[7087 - 19525]forense_computacional
Transcript of [7087 - 19525]forense_computacional
-
Forense ComputacionalMauro Notarnicola Madeira
-
CrditosUniversidade do Sul de Santa Catarina | Campus UnisulVirtual | Educao Superior a Distncia
ReitorAilton Nazareno Soares
Vice-Reitor Sebastio Salsio Heerdt
Chefe de Gabinete da Reitoria Willian Corra Mximo
Pr-Reitor de Ensino e Pr-Reitor de Pesquisa, Ps-Graduao e InovaoMauri Luiz Heerdt
Pr-Reitora de Administrao AcadmicaMiriam de Ftima Bora Rosa
Pr-Reitor de Desenvolvimento e Inovao InstitucionalValter Alves Schmitz Neto
Diretora do Campus Universitrio de TubaroMilene Pacheco Kindermann
Diretor do Campus Universitrio da Grande FlorianpolisHrcules Nunes de Arajo
Secretria-Geral de EnsinoSolange Antunes de Souza
Diretora do Campus Universitrio UnisulVirtualJucimara Roesler
Equipe UnisulVirtual
Diretor AdjuntoMoacir Heerdt
Secretaria Executiva e CerimonialJackson Schuelter Wiggers (Coord.)Marcelo Fraiberg MachadoTenille Catarina
Assessoria de Assuntos Internacionais Murilo Matos Mendona
Assessoria de Relao com Poder Pblico e Foras ArmadasAdenir Siqueira VianaWalter Flix Cardoso Junior
Assessoria DAD - Disciplinas a DistnciaPatrcia da Silva Meneghel (Coord.)Carlos Alberto AreiasCludia Berh V. da SilvaConceio Aparecida KindermannLuiz Fernando MeneghelRenata Souza de A. Subtil
Assessoria de Inovao e Qualidade de EADDenia Falco de Bittencourt (Coord.)Andrea Ouriques BalbinotCarmen Maria Cipriani Pandini
Assessoria de Tecnologia Osmar de Oliveira Braz Jnior (Coord.)Felipe FernandesFelipe Jacson de FreitasJefferson Amorin OliveiraPhelipe Luiz Winter da SilvaPriscila da SilvaRodrigo Battistotti PimpoTamara Bruna Ferreira da Silva
Coordenao Cursos
Coordenadores de UNADiva Marlia FlemmingMarciel Evangelista CatneoRoberto Iunskovski
Auxiliares de CoordenaoAna Denise Goularte de SouzaCamile Martinelli SilveiraFabiana Lange PatricioTnia Regina Goularte Waltemann
Coordenadores GraduaoAlosio Jos RodriguesAna Lusa MlbertAna Paula R.PachecoArtur Beck NetoBernardino Jos da SilvaCharles Odair Cesconetto da SilvaDilsa MondardoDiva Marlia FlemmingHorcio Dutra MelloItamar Pedro BevilaquaJairo Afonso HenkesJanana Baeta NevesJorge Alexandre Nogared CardosoJos Carlos da Silva JuniorJos Gabriel da SilvaJos Humberto Dias de ToledoJoseane Borges de MirandaLuiz G. Buchmann FigueiredoMarciel Evangelista CatneoMaria Cristina Schweitzer VeitMaria da Graa PoyerMauro Faccioni FilhoMoacir FogaaNlio HerzmannOnei Tadeu DutraPatrcia FontanellaRoberto IunskovskiRose Clr Estivalete Beche
Vice-Coordenadores GraduaoAdriana Santos RammBernardino Jos da SilvaCatia Melissa Silveira RodriguesHorcio Dutra MelloJardel Mendes VieiraJoel Irineu LohnJos Carlos Noronha de OliveiraJos Gabriel da SilvaJos Humberto Dias de ToledoLuciana ManfroiRogrio Santos da CostaRosa Beatriz Madruga PinheiroSergio SellTatiana Lee MarquesValnei Carlos DenardinSmia Mnica Fortunato (Adjunta)
Coordenadores Ps-GraduaoAlosio Jos RodriguesAnelise Leal Vieira CubasBernardino Jos da SilvaCarmen Maria Cipriani PandiniDaniela Ernani Monteiro WillGiovani de PaulaKarla Leonora Dayse NunesLetcia Cristina Bizarro BarbosaLuiz Otvio Botelho LentoRoberto IunskovskiRodrigo Nunes LunardelliRogrio Santos da CostaThiago Coelho SoaresVera Rejane Niedersberg Schuhmacher
Gerncia AdministraoAcadmicaAngelita Maral Flores (Gerente)Fernanda Farias
Secretaria de Ensino a DistnciaSamara Josten Flores (Secretria de Ensino)Giane dos Passos (Secretria Acadmica)Adenir Soares JniorAlessandro Alves da SilvaAndra Luci MandiraCristina Mara SchauffertDjeime Sammer BortolottiDouglas SilveiraEvilym Melo LivramentoFabiano Silva MichelsFabricio Botelho EspndolaFelipe Wronski HenriqueGisele Terezinha Cardoso FerreiraIndyanara RamosJanaina ConceioJorge Luiz Vilhar MalaquiasJuliana Broering MartinsLuana Borges da SilvaLuana Tarsila HellmannLuza Koing ZumblickMaria Jos Rossetti
Marilene de Ftima CapeletoPatricia A. Pereira de CarvalhoPaulo Lisboa CordeiroPaulo Mauricio Silveira BubaloRosngela Mara SiegelSimone Torres de OliveiraVanessa Pereira Santos MetzkerVanilda Liordina Heerdt
Gesto DocumentalLamuni Souza (Coord.)Clair Maria CardosoDaniel Lucas de MedeirosJaliza Thizon de BonaGuilherme Henrique KoerichJosiane LealMarlia Locks Fernandes
Gerncia Administrativa e FinanceiraRenato Andr Luz (Gerente)Ana Luise WehrleAnderson Zandr PrudncioDaniel Contessa LisboaNaiara Jeremias da RochaRafael Bourdot Back Thais Helena BonettiValmir Vencio Incio
Gerncia de Ensino, Pesquisa e ExtensoJanana Baeta Neves (Gerente)Aracelli Araldi
Elaborao de ProjetoCarolina Hoeller da Silva BoingVanderlei BrasilFrancielle Arruda Rampelotte
Reconhecimento de CursoMaria de Ftima Martins
ExtensoMaria Cristina Veit (Coord.)
PesquisaDaniela E. M. Will (Coord. PUIP, PUIC, PIBIC)Mauro Faccioni Filho (Coord. Nuvem)
Ps-GraduaoAnelise Leal Vieira Cubas (Coord.)
BibliotecaSalete Ceclia e Souza (Coord.)Paula Sanhudo da SilvaMarlia Ignacio de EspndolaRenan Felipe Cascaes
Gesto Docente e DiscenteEnzo de Oliveira Moreira (Coord.)
Capacitao e Assessoria ao DocenteAlessandra de Oliveira (Assessoria)Adriana SilveiraAlexandre Wagner da RochaElaine Cristiane Surian (Capacitao)Elizete De MarcoFabiana PereiraIris de Souza BarrosJuliana Cardoso EsmeraldinoMaria Lina Moratelli PradoSimone Zigunovas
Tutoria e SuporteAnderson da Silveira (Ncleo Comunicao)Claudia N. Nascimento (Ncleo Norte-Nordeste)Maria Eugnia F. Celeghin (Ncleo Plos)Andreza Talles CascaisDaniela Cassol PeresDbora Cristina SilveiraEdnia Araujo Alberto (Ncleo Sudeste)Francine Cardoso da SilvaJanaina Conceio (Ncleo Sul)Joice de Castro PeresKarla F. Wisniewski DesengriniKelin BussLiana FerreiraLuiz Antnio PiresMaria Aparecida TeixeiraMayara de Oliveira BastosMichael Mattar
Patrcia de Souza AmorimPoliana SimaoSchenon Souza Preto
Gerncia de Desenho e Desenvolvimento de Materiais DidticosMrcia Loch (Gerente)
Desenho EducacionalCristina Klipp de Oliveira (Coord. Grad./DAD)Roseli A. Rocha Moterle (Coord. Ps/Ext.)Aline Cassol DagaAline PimentelCarmelita SchulzeDaniela Siqueira de MenezesDelma Cristiane MorariEliete de Oliveira CostaElosa Machado SeemannFlavia Lumi MatuzawaGeovania Japiassu MartinsIsabel Zoldan da Veiga RamboJoo Marcos de Souza AlvesLeandro Roman BambergLygia PereiraLis Air FogolariLuiz Henrique Milani QueriquelliMarcelo Tavares de Souza CamposMariana Aparecida dos SantosMarina Melhado Gomes da SilvaMarina Cabeda Egger MoellwaldMirian Elizabet Hahmeyer Collares ElpoPmella Rocha Flores da SilvaRafael da Cunha LaraRoberta de Ftima MartinsRoseli Aparecida Rocha MoterleSabrina BleicherVernica Ribas Crcio
Acessibilidade Vanessa de Andrade Manoel (Coord.) Letcia Regiane Da Silva TobalMariella Gloria RodriguesVanesa Montagna
Avaliao da aprendizagem Claudia Gabriela DreherJaqueline Cardozo PollaNgila Cristina HinckelSabrina Paula Soares ScarantoThayanny Aparecida B. da Conceio
Gerncia de LogsticaJeferson Cassiano A. da Costa (Gerente)
Logsitca de MateriaisCarlos Eduardo D. da Silva (Coord.)Abraao do Nascimento GermanoBruna MacielFernando Sardo da SilvaFylippy Margino dos SantosGuilherme LentzMarlon Eliseu PereiraPablo Varela da SilveiraRubens AmorimYslann David Melo Cordeiro
Avaliaes PresenciaisGraciele M. Lindenmayr (Coord.)Ana Paula de AndradeAngelica Cristina GolloCristilaine MedeirosDaiana Cristina BortolottiDelano Pinheiro GomesEdson Martins Rosa JuniorFernando SteimbachFernando Oliveira SantosLisdeise Nunes FelipeMarcelo RamosMarcio VenturaOsni Jose Seidler JuniorThais Bortolotti
Gerncia de MarketingEliza B. Dallanhol Locks (Gerente)
Relacionamento com o Mercado Alvaro Jos Souto
Relacionamento com Polos PresenciaisAlex Fabiano Wehrle (Coord.)Jeferson Pandolfo
Karine Augusta ZanoniMarcia Luz de OliveiraMayara Pereira RosaLuciana Tomado Borguetti
Assuntos JurdicosBruno Lucion RosoSheila Cristina Martins
Marketing EstratgicoRafael Bavaresco Bongiolo
Portal e ComunicaoCatia Melissa Silveira RodriguesAndreia DrewesLuiz Felipe Buchmann FigueiredoRafael Pessi
Gerncia de ProduoArthur Emmanuel F. Silveira (Gerente)Francini Ferreira Dias
Design VisualPedro Paulo Alves Teixeira (Coord.)Alberto Regis EliasAlex Sandro XavierAnne Cristyne PereiraCristiano Neri Gonalves RibeiroDaiana Ferreira CassanegoDavi PieperDiogo Rafael da SilvaEdison Rodrigo ValimFernanda FernandesFrederico TrilhaJordana Paula SchulkaMarcelo Neri da SilvaNelson RosaNoemia Souza MesquitaOberdan Porto Leal Piantino
MultimdiaSrgio Giron (Coord.)Dandara Lemos ReynaldoCleber MagriFernando Gustav Soares LimaJosu Lange
Conferncia (e-OLA)Carla Fabiana Feltrin Raimundo (Coord.)Bruno Augusto Zunino Gabriel Barbosa
Produo IndustrialMarcelo Bittencourt (Coord.)
Gerncia Servio de Ateno Integral ao AcadmicoMaria Isabel Aragon (Gerente)Ana Paula Batista DetniAndr Luiz Portes Carolina Dias DamascenoCleide Incio Goulart SeemanDenise FernandesFrancielle FernandesHoldrin Milet BrandoJenniffer CamargoJessica da Silva BruchadoJonatas Collao de SouzaJuliana Cardoso da SilvaJuliana Elen TizianKamilla RosaMariana SouzaMarilene Ftima CapeletoMaurcio dos Santos AugustoMaycon de Sousa CandidoMonique Napoli RibeiroPriscilla Geovana PaganiSabrina Mari Kawano GonalvesScheila Cristina MartinsTaize MullerTatiane Crestani Trentin
Avenida dos Lagos, 41 Cidade Universitria Pedra Branca | Palhoa SC | 88137-900 | Fone/fax: (48) 3279-1242 e 3279-1271 | E-mail: [email protected] | Site: www.unisul.br/unisulvirtual
-
Universidade do Sul de Santa Catarina
Forense ComputacionalLivro Digital
PalhoaUnisulVirtual
2012
-
Ficha catalogrfica elaborada pela Biblioteca Universitria da Unisul
341.4639M15 Madeira, Mauro Notarnicola
Forense computacional : livro digital / Mauro Notarnicola Madeira; design instrucional Delma Cristiane Morari. Palhoa : UnisulVirtual, 2012.
148p. : il. ; 28 cm.
Inclui bibliografia.
1. Prtica forense Recursos de redes de computadores. 2. Proteo de dados. I. Morari, Delma Cristiane. II. Ttulo.
Copyright UnisulVirtual 2012
Nenhuma parte desta publicao pode ser reproduzida por qualquer meio sem a prvia autorizao desta instituio.
Edio Livro Digital
Professor ConteudistaMauro Notarnicola Madeira
Coordenao de CursoLuiz Otvio Botelho Lento
Design InstrucionalDelma Cristiane Morari
Projeto Grfico e CapaEquipe Design Visual
DiagramaoNoemia Mesquita
RevisoContextuar
-
Forense ComputacionalLivro Digital
Mauro Notarnicola Madeira
Designer instrucionalDelma Cristiane Morari
PalhoaUnisulVirtual
2012
-
7 Apresentao
9 Palavras do professor
11 Plano de estudo
13 Unidade 1Computao forense
51 Unidade 2Aquisio e preservao dos dados
86 Unidade 3Anlise de dados e outras fontes de vestgio e a antiforense
119 Unidade 4Antiforense computacional
132 Para concluir os estudos
134 Minicurrculo
136 Respostas e comentrios das atividades de autoaprendizagem e colaborativas
141 Referncias
145 Anexo
Sumrio
-
Caro/a estudante,
O livro digital desta disciplina foi organizado didaticamente, de modo a oferecer a
voc, em um nico arquivo pdf, elementos essenciais para o desenvolvimento dos
seus estudos.
Constituem o livro digital:
Palavras do professor (texto de abertura);
Plano de estudo (com ementa, objetivos e contedo programtico da disciplina);
Objetivos, Introduo, Sntese e Saiba mais de cada unidade;
Leituras de autoria do professor conteudista;
Atividades de autoaprendizagem e gabaritos;
Enunciados das atividades colaborativas;
Para concluir estudos (texto de encerramento);
Minicurrculo do professor conteudista; e
Referncias.
Lembramos, no entanto, que o livro digital no constitui a totalidade do material
didtico da disciplina. Dessa forma, integram o conjunto de materiais de estudo:
webaulas, objetos multimdia, leituras complementares (selecionadas pelo
professor conteudista) e atividades de avaliao (obrigatrias e complementares),
que voc acessa pelo Espao UnisulVirtual de Aprendizagem.
Tais materiais didticos foram construdos especialmente para este curso, levando
em considerao as necessidades da sua formao e aperfeioamento profissional.
Atenciosamente,
Equipe UnisulVirtual
Apresentao
-
Prezado (a) aluno (a),
Espero que voc goste do como foram organizadas as leituras desse livro.
Como uma disciplina que aumenta de contedo em profundidade e abrangncia
a cada dia, no houve a pretenso de esgotar o assunto, mas apresentar os
conceitos fundamentais, de tal forma que novos conhecimentos possam ser
melhor assimilados. Quando estudamos os fundamentos de algo, fica bem mais
fcil e rpido entender assuntos mais aprofundados ou novos avanos na rea.
A Computao Forense tem aumentado de importncia em todo o mundo e j
uma matria com relativo amadurecimento em alguns lugares, onde j existem
inclusive cursos de graduao. No Brasil tambm j comeam a amadurecer
algumas iniciativas nesse sentido.
O campo de trabalho tambm tem aumentado e h procura por peritos judiciais.
Embora uma formao especfica no seja requerida, aqueles que incluem em seu
currculo que possuem conhecimentos em Computao Forense levam vantagem.
Nos tpicos do livro, h uma tentativa de apresentar um pouco de legislao. No
entanto, os aspectos legais no foram detalhados, uma vez que tiraria espao da
parte tcnica, que o foco da disciplina.
Prof. Mauro Notarnicola Madeira
Palavras do professor
-
O plano de estudo visa a orient-lo/a no desenvolvimento da disciplina. Possui
elementos que o/a ajudaro a conhecer o contexto da disciplina e a organizar o
seu tempo de estudos.
O processo de ensino e aprendizagem na UnisulVirtual leva em conta instrumentos que
se articulam e se complementam, portanto a construo de competncias se d sobre a
articulao de metodologias e por meio das diversas formas de ao/mediao.
So elementos desse processo:
o livro digital;
o Espao UnisulVirtual de Aprendizagem (EVA);
as atividades de avaliao (a distncia, presenciais e de autoaprendizagem);
o Sistema Tutorial.
Objetivo geral
Compreender as principais estratgias da forense computacional e desenvolver
habilidades para a sua execuo em ambientes corporativos.
Ementa
Fundamentos sobre forense computacional. Viso estratgica da forense.
Levantamento de informaes, coleta e tratamento de evidncias. Anlise de
resultados. Pr-requisitos para realizao da forense computacional.
Plano de estudo
-
Ps-graduao
Contedo programtico/objetivos
A seguir, as unidades que compem o livro digital desta disciplina e os seus
respectivos objetivos. Estes se referem aos resultados que voc dever alcanar
ao final de uma etapa de estudo. Os objetivos de cada unidade definem o
conjunto de conhecimentos que voc dever possuir para o desenvolvimento de
habilidades e competncias necessrias a este nvel de estudo.
Unidades de estudo: 4
Unidade 1 Computao forense
So apresentados os principais conceitos do que a Computao Forense e sua
comparao com a investigao forense. So apresentados conceitos bsicos
por trs da terminologia, detalhes de como a computao evoluiu, conectou-se
internet e serve atualmente como um mundo virtual, onde prticas criminosas
conseguiram se infiltrar. Tambm so apresentadas informaes sobre a profisso
e os contedos que precisam ser estudados para exerc-la.
Unidade 2 Aquisio e preservao dos dados
Nesta unidade, duas leituras apresentam as tcnicas e ferramentas para a busca e
apreenso, o preparo para o trabalho em campo, a aquisio de dados, como eles
so preservados, como so transportados, a constituio da cadeia de custdia e
o armazenamento adequado do material.
Unidade 3 Anlise de dados e outras fontes de vestgio
Nesta unidade, so analisados aspectos mais prticos da investigao, com uma
anlise de ferramentas de dados, de aspectos relevantes sobre sistemas de
arquivos, mdias e ferramentas envolvidas.
Unidade 4 Antiforense computacional
So apresentados o que significa a antiforense computacional e as principais
tcnicas utilizadas.
Carga horria: 30 horas
-
Computao forense
Unidade 1
Objetivos de aprendizagem Compreender o que a Computao Forense e sua importncia no mbito da empresa.
Entender a preocupao com a segurana e o que a preveno na Computao Forense.
Relacionar o nascimento do computador e da internet com a segurana dos sistemas.
Entender o interesse financeiro por trs de uma invaso e que o ataque tem abrangncia muito alm da local.
Entender o que a proatividade na Computao Forense.
Conhecer as etapas da investigao forense digital e onde atua o investigador forense.
Compreender o ambiente de trabalho forense.
Relacionar o mtodo cientfico conduo da investigao forense.
Introduo
A cincia forense ou criminalstica o processo de usar o conhecimento cientfico na
coleta, anlise e apresentao de vestgios para que estas se constituam provas em
um processo judicial. A palavra forense significa de foro judicial ou dos tribunais
ou a ele relativos, segundo o Dicionrio Priberam da Lngua Portuguesa (2011). A
cincia forense trabalha primariamente com a recuperao e anlise de vestgios
latentes. O vestgio latente pode ser de vrios tipos, como impresses digitais,
vestgios de plvora, DNA presente em uma gota de sangue etc. A cincia forense
combina conhecimentos e mtodos cientficos com procedimentos legais com o
propsito de levantar e apresentar ao sistema jurdico provas relacionadas a um crime.
-
14
Ps-graduao
O campo da cincia forense se desenvolveu durante muitos sculos. Os registros
mais antigos remontam ao ano de 1248, quando o mdico chins Hi Duan Yo
escreveu um livro sobre o conhecimento da anatomia e medicina da poca em
relao lei, que inclua diferenas entre morte por afogamento, estrangulamento
e causas naturais.
Embora a cincia forense tenha se desenvolvido em um campo bem documentado e
disciplinado com muitos nveis de verificao, ela est sempre em movimento. Assim
como o conhecimento cientfico e tcnicas so criadas continuamente, tambm os
processos forenses evoluem. Aos poucos, descobertas e tcnicas cientficas vo se
incorporando ao conjunto de recursos disponveis para as investigaes. Mesmo
assim, ela est sempre atrs dos avanos cientficos. Um exemplo o uso do DNA
como prova. Desde a dcada de 1980, a anlise do DNA j era conhecida na Nova
Zelndia, mas apenas em 1996 ela foi utilizada em uma corte.
-
Computao forense
15
O que a computao forense e sua importncia no mbito empresarial
Mauro Notarnicola Madeira
O computador e as tecnologias de telecomunicao atuais tm causado uma
mudana radical de como a sociedade funciona. Tanto no mbito profissional
como no pessoal, nossa vida depende de vrios servios que se apoiam em
computadores e redes de comunicao. Qualquer comprometimento no suporte
ou em servios importa prejuzos cada vez maiores. Um dos desafios da tecnologia
como tratar de ameaas e ataques a esses sistemas, que vo das simples
invases exibicionistas a roubos e terrorismo. Grande parte de nossas vidas hoje
se passa no cyberspace, assim como, cada vez mais, as atividades criminosas (TRCEK et al., 2010). Com isso, tambm a polcia tem sido chamada a atuar
nesse meio e a investig-lo. E essa mudana de meio significa que o que antes
era vestgio fsico e testemunhal, agora se apresenta na forma de informaes
digitais, armazenadas em memrias e discos. Portanto, o elemento crtico da
investigao criminal e manuteno da lei, vestgio fsico, est sendo substitudo pela informao na forma digital, o vestgio digital.
Vestgio digital a informao ou dado que possui valor em uma investigao,
armazenado, recebido ou transmitido por um dispositivo eletrnico. O vestgio
adquirido quando dados ou dispositivos eletrnicos so apreendidos e guardados
para exame.
Segundo National Institute of Justice (2001), o vestgio se caracteriza por:
poder ser latente, como impresses digitais e amostras de DNA;
poder cruzar jurisdies fcil e rapidamente;
ser facilmente alterado, danificado ou destrudo;
ser sensvel passagem do tempo.
Do ponto de vista dos vestgios, existem vrias formas de classific-los por tipos, mas,
de um modo geral, eles podem ser (NEW YORK Computer Forensic Services, 2011):
dados ativos so aqueles que podem ser prontamente vistos, como arquivos de texto e imagens, programas e arquivos usados pelos sistema
operacional. So os tipos de dados mais fceis de serem extrados.
dados arquivados so aqueles que foram alvo de backup. Podem ser CD-ROM, DVD, fitas magnticas, discos rgidos.
dados latentes so aqueles que geralmente necessitam de ferramentas especializadas para permitir seu acesso, como dados deletados,
parcialmente sobrescritos, cifrados etc.
-
16
Ps-graduao
Uma investigao pode envolver o exame de todos esses tipos de dados,
dependendo das circunstncias. Obter os dados latentes de longe o que requer
mais recursos e tempo.
Os termos evidncia, prova e vestgio trazem algum problema em seu uso
na Computao Forense. Na literatura sobre a Computao Forense em Lngua
Portuguesa, o termo evidncia muito utilizado em lugar de vestgio e muitas
vezes tambm como sinnimo para prova. No entanto, para evitar incorrees,
neste trabalho optamos por no utilizar o termo evidncia, uma vez que
um falso cognato. Por sua vez, a palavra prova uma forma de caracterizar o
vestgio. Logo, um vestgio pode ser uma prova, mas nem todo vestgio
pode ou deve ser utilizado como prova. Portanto, salvo algum descuido no texto,
vamos sempre optar pelo termo vestgio, designando a informao ou dado
objeto da investigao forense.
H poucos anos, a preocupao da Computao Forense se resumia a
contedos de mdias magnticas ou pticas, e o trabalho do investigador
forense era fazer cpias dessas mdias e procurar por cadeias de caracteres
com examinadores hexadecimais.
Atualmente, com a computao presente nos mais variados dispositivos, incluindo
os mveis como tablets e smartphones, e a capacidade de se comunicar em rede, essa realidade mudou. Muitos equipamentos no se resumem mais a armazenar
seus dados em mdias locais, e surge a importncia de analisar o que est na
memria principal do dispositivo bem como o que ele depositou em sistemas de
armazenamentos distantes, como em servidores e na nova cloud computing, em que servios e armazenamentos de dados podem estar em qualquer lugar, longe
das fronteiras fsicas de uma empresa e mesmo em outros pases.
Tambm o ato de desligar uma mquina e lev-la para anlise em laboratrio
deixou de ser o procedimento padro, uma vez que, de uma forma geral, se elas
esto ligadas, o contedo da memria principal deve ser examinado.
Com a proliferao da internet, as empresas nunca estiveram to expostas,
justamente quando a informao o bem de maior valor em uma organizao.
No so somente as grandes empresas que esto em risco. Qualquer organizao,
mesmo as pequenas, de qualquer tipo de ramo, um potencial alvo. Da mesma
forma, tambm no sempre um hacker habilidoso que se aproveita das falhas de segurana de um sistema, mas muitas vezes um funcionrio recm-despedido ou
insatisfeito, ou algum simplesmente querendo deixar sua marca.
-
Computao forense
17
A importncia em proteger a informao cada vez mais reconhecida. Alm de
ser um alvo direto de um ataque, uma empresa pode ser, indiretamente, base para
ataques, o que significa implicaes legais de responsabilidade. Tanto agentes
externos quanto empregados sem preparo ou mal-intencionados podem utilizar
servidores de uma empresa para conduzir ataques a outras organizaes ou pessoas.
Preocupao com a segurana
No comeo da computao comercial, os computadores de grande porte, os
mainframes, eram instalados em salas ou em prdios construdos especialmente para eles, denominados de Central de Processamento de Dados (CPD) ou Ncleo
de Processamento de Dados (NPD), onde apenas pessoas autorizadas tinham
permisso para entrar.
De forma geral, no incio da computao comercial, um CPD no era conectado a
outro e o acesso pelos usurios era feito por meio de terminais burros, ou seja,
sem processamento, instalados em prdios prximos ao mainframe.
Basicamente, a preocupao era com o ataque interno e o eventual vazamento de informaes causado por funcionrios da empresa que tinham acesso ao computador.
Para garantir a segurana, era preciso definir quem tinha acesso ao que em um
sistema, especialmente porque, em um CPD, um ou mais computadores so
compartilhados por todos os departamentos de uma organizao, quando no por
vrias organizaes ou empresas.
Devido a esse uso compartilhado, sistemas especficos de controle de acesso
foram desenvolvidos. Um exemplo o Resource Access Control Facility, criado pela IBM em 1976 (IBM, 2008).
Nesse sistema, podem ser definidos:
identificao e verificao de usurios do sistema;
identificao, classificao e proteo dos recursos do sistema;
autorizao de usurios ao acesso a recursos;
controle das formas de acesso aos recursos;
registro de tentativas no autorizadas de acesso ao sistema e aos recursos protegidos;
administrao de recursos para atingir os objetivos de segurana da instalao.
-
18
Ps-graduao
Os mainframes eram e so a escolha para empresas grandes, bancos e governo. Ou seja, uma eventual falha de segurana pode gerar perdas enormes, tanto
em dinheiro, tempo para recompor um servio ou com a perda de documentos
sigilosos, como patentes, frmulas de produtos industriais, cadastro de clientes,
nmeros de carto de crdito etc., assim, o ambiente de mainframe j incorpora itens de segurana h muito estabelecidos para evitar esses perigos.
O que mostra isso? Que a preocupao com a segurana vem de longe, e que, alm
do isolamento fsico do computador, o seu acesso lgico era restrito e controlado.
Vale lembrar que as redes de comunicao ligando usurios aos computadores e
estes entre si eram praticamente inexistentes at a dcada de 1990 e as regras e
os mecanismos de proteo forneciam um ambiente relativamente seguro.
Embora a pesquisa e o desenvolvimento de uma rede de computadores j
estivesse em curso desde a dcada de 1960, com o projeto Advanced Projects Research Agency (ARPA), financiado pelo departamento de defesa dos Estados Unidos, somente na dcada de 1980 que o protocolo TCP/IP foi publicado
(BARBARA, 2007) e somente na dcada de 1990 que a internet expandiu o
efeito potencial da exposio de mquinas a qualquer usurio. Sem contar que
somente nessa poca que o enlace last mile, ou seja, o elo de conexo final com um usurio domstico, foi solucionado, conectando o usurio de um computador
pessoal e redes locais a redes distantes.
Portanto, h muito existem as redes. Porm, estas no eram como a internet,
conectando uma vasta quantidade de usurios, e utilizavam padres incompatveis
entre fabricantes. (CERUZZI, 1998).
Existiam ainda instalaes em que a segurana empregava cuidados especiais.
Em um bunker da poca da Guerra Fria, temia-se que emisses eletromagnticas dos computadores pudessem ser interceptadas e
fosse possvel ler os dados sendo processados. Para
eliminar esse risco, os computadores eram imersos
em salas com as paredes recobertas de metal ou de
uma tela de arame, denominadas gaiolas de Faraday,
que impedem a emisso ou recebimento de ondas eletromagnticas.
Experimente deixar um rdio receptor AM prximo a um computador voc ouvir uma interferncia muito forte. Curiosamente, os primeiros microcomputadores destinados a amadores se comunicavam com o mundo externo por meios-chave para a entrada de dados e leds para a sada causando muito pouco interesse para quem no era iniciado. Para impressionar amigos, um programador desenvolveu um software que emitia padres em forma de msica que podiam ser captados por um rdio AM.
-
Computao forense
19
Entretanto, os computadores passaram a ser utilizados em um nmero de
atividades muito alm do que existia e se imaginava at a dcada de 1980, e a
criao do comrcio eletrnico na dcada de 1990 foi um marco.
Hoje em dia, um computador sem acesso externo de uso restrito a
atividades muito especficas. Por meio da internet, qualquer computador est
eletronicamente conectado a outro, e as barreiras de proteo se utilizam de
ajustes em dispositivos, como routers, switches e mesmo outros computadores que servem de canal para a conexo externa.
O computador pessoal e a internet
O mundo seguro quase ideal do mainframe descrito anteriormente foi destrudo, em parte, com o surgimento do computador pessoal e, posteriormente, com o
advento da internet.
Nas dcadas de 1970 e 1980, a disponibilidade de circuitos eletrnicos
integrados e o seu barateamento permitiram o surgimento de mquinas de
pequeno porte que podiam ser adquiridas por pessoas fsicas, j que, no mundo
do mainframe e de minicomputadores, os custos eram proibitivos e s grandes empresas tinham acesso.
Do uso pessoal at o empresarial foi um pulo. Bastou a inveno da planilha de dados e do editor de textos para o computador pessoal (Personal Computer, em ingls), ou PC, tornar-se atrativo para os mais variados tipos de atividades.
O uso do PC foi importantssimo para todo o mundo das pequenas e mdias
empresas, trazendo para elas recursos computacionais que criaram toda uma
nova gama de negcios. A cada evoluo nos computadores pessoais, tanto em
hardware quanto em software, mais tarefas eram possveis de ser automatizadas, indo alm daquilo para o qual os mainframes eram utilizados.
Esse movimento para trazer para o microcomputador tarefas que antes eram
realizadas por mainframes ganhou o nome de Downsizing, e, na prpria definio, no havia muito compromisso com integridade dos sistemas, segurana e controle
(Business Dictionary, 2011). Logicamente, o prprio conjunto software/hardware, por sua simplicidade, no comportava essas caractersticas.
Na era da exploso dos microcomputadores, na dcada de 1980, estvamos ainda
no incio da conexo em rede, geralmente restrita conexo de computadores
prximos (Local Area Networking LAN), utilizando-se das famosas placas Ethernet.
-
20
Ps-graduao
A ideia de uma internet conectando todos a todos e a tudo mal existia na fico
cientfica poca da inveno dos primeiros microcomputadores. Tambm no
havia uma preocupao grande com a segurana nos dados mantidos por esses
primeiros computadores pessoais. Era extremamente fcil copiar informaes
importantes de uma empresa para a um disquete e transferir esses dados
para outro computador. Portanto, o ataque aos dados tinha de ser realizado
internamente, j que era necessrio o acesso fsico ao computador.
O computador pessoal no nasceu para ser usado em ambientes nos quais a
segurana era um item importante. E essa fragilidade veio tona de forma explosiva
quando a internet se tornou acessvel, no comeo da dcada de 1990. A partir desse
ponto, as ameaas de invaso de um sistema para expor seus dados passaram a ter
dois caminhos: o ataque interno, que conta com a ajuda intencional ou no, quando
um empregado se apodera de dados ou acessa de forma no autorizada ou ainda
fornece suas credenciais de acesso; e o ataque externo, perpetrado por agentes que
invadem um sistema computacional utilizando-se de acessos pela rede.
Nota-se tambm que o papel do computador central, representado pela arquitetura
dos mainframes, tambm deixou de existir nos dias atuais. O mainframe passou a ser mais um servidor na rede. (SHELDON; BIG SUR MULTIMEDIA, 2001).
Desde ento, tem sido uma guerra entre invasores e invadidos. A cada invaso, os
sistemas se protegem mais, e esse talvez seja o papel mais nobre da Computao
Forense: examinar o que houve de errado, ajudando a implantar medidas para que o sistema seja melhor protegido no futuro.
A computao forense como preveno
Existem vrias medidas de segurana que uma empresa pode empregar para
preservar seu ambiente computacional ao acesso indevido. No entanto, mesmo
quando bem empregadas, difcil que em algum momento uma brecha no seja
explorada. Quando isso acontece, o incidente tem de ser analisado para que
contramedidas sejam empregadas, ou seja, a partir da anlise do incidente, criar
uma ambiente mais seguro.
Se, por um lado, a Computao Forense tem como base a coleta de informaes e
sua formatao para ser apresentada ao mundo legal; por outro lado, ela promove a
melhora da segurana quando interpreta uma falha e entende as fragilidades de um
sistema, sejam elas nos sistemas em si, como tambm na forma como manuseado.
-
Computao forense
21
Essa segunda utilizao da Computao Forense no to bvia para as empresas.
Embora elas se esforcem em aumentar sua segurana, normalmente no so
reservados recursos internos para que se estudem as causas e consequncias dos
ataques. O componente de Computao Forense pode ter seu lugar junto ao time
de resposta a incidente, contando com a face tcnica e jurdica.
Existe um consenso de que as descobertas de uma empresa podem ser utilizadas
para aumentar a segurana de outra, mas tambm existe certeza que a maioria
das empresas no relata seus casos de quebra de segurana e invases, pois
temem que isso possa prejudicar sua imagem e sua marca em relao aos seus
clientes e ao mercado de um modo geral.
Em alguns pases, j existem discusses sobre a obrigatoriedade das empresas
relatarem seus incidentes. Por agora, existem alguns organismos e algumas
empresas que compilam e publicam relatrios ou dados sobre as invases e
fraudes, como a Global Information Security Survey, da Ernst and Young, e, no
Brasil, o Centro de Atendimento a Incidentes de Segurana, mantido pela Rede
Nacional de Ensino e Pesquisa (RNP).
O relatrio de segurana da Symantec oferece uma amostra de que, por mais
protegidas que sejam as redes, ameaas conseguem furar o bloqueio. Isso
acontece, por exemplo, pelo uso de pen drives e dispositivos mveis, os quais eventualmente so conectados a uma estao de trabalho, e nos quais arquivos
maliciosos so armazenados e transferidos, aproveitando-se de falhas no
detectadas ainda pelos desenvolvedores de softwares. (SYMANTEC, 2011a).
Incentivo financeiro
At pouco tempo atrs, hackers invadiam sistemas pelo puro prazer de demonstrar suas habilidades computacionais, mostrando que podiam se esquivar
das camadas de proteo levantadas pelos administradores dos sistemas e
instalar um worm que iria, na pior das hipteses, apenas se replicar, invadir novos sistemas e tornar a rede lenta. No havia
nenhuma recompensa financeira para isso. Quando
muito, algum conseguia um emprego em uma
empresa invadida, como ainda tem acontecido com a
Microsoft, Nintendo, Google e Facebook. (YIN, 2011).
Um worm um vrus que se espalha sem a interveno humana. Eles podem se espalhar para vrios computadores, consumindo memria e banda de rede, fazendo com que estes fiquem lentos. comum a existncia de worms com a tarefa de permitir o acesso remoto indevido.
-
22
Ps-graduao
Porm, isso no impediu que sistemas construdos ao redor de microprocessadores
no tivessem sido alvo de ataques para obteno de dinheiro.
Em seu livro The Art of Intrusion, o famoso hacker Kevin Mitinick relata o caso de quatro programadores que compraram um modelo de mquina caa-nqueis igual
ao que era utilizado em praticamente todos os cassinos de Las Vegas, leram seu
programa gravado em ROM e conseguiram decifrar como eram gerados os nmeros
aleatrios, responsveis pelo sorteio das cartas. Como sabemos, um algoritmo
computacional no gera verdadeiramente nmeros aleatrios, mas conseguir
calcular a sequncia gerada pode ser muito complexo, dependendo do tamanho em
bits utilizado para representar o nmero sorteado. De qualquer forma, o gerador de nmeros aleatrios dessas mquinas era mal construdo, e eles foram capazes
de descobrir como prever as sequncias de cartas. Com isso, conseguiram desviar
centenas de milhares de dlares at um deles ser pego, o que fez com que os
cassinos exigissem dos fabricantes maior segurana para suas mquinas. (MITNICK; SIMON, 2005)
As coisas mudaram quando a rede comeou a ser usado para o comrcio
eletrnico e os criminosos cibernticos comearam a ter como prioridade roubar
nmeros de carto de crdito, informaes de acesso a internet banking e at segredos industriais.
Nasceu a engenharia social, utilizando a informtica e o phishing como o seus maiores instrumentos.
O phishing um tipo de ataque baseado em engenharia social na qual os criminosos usam e-mails para levar pessoas a revelar informaes pessoais ou instalar software malicioso em seu computador. As vtimas tomam essas mensagens por verdadeiras,
quando na realidade elas so o trabalho de golpistas. Em lugar de direcionar o
ataque diretamente a um sistema, o ataque dirigido a pessoas que usam o
sistema. O phishing consegue de forma inteligente contornar a maioria das medidas de segurana empresariais e individuais. No importa quantos firewalls, softwares de criptografia, certificados ou mecanismos de autenticao a empresa tenha se a
pessoa atrs do teclado cai no truque. (HONG, 2012).
Alm de e-mail, o phishing tem se utilizado de uma variedade grande de meios, que incluem VOIP, SMS, mensagens instantneas, redes sociais e at jogos massivos.
O advento das redes sociais trouxe munio adicional. A criao de perfis em
comunidades, como Facebook, Orkut e LinkedIn, tem favorecido o sucesso dos
ataques, pois dados pessoais postados pelos usurios so utilizados para dar
maior veracidade a mensagens enviadas por e-mail.
-
Computao forense
23
Esse tipo de ataque consegue vencer as barreiras da empresa e chegar a um
empregado, pois o contedo se faz passar por algo legtimo ou vem de um
endereo que parece ou , no caso de contas invadidas, de algum conhecido.
Para evitar esse tipo de ataque, muitas instituies chegam a bloquear o acesso
do empregado internet para endereos alm daqueles permitidos para realizar
seu trabalho, evitando que o ciclo do ataque seja completado. Contudo, h outras
formas de fechar o ciclo.
Por exemplo: o que faz um empregado que encontrar um pen drive em um banheiro de seu local de trabalho?
A maioria com certeza verifica o contedo dele no computador mais prximo
que tem acesso. O ato de inserir o pen drive, em certas circunstncias, j seria suficiente para infectar uma mquina com um worm, como veremos no caso do Stuxnet em um momento posterior da leitura.
A invaso da rede Playstation para roubar informaes de clientes e depois tentar
utilizar em outros lugares exemplar.
Por volta de 20 de abril de 2011, os servidores da rede Playstation da Sony foram
invadidos e, segundo estimativas, 70 milhes de contas dos usurios tiveram
suas informaes lidas (WILLIAMS, 2011). De acordo com a empresa, nenhuma
informao de carto de crdito foi desviada, mas, nos dias seguintes, vrias
pessoas receberam comunicados, at por telefone, pedindo detalhes de seus
cartes de crdito para completar operaes de compra. Segundo relatos, o
ataque inicial se disfarou de uma compra normal, por isso no alertou os sistemas
de segurana. Ele se aproveitou de uma falha ainda no descoberta na aplicao
de um servidor utilizado para acesso ao servidor de banco de dados que estava
por trs de um terceiro firewall. Ou seja, as informaes dos usurios ficaram
disponveis para todo o tipo de phishing e a falha se originou em um sistema corporativo, e no da m utilizao de usurios finais.
Observe que, nesse caso, os nmeros no foram descobertos, mas sabia-se
que determinado usurio tinha uma conta no sistema e possua um carto de
crdito de determinada bandeira, bem como dados como nmero de telefone e
endereo de e-mail.
Prever como ser o prximo ataque uma tarefa difcil, uma vez que a evoluo
das tcnicas constante. O importante assegurar que a segurana da
informao no seja apenas uma ao reativa, mas que, de maneira proativa,
continuamente procure desenvolver controles, prticas e polticas que auxiliem na
identificao e preveno de ataques.
-
24
Ps-graduao
Outro fator que deve ser levado em considerao que nem todas as aes
classificadas como sendo crime ciberntico, ou seja, aquele crime cujo alvo
um sistema de informao, tm o prprio sistema como alvo. Muitas vezes ele
utilizado como o meio de uma atividade criminosa. Aes como fraude, chantagem,
lavagem de dinheiro, venda de produtos ilegais, pornografia e pedofilia podem fazer
uso dos sistemas ou us-los como meio facilitador. Por esse ponto de vista, uma
empresa pode ser envolvida em um crime de forma passiva, muitas vezes entrando
para listas negras de acesso a endereos da internet. Todos os dias, vemos pginas
forjadas de bancos sendo armazenadas em servidores de outras empresas.
Tambm o computador pode servir para auxiliar uma investigao. Um exemplo
o caso de Chaundra Levy, relatado em Prosise, Mandia e Pepe (2003). Ela foi tida
como desaparecida em maio de 2001 e encontrada em maio de 2002. Informaes
em seu computador levaram a polcia a procurar por ela no parque Creek Park, em
Washington, onde foi encontrado seu corpo. Nesse caso, o computador no
estava envolvido em nenhum crime, ao contrrio, o computador forneceu pistas
da localizao e atividades de Chaundra, como a ltima vez que ela usou o sistema
e o fato de ela ter olhado o mapa do parque. Interessante nesse caso o fato de
as pistas presentes no computador terem sido apagadas pela tentativa incorreta
de sua extrao feita por um tcnico sem treino em Computao Forense. Aps
um ms de trabalho, investigadores treinados conseguiram recuperar os dados.
Segundo um documento recente do Centro de Resposta a Incidentes da
Universidade Carnegie Mellon, de 2010 a 2011, houve um aumento exponencial na
complexidade e sofisticao dos ataques cibernticos. Agora, eles refletem aes
de organizaes e mesmo naes muito bem financiadas
e conectadas globalmente, cujas motivaes incluem
fraudes financeiras, manipulao de mercado, espionagem
internacional e sabotagem de instalaes fsicas. Esses
agentes controlam e administram milhes de bot-nets com a capacidade de causar danos a companhias multinacionais e mesmo a pequenos
pases, com aes como desligamento de redes de suprimento de energia eltrica,
embaralhamento de trfego areo e at prejudicando operaes militares.
Implicaes em escala maior
Questionrios submetidos a empresas mostram que 68% dos incidentes que
comprometem dados das empresas so causados por agentes internos (LIU;
VARSALONE, 2009). Isso quer dizer que menos do que 40% vm de fora e que o
pior inimigo est dentro da empresa. Aes de funcionrios ou mesmo descuido
na segurana podem abrir as portas para comprometimentos do sistema.
Muitos computadores invadidos atuando em conjunto.
-
Computao forense
25
Alm da atividade tcnica em encontrar informaes de delitos nos equipamentos
de uma empresa em um mbito local, a Computao Forense pode ter
implicaes em uma escala maior, como no caso da Enron, um escndalo tornado
pblico em 2001.
A Enron era uma empresa gigante que atuava na gerao e distribuio
de eletricidade, mas tambm diversificava sua atuao em setores como
comunicao, gs natural e produo de papel. Possua mais de 22 mil funcionrios,
com uma receita declarada de 101 bilhes de dlares no fim de 2000.
Ocorria que nem todas as atividades da empresa resultavam em saltos positivos
em termos financeiros. A prtica da empresa para esconder seus problemas era
manter seus relatrios de ganhos e fluxo de caixa supervalorizados, eliminando
da contabilidade seus prejuzos, em quantidade e frequncia to grandes que fez
essa fraude contbil ser considerada a maior de todos os tempos. A revelao
dessa fraude tambm ps em cheque a atuao de muitas outras empresas,
culminando em novas regulamentaes de mercado. Junto com a Enron, tambm
caiu a Arthur Andersen, uma das maiores firmas de contabilidade dos Estados
Unidos, cmplice das prticas fraudulentas da Enron.
Do ponto de vista da forense computacional, o caso da Enron ilustra alguns
aspectos da evoluo da tecnologia. Ao ficar insustentvel sua situao, diretores
da empresa, principalmente relacionados auditoria interna, passaram a destruir
documentos comprometedores em papel, alm de apagar dos computadores
documentos eletrnicos e e-mails que continham vestgios da fraude. No entanto, eliminar um documento em papel bem mais simples do que apagar um
documento eletrnico, principalmente para quem no tem conhecimento tcnico.
Durante a investigao que se seguiu, peritos em Computao Forense foram
chamados para levantar documentos ainda presentes nos computadores, dados
parcialmente apagados, mas tambm, e o que se tornou importante no caso, a
tentativa de apag-los. (FESTA, 2002).
Esse caso foi uma espcie de marco para a profisso, pois havia uma curiosidade no
pblico em geral do que seria capaz de realizar um investigador forense. Quando
um documento incinerado ou destrudo em uma mquina que o corta em tiras
bem finas, a informao de delito materialmente destruda, e isso facilmente compreendido pelo pblico. Apagar um arquivo de um computador parecia, para
a maioria das pessoas, uma ao equivalente, entre
as quais no havia diferena para o senso comum. E a
curiosidade sobre o caso partiu desse fato.
O quanto poderia ter feito os diretores da empresa se tivessem maior conhecimento de computao?
H relatos de casos em que investigadores colam as tiras de uma mquina fragmentadora de papel na tentativa de recuperar um documento.
-
26
Ps-graduao
Estudo de caso
Ainda que pesem os detalhes tcnicos de um ataque, h muito mais envolvido. O
caso do Stuxnet um bom exemplo da amplitude que a deteco de um vrus
de computador, mais especificamente um worm, pode representar. Leia o caso relatado a seguir, traduzido e adaptado de vrios artigos sobre o assunto.
O caso Stuxnet
Em 2009 para 2010, houve um ataque digital que ficou famoso, por envolver
espionagem da mais sofisticada forma (Schneier, 2010; Symantec, 2010; GROSS,
2011; ZETTER, 2011).
No Ir, existe uma fbrica de purificao de urnio com cerca de 8700 centrfugas.
Em um ano, o normal que 10% delas se quebrem, ou seja, algo em torno de 800
centrfugas. Em janeiro de 2010, durante uma inspeo da Agncia Internacional
de Energia Atmica, os tcnicos se surpreenderam com uma taxa muito acima
de 10% algo entre 1000 e 2000 teriam se quebrado em cerca de meses. O que
estaria acontecendo?
O que os inspetores no sabiam, naquele momento, era que a causa da quebra
das centrfugas residia nos discos rgidos dos computadores que controlavam
as centrfugas.
Meses antes, em junho de 2009, algum sorrateiramente instalou um worm nos computadores iranianos com um nico objetivo: sabotar o programa de enriquecimento de urnio do pas, atrapalhando os planos para que futuramente esse material seja utilizado para a construo de uma bomba atmica.
Demoraria mais de um ano para que os inspetores soubessem disso. A resposta s
apareceria aps dezenas de pesquisadores de segurana computacional ao redor
do mundo gastassem meses desvendando o que se tornaria conhecido como o mais complexo vrus de computador jamais escrito. Ele se tornou a primeira arma
ciberntica mundial. Entretanto, at chegar a essa descoberta, a histria deu
muitas voltas.
Em 17 de junho de 2010, o tcnico responsvel por uma pequena empresa de
segurana em Minsk, denominada VirusBlokAda, recebeu um relatrio sobre uma
mquina de um cliente no Ir que estava reiniciando repetidamente sem que fosse
possvel seu controle.
-
Computao forense
27
Aparentemente, o problema era causado por um vrus. Eles detectaram um vrus
e descobriram que ele se aproveitava de uma falha no Windows Explorer, que
copiava o contedo de um arquivo parcialmente criptografado de um pen drive para dentro do computador assim que era inserido na porta USB.
O impressionante era que a falha no Windows Explorer era conhecida e j havia
sido utilizada anteriormente. A VirusBlokAda entrou em contato com a Microsoft
e, em 12 de julho, enquanto preparava um conserto no Explorer, a falha foi
tornada pblica em um frum de segurana. Empresas de segurana ao redor
do mundo se empenharam em coletar amostras do vrus, que foi batizado como
Stuxnet pela Microsoft.
Enquanto as empresas estudavam seu cdigo, mais detalhes surgiram. Havia trs
verses do vrus, que foi liberado para ataque um ano antes, junho de 2009. Duas
verses se utilizavam de certificados roubados para poder se passar por cdigo
seguro. Por curiosidade, um dos certificados era da RealTek e outro da JMicron
Technology, duas empresas situadas em um mesmo centro empresarial.
Teriam os criadores do vrus invadido fisicamente os prdios das empresas para
roubar os certificados? Ou teriam invadido suas redes?
Isso ainda mistrio.
Umas das empresas de segurana que descobriu o vrus com um dos certificados
relatou nunca ter visto um esquema to profissional. Quem estava por trs
certamente tinha muitos recursos.
Por outro lado, o objetivo do Stuxnet era simples de descobrir: atacar o Simatic WinCC Step7, um sistema de controle industrial desenvolvido pela Siemens. Ele empregado para controlar vlvulas, motores e chaves em qualquer tipo de indstria.
Embora isso fosse novo em si, pois, aparentemente, no h retorno financeiro em
atacar sistemas de controle, o que o vrus fazia era roubar detalhes da configurao
e projeto do sistema invadido, permitindo que um competidor copiasse detalhes de
um processo de fabricao, por exemplo. Nesse incio de pesquisa sobre o vrus, o
ataque se parecia mais com um caso de espionagem industrial.
As empresas de antivrus adicionaram a identidade do worm aos seus sistemas e se esqueceram do assunto.
-
28
Ps-graduao
Uma das empresas que produziram proteo para o Stuxnet foi a Symantec. Aps
produzir o antivrus, o caso passou para o gerente da equipe de resposta em
segurana, responsvel em verificar se as ameaas devem ser estudadas mais a
fundo. A Symantec recebe mais de um milho de arquivos maliciosos por ms, a
maioria variaes de vrus e worms j bem conhecidos. Esses so processados sem a interveno humana.
Contudo, os malwares que exploram vulnerabilidades ainda no detectadas so um caso parte. Estes devem ser examinados mo. E no foi a surpresa em
perceber que o Stuxnet era muito mais complexo do que parecia. Vrias camadas
de software escondiam o cdigo que explorava a falha no Explorer. Alm disso, o tamanho do worm era de 500 KB, muito maior do que os comuns, que vo de 5 a 10 KBytes. Geralmente, malwares com esse tamanho contm imagens, como as que so partes de uma pgina de banco, destinadas a enganar clientes e roubar
seus dados de acesso. Entretanto, no havia imagens no Stuxnet. O cdigo parecia
ser um conjunto eficiente de comandos e dados. Esse fato atraiu o tcnico mais
experiente que, pessoalmente, passou a analisar o cdigo.
Essa equipe, com a experincia que tem, consegue rapidamente identificar a
funo de cada vrus e se tem um cdigo bem-feito ou no. Stuxnet era o caso
de um cdigo bem-feito, construdo ao redor de blocos, tornando-o fcil de ser
atualizado e configurado.
Alm disso, sua capacidade de interceptar as chamadas da API do Windows e
responder com seu prprio cdigo sem este estar armazenado em arquivos
tornava-o dificlimo de ser encontrado. Com toda a experincia de anos
trabalhando nessa rea, os tcnicos da Symantec nunca tinham se deparado com
algo to sofisticado.
Vrias pistas levavam a acreditar que este worm era produto de um trabalho extremamente profissional. E apenas os primeiros 5 KBytes dos 500 disponveis
haviam sido examinados. Tudo levava a crer que, para continuar o exame, seria
necessria que a equipe trabalhasse intensamente.
Mas eles deveriam fazer isso?
-
Computao forense
29
O trabalho das empresas de antivrus detectar e eliminar o vrus, tambm
impedindo que ele invada novos sistemas. O que o vrus faz fica em segundo plano.
No entanto, a Symantec achou que era seu dever investigar mais a fundo esse
worm. Parecia que o cdigo era muito mais sofisticado do que os empregados para espionagem industrial. Era um desafio tentar desvendar seus mistrios.
No momento em que a equipe do Estados Unidos acabou seus exames iniciais,
eles despacharam uma atualizao para o repositrio de dados da empresa. A
Symantec possui laboratrios nos Estados Unidos, Europa e no Japo. Com isso,
h sempre uma equipe em horrio de trabalho a postos para que pesquisadores
de diferentes partes do mundo ameaas crticas. Alm disso, o trabalho iniciado
por um time continua sendo feito pelo outro, num trabalho que no se interrompe
com a chegada da noite em um dos laboratrios.
O time do Japo pegou o cdigo e o estudou no fim de semana. Na segunda-feira,
a equipe dos Estados Unidos continuou a anlise. Uma das coisas que descobriram
foi que o worm, toda vez que infectava um sistema, entrava em contato com um servidor em www.mypremierfutbol.com ou www.todaysfutbol.com, hospedados
na Malsia e na Dinamarca. Eram enviados detalhes da mquina, como endereos
de IP externo e interno, o nome do computador, sua verso de sistema
operacional e se o sistema Simatic WinCC Step7 estava instalado. A partir desse
momento, o worm conseguia receber informaes externas, incluindo comandos para adicionar novas funcionalidades ou mesmo novos arquivos maliciosos.
Os servidores desses endereos j tinham bloqueado o acesso, mas a Symantec
solicitou que contatos vindos do worm fossem direcionados para servidores seus. Na tera-feira tarde, informaes provenientes dos computadores atacados j
estavam sendo recebidos e compartilhados com outras empresas de segurana.
Dentro de uma semana, 38.000 computadores reportaram terem sido invadidos.
Em pouco tempo, eram mais de 100 mil mquinas infectadas. Mesmo com os
bloqueios dos antivrus j atualizados para combater o worm, a praga estava se espalhando rapidamente.
-
30
Ps-graduao
Um estranho padro comeava a surgir: das 38 mil mquinas infectadas, 22 mil
eram do Ir; em um distante segundo lugar, a Indonsia, com 6.700 mquinas;
em terceiro, a ndia, com 3.700 mquinas; e os Estados Unidos com menos de
400. Apenas uma quantidade pequena de mquinas tinha o software da Siemens instalado: 217 no Ir e 16 mquinas nos Estados Unidos. Em todos os padres
anteriores de infeco por um vrus, nunca o Ir tinha sido o alvo principal.
Claramente este ataque era direcionado quele pas. Veja figura 1.
0.00
10.00
20.00
30.00
40.00
50.00
60.00
70.00
IRAN INDONESIA INDIA AZERBAUAN USA PAKISTAN OTHERS
18.22
8.312.57 1.56 1.28
9.20
58.85
Percentage of Hits from W32.Stuxnet by Countr y
Figura 1 - Distribuio do ataque do Stuxnet no mundo Fonte: Symantec (2010).
A sofisticao do cdigo, o uso de certificados roubados e o Ir como alvo,
apontavam para um ataque entre governos. Podia ser at que os Estados Unidos
estivessem envolvidos. Isto causou alguma preocupao, mas a Symantec estava
interessada em proteger sistemas no mundo inteiro, uma empresa particular e
possui operaes em muitos pases. O worm estava causando efeitos colaterais em todo lugar, e isso era uma preocupao da empresa.
Em agosto, uma nova surpresa, um pesquisador avisou que poderia haver mais
falhas no documentadas que poderiam ser aproveitadas pelo Stuxnet. Uma
delas residia no sistema de impresso compartilhada do Windows, uma outra, em
arquivos relacionados ao teclado e a terceira, no gerenciador de tarefas. Alm
disso, o Stuxnet se aproveitava de uma senha-padro do fabricante do Step 7,
que era utilizada para acessar e infectar uma base de dados armazenadas em
um servidor utilizado por este software e, a partir da, infectar outras mquinas conectadas ao servidor.
-
Computao forense
31
O worm tambm tinha caractersticas ainda no vistas. Uma delas era o fato de ele se alastrar apenas dentro de redes locais. Para alcanar outras redes, era
necessrio que um pen drive fosse utilizado. Aparentemente, o alvo inicial eram redes no conectadas internet.
Outro detalhe interessante era o fato de que cada amostra do worm continha todo um histrico de mquinas infectadas, permitindo descobrir a mquina que
primeiro foi infectada. Isto permitiu descobrir que os ataques se concentraram
em computadores de cinco organizaes iranianas. Elas foram atingidas
repetidamente em junho e julho de 2009 e em maro, abril e maio de 2010.
Entretanto, devido forma com que invadiam as mquinas, ele infectou muito
mais computadores, bem alm dessas organizaes.
Todas as vulnerabilidades descobertas j eram de conhecimento das empresas de
anti-vrus, mas a Microsoft ainda no havia consertado os problemas. Ser que
os autores do Stuxnet tinham contato com essas empresas para descobrir essas
falhas e esperavam que a Microsoft nunca as consertassem? Ou ser que eles
compraram de hackers criminosos, que vendem essas informaes no mercado negro? Uma falha dessas vale entre 50 mil a 500 mil dlares. Tambm possvel
que eles mesmos tenham descoberto as falhas.
At esse momento, nas primeiras semanas de teste, ainda no era conhecido o
motivo da criao do worm ou o que ele tenha feito alm de se espalhar.
Outro pesquisador da Symantec, especialista em engenharia reversa, comeou a
descascar o worm. Ele descobriu que o Stuxnet continha 15 componentes, todos embrulhados em camadas criptografadas. O Stuxnet decodifica e extrai cada
componente de acordo com sua necessidade, dependendo das condies que ele
encontra na mquina infectada.
Tambm o Stuxnet continha uma data limite de atuao: 24 de junho de 2012. Cada
vez que executado, ele checa a data da mquina. Se for maior do que este limite,
a execuo do cdigo suspensa.
A parte mais importante do Stuxnet quando ele encontra o software Step 7 da Siemens. Ele ento descarrega um arquivo DLL na mquina, denominado s7otbx.
dll, que serve de depsito de funes utilizadas por diferentes partes do Step
7. Ao ser utilizado o sistema, novas funes comprometidas so ento utilizadas.
O Step 7 empregado para programar controladores lgicos programveis
(PLC) utilizados em mquinas industriais. E era exatamente o que o worm fazia: sabotagem industrial.
-
32
Ps-graduao
O problema era que o pessoal da Symantec no entendia de PLCs. Um PLC usa
uma linguagem de programao denominada Statement List Programming Language (STL). Tentando achar algum que pudesse ajudar, a Symantec publicou em seu site da internet um pedido de ajuda. No houve resposta imediata.
Duas semanas depois, a comunicao entre as mquinas infectadas no Ir
e os endereos desviados que a Symantec criou para receber relatrios foi
interrompida. Algum no Ir no gostou da descoberta.
Do outro lado do planeta, um alemo de 52 anos chamado Ralph Langner leu o
post sobre o pedido de ajuda com o Step 7. Ralph sabia que milhares de clientes da Siemens tinham um assassino potencial em seus sistemas. A Symantec j havia
avisado Siemens, mas, incrivelmente, no obteve nenhuma resposta concreta da
empresa, alm de que montaria um time para analisar o worm.
Aps trs semanas de pesquisa, Ralph e seus colegas chegaram concluso de
que o Stuxnet era uma arma para atacar uma configurao especfica de
equipamento com preciso. Qualquer configurao diferente fazia com que o
Stuxnet se desativasse e apenas tentasse se replicar. Estava claro para Ralph que o
Stuxnet era produto de um governo com muitos recursos, com o conhecimento
interno de seu alvo.
Ralph esperava encontrar algo simples, como um ataque DoS, e no um sistema complexo como encontrou.
Para ele, claramente o ataque era endereado a Bushehr,
uma fbrica de enriquecimento nuclear no Ir, que estava
para comear operao em agosto de 2010, mas que se
atrasou.
Ao questionar um colega em uma fbrica de centrfugas de enriquecimento sobre
a possibilidade de danific-las apenas manipulando o cdigo de controle, este se
recusou responder, dizendo que era uma informao classificada.
Frank Rieger, chefe de tecnologia da GSMK, concordou com Ralph, mas concluiu
que o ataque era direcionado a outra fbrica, Natanz. Esta j estava produzindo e
apresentava maior risco de produzir material para armas nucleares. Ele tambm
se lembrou de que o Wikileaks j tinha anunciado, em julho de 2009, que um srio
incidente havia recentemente ocorrido em Natanz e que o chefe da Organizao
de Energia Atmica do Ir havia renunciado por razes desconhecidas.
Denial-of-Sevice (DoS): significa acessar repetidamente um endereo na web at que um servidor ou servio no possa mais responder ou torne a resposta muito lenta para clientes legtimos.
-
Computao forense
33
Mais algum tempo de pesquisa, descobriu-se que o Stuxnet era diferente de tudo
que j havia aparecido em termos de malware. Era uma revoluo. Nunca se havia deparado com um worm que se propagava sorrateiramente por meio de redes procura de um nico alvo.
Por volta de novembro do mesmo ano, chegou-se a mais uma resposta do
quebra-cabea. Descobriu-se que o Stuxnet tentava comandar um equipamento
denominado conversor de frequncia. Cada fabricante tem um cdigo prprio, o que torna fcil identificar o equipamento. Um deles era o conversor fabricado na
Finlndia, com cdigo 9500h; o outro fabricado no Ir, com cdigo 7050h.
Conversores de frequncia controlam a velocidade de motores em equipamentos,
como em furadeiras industriais. Aumentando-se a frequncia, aumenta-se a
velocidade do motor. O Stuxnet foi projetado para controlar exatamente isso.
E mais, ele se concentrava em uma instalao com 33 ou mais conversores,
operando em frequncias entre 807Hz e 1210Hz.
O worm fica parado por duas semanas, realizando reconhecimento do equipamento. Ento, lana um ataque silencioso, aumentado a frequncia dos
conversores para 1410Hz por 15 minutos. Depois disso, retorna para a frequncia
normal. Um novo ataque s acontece aps 27 dias, quando o Stuxnet ataca
novamente e depois baixa a frequncia para 2Hz por 50 minutos.
O ataque ento dorme por 27 dias, quando a mesma sequncia recomea. Fazer
o sistema operar com tamanhas diferenas de frequncias sugere que o Stuxnet
estava tentando destruir o que estivesse ligado aos conversores.
A equipe da Symantec fez uma pesquisa e descobriu que conversores que operam
em frequncias superiores a 600Hz tm exportao regulada nos Estados Unidos
pela Comisso de Controle Nuclear.
Todas as pistas levavam realmente para um ataque s centrfugas de
enriquecimento nuclear. Em todo o processo de investigao, nenhum rgo ou
empresa tentou censurar qualquer trabalho ou divulgao dos achados. At hoje,
no se conseguiu descobrir os criadores do worm, mas h suspeitas de que os governos dos E stados Unidos e de Israel possam estar por trs da faanha, uma
vez que so os maiores interessados em destruir a capacidade nuclear do Ir.
Uma declarao do presidente do Ir, em novembro de 2010, confirmou que as
instalaes de Natanz realmente foram sabotadas e que um nmero pequeno
de centrfugas foram danificadas. Alm disso, confirmou-se posteriormente que as
centrfugas realmente trabalhavam com a frequncia de 1064Hz.
-
34
Ps-graduao
Em fevereiro de 2011, o worm j contava com 3.280 variaes, que provavelmente geraram cerca de 12 mil infeces (SCHWARTZ, 2011).
No entanto, a histria do Stuxnet no acaba aqui. Em outubro de 2011, a Symantec
foi alertada pela Universidade de Tecnologia de Budapeste da existncia de uma
nova ameaa, denominada Duqu. Supe-se que foi criada para preparar o terreno para um prximo
ataque Stuxnet. Ele usa uma arquitetura muito
similar do Stuxnet, e tudo indica que foi criado
pelos mesmos autores. Para sua infeco inicial, ele se utiliza de um documento
.doc recebido por e-mail que, ao ser aberto no MS Word, explora uma falha no sistema e consegue injetar um instalador no sistema operacional que decripta
componentes adicionais (veja Figura 2). O funcionamento detalhar do Duqu pode
ser encontrado em Symantec (2011b).
Documentopened,
triggers exploit
Shellcodeexecutes driver
Driver injectsinstaller intoservices.exe
Driver le(.sys)
LegitimateDocument
Exploit
Shellcode
Driver le(.sys)
Installer (.dll)
Services.exe
Exploit loadsshellcode
InstallationCode
Duqumain DLL
Load pointdriver
Cong le
Installerdecrypts threeles and passesexecution to the
maincomponent
1
3Shellcode
decrypts driverand installer
4
5
2
6Decryption
Figura 2 - Processo de instalao do Duqu Fonte: Symantec (2011b).
Duqu: projetado para coletar informaes de vrios setores industriais.
-
Computao forense
35
Observe nesse relato que h implicaes em todos os sentidos. Uma ameaa
pode extrapolar em muito os muros de uma empresa, sejam eles fsicos ou
computacionais. Um firewall pode proteger uma instalao do mundo externo,
mas pouco pode fazer de um ataque interno. No exemplo anterior, uma rede local
poderia ter sido considerada segura, mas uma brecha explorada pela insero
de um simples pen drive foi negligenciada. No caso do Duqu, a invaso se d pela abertura de um documento do Word, algo que explora a curiosidade de quem
recebe um e-mail com um documento anexado.
A apresentao desse caso, que se parece com uma investigao de uma estria
de Sherlock Holmes, tem o intuito de mostrar, como veremos mais adiante, que
os temas segurana e criao de antivrus tem muitos dos elementos presentes
em uma investigao forense. Na verdade, mais um ramo da Computao
Forense, denominada Forensic Programming, que tem como atividade desvendar o funcionamento, inteno e autoria de um software. (SLADE, 2004, p. 5).
Referncias
BARBARA, J. J. Handbook of digital and multimedia forensic evidence. 1. ed. [S.l.]: Humana Press, 2007.
BUSINESS Dictionary. Downsizing. 2011. Disponvel em: . Acesso em: 12 dez. 2011.
CERUZZI, P. E. A history of modern computing. Cambridge, MA: MIT Press, 1998.
FESTA, P. Can PC sleuths undo Enron shredding? 2002. Disponvel em: . Acesso em: 22 nov. 2011.
GROSS, M. J. A Ddclaration of cyber-war. 2011. Disponvel em: . Acesso em: 3 jan. 2012.
IBM. Resource access control facility. 2008. Disponvel em: . Acesso em: 13 nov. 2011.
HONG, J. The state of phishing attacks: looking past the systems people use, they target
the people using the systems. Communications of the ACM, v. 55, n. 1, p. 7481, jan. 2012.
LIU, D.; VARSALONE, J. Cisco router and switch forensics: investigating and analyzing malicious network activity. Burlington: Elsevier, 2009.
MITNICK, K. D.; SIMON, W. L. The art of intrusion: the real stories behind the exploits of hackers. Intruders and Deceivers. [S.l.]: Wiley, 2005.
-
36
Ps-graduao
NATIONAL INSTITUTE OF JUSTICE. Electronic crime scene investigation: a guide for first responders. U.S. Dept. of Justice, Office of Justice Programs, National Institute
of Justice. Estados Unidos, 2001. (NIJ guide). Disponvel em: . Acesso em: 3 jan. 2012.
NEW YORK COMPUTER FORENSIC SERVICES. The computer forensic examination process. 2011. Disponvel em: . Acesso em: 10 jan. 2012.
PROSISE, C.; MANDIA, K.; PEPE, M. Incident response and computer forensics. 2. ed. [S.l.]: McGraw-Hill/Osborne, 2003.
SCHNEIER, B. The story behind the stuxnet virus. 2010. Disponvel em: . Acesso em: 12 dez. 2011.
SCHWARTZ, M. J. Stuxnet Iran attack launched from 10 machines. 2011. Disponvel em: . Acesso em: 6 dez. 2011.
SHELDON, Tom; BIG SUR MULTIMEDIA. SNA: Systems Network Architecture. 2001. Disponvel em: . Acesso em: 25 nov. 2011.
SYMANTEC. W32. Stuxnet. 2010. Disponvel em: . Acesso em: 4 jan. 2012.
______. Symantec internet security threat report: trends for 2010. 2011. Disponvel em: . Acesso em: 27 nov. 2011.
______. W32. Duqu: the precursor to the next Stuxnet. 2011. Disponvel em: . Acesso em: 4 jan. 2012.
TRCEK, D. et al. Advanced framework for digital forensic technologies and procedures.
Journal of Forensic Sciences, Blackwell Publishing Ltd, v. 55, n. 6, p. 1471-1480, 2010. Disponvel em: . Acesso em: 12 jan. 2012.
WILLIAMS, M. Sony apologizes, details PlayStation Network attack. 2011. Disponvel em: . Acesso em: 27 nov. 2011.
YIN, S. 7 hackers who got legit jobs from their exploits. 2011. Disponvel em: . Acesso em: 27 nov. 2011.
ZETTER, K. How digital detectives deciphered Stuxnet: the most menacing malware in history. 2011. Disponvel em: . Acesso em: 6 dez. 2011.
-
Computao forense
37
A proatividade, a formao, a mo de obra e a profisso
Mauro Notarnicola Madeira
A Computao Forense funciona de maneira similar forma clssica de
levantamento de vestgios.
Na investigao forense fsica, peritos coletam resduos que podem colaborar para
desvendar os acontecimentos, sendo usados ento como provas para incriminar
ou inocentar o acusado de um crime. Exemplos comuns que podemos considerar
como vestgios fsicosso impresses digitais, cabelos, gotas de sangue,
bilhetes, documentos em papel, gravaes de udio e vdeo, pegadas, armas etc.
J na Computao Forense, os resduos deixados so os digitais, ou seja, aqueles
que podem ser armazenados em forma eletrnica em computadores ou em outros
dispositivos eletrnicos digitais. Podemos ento dizer que temos um vestgio digital.
Essa mudana na natureza da prova do crime implica procedimentos prprios e a
caracterizao da atividade da computao forense.
Proatividade e a formao da mo de obra
A proatividade em termos da forense computacional significa a preparao e instalao de uma equipe com a incumbncia de reagir prontamente a um ataque.
No uma tarefa simples, pois, se a equipe no estiver
bem preparada, o vestgio digital pode se perder.
Como em toda atividade, a prtica deve ser constante.
Ensaios devem ser conduzidos para treinar a equipe
antes que um ataque real seja detectado.
Um dos contedos do treinamento como adquirir e analisar vestgios nos
tipos de mquinas (incluindo dispositivos mveis, como celulares, tablets e smartphones, e tambm redes) e sistemas operacionais em uso na empresa, bem como na infraestrutura digital da empresa.
Com certeza, um investigador forense tem de ter, associados, um bom
conhecimento de computao e dos processos e equipamentos para ser capaz
de conduzir uma investigao digital. Porm, apenas os conhecimentos na rea
computacional no so suficientes. Seja atuando como perito, seja trabalhando
internamente, uma hora ou outra o profissional forense tem de lidar com detalhes
que se ligam a dimenses ticas e legais.
A proatividade significa estar de prontido para dar uma resposta a uma ameaa e no quer dizer prever que ela v ocorrer.
-
38
Ps-graduao
Existe crtica em nosso pas de no haver clareza entre a sociedade sobre a funo
de investigador forense ligado informtica. Muitas vezes, pessoas com pouco
conhecimento de computao so chamadas a atuar como peritos forenses
na presuno de que apenas a competncia tcnica computacional, sem os
conhecimentos legais e os detalhes do procedimento forense, seja suficiente.
Segundo Milagre (2010),
Ainda temos casos em que o dono da loja de informtica da cidade o
perito, economistas e contadores nomeados como peritos digitais, e
isto um risco para a efetividade da tutela jurisdicional, considerando
que comum os juzes confiarem na palavra do especialista.
Em termos gerais, ainda h muito pouco formalismo de como deve ser conduzido
o treinamento na rea em nosso pas.
Alguns pases j tm relativa tradio, como os Estados Unidos, contando com
American Association of Forensic Science (AAFA), que desenvolveu um padro
para reconhecimento de cursos de cincia forense digital. Em abrangncia
internacional, a International Association of Computer Investigative Specialists
(IACIS) fornece programas de treinamento e certificao. Alm desses, temos
alguns exemplos de certificao internacional, com Certified Computer Forensic
Technical (CCFT), Certified Ethical Hacker (CEH), Certified Hacker Forensic
Investigator (CHFI) e American College of Forensic Examiners Institute (ACFEI).
No Brasil, existem cursos destinados a formar mo de obra para a rea, mas ainda
no temos nenhuma diretriz educacional relacionando quais contedos mnimos
devem ser estudados.
Segundo o Computer Emergency Response Team (CERT), da Universidade Carnegie
Mellon (HAMMERSTEIN; MAY, 2010), a Computao Forense um processo
fortemente baseado na capacidade da mo de obra, requerendo especialistas
altamente treinados, com conhecimentos especficos sobre sistemas operacionais e
ferramentas de coleta e anlise forense. Isso significa muito gasto em recrutamento,
treinamento inicial e retreinamento constante, pois os sistemas operacionais,
sistemas de arquivos e equipamentos so constantemente atualizados.
-
Computao forense
39
No processo de exame de um sistema, h alguns aspectos que se ligam a
diferentes reas da tecnologia, incluindo um treinamento bsico em eletrnica,
pois a equipe deve contar com a habilidade de realizar algumas intervenes no
hardware, como remover discos rgidos, configurar placas, instalar e entender dos padres de interfaceamento, usar proteo antiesttica etc.
O conhecimento das ferramentas que automatizam a coleta de dados e vrios
exames essencial, pois elas poupam muito tempo, j que as unidades de
armazenamento compreendem gigabytes de espao.
As ferramentas aceleram os procedimentos, mas necessrio conhecimento para
saber exatamente o que procurar e como interpretar os resultados.
Alm disso, o exame manual muitas vezes necessrio, ou seja, usar comandos do
sistema operacional, o que significa uma grande intimidade com a arquitetura de
software e hardware de cada mquina em uso papel de administrador de sistemas.
Segundo o guia produzido pela 7Safe e Metropolitan Police Service UK, em
2011, considerado em todo o mundo como referncia na investigao do crime
eletrnico, para a formao de um profissional para a rea de investigao forense
digital deve ser considerado como padro mnimo:
1. conhecimento intermedirio de arquitetura de computadores;
2. conhecimento intermedirio do uso e da metodologia de dispositivos
relacionados;
3. conhecimento intermedirio de uso e metodologia de software, particularmente aos utilizados na internet, contas de e-mail, compartilhamento de dados, aplicaes de bancos de dados e processamento de texto;
4. conhecimento intermedirio da legislao relevante;
5. boa capacidade de comunicao;
6. capacidade de gerenciar carga de trabalho e prioridade de tarefas;
7. capacidade de trabalhar efetivamente como parte de uma equipe.
Cooper, Finley e Kaskenpalo (2010) detalharam mais um pouco o tema, tendo
levantado o grau de pertinncia para a rea dos contedos estudados nos cursos
de Cincia da Computao, Sistemas de Informao, Engenharia da Computao,
Engenharia de Software e Tecnologia da Informao.
-
40
Ps-graduao
Entre as disciplinas presentes nesses cursos e a necessidade para a formao de
um investigador forense digital, destacam-se:
Redes: o investigador forense deve ter conhecimento terico e prtico de redes, sendo capaz de realizar identificao, coleta e anlise de vestgios.
Segurana da Informao: o tema de maior aprofundamento entre os comuns aos outros cursos. necessrio um extenso conhecimento
tanto da teoria como da prtica da Segurana da Informao, mas sem o
aprofundamento terico que visto em Cincia da Computao.
Administrao de Sistemas: a capacidade de administrar sistemas a base para coletar vestgios e reconstruir a cena do crime na profisso de
investigador forense na rea da computao. Enquanto se espera que
o investigador tenha domnio sobre o uso de ferramentas forenses, ele
tambm precisa entender muito bem o sistema operacional investigado.
Eletrnica: no requer conhecimento terico de como projetar circuitos eletrnicos, mas um nvel de eletrnica aplicada que inclui a reconstruo
de dispositivos danificados para extrair dados, a capacidade de avaliar
as limitaes das leis da fsica sobre os vestgios e, mais particularmente,
que o investigador tenha conhecimento das prprias capacidades e
limitaes ao se deparar com um problema de hardware.
Entre os temas no relacionados computao, destacam-se:
Matemtica e estatstica: a Forense Digital requer a aplicao de anlise estatstica e da matemtica discreta na anlise de dados, esteganografia,
criptologia, reconhecimento de padres e na deteco de malwares. comparvel ao nvel de matemtica bsico (de apoio) esperado para as
outras disciplinas na cincia da computao.
tica: o investigador forense confrontado com situaes morais desafiadoras. Embora as outras reas tambm possam comportar
situaes de escolhas morais, elas no esto sujeitas a exame pblico
como esto na Computao Forense.
Criminologia: entender as causas e motivaes para o crime ajuda em uma anlise de caso, bem como na habilidade de prever o
comportamento de um suspeito durante uma investigao.
Cincia Forense: a Forense Digital faz parte da Cincia Forense ou Criminalstica. Tpicos comuns a todas as linhas da Cincia Forense
devem ser includos na formao de um investigador forense digital.
Direito: o investigador forense deve ter conhecimento de regras e leis que governam seu trabalho, o que logicamente, varia de nao para nao.
-
Computao forense
41
A abrangncia dos sistemas tem extrapolado em muito o ambiente local de uma
empresa. comum atualmente fazer parte do ambiente de trabalho tambm os
dispositivos mveis e suas conexes via rede aos servidores da empresa. Cada vez
mais um conhecimento de redes e seus protocolos tm feito parte da investigao.
H pouco tempo, no existiam iPhones, Android e tablets. Uma equipe deve conter profissionais capazes de analisar esses dispositivos ou, no mnimo,
entender como eles podem ser relevantes para a investigao e, se necessrio,
solicitar um levantamento de vestgios por peritos externos.
Ambiente computacional
A abrangncia do treinamento tambm influenciada pela quantidade de
sistemas operacionais existentes na empresa. Quanto mais diversificados os
sistemas, mais treinamento necessrio. Nesse aspecto, faria sentido manter um
conjunto pequeno de fornecedores de software, mas essa no uma realidade possvel para qualquer empresa, uma vez que h a necessidade de obter o melhor
custo/benefcio e de tirar melhor proveito do que existe disponvel. Logicamente
que para um perito conhecer vrios sistemas operacionais facilita seu trabalho,
mas o ideal que uma equipe seja formada e atue em conjunto.
Alm do preparo tcnico, o profissional forense tem de ter um mente talhada
para a natureza do servio, o que inclui muita pacincia. O vestgio pode estar
armazenado em um disco, mas simplesmente procurar por todo ele pode demorar
muito. A experincia e habilidade que vo determinar como evitar partes e se
concentrar onde h maior probabilidade de encontrar um vestgio.
Pensar toda a infraestrutura da empresa pode ajudar a minimizar o impacto de
uma anlise, caso um incidente ocorra. Isso significa que muitos componentes tm
de ter redundncia, como em servidores de dados, redes etc., para que o sistema
permanea operacional enquanto uma incidncia analisada.
Basicamente, o processo da Computao Forense de um tipo reativo, que visa
a encontrar um uso no autorizado de um sistema. Ele se baseia em pistas, pois
verificar constantemente os sistemas utilizados por uma empresa impossvel.
Entre pistas comuns, podemos relacionar:
processos rodando na mquina que no so conhecidos ou no comuns: lembrando que um processo ou programa pode ser criado e executado
fazendo-se passar por algum legtimo, mas que no deveria estar em
execuo em determinado momento;
-
42
Ps-graduao
sistema operando com carga acima do normal: um sistema que, por exemplo, carrega um processador em 40% e que esteja operando em 80%;
alarmes e assinaturas configurados em sistema de deteco de intruso pela rede, como o SNORT (Figura 1), ou assinatura de vrus e outras
ameaas detectadas por sistema anti-vrus;
trnsito elevado na rede: muito comum que sistemas sejam invadidos para armazenar scripts, e estes passem a ser acessados exageradamente, aumentando o trfego da rede;
usurios que relatam comportamento anormal de suas estaes de trabalho.
Figura 1 - Exemplo de regra no SNORT Fonte: SNORT (2011).
O estabelecimento do que normal em um sistema uma arma valiosa para quem
vai analisar se e/ou como um sistema foi invadido.
Etapas da investigao forense
Existe muita literatura sobre quais so as etapas do processo da investigao
forense, mas no existe uma metodologia estabelecida. Sem contar que a
evoluo da tecnologia aponta constantemente para novas necessidades.
De uma forma geral, a equipe deve estar preparada para conduzir as seguintes etapas:
Aquisio: refere-se coleta de vestgios digitais. Dependendo do tipo de investigao, podem ser discos rgidos, mdia ptica (CD, DVD), cartes de memria
de cmeras digitais, pen drives, celulares, smartphones, tablets, dumps de memria, e-mails, arquivos, gravao de uma troca de dados etc. Em qualquer caso, quando envolve o exame de uma mdia, esta tem de ser tratada com muito cuidado.
Preservao: essa etapa de grande importncia, pois os dados originais tm de ser mantidos intactos. O processo de preservao tem de no mnimo criar uma
duplicata do original a cpia de trabalho. O investigador sempre trabalha com a cpia, de tal forma que, havendo algum procedimento que danifique os dados
durante uma anlise, o original est preservado e nova cpia de trabalho pode
ser feita. Lembrando que os vestgios so como os do mundo fsico: guardados
para que, no futuro, em caso de contestao, possam ser novamente examinados.
-
Computao forense
43
Como veremos em outras leituras da disciplina, existem mtodos para validar
as cpias, de tal forma que possvel verificar se a cpia representa fielmente o
material original.
Certamente que algumas fontes, por sua natureza dinmica, so difceis de
se manterem intactas por muito tempo, como o estado da memria de um
equipamento no momento de sua aquisio. Em funo disso, alguns dados so
considerados mais relevantes do que outros.
imperativo que o material original seja identificado e preservado integralmente.
Para isso, criada a cadeia de custdia. A cadeia de custdia a atividade da
investigao forense que tem a funo de documentar o material coletado e
relacionar todo o manuseio que sofreu durante sua retirada do ambiente da
investigao, transporte, manuseio e armazenamento. Deve constar quem
recebeu o material, datas e assinaturas dos envolvidos. Segundo Wiles, Cardwell
e Reyes (2007), essa documentao deve ser includa no relatrio final.Veja um
exemplo no anexo.
Extrao: Tendo em mos a mdia de trabalho ou invlucro forense, os arquivos que mantm sua integridade fsica, suspeitos de conter vestgios ou estar
relacionados ao caso, so copiados para a etapa de anlise.
Recuperao: quando so necessrias tcnicas para extrair informaes de dados pertencentes a arquivos parcialmente apagados, mdias defeituosas, dados
escondidos intencionalmente etc.
Anlise: a parte mais demorada e que demanda maior conhecimento por parte do perito, pois a informao pode estar escondida em gigabytes de dados. Aqui, a experincia do profissional fundamental, pois ele pode direcionar
as ferramentas para alvos que sabe haver maior probabilidade de acerto,
interpretando os resultados baseado no seu treino e percia.
Apresentao: uma parte importantssima, pois o resultado de todo o procedimento deve ser claramente exposto, evitando ao mximo imprecises
que possam invalidar o trabalho. processo pelo qual o examinador compartilha
os resultados com as partes interessadas. Consiste em gerar um relatrio sobre
as operaes realizadas pelo perito, vestgios encontrados e o significado destes.
Pode tambm incluir uma defesa do trabalho em pblico. Segundo Altheide,
Carvey e Davidson (2011), os achados podem levar a novas aquisies, que podem,
por sua vez, gerar anlises adicionais etc. Esse ciclo pode se repetir muitas vezes
em funo de uma cadeia de comprometimento de um sistema ou de uma
investigao criminal demorada.
-
44
Ps-graduao
Uma observao importante. Durante um curso como Cincia da Computao,
Sistemas de Informao, Engenharia e outros ligados s reas tcnicas, muitos
alunos neg