Sie sind auf Seite 1von 41
UNIVERSIDADE DO EXTREMO SUL CATARINENSE CIÊNCIA DA COMPUTAÇÃO PROCEDIMENTOS COMPUTACIONAIS NO AUXÍLIO À PERÍCIA
UNIVERSIDADE DO EXTREMO SUL CATARINENSE
CIÊNCIA DA COMPUTAÇÃO
PROCEDIMENTOS
COMPUTACIONAIS NO AUXÍLIO
À PERÍCIA FORENSE APLICADA
EM WEB BROWSERS
ACADÊMICO: SIDNEY ROBERTO DA SILVA WEBBA
ORIENTADOR: PAULO JOÃO MARTINS
CRICIÚMA, NOVEMBRO DE 2010
Sumário 1.  Introdução: 2.  Fundamentação Teórica: " Problema   " O Browser   "
Sumário
1. 
Introdução:
2. 
Fundamentação Teórica:
" Problema
" O Browser
" Objetivo Geral
" Mercado dos Web
Browsers
" Objetivos Específicos
" Justificativa
" Funcionamento dos
Browsers
3. 
Trabalho Desenvolvido
" Perícia Forense
Computacional
" Metodologia SOP
4. 
Resultados Obtidos
5. 
Conclusão
" Perícia Forense em Web
Browser
6. 
Trabalhos Futuros
" Ferramentas Forense
Problema "   Como proceder numa avaliação forense computacional, de modo a que se consiga
Problema
"   Como proceder numa avaliação forense
computacional, de modo a que se consiga
encontrar evidências eletrônicas
suficientemente boas para serem usadas
em processos criminais?
Objetivo Geral "   Analisar e aplicar os procedimentos de perícia forense computacional na busca
Objetivo Geral
"   Analisar e aplicar os procedimentos de
perícia forense computacional na busca
por evidências em web browsers.
Objetivos Específicos "   Abordar os aspectos de segurança em web browsers; "   Examinar
Objetivos Específicos
"   Abordar os aspectos de segurança em web
browsers;
"   Examinar e descrever quais informações um
web browser armazena localmente durante uma
seção de acesso a Internet;
"   Compreender e aplicar os conceitos sobre
perícia forense computacional;
Objetivos Específicos "   Analisar e delinear quais ferramentas open source e de software livre
Objetivos Específicos
"   Analisar e delinear quais ferramentas open
source e de software livre são usadas na busca e
análise de evidências em web browsers;
"   Observar os tipos de evidências obtidas em
diferentes web browsers.
Justificativa "   Aumento da relevância da evidência digital em processos jurídicos ; "  
Justificativa
"   Aumento da relevância da evidência digital em
processos jurídicos
;
"   Carência bibliográfica dedicada à perícia forense
computacional no país … ;
" Urgente necessidade de se apresentar uma
resposta adequada para os graves problemas
existentes relacionados ao uso indevido da
Internet … .
O Browser "   O browser é percebido pelos usuários finais como a interface para
O Browser
"   O browser é percebido pelos usuários
finais como a interface para a Internet,
constituindo a forma mais conhecida de
um cliente para a mesma
(KRISHNAMURTHY; REXFORD,
2001).
Mercado dos Browsers Web Market Share 5,70% 1,20% 4,70% 5,20% 51,20% 32% Internet Explorer Firefox
Mercado dos Browsers
Web Market Share
5,70%
1,20%
4,70%
5,20%
51,20%
32%
Internet Explorer
Firefox
Safari
Chrome
Opera
Outros
"
W3Counter (2009)
FUNCIONAMENTO DOS BROWSERS 1 Consulta DNS URL Servidor DNS 2 Conexão TCP Browser 3 Pedido
FUNCIONAMENTO DOS BROWSERS
1 Consulta DNS
URL
Servidor DNS
2 Conexão TCP
Browser
3 Pedido HTTP
Servidor de
Origem
4 Resposta HTTP
5 Transações Paralelas Opcionais
Perícia Forense Computacional "   A perícia forense computacional é definida como a coleta, preservação,
Perícia Forense Computacional
"   A perícia forense computacional é definida
como a coleta, preservação, análise e
apresentação de evidências digitais, utilizando-
se de ferramentas e técnicas computacionais no
ambiente investigado, e auxiliando os juízes nas
tomadas de decisões num processo judicial
(VACCA,2002).
Metodologia SOP "   Autorização e Preparação; "   Identificação; "   Coleta e Preservação;
Metodologia SOP
"   Autorização e Preparação;
"   Identificação;
"   Coleta e Preservação;
"   Exame e Análise;
"   Documentação;
"   Reconstrução da Cena do Crime.
Perícia Forense em Web Borwsers "   Lado do cliente e lado do servidor. "
Perícia Forense em Web Borwsers
"   Lado do cliente e lado do servidor.
"   O que procurar:
"   Pesquisas realizadas;
"   Histórico de Navegação;
"   Downloads de arquivos;
"   Informações fornecidas (Formulários/
Senhas);
"   E-mails;
"   Cookies.
Ferramentas Forense "   Pasco; "   Galleta; "   Web Historian; "   Firefox
Ferramentas Forense
"   Pasco;
"   Galleta;
"   Web Historian;
"   Firefox 3 Extractor;
"   Mozilla Cache View;
"   PasswordFox.
Estudo de Caso " Estudo de Caso fictício simulando a realização de uma perícia forense
Estudo de Caso
" Estudo de Caso fictício simulando a realização de uma
perícia forense computacional com foco na busca e
análise de evidências em web browsers, nos laboratórios
da UNESC.
" Para a realização do estudo foram selecionados
aleatoriamente os laboratórios 16 do Bloco XXI-A e 8
do Bloco XXI-B, e da mesma forma, delimitaram-se 10
computadores a serem analisados em cada sala.
Metodologia " Práticas metodológicas (MARTINS; THEÓPHILO,   2009): " Coleta das evidências;   "
Metodologia
" Práticas metodológicas (MARTINS; THEÓPHILO,
2009):
" Coleta das evidências;
" Composição;
" Análise e validação dos resultados;
" Conclusões;
" Verificação de possíveis interferências;
" Relatório final.
" Metodologia SOP.
Autorização e Preparação "   Buscou-se autorização para a realização da perícia. "   Definiu-se
Autorização e Preparação
"   Buscou-se autorização para a realização da perícia.
"   Definiu-se o que se pretendia descobrir ao final da
mesma.
Identificação " Todos os computadores apresentaram as seguintes configurações de hardware:   " Memória
Identificação
" Todos os computadores apresentaram as seguintes configurações
de hardware:
" Memória RAM: 2 GB;
" Disco Rígido: 150 GB;
" Processador: Intel Core 2 Duo;
" Velocidade do Processador: 2,26 GHz;
" Número de Processadores: 1;
" Número de Núcleos: 2;
" Fabricante: HP.
" Bem como, as seguintes especificações de software:
" SO: Windows XP, Service Pack 3;
" Browsers: IE versão 8.0.6, Firefox versão 3.6.12.
Coleta e Preservação Arquivos Coletados Cache do IE Histórico de Navegação do IE Cookies do
Coleta e Preservação
Arquivos Coletados
Cache do IE
Histórico de
Navegação do
IE
Cookies do IE
Arquivos
Sqlite do
Firefox
Lab 8
10
63
1908
105
Lab 16
10
44
757
114
Total
20
107
2665
219
Arquivos Analisados
Cache do IE
Histórico de
Navegação do
IE
Cookies do IE
Arquivos
Sqlite do
Firefox
Lab 8
10
63
30
55
Lab 16
10
44
30
55
Total
20
107
60
110
Exame e Análise " Conversão das evidências para formatos legíveis, nomeadamente: xls, csv e html.
Exame e Análise
" Conversão das evidências para formatos legíveis,
nomeadamente: xls, csv e html.
" Análise das evidências para obtenção de informações
relevantes ao crime.
Análise dos Arquivos de Cache do IE " Obtém-se 7 campos para investigação (Type, URL,
Análise dos Arquivos de Cache do IE
" Obtém-se 7 campos para investigação (Type, URL,
Modified Time, Access Time, Filename, Directory,
HTTP Headers).
" Identificou-se acesso no dia 11/11/10 às 20:25:17
Análise dos Arquivos de Cache do IE "   "   Análise dos cabeçalhos HTTP
Análise dos Arquivos de Cache do IE
"
"
Análise dos cabeçalhos HTTP recebidos.
Usuário lab8b identificado.
Análise dos Arquivos de Cookie do IE " Foram obtidos 6 campos para análise (Site,
Análise dos Arquivos de Cookie do IE
" Foram obtidos 6 campos para análise (Site, Variable,
Value, Creation Time, Expire Time, Flags).
" Foi identificado acesso no dia 11/11/10 às 20:49:08
Análise do Histórico de Navegação do IE " O arquivo contém 7 campos para análise
Análise do Histórico de Navegação do IE
" O arquivo contém 7 campos para análise (URL Adress,
Modified Time, Accessed Time, Type, Deleted, Cached
Files, HTTP Headers).
" Acesso identificado no dia 11/11/10 às 20:46:12.
Análise dos Arquivos Sqlite do Firefox "   Places.sqlite; "   CACHE_MAP; "   Downloads.sqlite;
Análise dos Arquivos Sqlite do Firefox
"   Places.sqlite;
"   CACHE_MAP;
"   Downloads.sqlite;
"   Formhistory.sqlite;
"   Cookies.sqlite;
"   Signons.sqlite.
Análise do Histórico de Navegação do Firefox
Análise do Histórico de Navegação do Firefox
Tabela Moz_Places "   Identificaram-se buscas realizadas no site em questão no dia 11/11/10 às
Tabela Moz_Places
"
Identificaram-se buscas realizadas no site em questão
no dia 11/11/10 às 21:33:10.
Análise dos Arquivos de Cache do Firefox "   Obtiveram-se 8 campos para análise (URL,
Análise dos Arquivos de Cache do Firefox
"
Obtiveram-se 8 campos para análise (URL, Content
Type, File Size, Last Modified, Last Fetched Time,
Expiration Time, Fetch Count, Server Name).
Análise do Histórico de Downloads do Firefox " Tabela Moz_Downloads;   " Não foram identificados
Análise do Histórico de Downloads do Firefox
" Tabela Moz_Downloads;
" Não foram identificados downloads.
Análise do Histórico de Formulários Preenchidos do Firefox " Analisou-se a tabela moz_formhistory, com 6
Análise do Histórico de Formulários
Preenchidos do Firefox
" Analisou-se a tabela moz_formhistory, com 6 campos
para análise (Id, Fieldname, Value, TimesUsed,
FirstUsed, LastUsed).
" Foram identificadas buscas realizadas objetivando obter
conhecimento sobre como invadir um servidor web.
Análise do Histórico de Formulários Preenchidos do Firefox " Foi identificado um email enviado;  
Análise do Histórico de Formulários
Preenchidos do Firefox
" Foi identificado um email enviado;
" Foi identificado o nome do usuário usado para logar
no servidor comprometido;
" Foi identificado o nome do acadêmico que criou uma
conta no site afetado.
Decodificação do PRTime " Formato de data e hora usado pelo Firefox;   " Inteiro
Decodificação do PRTime
" Formato de data e hora usado pelo Firefox;
" Inteiro de 64 bits, representando o número de
microssegundos desde a meia-noite de 1 de Janeiro de
1970;
" Busca realizada no dia 11/11/10 às 21:31:40 e o email
foi enviado no mesmo dia às 21:35:10;
" Estreitou-se a investigação.
Análise das Senhas e Nomes de Usuário " Identificou-se um email e uma senha usados
Análise das Senhas e Nomes de Usuário
" Identificou-se um email e uma senha usados para logar
no servidor em questão;
" O programa não disponibiliza informações como: data
em que as informações foram salvas, ou data de último
acesso ao servidor.
Reconstrução da Cena do Crime " Crimes foram cometidos no dia 11/11/10 às 20:46:12 e
Reconstrução da Cena do Crime
" Crimes foram cometidos no dia 11/11/10 às 20:46:12
e às 21:33:10;
" Analisando-se as evidências do IE, descobriu-se que:
"   Computador 5, lab8 do Bloco XII-B;
"   Acessos no dia 11/11/10 das 20:46:12 às
21:22:45;
"   Usuário logado no SO identificado como
lab8b.
Reconstrução da Cena do Crime "   Analisando-se as evidências do Firefox, descobriu-se que: "
Reconstrução da Cena do Crime
"
Analisando-se as evidências do Firefox, descobriu-se
que:
"   Computador 5, lab8 do Bloco XII-B;
"   Acessos no dia 11/11/10 das 21:31:15 às
21:36:46;
"   Identificou-se uma busca sobre “como invadir
um servidor web” às 21:31:40;
"   Identificou-se que o email
fulano_de_tal@gmail.com foi usado para
logar no servidor afetado.
Reconstrução da Cena do Crime " Confirmou-se junto a instituição que o dono do email
Reconstrução da Cena do Crime
" Confirmou-se junto a instituição que o dono do email
usado para logar no servidor é um acadêmico da
mesma;
" Descobriu-se que o mesmo usou o computador 5, do
lab 8 do Bloco XXI-B, enquanto atendia a uma aula do
seu curso, nas datas e horários em que o crime foi
identificado;
Resultados Obtidos Comparação do desempenho das ferramentas Ferramentas Converteu com Sucesso Converteu com Falhas
Resultados Obtidos
Comparação do desempenho das ferramentas
Ferramentas
Converteu com
Sucesso
Converteu com
Falhas
Não Converteu
Pasco
100%
Galleta
100%
Web Historian
60%
40%
F3E
70%
20%
10%
Mozilla
100%
CacheView
PasswordFox
100%
Resultados Obtidos Número de computadores com evidências do IE Laboratórios Com Evidências Sem Evidências Lab
Resultados Obtidos
Número de computadores com evidências do IE
Laboratórios
Com Evidências
Sem Evidências
Lab 8
6
computadores
4
computadores
Lab 16
3
computadores
7
computadores
Número de computadores com evidências do Firefox
Laboratórios
Com Evidências
Sem Evidências
Lab 8
10
computadores
0
computadores
Lab 16
10
computadores
0
computadores
Apenas 1 computador apresentou evidências que se transformaram
em provas periciais.
Conclusão " Sucesso ao aplicar os conceitos de perícia forense na coleta e análise de
Conclusão
" Sucesso ao aplicar os conceitos de perícia forense na
coleta e análise de evidências oriundas de web
browsers;
" Falha ocasional ao usar algumas ferramentas;
" O uso de diversas ferramentas é recomendado;
" Dependendo do ambiente e aparatos tecnológicos
envolvidos outras ferramentas e técnicas podem ser
utilizadas;
Trabalhos Futuros " Análise de ferramentas que permitam realizar uma perícia em várias máquinas conectadas
Trabalhos Futuros
" Análise de ferramentas que permitam realizar uma
perícia em várias máquinas conectadas em rede;
" Analisar ferramentas que permitam recuperar
informações (histórico de navegação, cache, entre
outras) deletadas;
" Que técnicas e ferramentas usar quando o usuário usa
a navegação privativa;
" Como realizar uma perícia quando são usadas técnicas
anti-forense.
"  Obrigado !
"  Obrigado !