes equipamentos fazem a cópia integral dos dados de uma mídia para outra. Figura 4 - Duplicador de discos forense. Fonte: https://www.mediaduplicationsystems.com/fx2042-hard-drive-duplicator- p/fx2042.htm#/ Cadeia de custódia Conforme a resolução da Secretaria Nacional de Segurança (2014), a cadeia de custódia: É a garantia da integridade da evidência. É um procedimento que visa garantir a integridade da manipulação da prova levando em conta não só os locais onde essa prova vai transitar, mas também é a continuidade da linha de tempo da manipulação da prova. Visa garantir a rastreabilidade dos vestígios, através dos controles de movimentação. Começa já na abertura do chamado, quando há um local de investigação; o rastreamento do vestígio digital começa a partir do momento em que ocorre a noti�cação da ocorrência. O local da prova deve ser preservado, fazendo primeiro o isolamento da área, a identi�cação dos dispositivos que serão apreendidos ou examinados e a garantia de que não irá ter nenhuma manipulação dos dados. Se for necessária a preservação da memória volátil, é preciso afastar usuários da máquina e garantir que o equipamento não será acessado por outros usuários, a não ser pelo perito. No caso de não precisar manter os dados da memória RAM, ou seja, os dados voláteis não precisam ser copiados, então o procedimento é puxar o equipamento da tomada; isto mesmo, o melhor é puxar o equipamento da tomada para garantir que nenhum ato seja tomado para modi�car os dados, por exemplo, fazer um shutdown normal, pois nesse procedimento podem ser acionados scripts que rodam no desligamento e apagam os vestígios digitais. Comentário Não se preocupe com o funcionamento do sistema operacional, pois este não será inicializado durante o exame pericial. Após o desligamento da máquina pode ser feita a extração da mídia, qualquer que seja o tipo, por exemplo, um cartão de memória, um pendrive ou um disco rígido. Deve ser feita a cópia forense, seja ela utilizando um dispositivo de duplicação ou utilizando um software de cópia forense, por exemplo, software dd ou dc3dd. Após a conclusão da cópia forense é preciso extrair o HASH do original e da cópia; os resultados devem ser iguais, o que garante a integridade da cópia. Atenção No momento da coleta da prova é importante que aspartes estejam presentes. O perito deve: Na sua petição inicial, solicitar ao juiz que noti�que as partes interessadas para que acompanhem a diligência. Este acompanhamento não é obrigatório, mas isso traz maior transparência e evita que a diligência seja questionada. Identi�car os participantes da coleta e, posteriormente, indicar a presença deles no laudo do exame pericial. Se a coleta for realizada em local que tenha ocorrido um crime, a coleta é realizada por peritos policiais, não sendo necessária a presença das partes. O transporte do vestígio digital deve ser feito de forma que não possa ser dani�cado no caminho, do local de busca até a sala de provas ou o laboratório do perito. As mídias devem ser embaladas em plástico bolha e acondicionadas em caixas, identi�cando-as de forma única. A partir da abertura do chamado ou intimação, o perito deve preencher a planilha de cadeia de custódia. Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online Figura 5- Exemplo de Cadeia de Custódia. Fonte: Autor. Quando da ocorrência de um crime digital, os seguintes procedimentos devem ser seguidos: a. preservação do local de crime; b. busca do vestígio; c. reconhecimento do vestígio; d. �xação do vestígio; e. coleta do vestígio; f. acondicionamento do vestígio; g. transporte do vestígio; h. recebimento do vestígio. Comentário Como vemos em seriados do tipo CSI, o local da coleta deve ser isolado, o indício devidamente identi�cado, a evidência coletada, lacrada e preenchida a cadeia de custódia. Depois, o perito fará a cópia forense para realizar o exame. Conforme o Procedimento apresentado em Secretaria Nacional de Segurança (2014), a fase interna compreende todas as etapas, desde a entrada do vestígio no órgão pericial até sua devolução, juntamente com o laudo pericial, ao órgão requisitante da perícia, compreendendo, portanto: a. recepção e conferência do vestígio; b. classi�cação, guarda e/ou distribuição do vestígio; c. análise pericial propriamente dita; d. guarda e devolução do vestígio de prova; e. guarda de vestígios para contra perícia; f. registro da cadeia de custódia. Todas estas etapas devem ser registradas na cadeia de custódia conforme modelo acima. Cada perito ou departamento de polícia cientí�ca tem seu próprio formulário de cadeia de custódia; no entanto, este formulário deve garantir a continuidade da linha do tempo e identi�car onde está a evidência a cada momento. Linha do tempo Ainda conforme a Secretaria Nacional de Segurança (2014), devem ser tomados os seguintes cuidados no manuseio do vestígio: 1 Realização por pro�ssionais de perícia criminal ou, excepcionalmente, na falta destes, por pessoa investida de função pública, nos termos da legislação vigente. 2 Os peritos devem ter, no mínimo, curso superior, segundo o novo Código de processo civil. 3 Realização com a utilização de equipamento de proteção individual (EPI) e materiais especí�cos para tal �m. 4 Numeração inequívoca do vestígio, de maneira a individualizá- lo. Também de acordo com a Secretaria Nacional de Segurança (2014), todos os vestígios coletados deverão ser registrados, individualmente, no formulário de cadeia de custódia, no qual deverão constar, no mínimo, as seguintes informações: a. especi�cação do vestígio; b. quantidade; c. identi�cação numérica individualizada; d. local exato e data da coleta; e. órgão e o nome/identi�cação funcional do agente coletor; f. nome/identi�cação funcional do agente entregador e órgão de destino (transferência da custódia); g. nome/identi�cação funcional do agente recebedor e protocolo de recebimento; h. assinaturas e rubricas; i. número de procedimento e respectiva unidade de polícia judiciária a que o vestígio estiver vinculado. Ainda segundo a Secretaria Nacional de Segurança (2014), quando o perito for manipular a prova, alguns cuidados devem ser tomados: 1 O recipiente só poderá ser aberto pelo perito que vai proceder a análise e, motivadamente, por pessoas autorizadas. 2 Após cada rompimento de lacre, deve se fazer constar na �cha de acompanhamento de vestígio o nome e documento do responsável, a data, o local, a �nalidade, bem como as informações referentes ao novo lacre utilizado. 3 O lacre rompido deverá ser acondicionado no interior do novo recipiente. Todos estes cuidados são necessários para a preservação da integridade temporal, e a integridade física da prova. Alguns erros comuns no manuseio de vestígios digitais são: Tentar corrigir algo no computador antes de desligar. Usar softwares não homologados para computação forense. Abrir o arquivo do vestígio; isto vai alterar o carimbo de tempo e pode alterar o HASH, quebrando a integridade do arquivo. Usar software de investigação que abra ou altere os arquivos. Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online Atividade 1. O material a ser examinado em uma perícia computacional pode ser: a) Um documento impresso. b) Um pendrive. c) Um monitor. d) Um teclado sem cartão de memória. e) Uma gota de sangue. 2. Para garantir a integridade do vestígio digital é preciso: a) Fazer uma cópia utilizando o Windows Explorer. b) Fazer um backup. c) Abrir o arquivo e salvar como. d) Acertar o computador para ficar mais rápido. e) Fazer uma cópia forense bit a bit. 3. Qual documento deve ser preenchido para garantir a continuidade da linha de tempo e rastreabilidade da evidência digital? a) Cadeia de Custódia. b) Cadeia de Caracteres. c) Cópia Forense. d) Fotografias do local. e) Intimação do perito. Notas Bones1 São criadas as chaves de animação, ao longo da linha de tempo, para os diversos componentes da hierarquia, e a malha é aplicada sobre ela, adequando-se ao movimento esperado — como ocorre para nós, quando nossos esqueletos se movem e a pele segue o movimento que foi imposto. Referências AGENCIA NACIONAL DE VIGILÂNCIA SANITÁRIA. Guia de validação de sistemas computadorizados. Brasilia, 2010. CARRIER, B. File system forensic analysis. Addison-Wesley Professional., Addison-Wesley Professional, 2005. ESTEVES, C.R.Z. Ministério Público do Paraná. Disponível em: https://criminal.mppr.mp.br/arquivos/File/Pericias_criminais_- _orientacoes_na_producao_probatoria_-_�nal.pdf. Acesso em 23 nov. 2020. MICROSOFT. Analisar sua infraestrutura do Azure usando os logs do Azure Monitor. Disponível em: https://docs.microsoft.com/pt-br/learn/modules/analyze-infrastructure-with-azure-monitor-logs/. Acesso em 23 nov. 2020. NABIL, M. SIEM Selection Criteria for an e�cient contextual security. International Symposium on Networks, Computers and Communications (ISNCC), 1-6 - May 2017, 2017. ONE IDENTIFY, syslog-ng OSE 3.26 Administration Guide, ONE IDENTIFY, 2020. PRESIDÊNCIA DA REPÚBLICA. Lei nº 12.965, de 23 de abril de 2014. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm. Acesso em 23 nov. 2020. SECRETARIA DE ESTADO DE SEGURANÇA PÚBLICA POLÍCIA CIENTÍFICA DO PARANÁ. Guia Rápido De Arrecadação De Equipamentos Computacionais. Polícia Cientí�ca Do Paraná, Curitiba, 2020. SECRETARIA NACIONAL DE SEGURANÇA. Diário O�cial da União. Disponível em: https://pesquisa.in.gov.br/imprensa/jsp/visualiza/index.jsp?data=18/07/2014&jornal=1&pagina=42&totalArquivos=124. Acesso em 23 nov. 2020. VAN GENT, R.N. Incidence and determinants of lower extremity running injuries in long distance runners: a systematic review. British Journal of Sports Medicine, 1 8 2007. javascript:void(0); javascript:void(0); javascript:void(0); javascript:void(0); Próxima aula Metodologias utilizadas para identi�cação de manchas de sangue em local de crime; Morfologia das gotas de sangue em local de crime. Explore mais Assista ao �lme Sem Vestígios. Leia o texto Perícia Forense computacional em telefones celulares com sistema operacional Android javascript:void(0);
Compartilhar