relatorios/laudos de Forense Computacional e Análise de Malwares

Transcrição

1 Como escrever relatorios/laudos de Forense Computacional e Análise de Malwares Muitos analistas e peritos possuem todo o knowhow e skill técnico para executar um trabalho de Resposta a Incidentes e Forense Computacional, dominam as ferramentas, as técnicas, e até mesmo os processos e procedimentos necessários para garantir a integridade do processo e a validade das evidências e provas coletadas. Porém, uma das partes mais importantes neste tipo de atividade é o relatório final, aquele que será escrutinado e atacado por suas possíveis deficiências. São fatores importantes desde a adequação ao público-alvo, organização e apresentação dos achados até a sustentação dos argumentos e hipóteses que levaram às conclusões apresentadas. Infelizmente não há muito material de qualidade disponível sobre este tema, apesar de alguns livros tratarem deste assunto de forma adequada. A boa notícia é que nesta semana dois artigos relevantes foram publicados sobre aspectos relacionados à escrita de relatórios: O Brad Garnett publicou no blog do SANS Institute o post Report Writing for Digital Forensics: Part II 1http://computer-forensics.sans.org/blog/2013/02/26/report-wri ting-digital-forensics-part-ii Este post é uma continuação de um excelente material que já havia sido publicado em 2010: 2-

2 rt-writing-digital-forensics Coincidentemente, o Lenny Zeltser publicou What to include in a Malware Analysis Report 3 rt.html Além das novas referências, aproveito para divulgar outros materiais online que são relevantes aos interessados pelo o assunto: 4 NIJ/DoJ Forensic Examination of Digital Evidence: A Guide for Law Enforcement 5 NIST SP Guide to Integrating Forensic Techniques into Incident Response 6 DoJ Obtaining and Admitting Electronic Evidence df 7 Sans Institute Becoming a Forensic Investigator c-investigator_1453 SSegurança blog.suffert.com: Como escrever relatorios/laudos de Forense Computacional e Analise de Malwares.

3 Falando sobre Computacional Forense A forense digital, é uma ciência ou técnica relativamente recente no campo da segurança digital, pois poucas décadas no separam do surgimento do computador de demais dispositivos tecnológicos que poderiam ser utilizados em crimes digitais. Essa ciência inclui a preservação, coleta, confirmação, identificação, análise, cópia e a apresentação de informação sobre a atividade maliciosa. E o processo de investigação é que nos provê as informações necessárias para a análise forense, que vai nos levar à conclusão final que poderá servir até mesmo como base para uma decisão judicial. Investigação digital Uma série metódica de técnicas e procedimentos para coletar evidências de um sistema computadorizado, de dispositivos de armazenamento ou de mídia digital, que podem ser apresentadas em um foro de uma forma coerente e formato inteligível. Dr. H. B. Wolf A investigação digital é um processo onde uma hipótese é desenvolvida e testada para responder algumas questões à respeito de uma ocorrência digital. As informações utilizadas durante a recriação do cenário são coletadas ao longo do processo de investigação em uma de suas fases iniciais. Com tais informações, é possível compreender o que ocorreu, como ocorreu e até mesmo o objetivo por detrás das ações do responsável pelo comprometimento do artefato digital. E a investigação digital tem como objetivo suportar ou desmentir uma hipótese apresentada por uma análise inicial, e muitas vezes superficial, do cenário comprometido.

4 Investigação digital X Forense digital Por mais que pareça incoerente e estranho, a investigação digital difere da forense digital em inúmeros pontos do processo apesar de o objetivo central ser praticamente o mesmo. A principal diferença entre a investigação digital e a forense digital é a parte legal. Pois em um processo de análise forense existe uma preocupação legal, não só uma preocupação técnica, ao longo de todo o processo. Essa preocupação legal deve-se ao objetivo final de cada uma dessas operações. A análise forense procura chegar numa conclusão final, que permita apresentar um relatório com provas bem fundamentadas e amparadas nas leis vigentes daquele país, pois o mesmo será utilizado para embasar uma decisão judicial, que precisa estar de acordo com os aspectos legais de um processo válido. Do contrário, a investigação não alcançará seu objetivo, que é fundamentar ou desmentir uma hipótese apresentada durante a análise do caso. Pelo fato da forense digital ser algo recente, as interpretações das leis podem mudar, bem como a reação às novas ameaças. O que acaba dificultando o processo de investigação, pois ainda se utiliza leis de um paradigma antigo, para enquadrar crimes ocorridos em um paradigma completamente diferente, com artefatos diferentes, objetivos e métodos diversos. Já a investigação digital tem um foco diverso, mais voltado para as técnicas e ferramentas utilizadas do que ao aspecto legal de um processo judicial. Isso permite ao perito focar seu trabalho em descobrir e analisar as evidências de forma mais técnica e aprofundada, não se preocupando em demasia com os aspectos legais de todo o processo.

5 Problemas concernentes à Forense computacional Como a forense computacional é uma área relativamente nova, até mesmo por conta do pouco tempo da popularização dos computadores, não há possibilidade de perfeição em seus métodos e formas de atuação. Por conta disso, podemos enumerar alguns pontos falhos dessa área, que com o tempo certamente serão melhorados: Ainda, é mais uma arte do que ciência; Ainda está em seus estados iniciais de desenvolvimento; Há pouco conhecimento teórico sobre o qual as hipóteses empíricas são baseadas; Há falta de treinamento apropriado; Não há padronização de ferramentas. Essas são alguns dos problemas atuais dessa área. No entanto, o desenvolvimento de pesquisas na área, em pouco tempo, resolverão os mesmos. A forense computacional é o equivalente ao levantamento na cena de um crime ou a autópsia da vítima. James Borek Atualmente, a maioria dos documentos existentes possuem seu equivalente no formato digital, e daqui há algum tempo, os documentos digitais dominarão qualquer tipo de negociação, autenticação, permissão ou qualquer outra ação legal. Sem contar, que muito do que manipulamos de informação atualmente, está em formato virtual, sem equivalência do mundo físico. Por conta disso, em quatro ou cinco anos, todos os casos judiciais envolverão a análise forense computacional. E como as evidências digitais são delicadas por natureza, é necessário um profissional qualificado e que tenha

6 conhecimento suficiente para realizar a análise forense de um sistema comprometido, ou que possua evidências necessárias ara a comprovação de determinados fato. E o principal objetivo do investigador forense computacional é determinar a natureza e os eventos relacionados a um crime ou ato malicioso, e localizar quem o perpetrou, seguindo um procedimento de investigação estruturado. Esse procedimento de investigação estruturado está baseado em metodologias que definem os passos básicos para o rumo de uma análise, permitindo que o profissional, inclusive, possa organizar seu kit personalizado de ferramentas para facilitar todo o processo. Crime cibernético Um crime cibernético é definido como qualquer ato ilegal envolvendo um computador, seu sistema ou suas aplicações. E para ser tipificado como crime, o ato deve ser intencional, e não acidental. E um crime cibernético possui três diferentes aspectos a serem analisados: Ferramentas do crime; Alvo do crime; Tangente do crime. E o mesmo deve ser de duas categorias diferentes: Ataque interno Ataque externo Exemplos de crimes cibernéticos Alguns exemplos de crimes cibernéticos incluem: Roubo de propriedade intelectual; Avaria na rede de serviço das empresas;

7 Fraude financeira; Invasão de crackers; Distribuição e execução de vírus ou worm. Essa pequena lista, obviamente, não é exaustiva, mas leva em consideração as ocorrências de maior incidência. E a motivação dos ataques podem ser as mais variadas possíveis, como as seguintes: Testes, ou tentivas de aprender na prática, por script kiddies Necessidade psicológica; Vingança ou outras razões maliciosas; Desejo de causar problemas para o alvo; Espionagem corporativa ou governamental. Papel do investigador O principal objetivo do investigador forense computacional é determinar a natureza e os eventos relacionados a um crime ou ato malicioso e localizar quem o perpetrou, seguindo um procedimento de investigação estruturado. O conhecimento necessário para realizar a investigação, atualmente está mais baseado em um conhecimento empírico do que teórico. Isso acaba sendo uma faca de dois gumes, pois para atuar como profissional, o mesmo precisa ter experiência na área; no entanto, esse mesmo profissional, apesar do conhecimento prático, muitas vezes não tem o embasamento teórico necessário para desenvolver ou seguir uma metodologia válida. O investigador, precisa respeitar uma metodologia confiável e válida, para que o processo não sofra qualquer tipo de invalidação por conta de algum passo ou fase mal coordenada, pois isso pode colocar toda uma investigação a perder, posto que suas evidência podem ser tornar provas sem fundamentação

8 legal, e seu relatório não será levado em consideração caso esteja envolvido em um processo judicial. Daí a importância do investigador, participar de eventos, treinamentos e procurar pesquisar os fundamentos e técnicas dessa área de atuação para realizar os procedimentos de investigação da maneira mais correta possível. É importante que o profissional mantenha uma conduta correta ao longo da investigação, para que todo o processo também não seja invalidado. Fonte: imasters (Luiz Vieira) Computação Forense Software Livre com O bem mais importante que as empresas possuem, sem dúvida, são as informações gerenciais, sendo muito importantes para a tomada de decisões, por isso todo investimento em segurança é necessário. As empresas precisam valorizar os profissionais de segurança da informação, pois eles cuidam do bem mais importante que possuem. A área de segurança da informação é uma área promissora, com a evolução da internet, com certeza teremos muitos problemas e incidentes, que incluem: vírus, roubo de informações, ataques coordenados de crackers e muitos mais. As estatísticas não são muito favoráveis, com relação a vírus e incidentes de segurança, segundo cert.br.(centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil). As empresas precisam proteger sempre seus ativos de informação para evitar problemas e prejuízos. O bem mais valioso que as empresas possuem são as informações que fazem ela funcionar, gerar receita e lucratividade.

9 Neste ano ocorreram vários ataques cibernéticos a portais do governo, serviços prioritários e empresas tradicionais, sendo os mais recentes, ataque e roubo de senhas de serviços, tais como Linkedin, na qual foram decifradas 6 milhões de senhas dos usuários (dados não oficiais) e também ocorreu roubos de informações da Rede Social Facebook. Quando um serviço nasce, ele pode ser 100% seguro, mas com a evolução das técnicas de invasão, logo trona-se vulnerável, por isso é muito importante investir em proteção e segurança para suas informações e sistemas. Existem hoje, diversos sistemas operacionais baseados em Linux e Software Livre, desenvolvidos exclusivamente para profissionais e estudiosos de Segurança da Informação e Computação Forense. Os sistemas possuem ferramentas e aplicativos exclusivos para realização de testes, análises e atividades da área, tais como: recuperação de arquivos apagados, analisadores de logs do sistema e programas, engenharia reversa, testes de invasão, vasculhador de tarefas executadas no sistema, analisador de protocolos enviados e recebidos na rede, programas de força bruta para quebrar senhas, entre outras coisas. Nesta era, em que estamos conectados em todos os lugares, os problemas e incidentes tendem a aumentar, o mercado de segurança da informação é promissor, por isso busque especialização nesta área, com certeza terá retorno rápido. Aproveite para conhecer alguns sistemas operacionais baseados em Linux e Software Livre, que reúnem ferramentas e um conjunto de aplicativos customizados para profissionais da área de segurança da informação, que trabalham com Forense Computacional. São Eles: FDTK Forense Digital ToolKit Distribuição Linux especializada em segurança da informação e computação forense, baseada em Ubuntu, tendo como vantagem principal ser toda em português. O projeto possui um kit com mais de 100 ferramentas utilizada para realização de testes, coleta, análises em forense computacional. Possui uma interface gráfica amigável, está em constante desenvolvimento,

10 para que o usuário possa contar com ferramentas forenses de qualidade, sem custo, tudo em português. O usuário pode baixar a distribuição e instalar na sua máquina ou utilizar como LIVE CD, podendo rodar em qualquer estação com drive de CD/DVD sem a necessidade de instalação no Disco Rígido. Atualmente ela está na versão 3.0 sempre atualizada pela comunidade Linux e Software Livre. Confira na Edição Nº 11 e 12 da Revista Espírito Livre, alguns artigos sobre essa distribuição. Informações e download: BACKTRACK Distribuição Linux com foco em segurança da informação e computação forense, o BackTrack possui um arsenal de ferramentas para testes que auxiliam os profissionais na realização de avaliações de segurança. O sistema é destinado a todos os públicos, dos profissionais de segurança mais experientes aos novatos. Com ótimos recursos, o sistema pode

11 ser utilizado para análises diversas, avaliação de aplicação web e sistemas, aprender sobre segurança da informação, estudos de engenharia social, realizar testes de penetração e vários outros aplicativos. Informações e download: CAINE Distribuição Linux especializada em segurança da informação e computação forense, é baseada no Ubuntu, a distribuição CAINE (Computer Aided Investigative Environment) é um projeto de forense digital baseado em Linux e Software Livre. Com uma interface amigável e visual, o sistema possui um pacote de aplicativos para realização de investigações forense que vão desde o básico ao avançado. O sistema pode ser utilizado para diversas avaliações, confira a lista de aplicativos do sistema.

12 Informações e download: SANTOKU Distribuição Japonesa Linux especializada em segurança da informação e computação forense, com foco em segurança mobile, engenharia reversa e análises de malwares, vírus em dispositivos móveis, nas principais plataformas de smatphones e tablets. Atualmente as pragas virtuais para smartphones e tablets crescem num ritmo acelerado, os recursos contidos nessa distribuição são muito úteis para realização de testes e experiências em segurança móbile. Informações e download: DEFT Distribuição Italiana Linux, baseada em Ubuntu, especializada em segurança da informação e computação forense, com kernel na versão atual 3. Um sistema profissional, estável com uma excelente conjunto de ferramentas para realização de análises forenses, inteligência cibernética e realização de testes. A distribuição possui cerca de 3 GB de tamanho, com um kit de ferramentas chamado de DART (Digital Advanced Response Toolkit Ferramenta de Resposta Digital Avançada). O ambiente gráfico

13 é o LXDE, porém no terminal é mais rápido a realização das tarefas. O usuário pode usar o sistema através do CD LIVE ou instalar na máquina. O DART possui diversas ferramentas, citando as principais: descoberta de informações de rede, inclusive wireless, análise de aplicações web, coleta de informações em redes sociais, proteção de identidade, clonagem de disco e recuperação de arquivos. A equipe mantenedora do sistema disponibiliza um manual completo para estudos. Informações e download: BACKBOX Distribuição Linux, baseada em Ubuntu, especializada em segurança da informação e computação forense. Foi desenvolvida para realização de testes de penetração e avaliações de segurança. O projeto oferece ao usuário as melhores ferramentas para análises, testes e investigações forenses, além de ser rápida, fácil de usar e fornecer um ambiente completo, a distribuição está sempre atualizada para garantir qualidade e evolução constante.

14 Informações e download: HELIX Distribuição Linux, também baseada em Ubuntu, especializada em segurança da informação e computação forense, possui uma gama de ferramentas dedicada a investigações e estudos da ciência da computação forense.

15 Informações e download: REMnux Distribuição Linux, também baseada em Ubuntu, especializada em segurança da informação e computação forense, utilizada por analistas de segurança na criação e administração de malwares para engenharia reversa. Engenharia reversa, no caso, é utilizada para criar novas pragas para combater as existentes. Os profissionais criam uma nova amostra de malware em laboratório para infectar o sistema que possui o malware em questão e direciona as conexões potencialmente maliciosas para o sistema REMnux, que estará escutando e analisando o software malicioso. O que ocorre na verdade é a engenharia reversa, que estuda e entende como funciona o praga para combatê-la. O kit de ferramentas do sistema inclui programas para análise de documentos maliciosos e utilitários para a engenharia reversa de malware através de análise forense de memória.

16 Informações e download: Não tive oportunidade de testar todos os sistemas, somente algumas distribuições. É necessário um estudo prévio para analisar qual sistema é melhor para a atividade a ser exercida. Esses sistemas são destinados a profissionais, é preciso ter ética para realização das atividades forenses, tanto com os sistemas citados neste artigo, quanto em qualquer recurso existente, para a segurança e proteção de todos. Não utilize os recursos para prática de crimes. Hacker não Cracker! Confira esse artigo na Edição Nº 8 da Revista Segurança Digital. Bons estudos e sucesso! Fonte: Analista TI

17 Conferência em Brasília reune 40 especialistas em cibersegurança A ICCYBER 2012 IX Conferência Internacional de Perícia em Crimes Cibernéticos, que acontece em Brasília de 26 a 28 de setembro, reunirá um time de mais de 40 especialistas, nacionais e internacionais, dentre os quais o Instituto Nacional de Criminalística da Polícia Federal e do FBI norteamericano, para debater os desafios da prevenção às ameaças digitais, e casos bem sucedidos de detecção e investigação de quadrilhas cibernéticas. Contendo atividades distribuídas entre painéis, palestras técnicas, apresentação de papers acadêmicos e sessões de treinamento, dentre os destaques da programação está a presença do Ministro Gilson Dipp, Vice-Presidente do STJ, Ministro do TSE, ex-corregedor Nacional do CNJ, e Presidente da Comissão responsável pela elaboração do anteprojeto de reforma do Código Penal, que participará do painel Proposições Legislativas Reforma do Código Penal, voltado a discutir alternativas de tipificação dos delitos digitais. Na palestra Sistema Integrado de Comando e Controle para Grandes Eventos, do Coordenador de TI da Secretaria de Segurança em Grandes Eventos do Ministério da Justiça, Daniel Russo, que trará informações sobre o planejamento das medidas de Segurança Eletrônica voltadas para a Copa do Mundo 2014 e Olimpíadas do Rio de Janeiro 2016, face às crescentes ameaças de cyberterrorismo existentes no mundo atual. Para ilustrar as possibilidades de tais ameaças cibernéticas, e as técnicas de detecção e investigação mais sofisticadas, diversos peritos da Secretaria de Perícias em Informática do Instituto Nacional de Criminalística INC da Polícia Federal

18 abordarão pesquisas e estudos de caso de episódios ocorridos, como a palestra Ataque a Sites Governamentais: Estudo de Caso, a cargo do perito Ronei Maia Salvatori, do INC-PF. Dentre os especialistas internacionais presentes, uma das mais aguardadas palestras é a Clustering and Classification for Cyber Crime, do guru Jesse Kornblum, formado pelo MIT Massachusetts Institute of Technology, pesquisador da área de computação forense da Kyrus Tech e criador de uma série de ferramentas consideradas fundamentais para a prática da perícia digital forense. A programação contempla ainda a sessão de Desafio Forense, elaborada pelos especialistas Sandro Suffert e Jacomo Piccolini, que reproduzirá, num ambiente de simulação, situações de rastreamento de invasão, exigindo a utilização de técnicas sofisticadas, debatidas durante o evento, para a detecção e identificação da origem do ataque simulado. Fonte: IDG Now! Como funciona a recuperação de dados Todos nós podemos sofrer ou já sofremos a frustrante experiência de perder documentos importantes, porque o computador bloqueou, o sistema ficou destruído num desastre natural ou carregámos, sem querer, na tecla eliminar. O que muitos não sabem é que, quando um documento se perde, geralmente só se perdeu de forma temporária. É uma questão de dispor das ferramentas adequadas ou de trabalhar com especialistas para salvar a informação. Não é como o mistério da meia perdida na máquina de secar roupa. A recuperação de

19 ficheiros não é um mistério. Quando um ficheiro aparece como perdido, para onde vai? Ao contrário do que a maioria das pessoas pensa, eliminação não implica desaparecimento e o ficheiro não desaparece do disco rígido para sempre. É melhor assumir o computador como uma página de um livro. Quando se elimina um ficheiro, a página não se destrói como se se arrancasse e se passasse por uma trituradora. Em vez disso, apaga-se a entrada do índice que indica a localização da referida página. A parte que se apaga do computador é o bocadinho de informação que indica a localização do ficheiro no disco rígido. Mais adiante, o disco rígido escreverá novos dados sobre a superfície onde se encontra o antigo ficheiro. O indicador, juntamente com os restantes indicadores de cada pasta e ficheiro do disco rígido, é guardado numa secção na parte inicial do disco rígido e é usado pelo sistema operativo para criar a estrutura de árvore do directório. Ao apagar o ficheiro indicador, o ficheiro real torna-se invisível para o sistema operativo, apesar de continuar no mesmo local até que o sistema operativo reutilize o espaço. O desafio da recuperação de dados é encontrar o índice originário que indica onde se encontram realmente os ficheiros. As empresas de recuperação de dados qualificadas dispõem de engenheiros com experiência que podem reconstruir a estrutura de ficheiros do sistema e impedir que se escreva em cima dos ficheiros perdidos. Dito isto, é uma questão de chegar aos lugares ocultos para recuperar dados que parecem desaparecidos para sempre. A recuperação de dados é a ciência que procura reconstruir o sistema de ficheiros para que se possa aceder aos ficheiros de dados. Cada sistema operativo tem um sistema de ficheiros, que é um método único de indexar e monitorizar os arquivos. Infelizmente para os que perdem dados, os sistemas de ficheiros podem ser muito complexos, razão pela qual pode ser

20 muito difícil localizar ficheiros perdidos. Por exemplo, os sistemas de ficheiros utilizados em meios empresariais requerem detalhes de segurança e dados de operações de acesso. Um bom exemplo disso é um sistema de ficheiros baseado em operações, ou um livro-diário, cujo objectivo consiste em registar quando se acede, modifica ou grava cada ficheiro, sendo assim um sistema mais complicado e mais difícil de reconstruir. As melhores empresas de recuperação de dados desenvolveram ferramentas próprias para os principais sistemas utilizados actualmente. Forma-se internamente os engenheiros de recuperação para que trabalhem na recuperação de dados, trabalhando uma série de anos com equipamento informático e aprendendo os dados de nível inferior específicos a cada classe de sistema de ficheiros. Em vez de empregar ferramentas de terceiros e usar um programa Auto-fix para todos os erros de sistema de ficheiros, que arranje automaticamente o sistema, os engenheiros são formados para descobrir a causa do erro do sistema e, posteriormente, organizá-lo em benefício dos interesses do cliente e do cuidado dos dados. Muitos trabalhos exigem, de facto, que o sistema de ficheiros seja reparado manualmente. Após a reparação do sistema de ficheiros, muitas vezes é necessário reparar a estrutura interna dos próprios ficheiros de dados. Tal como os sistemas de ficheiros, os ficheiros de dados de software para empresas também são muito complexos actualmente. De facto, alguns dos ficheiros mais comuns empregues todos os dias por utilizadores são mais complicados internamente que o sistema de ficheiros que alberga o ficheiro. Por isso, é importante que as empresas de recuperação de dados desenvolvam utilitários de reparação de ficheiros de software para Word, Excel, PowerPoint, Access, Outlook, e recuperações de bases de dados nos servidores Microsoft Exchange e Microsoft SQL. Existem duas fases após a entrada de um dispositivo de

21 armazenamento para efectuar recuperação de dados. A primeira fase é a de diagnóstico. O objectivo desta fase é mostrar todos os ficheiros susceptíveis de serem recuperados. O método mais seguro de sempre é trabalhar sobre uma cópia do disco do cliente, nunca sobre o disco original. Durante esta etapa, os engenheiros de recuperação podem determinar se o disco requer atenção especial na câmara limpa, que é um meio ultra-limpo empregue para trabalhar sobre falhas em aparelhos sensíveis a qualquer contaminação atmosférica, como os discos rígidos. Os técnicos especializados em técnicas de recuperação electromecânica trabalham para conseguir que o disco fique operativo para poder copiar os dados em bruto para um servidor isolado. Tal pode incluir qualquer operação, desde uma limpeza física dos pratos de discos para que possam girar correctamente, a substituir elementos eléctricos para iniciar o dispositivo e é importante para não continuar a contar com um disco que falha e cujo estado pode deteriorar-se. Após fazer uma cópia dos dados em bruto, os engenheiros especialistas em sistemas de ficheiros trabalharão para reparar as estruturas, e criarão uma lista de ficheiros completa que apresenta todos os ficheiros e directórios do disco. Esta lista de ficheiros informará também o cliente se existem buracos (ou erros de Input/Output) no próprio ficheiro. A última fase é a fase de recuperação. O objectivo desta fase consiste em copiar os dados recuperados para o suporte de armazenamento solicitado pelo cliente. Durante esta fase o cliente pode também pedir que se experimentem alguns ficheiros no laboratório. Por exemplo, em dispositivos que sofreram danos sérios no suporte ou no sistema de ficheiros, o cliente poderia solicitar que se experimentassem alguns dos ficheiros mais comuns. O engenheiro que trabalhou na recuperação tentará abrir alguns dos ficheiros e verificar que os dados abrem correctamente. A análise de como funciona realmente a recuperação de dados demonstra que a ciência da recuperação não é um mistério. Não

22 há fórmulas secretas nem poções mágicas. No entanto, é importante compreender que a recuperação de dados é uma disciplina muito complexa que necessita anos de prática para se adquirir perícia. A recuperação de dados é possível porque há investigação e progresso constantes e pela capacidade de trabalhar sobre tecnologia de armazenamento de forma paralela ao seu progresso. Por isso é tão importante trabalhar com empresas com experiência em todas as plataformas, tipos de suporte e sistemas operativos. Fonte: Computer World (Portugal) IX Conferência Internacional de Perícias em Crimes Cibernéticos Será em Brasília A IX ICCyber (Conferência Internacional de Perícias em Crimes Cibernéticos), que acontecerá nos dias 26, 27 e 28 de setembro de 2012 no Hotel Royal Tulip em Brasília DF, abriu as suas chamadas para trabalhos. Portanto, todos os cientistas, policiais, peritos, analistas, investigadores, pesquisadores, advogados e demais profissionais estão convidados a submeter seus artigos para premiação e publicação na história da ICoFCS 2012 (VI International Conference of Forensic Computer Science). Par este evento, estão sendo aguardadas apresentações que abordarão os seguintes temas: Crimes no Espaço Cibernético, Computação Forense, Cooperação Policial Internacional, Direito Eletrônico e TecnologiasCorrelatas Aplicadas. Vale ressaltar que a chamada para trabalhos terá seu prazo encerrado no dia 03 de julho próximo. Para os interessados em

23 efetuar suas inscrições para participar do evento, podem fazêlo através do formulário correspondente em até o dia 21 de setembro. Fonte: Under-Linux A aquisição e preservação dos dados na forense computacional Embora as técnicas de investigação da Computação Forense sejam usadas em contextos relacionados às investigações criminais, os princípios e procedimentos são praticamente os mesmos quando utilizados para desvendar qualquer tipo de ataque em uma empresa (ALTHEIDE; CARVEY; DAVIDSON, 2011). Enquanto o tipo de investigação pode variar muito, as fontes dos vestígios geralmente são as mesmas: dados gerados e manipulados por computador. Um dado no computador é, em sua base, uma sequência de 1s e 0s. Em última instância, é essa cadeia que as buscas realizam. Por muito tempo, a investigação se concentrou em meios de armazenamento magnéticos e ópticos, o que aumenta a preocupação em coletar dumps de memória em um sistema em execução e do tráfego de dados em redes. O objetivo da investigação forense é encontrar fatos e, por meio deles, recriar a verdade sobre o acontecimento. O examinador descobre a verdade sobre um acontecimento descobrindo e expondo os vestígios que foram deixados no

24 sistema. Esses vestígios podem ser transformados em provas. Em seu trabalho, o investigador digital pode trabalhar com outros dados e informações que, em resultado último, não se converterão em provas para um processo judicial. Nesse trabalho, utilizamos o termo vestígio livremente, porém, em uma redação, para uso legal essa distinção pode ser necessária. A sequência de passos e o que será analisado dependem do tipo de incidente. Após uma invasão de um sistema, por exemplo, é necessário analisar uma relativa quantidade de fontes de dados, incluindo conexões na rede, portas utilizadas nessas conexões, arquivos de log, instalação de malwares e programas, arquivos criados, apagados e alterados. No entanto, nem todos os casos envolvem uma análise tão abrangente. Por exemplo, um empregado pode ter acessado sem autorização um diretório contendo arquivos de grande interesse para a empresa em que trabalha. Nesse caso, uma avaliação da memória principal do computador não parece ser necessária. A cópia de um arquivo de log que guarda os acessos ao computador pode conter vestígios suficientes para estabelecer a autoria do delito. Já em outros casos, o acesso pode vir acompanhado de substituição de programas do sistema por outros maliciosos, instalação de bibliotecas espúrias e execução de processos viciados. Nesse caso, uma análise de como o sistema foi manipulado e uma foto dos processos em execução podem ser necessárias, o que envolve a análise do sistema ligado e ferramentas para dump de memória. Em qualquer circunstância, o processo a seguir depende do estabelecimento de uma hipótese e da realização um trabalho minucioso e cuidadoso para ver se a suspeita se confirma ou não. Cada investigação deve começar com uma hipótese. Exemplos

25 incluem esse computador foi invadido, ou a esposa de fulano está tendo um caso, ou este computador teve seu arquivo de lixo roubado. O papel do investigador não é provar essas afirmações, mas levantar os vestígios que indicam que essas hipóteses são verdadeiras ou não (ALTHEIDE; CARVEY; DAVIDSON, 2011). O trabalho investigativo depende, em qualquer caso, de dois temas muito importantes na computação forense: a aquisição e a preservação dos dados. As duas atividades são interdependentes, principalmente pelo cuidado em tornar o processo auditável e reproduzível. De nada adianta coletar os dados se estes se perderem total ou parcialmente ou sofrerem modificações, perdendo seu valor como prova, ou, ainda, o trabalho ser questionado. A Computação Forense trabalha com o fato de que qualquer ação em um sistema computacional deixa vestígios. Ações muito simples causam mudança de estado nos registradores da unidade central de processamento, bem como mudança de estado na memória principal. Ações mais complexas têm uma grande possibilidade de deixar impressões mais duradouras, como informações armazenadas em um disco rígido. Segundo Altheide, Carvey e Davidson (2011), podemos fazer analogia com a investigação forense tradicional, quando tanto o arrombamento de uma porta como sua abertura com chave mestra deixam vestígios mais fortes e mais fracos. Mesmo o ato de limpar os vestígios pode levar à criação de novos vestígios como o cheiro de água sanitária em uma cena de crime que foi lavada. Comparado a muitos vestígios físicos de que trata a forense tradicional, o conteúdo digital é relativamente muito frágil. É facílimo corromper dados gravados em discos e memórias permanentes, bem como, mais ainda, eliminar vestígios presentes na memória principal de computadores e outros meios

26 voláteis. Sem um cuidado adequado, tanto o conteúdo pode se perder como pode ser corrompido, causando imprecisão no resultado de uma análise. Em recentes estudos, já existe capacidade técnica de usar a unidade de processamento e memória das placas de vídeo mais modernas para uso em ataques, tornando o software malicioso muito difícil de ser localizado. Durante a investigação, também não podem ser negligenciados detalhes como a manutenção de sigilo e invasão de privacidade. Numa investigação conduzida de forma ilegal, os vestígios encontrados podem ser recusados como provas em um processo. Numa investigação forense, a forma com que o trabalho de coleta é feito é tão importante quanto o vestígio em si. Também podemos dizer que a qualidade do resultado da investigação é proporcional ao rigor e à precisão com que o trabalho investigativo é conduzido. Todo o procedimento deve ser documentado, com a descrição do ambiente onde se encontram os equipamentos, fotografias, esquema de ligação das máquinas e inclusão de cada dispositivo coletado na cadeia de custódia. Existe o mandamento maior na Computação Forense que é extrair os vestígios sem causar qualquer alteração no conteúdo original. Além disso, esse conteúdo deve ter seu estado preservado durante toda a investigação: desde o momento que o vestígio é encontrado até o momento em que a investigação se encerra e, talvez ainda, para além, quando contestações podem requerer novo exame de todo o material. O valor do vestígio depende do quanto ele foi preservado. Em certas circunstâncias, a alteração de apenas alguns bits já destrói o vestígio e prejudica drasticamente uma investigação (WRIGHT, 2010). Como já mencionado, uma ferramenta importante usada pelo investigador é a de cadeia de custódia. Nela, são anotadas todas as operações realizadas em um dispositivo ou uma mídia

27 que contém o vestígio, bem como quem o manuseou, quando isso foi feito e o que foi feito. Nem todos os trabalhos realizados em um dispositivo são feitos por apenas uma pessoa. Imagine a necessidade de enviar um disco rígido para ser analisado em um laboratório, seja por um problema de hardware seja por conter um sistema operacional não familiar à equipe. Esse envio deve ser documentado na cadeia de custódia, dando à equipe uma pronta informação de seu destino, datas, o que foi feito e por quem. No momento de apreensão de um dispositivo, uma etiqueta deve conter data e hora, o nome do coletor, de onde o item foi retirado e outros fatos relevantes ao caso, dependendo das políticas e dos procedimentos do time de investigadores (OPPENHEIMER, s.d.). Após isso, o dispositivo deve ser transportado e bem guardado. Veja exemplo de uma embalagem específica para a coleta de um dispositivo na Figura 1. Um exemplo de trabalho que expressa esse cuidado, utilizado como referência ao redor do mundo, é o guia de boas práticas para a pesquisa, apreensão e exame do vestígio eletrônico, o ACPO Good Practice Guide (7SAFE; METROPOLITAN POLICE SERVICE UK, 2011). Iniciado em 1997, no Reino Unido, o trabalho contou com a participação de agências de investigação e unidades de ciência forense envolvendo vestígio digital, incluindo a Associação de Chefes de Polícia Computer Crime Working Group. O guia ACPO estabelece quatro princípios essenciais para a abordagem no momento de apreensão e coleta de dados: Princípio 1 Nenhuma ação de algum agente encarregado de trabalhar na investigação pode modificar os dados contidos em um computador ou dispositivo a ser investigado. Princípio 2 No momento em que uma pessoa tem a necessidade de acessar o conteúdo original mantido no dispositivo, computador ou mídia, essa pessoa deve ser

28 competente para tal e ser capaz de explicar a relevância e as implicações de suas ações. Princípio 3 Deve ser criado um registro de todos os passos da investigação. Um examinador independente deve ser capaz de usar esses passos e chegar aos mesmos resultados. Princípio 4 A pessoa a cargo da investigação tem a responsabilidade geral de assegurar que esses princípios sejam condizentes com os preceitos legais aplicáveis. Esses quatros princípios indicam que o processo vai além da coleta dos vestígios, em direções que implicam necessidade de rigor na coleta de dados e responsabilidades dos envolvidos. Na internet, podemos consultar outras organizações que mantêm guias como o anteriormente exemplificado. Procedimento preparatório para a busca e apreensão O termo jurídico busca e apreensão (BRASIL, 1973) remete a uma ordem judicial para que coisas ou pessoas sejam localizadas, analisados ou retirados do local para análise posterior. Mesmo que o investigador forense trabalhe internamente em uma equipe de resposta a incidentes, é possível que a empresa seja, em alguma época, alvo de uma ordem de busca e apreensão em seus computadores. Casos como delitos causados por empregados, uma denúncia, mesmo que infundada, de uso de software não licenciado, ou outros motivos fora de controle da empresa, não podem ser totalmente descartados. É normal que pessoal técnico da empresa seja chamado a acompanhar o procedimento e entender o que está acontecendo e muitas vezes até mesmo auxiliando na busca de informações. Recorremos a uma simplificação, pois caracterizar o procedimento de análise posterior, no âmbito judicial, pode

29 ser bastante extenso. No caso de denúncia, não há nenhum aviso prévio no sentido de a empresa apresentar seus comprovantes de compra de licenças. A busca e apreensão é feita e, posteriormente, a empresa tem de se defender da acusação de compra de software não licenciado. Exemplo de Embalagem Os passos a seguir são exemplos que uma equipe de peritos pode seguir, tanto em uma investigação em campo quanto em uma investigação interna, dando ênfase em alguns pontos e suprimindo outros de acordo com o ambiente e caso analisado. Podemos usar o termo perito como sinônimo de especialista, e

30 não necessariamente como aquele profissional nomeado por um juiz para trabalhar em um processo judicial. Planejamento Qualquer trabalho de busca e apreensão deve ser bem planejado. Durante essa fase, é importante juntar o máximo de informações sobre o local onde o equipamento está instalado, sobre seus usuários e sobre as máquinas em si. Informações como número de computadores, seus modelos, tipos de sistemas operacionais e conexões devem ser previamente conhecidas, para que o investigador ou a equipe de investigadores tenha as ferramentas adequadas em mãos, inclusive, se necessário, com peritos auxiliares contratados para casos em que os sistemas não sejam de domínio da equipe. Outro fator que pode pesar é a existência de um grande número de equipamentos. Pode ser que o tempo disponível para o trabalho não permita analisar todos os computadores in loco. Se esse for o caso, e o tipo de análise permitir, pode ser necessária a escolha de máquinas representativas ou mais importantes, como servidores, a retirada de equipamentos ou de dispositivos, como discos rígidos e unidades de backup para laboratório. Em um caso de perícia sobre uso indevido de licenças, uma empresa de software alegou que uma fábrica estaria usando seu produto em um número maior de máquinas do que o estabelecido no contrato. Essa empresa acionou a justiça. Para o processo, foram nomeados dois peritos que deveriam avaliar cinco fábricas em cinco cidades diferentes. Vale destacar que os honorários dos peritos deveriam ser custeados pelos denunciantes, incluindo despesas de transporte, acomodação, alimentação etc. Devido à natureza do negócio, essas máquinas não poderiam ser analisadas durante o período de trabalho, o que levou a operação para os fins de semana. Observe que dois peritos não dariam conta de estar em cinco lugares ao mesmo

31 tempo, o que daria tempo para a empresa organizar algum tipo de maquiagem. Cada fábrica contava com mais de trinta computadores. Para analisar cada um, a estimativa era de no mínimo trinta minutos, em que uma avaliação do registro (eram máquinas Windows) e listagem de diretórios revelaria a presença da instalação das cópias do software. Porém, um estudo junto ao fabricante do software revelou que cada máquina contendo o aplicativo fazia chamadas a um servidor que mantinha um banco de dados centralizado para as cinco fábricas e que esse servidor continha um log de acesso com identificação de cada máquina. Isso pôde reduzir a estimativa inicial para algo extremamente mais simples, incluindo apenas uma visita. Esse tipo de detalhe técnico nem sempre consta dos laudos do processo. Com um procedimento preparatório, a tarefa pode ser melhor estimada. Dependendo do tipo de busca, a empresa investigada não pode liberar suas máquinas para análise sem que seu trabalho ou processo fabril seja interrompido. Esse tipo de situação varia de caso para caso, e o investigador forense deve estar preparado para agir de acordo com a situação, inclusive contratando auxiliares. No caso de o perito estar trabalhando em um caso judicial, a nomeação de auxiliares deve ser comunicada oficialmente. Em uma empresa, a manutenção de equipamentos de reserva como backups minimiza muito os prejuízos causados por uma interrupção, além de fornecer maior tempo para a investigação forense. Essa preocupação pode constar do Plano de Continuidade de Negócios da empresa. Ferramentas para o trabalho

32 em campo Não é sempre que uma máquina invadida pode ser removida para um laboratório a fim de ser examinada. Até porque, em muitas investigações, deve-se interromper minimamente as atividades do ambiente sob análise, reduzindo os prejuízos causados. A equipe deve estar preparada para o trabalho em campo. Exemplos de ferramentas com as quais uma equipe deve contar: Ferramentas comuns um kit contendo chaves Philips, de fenda e Torx; um alicate universal; um alicate de bico; um alicate de corte; e um pincel para limpar poeira são o mínimo necessário. É também aconselhável a utilização de proteção antiestática, que é uma tira que liga a caixa do equipamento ao braço do técnico, neutralizando qualquer diferença de potencial de eletricidade estática entre o aparelho e o corpo. A eletricidade estática é uma das maiores causas de destruição de circuitos eletrônicos. Também uma caixa de plástico para armazenar temporariamente parafusos retirados dos equipamentos facilita bastante o trabalho. Canetas marcadoras de várias cores podem ajudar no momento de marcar cabos para lembrar local e posição ao serem religados posteriormente. Ferramentas de identificação sacos plásticos antiestáticos para armazenar discos rígidos, adesivos, etiquetas, canetas marcadoras. Documentação formulários para anotação de todos os detalhes da operação, bem como para a manutenção da cadeia de custódia. No anexo, apresentamos como exemplo a tradução de um formulário disponível < em Câmera fotográfica com filmagem pode auxiliar ao registrar programas rodando, procedimentos de desligamento de máquinas, para provar o correto shutdown, uma fotografia da máquina e de suas

33 proximidades, configuração do equipamento, conexões elétricas etc. Recipientes sacos plásticos antiestáticos para embalar cada dispositivo a ser removido do local, contendo etiquetas amarradas ou coladas com identificação do item. Existem empresas que produzem embalagens específicas para uso em Criminalística. Na figura 1, apresentamos um exemplo. No Brasil, temos fornecedores desse tipo de embalagens. Armazenamento de dados discos graváveis (CDWR e DVD) ou, mais importante, discos ou pen drives USB para cópias de dados. Esses dispositivos devem vir totalmente vazios. Essa lista é logicamente incompleta e variável com o tempo, pois a tecnologia evolui muito. Há pouco tempo, um disco de 1,44 MB estaria na relação, hoje é peça de museu, mas nada impede que, em uma busca, sejam encontrados tipos antigos de mídia que, dependendo da natureza da investigação, devem ser coletados para análise. O investigador tem de estar preparado para essa hipótese e deve se preparar para ter condições de realizar a leitura e produzir cópias de trabalho. É possível que um dispositivo de gravação de CDWR/DVD se torne obsoleto em pouco tempo. Já existem computadores que sequer possuem unidades de disco, carregando seus softwares apenas pela rede. O dilema do desligamento Ao examinar um sistema computacional, o investigador forense está interessado em obter dados para sua investigação que podem estar em dois tipos de memória: Volátil É aquela que perde seu conteúdo ao ser interrompida sua alimentação elétrica. Em um computador, temos a memória principal, os registradores da CPU e sua memória cache. Apenas

34 a memória principal é de interesse para o investigador forense. Não volátil Não perde seu conteúdo com a interrupção da alimentação. Os discos rígidos são atualmente o mais comumente usados, mas os discos de memória flash começam a se tornar comuns, tanto em dispositivos como pen drives, como também em substituição aos discos rígidos em notebooks, tablets, telefones celulares e tocadores de música. A experiência e conhecimento técnico do examinador são de fundamental importância, pois qualquer ação descuidada pode levar à perda de informações importantes. Atualmente, o investigador forense enfrenta a difícil tarefa de decidir se desligar um sistema é o modo mais eficiente de coletar potenciais vestígios eletrônicos (WILES; CARDWELL; REYES, 2007). Há poucos anos, o procedimento da Computação Forense se resumia a analisar um disco rígido, não havendo preocupação com o conteúdo de memória, processos em execução e conexões de rede estabelecidas com outras máquinas. Tradicionalmente, os mais experientes investigadores forenses concordavam que a melhor prática era desligar um computador para preservar vestígios e eliminar uma potencial mudança na informação. No treinamento padrão, o desligue tudo e não modifique nada era a norma. Esse procedimento é uma prática que vem do mandamento da forense física de não se mexer na cena do crime, mas que não necessariamente se aplica à forense digital, uma vez que a tecnologia de investigação da Computação Forense evolui muito mais rapidamente do que as técnicas tradicionais da forense física. A evolução da tecnologia nos força a confrontar o fato de que algumas vezes é mais vantajoso fazer uma análise com o sistema ligado do que uma análise post mortem. O problema é que a análise com o sistema ligado muitas vezes modifica o vestígio, mudando o conteúdo de um disco rígido. Data e hora da

35 criação/modificação de arquivos, chaves de registro (Windows), arquivos de swap e conteúdo de memória são modificados quando se faz uma análise de um sistema ligado. A decisão de desligar ou não a máquina é baseada no conhecimento adquirido e na observação da máquina em si, o que depende muito do objetivo da investigação. Caso não seja feita a análise com a máquina ligada, é importante que os motivos da decisão façam parte do relatório ou laudo da investigação. Por exemplo, ao se encerrar uma planilha de dados ou um navegador, os dados são gravados em disco, permitindo uma investigação posterior. Já encerrar um programa, tal como um cliente de torrent, põe a perder todos os dados das conexões ativas com outros servidores. O conhecimento do investigador é que vai permitir esse discernimento. Torrent: Tecnologia de compartilhamento de arquivos P2P. Além da máquina em si, temos o problema da rede. Como as redes são transportadoras, e não elementos armazenadores, todos os dados devem ser capturados e gravados em tempo real ou serão perdidos para sempre. Segundo Figg e Zhou (2007), isso apresenta uma oportunidade para múltiplos tipos de investigações, que incluem análise de logs, análise de padrões de tráfego em servidores e na própria rede. Esse tipo de investigação aponta para uma análise em roteadores e ataques pela web, incluindo s, esteganografia e dispositivos móveis. Segundo o National Institute of Justice (2010), órgão do governo dos Estados Unidos, a ênfase do investigador forense, nos dias de hoje, é capturar o máximo possível de dados na cena do crime, enquanto os dispositivos ainda estão ligados. Quando lidando com vestígios digitais, os primeiros investigadores a chegar ao local devem ainda observar princípios forenses e princípios gerais, que incluem: o vestígio não deve ser modificado quando está sendo