Beruflich Dokumente
Kultur Dokumente
Captulo
2
Crimes Cibernticos e Computao Forense
Abstract
Cibercrimes have caused a deep impact in the society. They are among the three types of crimes
that have caused the major financial loss in the world, staying only behind of traffic of drugs
and falsification. From the investigation and production of proves needs against this type of
crime, rises the computer forensics area. This area is responsible for collect, preserve, process
and present its results to the legal authorities. Its a computer science area in continues
development, that demands an ongoing research of theirs experts, once each new digital
technology is also an opportunity to commit crimes.
Resumo
Crimes cibernticos tm causado um impacto cada vez maior na sociedade. Est entre
os trs tipos de crimes que causam maior prejuzo financeiro no mundo, ficando atrs
apenas do trfico de drogas e a falsificao. Da necessidade de investigao e
produo de provas para o combate a este ilcito, surge a rea de computao forense.
Esta rea prov tcnicas para a coleta, preservao, processamento e apresentao de
evidncias para autoridades legais. uma rea da Cincia da Computao em
constante desenvolvimento e que demanda pesquisa e atualizao contnua dos
especialistas, na qual cada nova tecnologia emergente traz consigo o potencial de
tambm ser explorada para fins ilcitos.
2.1. Introduo
O objetivo deste material didtico apresentar aos alunos a rea de Computao
Forense, com foco na rea criminal, englobando alguns dos principais crimes
Livro-texto de Minicursos 44 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
Livro-texto de Minicursos 45 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
Livro-texto de Minicursos 46 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
Livro-texto de Minicursos 47 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
Livro-texto de Minicursos 48 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
dever ser relativamente fcil de se calcular para qualquer bloco de dados, tornando as
implementaes em hardware e software prticas; dever ser resistente primeira
inverso, ou seja, de posse da sada da funo dever ser computacionalmente invivel
encontrar o bloco de dados de entrada; dever possuir resistncia fraca a colises, ou
seja, tendo-se o bloco de dados de entrada x, deve ser computacionalmente invivel
encontrar um bloco de dados y que gere a mesma sada da funo de hash e possuir
resistncia forte a colises, ou seja, dever ser computacionalmente invivel encontrar
quaisquer pares de blocos x e y cujo resultado da funo hash seja a mesma.
Art. 158. Quando a infrao deixar vestgios, ser indispensvel o exame de corpo
de delito, direto ou indireto, no podendo supri-lo a confisso do acusado.
Art. 159. O exame de corpo de delito e outras percias sero realizados por perito
oficial, portador de diploma de curso superior.
Livro-texto de Minicursos 49 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
1o Na falta de perito oficial, o exame ser realizado por 2 (duas) pessoas idneas,
portadoras de diploma de curso superior preferencialmente na rea especfica, dentre
as que tiverem habilitao tcnica relacionada com a natureza do exame.
4o O assistente tcnico atuar a partir de sua admisso pelo juiz e aps a concluso
dos exames e elaborao do laudo pelos peritos oficiais, sendo as partes intimadas
desta deciso.
Art. 241. Vender ou expor venda fotografia, vdeo ou outro registro que contenha
cena de sexo explcito ou pornogrfica envolvendo criana ou adolescente: Pena
recluso, de 4 (quatro) a 8 (oito) anos, e multa.
Art. 241-B. Adquirir, possuir ou armazenar, por qualquer meio, fotografia, vdeo
ou outra forma de registro que contenha cena de sexo explcito ou pornogrfica
envolvendo criana ou adolescente: Pena recluso, de 1 (um) a 4 (quatro) anos, e
multa. 1o A pena diminuda de 1 (um) a 2/3 (dois teros) se de pequena
quantidade o material a que se refere o caput deste artigo.
Livro-texto de Minicursos 50 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
Art. 1o Esta Lei estabelece princpios, garantias, direitos e deveres para o uso da
internet no Brasil e determina as diretrizes para atuao da Unio, dos Estados, do
Distrito Federal e dos Municpios em relao matria.
Subseo I
Subseo II
Subseo III
Livro-texto de Minicursos 51 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
...
Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede mediante
representao, salvo se o crime cometido contra a administrao pblica
direta ou indireta de qualquer dos Poderes da Unio, Estados, Distrito Federal ou
Municpios ou contra empresas concessionrias de servios pblicos.
Livro-texto de Minicursos 52 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
Livro-texto de Minicursos 53 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
Livro-texto de Minicursos 54 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
peritos criminais da Polcia Federal que tem se mostrado bastante interessante e est
disponvel para o uso de peritos de outras instituies de segurana pblica. Por fim,
existem as opes livres, como The Sleuth Kit - TSK - e Autopsy (http://www.
sleuthkit.org/). Analisaremos esses dois ltimos com mais detalhes na prxima seo.
Livro-texto de Minicursos 55 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
realizado conforme descrito anteriormente. Este arquivo pode estar no formato bruto,
tambm conhecido com raw ou dd ou em algum outro formato usado por algum
software ou equipamento de duplicao de dados. Um formato bastante popular o
formato E01, introduzido pela EnCase e usado por vrios outros programas.
As figuras 2.3 e 2.4 ilustram duas telas do Autopsy.
Livro-texto de Minicursos 56 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
2.6.1.2. SSDs
Os discos de estado slido (Solid State Disk SSD) so memrias de armazenamento
permanente. um tipo de memria flash. So memrias eletrnicas que no precisam
de alimentao para reter as informaes. So constitudas de clulas compostas por
transistores e uma fina camada de xido de silcio que funciona como uma espcie de
armadilha para eltrons.
Marimoto (2010) aponta como vantagem dos SSDs o tempo de acesso baixo,
com excelentes taxas de leitura e gravao, o que melhora o desempenho
consideravelmente em uma grande gama de aplicativos e reduz bastante o tempo de
Livro-texto de Minicursos 57 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
2.6.2.1. FAT
Considerado um dos sistemas de arquivos mais simples. Foi introduzido com o
Microsoft DOS e usado como sistema de arquivos padro de algumas verses do
Windows. Ainda usado em mdias de armazenamento do tipo flash, como cartes de
memria SDCard e pendrives.
Segundo Carrier (2006), um dos motivos de ser considerada simples possuir
um nmero pequeno de estrutura de dados. As duas principais estruturas so a FAT (File
Allocation Table) e as entradas de diretrio. O conceito de funcionamento bsico desse
sistema de arquivo que cada diretrio ou arquivo criado aloca uma estrutura de dados
denominada entrada de diretrio. Nessa estrutura ficam armazenados o nome do
arquivo, o tamanho, o endereo do bloco inicial do arquivo, os carimbos de tempo (data
de criao, modificao e ltimo acesso) e outros metadados. Se o arquivo for maior do
que um bloco, usada a estrutura de dados FAT para armazenar a sequncia de blocos
que formam o arquivo.
A figura 2.5 ilustra a entrada de diretrios. A figura 2.6 ilustra a FAT.
Livro-texto de Minicursos 58 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
No disco, o sistema de arquivos FAT ocupa trs regies lgicas distintas. A rea
reservada, que contm informaes sobre o sistema de arquivos, a rea FAT que contm
a estrutura de dados FAT primria e uma cpia de segurana dessa estrutura e a rea de
dados, onde estaro armazenados os arquivos.
Existem quatro verses do sistema de arquivos FAT.
A FAT 12, usada nos antigos disquetes e discos rgidos pr-histricos. Permite
a utilizao de blocos de 512 bytes a 4KB, podendo enderear de 2MB a 16MB. A FAT
16, usada em disco rgidos muito antigos. Permite blocos de 2KB a 32KB, podendo
enderear 128MB a 2GB. A FAT 32, usada em discos rgidos antigos e nas atuais
memrias fIash (pendrives, cartes de memria etc), permite utilizar blocos de 4KB a
32KB, podendo enderear 1TB a 2TB. O campo de tamanho de arquivo na FAT de 32
bits, limitando cada arquivo a no mximo 4GB (2). Finalmente, a exFAT ou FAT64.
Possui limite mximo do tamanho de cada arquivo de 16 Exabytes. Sua capacidade
terica de armazenamento de 64 ZB (zettabyte), mas a Microsoft no recomenda
capacidades acima de 512 TB. Possui suporte para um nmero maior de arquivos no
mesmo diretrio (1000). Implementa uma melhor alocao e gerncia do espao livre
em disco devido introduo de uma nova organizao da memria (bitmap) e possui
suporte a lista de controle de acesso.
2.6.2.2. NTFS
O NTFS (New Technologies File System) o atual sistema de arquivos padro do
Windows.
NTFS foi desenvolvido para ser confivel, seguro, com suporte para dispositivos
de grande capacidade de armazenamento. Um conceito importante do NTFS que todos
os dados e metadados so armazenados em arquivos. No existe um layout predefinido
Livro-texto de Minicursos 59 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
para diferentes reas do sistema de arquivos, exceto para o setor de boot. Um outro
recurso adicionado ao NTFS o journal, que permite a recuperao do sistema de
arquivos aps determinadas falhas. Com o recurso de journal, as alteraes realizadas
no sistema de arquivos so gravadas no arquivo $LogFile. Permite a implementao do
conceito de transaes, como redo, undo e commit. (Carrier, 2006).
Os metadados so armazenados em arquivos ocultos, no diretrio raiz,
denominados metafiles. Todos eles comeam com o caractere $. A figura 2.7 lista os
principais metafiles.
A principal estrutura do NTFS a MFT (Master File Table). Ela contm
informaes sobre todos os arquivos e diretrios. Cada arquivo ou diretrio tem, pelo
menos, uma entrada na tabela MFT. Uma entrada nessa tabela composta por um
cabealho e alguns atributos. Cada tipo de atributo tem uma funo prpria. Podem ser
residentes (atributos pequenos armazenados na prpria entrada de diretrio da MFT) ou
no residentes (o cabealho do atributo fica na MFT, mas seu contedo fica em blocos
do disco rgido). A figura 2.8 apresenta uma lista de alguns atributos.
Livro-texto de Minicursos 60 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
Livro-texto de Minicursos 61 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
Figura 2.9
Figura 2.10
Livro-texto de Minicursos 62 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
Livro-texto de Minicursos 63 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
Livro-texto de Minicursos 64 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
Figura 2.11
Livro-texto de Minicursos 65 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
Obtida a cpia da memria RAM, preciso saber interpret-la. Para essa tarefa
existem softwares que podem auxiliar o perito. Um deles o framework livre Volatility
(http://www.volatilityfoundation.org/) (figura 2.12).
Figura 2.12
Livro-texto de Minicursos 66 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
Figura 2.13
* Essas chaves so, na verdade, links para outras chaves que ficam armazenadas embaixo das chaves razes que no so
links. Devido importncia delas, a Microsoft adicionou os links ao nvel raiz.
Cada chave pode ter associado um tipo de valor. Os tipos de valores possveis
esto descritos na figura 2.14.
Figura 2.14
Livro-texto de Minicursos 67 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
Figura 2.15
O Registro uma grande fonte de informao, mas para ser til ao perito, esses
dados devem ser extrados e interpretados. Fazer essa atividade sem ajuda de alguma
ferramenta contra producente. Uma opo de automatizar esse processo de extrao,
interpretao e apresentao desses dados a ferramenta RegRipper.
O RegRipper um framework composto por uma coleo de scripts escritos na
linguagem Perl. Os scripts funcionam como plug-ins do framework. Novos scripts
podem ser adicionados ou escritos por terceiros.
O RegRipper l as informaes do Registro diretamente dos arquivos (hives) que
as armazenam, interpreta esses dados e os disponibiliza para o usurio.
A seguir so apresentadas algumas das informaes que podem ser obtidas do
Registros, e os comandos do RegRipper para obt-las.
Nome do computador:
Informao encontrada na chave SYSTEM\CurrentControlSet\Control\
ComputerName\ActiveComputerName.
C:\RegRipper>rip -p compname -r f:\T\system
Launching compname v.20080324
ComputerName = COMPUTADORNTFS
Livro-texto de Minicursos 68 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
Ressalta-se que o campo LastWrite Time Wed Nov 18 09:25:43 2009 (UTC) a data e horrio em que o sistema foi
desligado (shutdown) pela ltima vez.
ControlSet001\Services\Tcpip\Parameters\Interfaces
LastWrite time Mon Oct 26 15:20:28 2009 (UTC)
Interface {A69C78C2-98A2-4F6A-9FEC-534A380240B1}
Name: Conexo local
Control\Network key LastWrite time Mon Oct 26 15:20:31 2009 (UTC)
Services\Tcpip key LastWrite time Fri Nov 27 14:20:03 2009 (UTC)
DhcpDomain = localdomain
DhcpIPAddress = 192.168.145.131
DhcpSubnetMask = 255.255.255.0
DhcpNameServer = 192.168.145.1
DhcpServer = 192.168.145.254
Livro-texto de Minicursos 69 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
Outras informaes que podem ser obtidas do Registro so Wireless SSIDs, lista
de dispositivos mveis que foram conectados a USB, contas do usurio no sistema,
atividades do usurio etc.
Livro-texto de Minicursos 70 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
Figura 2.17
Livro-texto de Minicursos 71 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
por isso que existe uma forma de apagar um arquivo de forma irrecupervel.
Para isso, alm de ser marcado nas estruturas do sistema operacional como apagado, o
seu contedo em todo o disco deve ser sobrescrito. Existem inclusive protocolos para
realizar essa tcnica, conhecida como wipe ou sanitizao de dados. Dependendo da
sensibilidade e importncia dos arquivos a serem apagados, esses protocolos
recomendam que a rea da mdia de armazenamento em que os dados estavam
armazenados seja sobrescrita diversas vezes. A figura 2.18 ilustra o programa Disk
Wipe, que entrega a tcnica de sanitizao de dados em uma mdia completa. Nota-se
que se pode escolher qual protocolo de wipe utilizar. Na figura, so apresentados de
cima para baixo os protocolos do menos para o mais seguro.
Livro-texto de Minicursos 72 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
Velho et al (2016), pesquisas mostram que a maioria dos usurios usa senhas fracas. A
capacidade humana de memorizao no facilita que usurios guardem como senhas
sequncias muitos grandes e aleatrias. Geralmente sero usadas expresses que so
familiares aos usurios e as senhas tendem a se repetir em diversos sistemas.
Com isso, ao se deparar com contedo criptografado, o perito deve ao menos
tentar as tcnicas bsicas de recuperao de senhas, limitando-se aos recursos
computacionais e a um prazo de tempo de tentativa estipulado.
Livro-texto de Minicursos 73 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
Mesmo com todo poder de processamento dos clusters e das GPUs, testar todas
as combinaes, num ataque denominado fora bruta, no vivel para senhas com um
tamanho e complexidade razoveis (mais de 8 caracteres comea a inviabilizar a fora
bruta).
Por conta disso, deve-se tentar antes ataques mais inteligentes, nos quais a
chance de se descobrir a senha seja melhor do que o acaso. O ataque de fora bruta deve
ser o ltimo a ser utilizado, apenas quando todos os outros tiverem falhado.
Livro-texto de Minicursos 74 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
Um dos ataques que pode obter sucesso o ataque de dicionrio. Nesse ataque,
tenta-se todas as senhas de um determinado dicionrio (lista de palavras), como por
exemplo, um dicionrio com todas as palavras da lngua portuguesa. um ataque rpido
de ser realizado. Nesse tipo de ataque, a criatividade o limite. Pode-se tentar
dicionrios temticos, palavras que sejam da lista de interesses do alvo e at mesmo
buscar dicionrios de dados recuperando todas as palavras de outros dispositivos de
informtica do alvo que no estejam criptografados. No obtendo-se sucesso, pode-se
tentar a abordagem hbrida. Nesse ataque, cada palavra do dicionrio sofrer
determinada variao, como por exemplo, colocar o primeiro caractere em maisculo,
adicionar nmeros ao final de cada palavra etc. Novamente, a criatividade o limite.
Vale ressaltar que, quanto mais variedade for adicionada, maior ser o tempo necessrio
para completar o ataque.
Livro-texto de Minicursos 75 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
Livro-texto de Minicursos 76 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
Livro-texto de Minicursos 77 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
Livro-texto de Minicursos 78 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
para o computador do especialista ou uma forma mais interessante, que fazer uma
cpia fsica dos dados.
Para realizar a cpia fsica, deve-se usar algum programa que possibilite esse
tipo de cpia e enviar o resultado para o computador do perito. Uma opo usar os
programas dd e netcat, o primeiro para copiar os dados, o segundo para transmiti-los via
uma conexo entre o dispositivo mvel e o computador. Esses dois programas no esto
presentes na configurao padro do Android, mas podem ser encontrados na Internet e
baixados para o dispositivo por meio dos comandos ADB.
Os pontos fracos dessa abordagem de extrao de dados so a necessidade de
habilitar o modo de depurao de USB no prprio dispositivo e a necessidade de se ter
acesso de super-usurio (root). Caso o dispositivo esteja protegido por senha, no ser
possvel habilitar a depurao USB. Dessa forma, um outro meio de extrao de dados
necessrio.
Livro-texto de Minicursos 79 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
Referncias
Brooks, Charles L. - CHFI Computer Hacking Forensic Investigator Certification All-
in-One Exam Guide; 2014
Carrier, Brian File System Analysis USA, 2006
Carvey, Harlan Windows Forensic Analysis USA: Syngress, 2009
Epifani, Mattia; Stirparo, Pasquale - Learning iOS Forensics Packet Publishing: 2015
Gomes, Jeremias Moreira A forense computacional e os discos de estado slido
ICoFCS, 2012
Fagundes, Leonardo L.; Neukamp, Paulo A.; da Silva, Pamela C. Ensino da Forense
Digital Baseado em Ferramentas Open Source ICoFCS, 2011
Machado, Margarida Helena Serejo. A Regulamentao da Cadeia de Custdia na Ao
Penal: Uma necessidade Premente. Corpo Delito, n.1, p. 18-23, Braslia, 2009.
Marimoto, Carlos Eduardo - Hardware II O Guia Definitivo Sul Editores - Porto
Alegre, 2010
Merola, Antonio - Data Carving Concepts - SANS Institute November, 2008
Silva, Gilson Marques; Lorens, Evandro Mrio Extrao e Anlise de Dados em
Memria na Percia Forense Computacional ICoFCS, 2009
Stallings, Willian Criptografia e segurana de redes 4 Edio So Paulo, 2008
Livro-texto de Minicursos 80 c
2016 SBC Soc. Bras. de Computao
XVI Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2016
Livro-texto de Minicursos 81 c
2016 SBC Soc. Bras. de Computao