0

FACULDADE NORTE CAPIXABA DE SÃO MATEUS ANÁLISE E DESENVOLVIMENTO DE SISTEMAS

FABRÍCIO SANTOS SACRAMENTO

ESTUDO SOBRE AS FERRAMENTAS DE REDE PARA PERÍCIA FORENSE: ESTUDO DE CASO DO ARQUIVO EVIDENCIAS.PCAP

SÃO MATEUS 2012

1

FABRÍCIO SANTOS SACRAMENTO

ESTUDO SOBRE AS FERRAMENTAS DE REDE PARA PERÍCIA FORENSE: ESTUDO DE CASO DO ARQUIVO EVIDENCIAS.PCAP

Trabalho de conclusão do curso apresentado ao Programa de Superior Tecnológico em Análise e Desenvolvimento de Sistemas da Faculdade Norte Capixaba de São Mateus, como requisito para obtenção do grau de Tecnólogo em Analise e Desenvolvimento de Sistemas. Orientador: Prof. Ramilton Costa Gomes Junior

SÃO MATEUS 2012

2

Catalogação na fonte elaborada pela “Biblioteca Dom Aldo Gerna”/UNISAM

S123e Sacramento, Fabrício Santos Estudo sobre as ferramentas de rede para perícia forense: estudo de caso do Arquivo Evidencias.pcap. / – São Mateus: UNISAM /Faculdade Norte Capixaba de São Mateus, 2012. 64.f : enc. Orientador: Ramilton Costa Gomes Junior Trabalho de conclusão de curso (Tecnólogo em Análise e Desenvolvimento de Sistemas) UNISAM / Faculdade Norte Capixaba de São Mateus, 2012. 1.Tcpdump 2.Xplico 3.Wireshark 4.Laudo pericial I. Sacramento, Fabrício Santos II.UNISAM / Faculdade Norte Capixaba de São Mateus, 2012. III. Título. CDD 004.6068

3

FABRÍCIO SANTOS SACRAMENTO

ESTUDO SOBRE AS FERRAMENTAS DE REDE PARA PERÍCIA FORENSE: ESTUDO DE CASO DO ARQUIVO EVIDENCIAS.PCAP

Trabalho de conclusão do curso apresentado ao Programa de Superior Tecnológico em Análise e Desenvolvimento de Sistemas da Faculdade Norte Capixaba de São Mateus, como requisito para obtenção do grau de Tecnólogo em Analise e Desenvolvimento de Sistemas.

Aprovada em 24 de Novembro de 2012

COMISSÃO EXAMINADORA

___________________________________________ Prof. Ramilton Costa Gomes Junior Faculdade Norte Capixaba de São Mateus Orientador ___________________________________________ Prof. Lucas Costa Jardim Faculdade Norte Capixaba de São Mateus Membro 1 ___________________________________________ Prof. Temístocles Rocha Faculdade Norte Capixaba de São Mateus Membro 2

4

Primeiramente dedico a Deus, porque sem ele não sou nada nesse mundo, e

não faço nada se não for da sua vontade. E com amor e carinho a minha mãe e

minha família por acreditar no meu potencial.

E as todas as pessoas que fazem parte

na minha vida que sempre quis o meu bem.

5

Agradeço a Deus por mais um sonho sendo realizado. A minha futura noiva

Mariana Félix pela compreensão de eu me dedicar aos meus estudos e não dá-la

atenção alguns dias e a todos meus colegas de classe que fizeram parte da

minha primeira graduação.

Aos meus professores e Coordenadores de curso e em especial ao meu professor

e orientador Ramilton Costa Gomes Júnior por acreditar em mim e ter me

auxiliado para o desenvolvimento do TCC.

6

RESUMO

Este trabalho aqui proposto tem como objetivo mostrar ferramentas de rede para

uma perícia forense, explicando as suas funções e mostrar uma análise pericial no

arquivo evidencias.pcap, que é um arquivo capturado por uma ferramenta de sniffer

de rede Tcpdump, que será analisado por ferramentas como Xplico, Wireshark e

entre outras, O arquivo capturado contém informações de e-mail enviado por Ann

Dercover, uma mulher que saiu da cadeia sob fiança, e a polícia quer saber do seu

paradeiro, para isso será usado ferramentas de rede para uma análise pericial no

arquivo onde contém evidencias sobre Ann Dercover. Com a análise concluída será

feito uma laudo pericial onde contém tudo que foi realizado pelo perito forense de

forma clara e objetiva antes, durante e após análises sobre o evidencias.pcap a qual

foi investigado.

PALAVRAS-CHAVE: Tcpdump. Xplico. Wireshark. Laudo Pericial.

7

ABSTRACT

This work proposed here aims to show network tools for forensics. Explaining their

functions and show an expert analysis on evidencias.pcap file, which is a file

captured by a network sniffer tool tcpdump, which will be analyzed by tools like

Xplico, Wireshark and among others, The captured file contains information from e-

mail sent by Dercover Ann, a woman who walked out of jail on bail, and police want

to know of his whereabouts, it will be used for network tools for forensic analysis

where the file contains evidence about Ann Dercover. With the analysis will be done

a complete expert report which contains everything that was done by the forensic

expert to clearly and objectively before, during and after analyzes of evidencias.pcap

which was investigated.

KEY WORDS: Tcpdump. Xplico. Wireshark. Expert report.

8

LISTA DE FIGURAS

FIGURA 1 - ATIVIDADES OPERACIONAIS DA COMPUTAÇÃO FORENSE. FONTE MELO (2009). ............................................................................................................ 14 FIGURA 3 - PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO. FONTE CAMPOS (2007) ........................................................................................................................ 20 FIGURA 2 - REDE DE PERÍMETRO. FONTE: BOSCO (2006) ................................ 23 FIGURA 4 - VULNERABILIDADE - FONTE: LAUREANO (2005 P.18) ..................... 25 FIGURA 5 - MODUS OPERANDI (INVASÃO). FONTE MELO (2009 P. 21)............. 26 FIGURA 6 - CICLO DA PERÍCIA FORENSE. FONTE MELO (2009 P.15) ............... 27 FIGURA 7 - CHAOSREADER EXTRAINDO SEÇÕES HTTP. FONTE BRENDANGREGG.COM (2003) ............................................................................... 32 FIGURA 8 - TELA PRINCIPAL DO XPLICO. FONTE WIKI.XPLICO.ORG (2012) .... 33 FIGURA 9 - COMANDO TCPDUMP DE CAPTURA DE PACOTES EM TODA REDE. .................................................................................................................................. 36 FIGURA 10 - EXECUÇÃO DO COMANDO FILE PARA OBTER INFORMAÇÕES DO ARQUIVO. ................................................................................................................. 36 FIGURA 11 - COMPARANDO O HASH DOS ARQUIVOS. ...................................... 37 FIGURA 12 - ABRINDO O ARQUIVO NO WIRESHARK. ......................................... 37 FIGURA 13 - MOSTRANDO RESULTADO DE UMA CAPTURA DE PACOTES. ..... 37 FIGURA 14 - FILTRANDO PACOTES SMTP. .......................................................... 38 FIGURA 15 - MOSTRANDO FLUXO DE DADOS NO PACOTE DA LINHA 56. ....... 38 FIGURA 16 - COMANDO DO TCPFLOW PARA RECONSTRUIR AS SESSÕES DO ARQUIVO. ................................................................................................................. 39 FIGURA 17 - MOSTRADO AS SESSÕES EXISTENTE NO ARQUIVO. .................. 39 FIGURA 18 - MOSTRANDO CONTEÚDO DA PRIMEIRA SESSÃO. ....................... 40 FIGURA 19 - DECODIFICANDO CONTEÚDOS BASE64. ....................................... 40 FIGURA 20 - DECODIFICANDO CONTEÚDO BASE64. .......................................... 42 FIGURA 21 - MOSTRANDO CONTEÚDO DA TERCEIRA SESSÃO. ...................... 43

9

FIGURA 22 - COPIANDO CONTEÚDO DA LINHA 61 A 3700 PARA ARQUIVO.TXT. .................................................................................................................................. 46 FIGURA 23 - DADOS SENDO DECODIFICADOS E SENDO COPIADO PARA ARQUIVO.DOCX. ..................................................................................................... 46 FIGURA 24 - INFORMAÇÃO DENTRO DO ARQUIVO.DOCX. ................................ 47 FIGURA 25 - MOSTRANDO O HASH DO ARQUIVO.DOCX .................................... 47 FIGURA 26 - INICIANDO SERVIÇOS DO SERVIDOR WEB E DO XPLICO. ........... 48 FIGURA 27 - TELA DE LOGIN DO XPLICO. ............................................................ 48 FIGURA 28 - TELA DE INCLUSÃO DE NOVO CASO NO XPLICO. ........................ 49 FIGURA 29 - TELA INICIAL DO XPLICO COM EVIDENCIAS.PCAP A SER ANALISANDO. .......................................................................................................... 49 FIGURA 30 - LISTA DE E-MAILS NO ARQUIVO EVIDENCIAS.PCAP .................... 50 FIGURA 31 - E-MAIL ENVIADO PARA SEC558@GMAIL.COM............................... 50 FIGURA 32 - E-MAIL ENVIADO PARA MISTERSECRETX@AOL.COM. ................ 50 FIGURA 33 - MOSTRANDO ANEXO BAIXADO E EXTRAÍDO PARA PASTA 3_FILES. ................................................................................................................... 51 FIGURA 34- MOSTRANDO MAPA QUE ESTAVA DENTRO DO ARQUIVO NO ANEXO. ..................................................................................................................... 51

10

LISTA DE GRÁFICOS GRÁFICO 1 - INCIDENTES REPORTADOS AO CERT.BR -- NO PRIMEIRO

TRIMESTRE DE 2012. FONTE CERT.BR. ............................................................... 25

GRÁFICO 2 - GRAU DE VOLATILIDADE VS TEMPO DE VIDA. FONTE MELO (2009 P.34). ............................................................................................................... 30

11

LISTA DE SILGAS

CERT – Centro de Estudos, Resposta e Tratamento de Incidentes.

FTP – File Transfer Protocol

HTML – Hypertext Markup Language

HTTP – Hypertext Transfer Protocol

IDS – Intrusion detection system

IMAP – Internet Message Access Protocol

IP – Internet Protocol

POP – Post Office Protocol

SIP – Session Initiation Protocol

SMTP – Simple Mail Transfer Protocol

TCP – Transmission Control Protocol

UDP – User Datagram Protocol

12

SUMÁRIO 1 INTRODUÇÃO ......................................................................................... 14

1.1 JUSTIFICATIVA DO TEMA ...................................................................... 15

1.2 DELIMITAÇÃO DO TEMA ........................................................................ 15

1.3 FORMULAÇÃO DO PROBLEMA ............................................................. 15

1.4 OBJETIVOS ............................................................................................. 16

1.4.1 OBJETIVO GERAL ........................................................................................ 16

1.4.2 OBJETIVOS ESPECÍFICOS ............................................................................. 16

1.5 HIPÓTESE ............................................................................................... 16

1.6 META ........................................................................................................ 17

1.7 METODOLOGIA ....................................................................................... 17

1.7.1 CLASSIFICAÇÃO DA PESQUISA ..................................................................... 17

1.7.2 TÉCNICAS PARA COLETA DE DADOS .............................................................. 18

1.7.3 FONTES PARA COLETA DE DADOS ................................................................. 18

1.7.4 POSSIBILIDADE DE TRATAMENTO E ANÁLISE DOS DADOS ................................ 18

1.8 APRESENTAÇÃO DO CONTEÚDO DAS PARTES DO TRABALHO ...... 19

2 REFERENCIAL TEÓRICO ....................................................................... 20

2.1 SEGURANÇA DA INFORMAÇÃO ............................................................ 20

2.2 O QUE É PERÍCIA FORENSE COMPUTACIONAL? ............................... 22

2.3 SEGURANÇA DE PERÍMETRO ............................................................... 23

2.4 INVASÃO DE SISTEMAS ......................................................................... 24

2.4.1 MODUS OPERANDI DE UM INVASOR .............................................................. 26

2.5 PROCESSOS DE ANÁLISE FORENSE ................................................... 27

2.5.1 AQUISIÇÃO ................................................................................................. 27

2.5.2 IDENTIFICAÇÃO ........................................................................................... 28

2.5.3 AVALIAÇÃO ................................................................................................ 28

2.5.4 APRESENTAÇÃO ......................................................................................... 28

2.6 COLETA DE ENVIDÊNCIAS DIGITAIS .................................................... 29

2.6.1 FORENSE IN VIVO (LIVE FORENSIC ANALYSIS) ................................................ 29

13

2.6.2 FORENSE DE REDE (NETWORK FORENSIC) ..................................................... 30

2.6.3 FORENSE POST MORTEM (POST MORTEM ANALYSIS) ...................................... 31

2.7 FERRAMENTAS PARA ANÁLISE FORENSE DE REDE ......................... 31

2.7.1 NGREP ....................................................................................................... 31

2.7.2 CHAOSREADER ........................................................................................... 32

2.7.3 XPLICO ...................................................................................................... 33

2.8 LAUDO PERICIAL. ................................................................................... 34

3 ESTUDO DE CASO ................................................................................. 35

3.1 EVIDENCIAS.PCAP - OBJETO DE ESTUDO DA PESQUISA ................. 35

3.2 APRESENTAÇÃO DOS DADOS .............................................................. 35

3.3 ANÁLISE DOS DADOS ............................................................................ 36

CONCLUSÃO E RECOMENDAÇÕES ..................................................... 53

4.1 CONCLUSÃO ........................................................................................... 53

4.2 RECOMENDAÇÕES ................................................................................ 54

5 REFERÊNCIAS BIBLIOGRÁFICAS ........................................................ 55

APÊNDICE A – LAUDO PERICIAL ...................................................................... 58

14

1 INTRODUÇÃO Quando falamos perícia forense de rede de computadores não pensamos somente

em investigação, pensamos também em ferramentas, metodologias de investigação

e armazenamento de evidências, pois cada pensamento desses é importante para

cumprimento das atividades da perícia forense em rede.

A forense de rede de acordo com Melo (2009 p. 49)

Pode ser compreendida com a ação do perito em coletar dados do demais ativos de rede envolvidos com um Incidente de Segurança para que, durante a Post Mortem Análise, esses dados correlacionados com demais evidências coletadas na Live Análise, sejam argumentos de apoio a conclusões quando à ação do invasor.

As ferramentas de rede para perícia forense são muitos importantes para esse

processo, pois elas coletam dados de todos os ativos disponíveis na rede como:

IDS, IPS, Servidor de Logs, conexões capturadas por Sniffer de rede.

E para a coleta de evidências existem três etapas: Forense In Vivo, Forense de rede

e Forense Post Mortem. Essas etapas ajudam o perito forense na construção do

Laudo Pericial que é onde estará tudo que foi feito durante a investigação.

Figura 1 - Atividades Operacionais da Computação Forense. Fonte Melo (2009).

15

E esse trabalho tem como finalidade mostrar ferramentas da perícia forense de rede

de computadores, mostrar como é feito uma análise dos dados da mesma depois de

um incidente (invasão), ou uma investigação. Ao decorrer do trabalho serão

mostrados processos importantes para essa perícia afim de construção de um laudo

pericial com todos os resultados feito na análise pericial forense de rede.

1.1 JUSTIFICATIVA DO TEMA

Ferramentas de Perícia Forense de rede atuam na área de segurança digital com

intuito de apoiar a área criminal. A perícia forense usa uma ciência ou tecnologia

para uma investigação em uma instituição ou local. Um perito forense com as

ferramentas examinam crimes eletrônicos como pornografia, roubos, provar fatos e

até recuperação de dados. Por esses fatos e outros a Ferramentas de rede para

Perícia Forense vem ganhado espaço no mercado e precisa de profissionais nessa

área.

1.2 DELIMITAÇÃO DO TEMA

As ferramentas de perícia forense de rede ajudam o perito computacional há

obtenção de evidências para solução do caso proposto, e depois passando todos os

dados coletados para padronização de laudos pericial até a apresentação das

mesmas perante a justiça. Com esse apoio ferramental será feito uma receptação de

e-mail, e as informações será gravada no arquivo evidencias.pcap que é o objeto de

estudo do trabalho desenvolvido, será mostrado passo a passo da análise usando

as ferramentas e os dados colhidos nas pericias serão apresentados no Laudo

Pericial.

1.3 FORMULAÇÃO DO PROBLEMA

Quais ferramentas de redes são usadas por um perito forense computacional de

rede, quando ocorre uma ocorrência em uma rede de computadores?

16

1.4 OBJETIVOS

São as intenções potenciais resultante das sucessivas interações da necessidade e

foco do projeto no qual são divididos em objetivo geral e os objetivos específicos.

1.4.1 OBJETIVO GERAL Apresentar ferramentas para perícia forense de rede, e mostrar as finalidade e

funções, com intuito de mostrar como ocorre uma análise pericial forense de rede

usando essas ferramentas.

1.4.2 OBJETIVOS ESPECÍFICOS

• Apresentar ferramentas que podem ser utilizadas na Análise Forense de

Rede.

• Demonstrar a importância das ferramentas forense de Rede.

• Apresentar o resultado da análise através de um Laudo Pericial, usando as

ferramentas de Forense de Rede.

1.5 HIPÓTESE

Segundo Pádua (2002) a hipótese propõe antecipadamente uma suposta resposta

para o problema, que ao decorrer da pesquisa será solucionado, confirmado. Sua

função é fixar a direção a ser seguido, orientando a coleta de dados ao decorrer da

pesquisa.

A hipótese que poderemos notar é:

Boas ferramentas de perícia forense de rede podem ajudar a obter melhores

informações para a construção de um laudo pericial, diante da situação que está por

vim, então ferramentas da perícia forense ajuda a esclarecer melhor essas

situações. Responder com as ferramentas, Wireshark, Xplico e Tcpdump, entre

outras.

17

1.6 META

Demonstrar a importância das ferramentas para a perícia forense de rede.

1.7 METODOLOGIA

Conjunto de técnicas e procedimentos utilizados para direcionar. Métodos ou

caminhos a serem percorridos no processo de criação do projeto.

1.7.1 CLASSIFICAÇÃO DA PESQUISA

A Pesquisa foi desenvolvida tem como classificação exploratória e descritiva.

Pesquisas que tem características melhores para o desenvolvimento do trabalho de

acordo com tema abordado.

Segundo Cervo; Bervian; Da Silva (2006 p.63). “A pesquisa exploratória é

normalmente o passo inicial no processo de pesquisa pela experiência e um auxílio

que traz a formulação de hipóteses significativas para posteriores pesquisas.”

A necessidade de se aprofundar mais no tema fez com que fosse utilizada uma

pesquisa exploratória e uma pesquisa descritiva, para melhor diagnóstico do assunto

proposto.

Pesquisas descritivas descrevem as “características de determinada população ou

fenômeno ou, então, o estabelecimento de relações entre variáveis”. (GIL, 2002, p.

42).

Foi escolhida a pesquisa exploratória para o desenvolvimento do projeto, por que

ferramentas de análise forense de rede vêm ganhado espaço atualmente devidos as

incidentes em computadores e de acordo com o tema abordado se faz o uso e

estudo de leitura, livros e outras biografias com informações do projeto. Também

será utilizada a pesquisa descritiva, pois justifica- se pelo fato de analisar

ferramentas de rede para perícia forense mostrando suas importâncias e

funcionalidades.

18

1.7.2 TÉCNICAS PARA COLETA DE DADOS

De acordo com Ferrão (2008, p. 58).

Para realização de uma pesquisa cientifica, há necessidade de coleta de dados. De acordo com os objetivos da pesquisa, esses dados podem ser coletados pelas seguintes técnicas: pesquisa documental, bibliográfica, de campo (entrevista, questionário e experimental) e de laboratório.

Conforme Barros e Lehfeld (2000 p.70) “Pesquisa bibliográfica é a que se efetua

tentando-se resolver um problema ou adquirir conhecimentos a partir do emprego

predominante de informações advindas de material gráfico, sonoro e informatizado”.

A utilização de pesquisa bibliográfica para o desenvolvimento do projeto foi dada

pelo fato do levantamento do tema por pesquisas, trabalhos, livros e artigos já

publicados por outros estudiosos.

1.7.3 FONTES PARA COLETA DE DADOS

As fontes para coleta de dados classificam-se em fontes primárias e secundárias.

Segundo Andrade (2001) as fontes primárias são feitas a partir de textos e obras

originais, algo que não foi trabalhado, já as fontes secundárias refere-se a

determinadas fontes primarias, que são feitas e originadas a partir de fontes

primárias que constituem em fontes das pesquisas bibliográficas.

Neste trabalho serão utilizadas fontes primárias e secundárias para responder aos

objetivos e problema proposto, pois serão abordados assuntos ainda não discutidos

e também utilizaremos explicações e avaliações vindas de fontes de pesquisa

bibliográfica.

1.7.4 POSSIBILIDADE DE TRATAMENTO E ANÁLISE DOS DADOS Segundo Vergara (2007 p.59) “Tratamento dos dados refere-se àquela seção na

qual se explicita para o leitor como se pretende tratar os dados a coletar, justificando

por que tal tratamento é adequado aos propósitos do projeto.”.

19

Os dados coletados através foram utilizados como base, confirmação e

fundamentação para o desenvolvimento deste trabalho e foi utilizada a codificação,

seleção e tabulação dos dados para análise por meio da leitura e observação e

interpretação dos dados coletados.

1.8 APRESENTAÇÃO DO CONTEÚDO DAS PARTES DO TRABALHO

Este trabalho encontra-se estruturado em cincos capítulos, de acordo com que

gradativamente os assuntos foram sendo trabalhados. Assim o trabalho ficou

dividido da seguinte forma:

No primeiro capítulo foi descrito uma introdução, assim como a delimitação,

justificativa do tema proposto, foi apresentado o objetivo geral e os objetivos

específicos, a hipótese, formulação do problema e as metodologias a serem

utilizadas ao decorrer do trabalho.

No segundo capítulo fala sobre forense computacional, segurança da informação,

processos de análise forense, coletas de evidências digitais e sobre ferramentas

para análise forense de rede e outros assuntos que proporcionam a fundamentação

necessária para realização do estudo de caso. Trata-se da fundamentação teórica e

base de todo o trabalho.

No terceiro capítulo, é realizado o estudo de caso, são apresentados os dados

colhidos e a análise realizada.

O quarto capítulo mostra-se a conclusão final deste trabalho e também sugestões

sobre o tema abordado.

No quinto e último capítulo contém as referências bibliográficas utilizadas para

elaboração do trabalho.

20

2 REFERENCIAL TEÓRICO

2.1 SEGURANÇA DA INFORMAÇÃO

De acordo com Campos (2007) existem três princípios básicos em um sistema da

segurança da informação: 1) confidencialidade, 2) integridade e 3) disponibilidade.

Se um ou mais desses princípios forem desrespeitados haverá uma quebra na

segurança da informação.

Figura 2 - Princípios de segurança da informação. Fonte Campos (2007)

Moraes (2010, p.105) diz que “o principio da confidencialidade é proteger a

informação em sistemas, recursos e processos para que eles não sejam acessados

por pessoas não autorizadas.”.

Confidencialidade é a garantia do resguardo das informações dadas pessoalmente

em confiança e a proteção contra a sua revelação não autorizada.

A Confidencialidade mantém a privacidade de informações contidas no computador

bloqueado assim acesso de uma pessoa que não tenha autorização para ler e ver

esses dados, pois esses dados são confidenciais.

21

A integridade é quando os dados não podem ser alterados, ou removidos sem

autorização, é a garantia de que a informação não foi alterada durante a sua

transmissão.

Se a integridade for quebrado é sinal que a confidencialidade da informação

também já foi quebrada.

A integridade está relacionada com a proteção da informação para que os dados não sejam intencionalmente ou acidentalmente alterados sem a devida autorização. [...] o objetivo da garantia da integridade dos dados é prevenir a existência de fraude ou erro de processamento. (MORAES 2010 p. 103).

O princípio da disponibilidade de acordo com Moraes (2010 p.106) está relacionado

“a garantia de que o sistema vai estar sempre acessível quando o usuário precisar.”.

Disponibilidade é a necessidade de um serviço estar disponível para os usuários

sempre que eles necessitarem das informações.

A segurança de uma informação não tem somente na confidencialidade e sua

integridade mais também na sua disponibilidade aos usuários sempre que eles

precisar ter acesso a ela. E o nível da segurança se divide em segurança Física e

Lógica que tem como objetivo proteção para minimizar a probabilidade de ocorrência

de um ataque.

Segundo Tavares, Carvalho e Botelho (2003) A segurança Física de uma empresa

pode constituir um dos mais importantes elementos no que diz respeito à

salvaguarda da informação. A segurança física tem como objetivo proteger

equipamentos e informações contra usuários não autorizados, prevenindo o acesso

a esses recursos. A segurança física deve se basear em perímetros predefinidos nas

imediações dos recursos computacionais, podendo ser explicita como uma sala

cofre, ou implícita, como área de acesso restrito. E a segurança física pode ser

abordada em duas formas, a primeira é a Segurança de acesso que trata das

medidas de proteção contra o acesso físico não autorizado, e a segunda é a

22

Segurança ambiental que trata da prevenção de danos por causas naturais como,

por exemplo, chuvas.

De acordo com Tavares, Carvalho e Botelho (2003 p.79) “Sem a existência de

medidas de segurança lógica, a informação em suporte digital encontra-se exposta a

ataques.”. Alguns acessos á informação são passivos, na medida em que apenas

capturam os dados, sem os alterar, enquanto que outros são ativos, afetando a

informação com o intuito de corrompê-la ou destruir. Por isso, A segurança lógica

inclui controles de acesso, segurança de software e segurança em rede.

2.2 O QUE É PERÍCIA FORENSE COMPUTACIONAL?

Melo (2009) diz que a perícia forense computacional é um processo onde se usa

conhecimentos das Técnicas e Metodologias da Computação Forense, com o apoio

ferramental apropriado para coletar dados e artefatos com objetivo de qualificar

esses dados como provas e vestígios no âmbito judicial.

A Computação forense é uma nova ramificação da Ciência da Computação, que

com ferramentas de apoio ela irá de combate aos crimes eletrônicos, crimes que

cada dia mais vem crescendo no contexto computacional, nas redes de

computadores e na própria internet.

E no Brasil os crimes eletrônicos estão crescendo cada vez mais de acordo com o

crescimento da informatização, pois existem pessoas sem cuidados com seus e-

mails, redes sociais e também seus arquivos do seu computador pessoal, visando

assim cracker1 querendo invadir sua máquina para tentar obter tais dados, como

fotos, número de CPF, senhas de cartão de créditos, RG. Para localizar, analisar e

identificar como ocorreram essas invasões é usado ferramentas de perícia forense

de rede.

1 Pessoas que tem por objetivo invadir sistemas em redes ou computadores. O nome cracker tem

relação com modificação de código, onde são modificados para comprometer funcionalidades dos

programas.

23

Novos campos profissionais vão surgindo de formar a desvendar e solucionar casos

que necessitam de inteligência e aprofundamento para atuar na perícia de crimes,

Assim vai surgindo os peritos forenses computacionais que tem características e

perfil necessários para dar respostas justiça. E para ter esse perfil profissional o

perito deve ter formação superior em tecnologia, especialização, domínio

tecnológico, ter boa redação para relatar os fatos do caso no laudo pericial e

também de saber línguas estrangeira principalmente inglês.

2.3 SEGURANÇA DE PERÍMETRO

Segurança de perímetro é usada para proteger o acesso da rede corporativa com a

internet, deixando a rede protegida contra quaisquer perigos, Conectando assim

com internet com mais segurança. Como ilustra a figura 2 abaixo.

Figura 3 - Rede de Perímetro. Fonte: Bosco (2006)

De acordo com Andrade (2007 p.18) “o perímetro é uma área delimitada por

recursos físicos e lógicos. Tem como objetivo impedir o acesso não autorizado e

manter a integridade das informações da organização”.

Segurança de Perímetro

24

Existem dois tipos de perímetros, o perímetro exterior e o perímetro interior. O

perímetro exterior de acordo com Guimarães, Lins e Oliveira (2006 p.22) “representa

o ponto de separação entre os recursos que estão sob o controle e os recursos que

não estão sob o controle, com exceção da rede VPN2.” Já o perímetro interior “são

relacionados a um recurso particular que se pretende proteger”.

Para implementar a segurança de perímetro em uma rede de computadores são

usados diferentes dispositivos como firewalls, roteadores que controlam o

encaminhamento de mensagens e pacotes que trafegam na rede tanto externa e

interna.

São usados proxies3 sistema intermediário entre o usuário e servidor, que

desempenha a função de conexão do computador local à internet e bloqueado assim

conexões e sites não autorizados e ids sistema de detecção de intrusos durante o

acesso na internet.

2.4 INVASÃO DE SISTEMAS Conforme cita Guimarães, Lins e Oliveira (2006) Ataques de segurança são ações

que comprometem a disponibilidade, integridade de informações pertencentes a

uma organização através de uma invasão em seu sistema.

Todo sistema sofre ataquem de maneiras diferentes, em alguns desses ataques

afetam o sistema operacional já em outros afetam absolutamente nada, um bom

exemplo é um caso de vírus e de trojans.

Além disso, a invasão ocorre por falta de segurança que as organizações

apresentam nos seus meios internos, sendo por funcionários mal intencionados,

atividades que colocam as informações em perigos, etc. e também por meios

externos, sendo através da internet.

2 Virtual Private Network ou Rede Privada Virtual é uma rede privada construída sobre a infraestrutura de uma rede pública, normalmente a Internet. 3 Proxy é um servidor intermediário que atende a requisições do cliente como um serviço, arquivo, conexão, página web, ou outro recurso disponível no outro servidor.

25

Os ataques acontecem quando as vulnerabilidades não são tratadas ou os

problemas não são reparados depois de um incidente. Veja na figura 4 abaixo o

processo que uma vulnerabilidade pode acarretar em uma organização.

Figura 4 - Vulnerabilidade - Fonte: Laureano (2005 p.18)

Assim claramente mostra o gráfico 1 abaixo mostrado os 10 países ondem

ocorreram mais incidentes em suas redes de computadores.

Gráfico 1 - Incidentes Reportados ao CERT.br -- No primeiro trimestre de 2012. Fonte CERT.br.

26

2.4.1 MODUS OPERANDI DE UM INVASOR Melo (2009) diz que o modus operandi é o modo de atuar um invasor, é o perito

classificar quais foram às técnicas utilizadas pelo invasor e também saber a sua

metodologia usada.

Figura 5 - Modus Operandi (Invasão). Fonte Melo (2009 p. 21).

Como mostra a Figura 5, O processo de uma invasão em sistema computacional

gera dados periciais. Esse fator é determinante para uma perícia, pois isso será

importante para o perito forense, e a forma de como os servidores foram instalados,

os IDS, firewalls, ajudará o perito a construir os passos do invasor.

O conhecimento do modus operandi para o perito possibilita a ter uma visão melhor

sobre o processo da invasão do sistema, possibilita antecipar onde serão gerados

dados para uma perícia forense computacional, e conhecendo o modus operandi

fica melhor para atuar diante a um incidente de segurança ocorrido.

27

2.5 PROCESSOS DE ANÁLISE FORENSE

Podemos dividir a partir de um ponto de vista macro o processo de Perícia Forense

em quatro etapas, conforme ilustra a Figura 6:

Figura 6 - Ciclo da Perícia Forense. Fonte Melo (2009 p.15)

2.5.1 AQUISIÇÃO Segundo Melo (2009 p.14) “Aquisição é a fase inicial, etapa propícia para a

aplicação da Forense In Vivo. O Perito Forense atua coletando potencias dados e

artefatos relacionados ao Incidente de Segurança.”.

É a primeira fase do processo onde se reúne o máximo de provas, que são artefatos

a serem analisados. E para ter uma análise pericial de sucesso é fundamental

coletar materiais de qualidade.

E para coletar esses materiais existem diversas fontes de coletas de dados pericias

algumas delas são: Exame em Servidores, Computadores Pessoais, Sistema de

Rede, Mídias de Armazenamento Computacional e Equipamento Eletrônico

Programável. E o perito deve manusear vários tipos mídias de armazenamento

como Disquetes, CDs, DVDs, Pen-drives e Cartuchos.

28

2.5.2 IDENTIFICAÇÃO O processo de Identificação segundo Melo (2009 p.14) “É a fase que o Perito analisa

os dados levantados durante a Forense In Vivo, identifica dados periciais e artefatos

qualificáveis como vestígios, evidências, ou provas.”. Nessa fase o perito consiste

uma análise pericial que tem como objetivo organizar os artefatos encontrados,

buscando associar os artefatos identificados no processo, antes do desligamento do

equipamento que é a Análise In Vivo e depois do desligamento que é a Análise Post

Mortem.

2.5.3 AVALIAÇÃO

Para Melo (2009 p.14) o Processo de Avaliação é a “Fase em que o perito faz

análise mais pontual sobre cada dado pericial ou artefato, caracterizando-o e

mantendo-o como vestígio, evidência ou prova, ou desqualificando-o.”.

A avaliação é um processo que se repete para cada dado pericial e artefato com o

processo de identificação conforme mostra a Figura 6.

É nessa fase que o perito forense mostra suas principais habilidades nas atividades,

pois cada dado é identificado e avaliado se for um dado para uso o perito mantém o

dado se não o mesmo é descartado.

A perícia pode ter como objetivo coletar dados para fins de provas de crimes, mais

não somente vinculados à invasão, ou ao uso não autorizado de um servidor em

uma rede, mais também para fins de provas de crimes eletrônicos e computacionais

como fraudes financeiras e pedofilia, e se tornando assim a perícia uma ferramenta

fundamental para fins judiciais.

2.5.4 APRESENTAÇÃO De acordo com Melo (2009) Apresentação é fase final, é onde se elabora o laudo

pericial com todos os detalhes do caso que o processo da perícia forense tem como

objetivo desvendar, a partir de ponto cabe o perito apresentar o laudo pericial com

29

tudo que foi analisado, como foi o modus operandi e como ocorreu a Perícia forense

decorrente ao Incidente de Segurança, pois se deve mostrar tudo necessário para

que seja possível apresenta-lo a pessoa responsável pelo caso ou até mesmo para

um tribunal.

2.6 COLETA DE ENVIDÊNCIAS DIGITAIS O perito forense quando começa fazer uma perícia em um sistema onde sua

segurança foi violada, ele busca coletar evidências que possibilitam identificar como

e quanto à violação da segurança afetou as informações e o próprio sistema

operacional.

Para Queiroz e Vargas (2010) considere uma evidência o vestígio existente mesmo

antes do início de um fato ocorrido, é um material que contem informações e pode

está relacionada com o fato que buscamos apurar em uma investigação ou perícia.

A coleta de evidências pode ser dividida em três partes: Forense in Vivo, Forense de

Rede e Post Mortem. Os objetivos dessas três analisem é a coleta máxima de

evidências digitais.

2.6.1 FORENSE IN VIVO (LIVE FORENSIC ANALYSIS)

A Forense In Vivo é a etapa onde ocorre no momento em o perito entra em contato

com o incidente, onde o computador ainda está ligado, processos rodando e os

ativos da rede ainda em funcionamento, nessa etapa o perito uso apoio ferramental

e técnicas adequadas para realizar a coleta de dados periciais.

Tudo que é coletado é gravado em outro computador que é usado na análise

pericial. Para Melo (2009) Forense In Vivo é a etapa que consiste na coleta de

evidência antes que o sistema seja desligado da fonte elétrica, onde tem por objetivo

registrar o estado do sistema. Buscar evidências em um sistema operacional é fazer

uma varredura nas informações que nele residem, tanto dados em arquivos de

memória apagados ou não.

30

Durante esse cenário aparece o conceito de ordem de volatilidade, onde mostra o

tempo de vida das evidências e seu nível de volatilidade em algum dispositivo do

computador.

O Gráfico 2 mostra o tempo de uma evidência pode variar de acordo com os locais

onde ela está armazenada, que são: Mídias, Disco Rígido, Estado do S.O, Tráfego

na rede, Memória RAM, Memória de periféricos e registradores Cache.

Gráfico 2 - Grau de Volatilidade VS tempo de Vida. Fonte Melo (2009 p.34).

2.6.2 FORENSE DE REDE (NETWORK FORENSIC) A Forense de rede é a etapa onde o perito forense analisa e coleta informações de

todos os ativos da rede que registaram alguma informação sobre o incidente de

segurança, é onde é analisado o servidor, IDS, Conexões capturadas por Sniffer e o

IPS.

A Network forensic de acordo com Melo (2009) consiste em coletar informações da

rede, tanto no servidor e nos ativos de rede que tem informações pertinentes. Pode-

se dizer que a Forense de Rede pode ser dividida em dois momentos, o primeiro é

quando o perito forense analisa e coleta informações de comunicações de rede do

servidor e o segundo é analise e coleta informações de comunicações de redes em

outros ativos como servidor de logs, firewall, roteadores e entre outros.

31

2.6.3 FORENSE POST MORTEM (POST MORTEM ANALYSIS) Na última etapa da coleta de evidências é a Forense Post Mortem, é onde o perito

analise e coleta de dados depois do computador desligado fazendo assim analise

em mídias, CD-ROM ‘s, HDs e as informações coletadas nessa etapa faz um

cruzamento com todas as outras informações reunidas nas etapas anteriores, com

objetivo de reconstruir todos os fatos possíveis, para obter o máximo de

conhecimento afim da elaboração do Laudo Pericial.

Diz Melo (2009) que a forense post mortem é a etapa mais demorada de uma perícia

computacional por quer é a consolidação do cruzamento te tudo que foi colhido na

Live Análise com o que é identificado na analise de disco e informações de ativos de

rede que foram colhidos durante a Forense de rede.

2.7 FERRAMENTAS PARA ANÁLISE FORENSE DE REDE Segundo Queiroz e Vargas (2010) Ferramentas de perícia forense computacional

são capazes de atender a todas as etapas de uma investigação em Forense, o que

vai determinar a escolha das ferramentas diante de muitas no mercado será o tipo

de caso a ser analisado.

Algumas das funções mais principais das ferramentas forense de rede são: analisar

o tráfego, conexões, estatísticas na rede, com o objetivo de extrair, capturar pacotes

PCAP, que são pacotes capturados depois de um monitoramento da ferramenta no

tráfego da rede.

2.7.1 NGREP Segundo Jordan Ritter (2006 p. 01).

Ngrep se esforça para fornecer a maioria das características comuns GNU GREP, aplicando-os à camada de rede. Ngrep é uma ferramenta pcap-aware que permitirá que você especifique expressões regulares estendidas ou hexadecimais para o jogo contra cargas de dados de pacotes.

É uma ferramenta pcap-aware que permitirá que você especifique expressões

regulares estendidas ou hexadecimais para o jogo contra cargas de dados de

pacotes. Ele é executado via linha de comando. Além de depurar protocolos, como

HTTP, SMTP, FTP ele identificar e analisar as comunicações de rede anômalas, tais

32

como aquelas entre worms, vírus e também armazenar, ler e reprocessar arquivos

pcap.

E para instalar basta dar o comando: # aptitude install ngrep. 2.7.2 CHAOSREADER Conforme (Brendan Gregg p.01)

Chaosreader é uma ferramenta de freeware para traçar TCP / UDP //... Sessões e buscar dados de aplicativos de Snoop ou Tcpdump registros. Este é um tipo de "qualquer-snarf" do programa, ele vai buscar sessões telnet, arquivos FTP, HTTP transferências (HTML, GIF, JPEG,...), e-mails SMTP,... A partir dos dados capturados dentro de registros de tráfego de rede.

Chaosreader é uma ferramenta inteligente feita em Script Perl que processa

informações de arquivos PCAP ela faz reconstrução de sessões TCP e recupera

arquivos de imagem e buscam sessões telnet, arquivos FTP, HTTP, transferências

(HTML, GIF, JPEG, e-mails SMTP) e ainda tira relatórios imagem com conteúdo de

HTTP get/post.

Para fazer a instalação da Ferramenta basta baixe o arquivo no site:

http://sourceforge.net/projects/chaosreader/files/chaosreader/0.94/chaosreader0.94/

download. Logo após o download do arquivo, de permissão para executar o arquivo

através do comando: # chmod +x chaosreader0.94 e para executar a ferramenta

faça esse comando: # ./chaosreader0.94 arquivo.pcap.

Figura 7 - Chaosreader extraindo seções HTTP. Fonte Brendangregg.com (2003)

33

2.7.3 XPLICO Júnior (2012) fala que o Xplico é uma ferramenta forense de análise de rede que

captura o tráfego da Internet, rede local e seus protocolos como: HTTP, SIP, IMAP,

POP, SMTP, TCP, UDP, IPV6 e outros.

Algumas das características do Xplico são:

• Porta Independente Protocolo de Identificação (PIPI) para cada protocolo de

aplicação;

• Multithreading;

• Saída de dados e informações em banco de dados SQLITE ou banco de

dados MYSQL e/ou arquivos;

• TCP ACK remontagem com a verificação de qualquer pacote;

• Interface gráfica automatizada.

Comando de instalação do Xplico é: sudo apt-get install tcpdump tshark apache2

php5 php5-sqlite build-essential perl zlib1g-dev libpcap-dev libsqlite3-dev php5-cli

libapache2-mod-php5 libx11-dev libxt-dev libxaw7-dev python-all sqlite3 recode sox

lame libnet1 libnet1-dev php5-sqlite.

Figura 8 - Tela Principal do Xplico. Fonte wiki.xplico.org (2012)

34

2.8 LAUDO PERICIAL.

Laudo Pericial de acordo com Queiroz, Vargas (2010 p. 29) “Laudo Pericial é uma

peça fundamental de um processo para qual é exigido, ele traduz tudo que foi

realizado pelo perito de forma clara e objetiva antes, durante e após seus estudos

sobre o caso em investigação.”.

O laudo pericial tem como objetivo oferecer e dispor ao encarregado de julgar o caso

tudo que atesta de forma positiva ou negativa seus passos ao longo de uma perícia

forense.

No laudo pericial o perito narrar fatos levado à consideração a veracidade de tudo

que ele descreve, pois ele tem que ser realista e objetivo, pois isso ajudará a pessoa

que julgará o caso à compreensão de todos os fatos ocorridos.

O perito não pode escrever palavras difíceis da área computacional, pois nem

sempre quem vai julgar o caso saberá entender essas palavras tais como bits e

bytes, temos que levar em conta que quem jugará o caso não é o perito forense, ele

só irá fazer uma análise do caso investigado e através de um laudo pericial passará

para o juiz assim julgar.

35

3 ESTUDO DE CASO Consiste em descrever e recolher informações acerca de um evento, pessoa,

empresa, instituição, etc. O estudo de caso tem por objetivo, examinar, analisar, os

aspectos importantes e características do objeto a ser estudado.

3.1 EVIDENCIAS.PCAP - OBJETO DE ESTUDO DA PESQUISA Depois de ser libertada sobre fiança, Ann Dercover desaparece! Felizmente sua

conexão de rede estava sendo monitorado pela polícia antes de deixar a cidade.

Segundo o Chefe de polícia de Boston, acredita que Ann pode ter comunicado com o

seu amante o Senhor Secreto X por e-mail, antes de fugir. A agora a polícia resta

desvendar que informações estão nesse e-mail. Tais como:

1. Qual é o endereço de e-mail de Ann?

2. Qual é a senha de e-mail de Ann?

3. Qual é o endereço de e-mail amante secreto x de Ann?

4. Quais informações então no e-mail ou dos e-mails?

5. Se houve anexo, qual o nome do anexo e o seu Md5sum?

6. O que tem dentro do anexo?

7. Qual o Assunto do e-mail ou dos e-mails?

Com essas respostas respondidas, a polícia ficará mais perto de saber para onde

Ann Dercover foi. E para essa investigação será usada ferramentas de rede para a

perícia.

3.2 APRESENTAÇÃO DOS DADOS Neste tópico são apresentados os dados resultantes da análise realizada no arquivo

evidencias.pcap capturado pelo tcpdump uma ferramenta de sniffer de rede. Os

dados extraídos do arquivo serão mostrados através de imagens e linhas de

comando no Shell4. Mostrando assim passo a passo da captura do arquivo onde

contém informações do e-mail e mostrar também as análises que será feita nele.

4 O Shell é um módulo que atua como interface usuário - sistema operacional, possuindo diversos

comandos internos que permitem ao usuário solicitar serviços do sistema operacional.

36

3.3 ANÁLISE DOS DADOS

Toda rede onde Ann acessou seu e-mail estava sendo monitorada por uma

ferramenta de Sniffing 5 de rede chamada tcpdump6. Essa ferramenta é utilizada via

terminal através de comandos. O comando dado para captura do arquivo

evidencias.pcap foi da seguinte maneira:

Figura 9 - Comando tcpdump de captura de pacotes em toda rede.

Após a execução do comando a rede já estará sendo monitorada e salvado todos os

dados no arquivo evidencias.pcap. E todo tráfego vai esta sendo salvado no arquivo

evidencias.pcap. Antes de começar a análise dos pacotes no arquivo vamos

executar o comando file em evidencias.pcap no terminal para saber que tipo de

arquivo irá ser analisado.

Figura 10 - Execução do comando file para obter informações do arquivo.

Após execução do comando, podemos ver que o arquivo se trata de uma captura no

tcpdump, ou seja, é uma captura de quadros ethernet. Para começar a periciar o

arquivo vamos fazer uma cópia de segurança e depois verificar se os dois arquivos

possui o mesmo hash7, garantido que o arquivo original seja igual ao arquivo

copiado. Para isso executamos os seguintes comandos no terminal:

5 Sniffing é o procedimento capaz de interceptar e registrar o tráfego de dados em uma rede de computadores. 6 Tcpdump é uma ferramenta utilizada para monitorar os pacotes trafegados numa rede de computadores 7 Um hash é uma sequência de bits gerados por um algoritmo de dispersão, em geral representada em base hexadecimal, que permite a visualização em letras e números.

37

Figura 11 - Comparando o hash dos arquivos.

Confirmado que os dois arquivos são iguais vamos abrir evidencias.pcap no

Wireshark, uma ferramenta de análise de tráfego de rede. Nela vamos entender

melhor o tráfego de pacotes contidos arquivo, Comando para abrir arquivo no

Wireshark via terminal:

Figura 12 - Abrindo o arquivo no Wireshark.

Tela Inicial Wireshark:

Figura 13 - Mostrando resultado de uma captura de pacotes.

38

Na tela principal, temos a lista dos pacotes, com várias informações, como o

remetente e o destinatário, protocolo usado e uma coluna que mostra mais

informações sobre o pacote. Existem vários protocolos no arquivo, para ter uma

análise melhor vamos filtrar apenas os protocolos SMTP que é o protocolo padrão

para envio de e-mail através da internet. Digitando em filter a palavra SMTP,

conforme a figura 15 abaixo:

Figura 14 - Filtrando pacotes SMTP.

Vamos seguir o fluxo de dados selecionando a linha 56 que no caso é um pacote,

com botão direito do mouse e depois clicar na opção Follow TCP Stream.

Figura 15 - Mostrando fluxo de dados no pacote da linha 56.

39

De acordo com a Figura 16 acima já podemos observar que houve uma

autenticação de login, então está claro que Ann teve acesso a sua caixa de e-mail e

enviou e-mail. Para melhorar à análise do arquivo evidencias.pcap, vamos extrair as

sessões que existem no arquivo. Assim analisaremos sessão por sessão, para isso

vamos utilizar outra ferramenta de perícia forense de rede chamada Tcpflow. Essa

ferramenta reconstrói os fluxos de dados de em um arquivo, separando as sessões

para análise. Para fazer isso digitamos o seguinte comando no terminal:

Figura 16 - Comando do Tcpflow para reconstruir as sessões do arquivo.

Após executamos o comando, o Tcpflow separou as sessões contida no arquivo.

Gerando assim quatro arquivos, que no caso é quatros sessões contidas em

evidencias.pcap.

Figura 17 - Mostrado as sessões existente no arquivo.

Os números informados no nome das sessões são os IP de origem e destino, e a

porta utilizada para o tráfego dos pacotes na rede.

Explicando:

064.012.102.142. | 00587 | - | 192.168.001.159. | 01036

IP de Origem Porta IP do destinatário Porta

40

Vamos fazer análise de sessão por sessão no próprio terminal. Para analisar a primeira digitamos o seguindo comando no terminal:

$ cat 064.012.102.142.00587-192.168.001.159.01036

Após a execução do comando no terminal será mostrado o conteúdo da primeira sessão.

Figura 18 - Mostrando Conteúdo da primeira sessão.

Na linha 235 está claro que houve um acesso ao e-mail. Pois o servidor responde ao

cliente que é o computador que Ann está acessando, com a seguinte mensagem

“Autenticação com Sucesso”, para descobrir que autenticação foi essa, o cliente

informou dados pedidos pelo servidor na linha 334 que são “VXNlcm5hbWU6” e

“UGFzc3dvcmQ6” esse conteúdo está Codificado em base64, para saber o que o

servidor requisitou ao computador onde Ann estava vamos decodificar essas

informações digitamos os seguintes comandos no terminal:

Figura 19 - Decodificando conteúdos base64.

41

O servidor requisitou a Ann para digitar o nome do usuário do e-mail e a senha, para

saber que Username e o Password que Ann digitou. Vamos analisar a segunda

sessão. Para isso tem que ser executado o seguindo comando no terminal:

$ cat 192.168.001.159.01036-064.012.102.142.00587

Após a execução do comando será mostrado o conteúdo da segunda sessão.

1. EHLO annlaptop 2. AUTH LOGIN 3. c25lYWt5ZzMza0Bhb2wuY29t 4. NTU4cjAwbHo= 5. MAIL FROM: <sneakyg33k@aol.com> 6. RCPT TO: <sec558@gmail.com> 7. DATA 8. Message-ID: <000901ca49ae$89d698c0$9f01a8c0@annlaptop> 9. From: "Ann Dercover" <sneakyg33k@aol.com> 10. To: <sec558@gmail.com> 11. Subject: lunch next week 12. Date: Sat, 10 Oct 2009 07:35:30 -0600 13. MIME-Version: 1.0 14. Content-Type: multipart/alternative; 15. boundary="----=_NextPart_000_0006_01CA497C.3E4B6020" 16. X-Priority: 3 17. X-MSMail-Priority: Normal 18. X-Mailer: Microsoft Outlook Express 6.00.2900.2180 19. X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180 20. 21. This is a multi-part message in MIME format. 22. 23. ------=_NextPart_000_0006_01CA497C.3E4B6020 24. Content-Type: text/plain; 25. charset="iso-8859-1" 26. Content-Transfer-Encoding: quoted-printable 27. 28. Sorry-- I can't do lunch next week after all. Heading out of town. = 29. Another time! -Ann 30. ------=_NextPart_000_0006_01CA497C.3E4B6020 31. Content-Type: text/html; 32. charset="iso-8859-1" 33. Content-Transfer-Encoding: quoted-printable 34. 35. <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> 36. <HTML><HEAD> 37. <META http-equiv=3DContent-Type content=3D"text/html; = 38. charset=3Diso-8859-1"> 39. <META content=3D"MSHTML 6.00.2900.2853" name=3DGENERATOR> 40. <STYLE></STYLE> 41. </HEAD>

42

42. <BODY bgColor=3D#ffffff> 43. <DIV><FONT face=3DArial size=3D2>Sorry-- I can't do lunch next week = 44. after all.=20 45. Heading out of town. Another time! -Ann</FONT></DIV></BODY></HTML> 46. 47. ------=_NextPart_000_0006_01CA497C.3E4B6020-- 48. 49. . 50. QUIT

No texto acima está legível um envio de um e-mail. Na linha 2 mostra que houve um

acesso ao e-mail e na linha 3 e 4 mostra “c25lYWt5ZzMza0Bhb2wuY29t” e

“NTU4cjAwbHo=” que provavelmente deve ser o nome do usuário e a senha do e-

mail de Ann que o servidor requisitou, Para descobrimos digitamos no terminal o

mesmo comando da decodificação base64 anterior.

Figura 20 - Decodificando conteúdo base64.

Já com essas informações coletas, podemos então já responder a 1ª e a 2ª pergunta

que a polícia quer desvendar, que é, qual o endereço de e-mail de Ann? Resposta:

“sneakyg33k@aol.com” e a senha que é “558r00lz”. Na linha 5 mostra o e-mail de

Ann e na linha 6 mostra o e-mail do destinatário que é o e-mail do marido dela. Já

na linha 11 está o assunto do e-mail que é “Almoço na próxima semana”. E o

conteúdo do e-mail aparece nas linhas 28 e 29, onde Ann diz ao seu Marido: “Sorry--

I can't do lunch next week after all. Heading out of town. Another time! - Ann” que

traduzido é “Desculpe – eu não posso fazer o almoço na próxima semana depois de

tudo. Saindo da cidade. Outra vez! - Ann”. Já com duas sessões analisadas a polícia

já conclui que Ann está querendo sair da cidade. Continuando a análise das sessões

vamos analisar a terceira. Executando o comando no terminal.

$ cat 064.012.102.142.00587-192.168.001.159.01038

Após a execução do comando será mostrado o conteúdo da terceira sessão.

43

Figura 21 - Mostrando conteúdo da terceira sessão.

Dentro da terceira sessão mostra que Ann efetuou um segundo login, pois o horário

do acesso na primeira sessão no cabeçalho do arquivo é 15:35:16 horas, já na

terceira sessão o horário é 15:37:56 horas. O conteúdo é o mesmo, porque o

servidor está requisitando as mesmas informações que são Username e Password

que na sessão encontra codificado mais na primeira sessão já foram decodificadas.

Já com essa análise finalizada, vamos analisar a última sessão, com o seguinte

comando no terminal:

$ cat 192.168.001.159.01038-064.012.102.142.00587

Após a execução do comando será mostrado o conteúdo da quarta sessão.

1. EHLO annlaptop 2. AUTH LOGIN 3. c25lYWt5ZzMza0Bhb2wuY29t 4. NTU4cjAwbHo= 5. MAIL FROM: <sneakyg33k@aol.com> 6. RCPT TO: <mistersecretx@aol.com> 7. DATA 8. Message-ID: <001101ca49ae$e93e45b0$9f01a8c0@annlaptop> 9. From: "Ann Dercover" <sneakyg33k@aol.com> 10. To: <mistersecretx@aol.com> 11. Subject: rendezvous

44

12. Date: Sat, 10 Oct 2009 07:38:10 -0600 13. MIME-Version: 1.0 14. Content-Type: multipart/mixed; 15. boundary="----=_NextPart_000_000D_01CA497C.9DEC1E70" 16. X-Priority: 3 17. X-MSMail-Priority: Normal 18. X-Mailer: Microsoft Outlook Express 6.00.2900.2180 19. X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180 20. 21. This is a multi-part message in MIME format. 22. 23. ------=_NextPart_000_000D_01CA497C.9DEC1E70 24. Content-Type: multipart/alternative; 25. boundary="----=_NextPart_001_000E_01CA497C.9DEC1E70" 26. 27. 28. ------=_NextPart_001_000E_01CA497C.9DEC1E70 29. Content-Type: text/plain; 30. charset="iso-8859-1" 31. Content-Transfer-Encoding: quoted-printable 32. 33. Hi sweetheart! Bring your fake passport and a bathing suit. Address = 34. attached. love, Ann 35. ------=_NextPart_001_000E_01CA497C.9DEC1E70 36. Content-Type: text/html; 37. charset="iso-8859-1" 38. Content-Transfer-Encoding: quoted-printable 39. 40. <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> 41. <HTML><HEAD> 42. <META http-equiv=3DContent-Type content=3D"text/html; = 43. charset=3Diso-8859-1"> 44. <META content=3D"MSHTML 6.00.2900.2853" name=3DGENERATOR> 45. <STYLE></STYLE> 46. </HEAD> 47. <BODY bgColor=3D#ffffff> 48. <DIV><FONT face=3DArial size=3D2>Hi sweetheart! Bring your fake passport = 49. and a=20 50. bathing suit. Address attached. love, Ann</FONT></DIV></BODY></HTML> 51. 52. ------=_NextPart_001_000E_01CA497C.9DEC1E70-- 53. 54. ------=_NextPart_000_000D_01CA497C.9DEC1E70 55. Content-Type: application/octet-stream; 56. name="secretrendezvous.docx" 57. Content-Transfer-Encoding: base64 58. Content-Disposition: attachment; 59. filename="secretrendezvous.docx" 60. 61. UEsDBBQABgAIAAAAIQDleUAGfwEAANcFAAATAAgCW0NvbnRlbnRfVHlwZX

45

NdLnhtbCCiBAIooAACAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAC0VMluwjAQvVfqP0S+VsTQQ1VVBA5dji1S6QcYexKsepNttr/vOEBEKQSpwCVSPH7LPI/dHy61yubgg7SmIL28SzIw3Ap[.................Continuação........................]MAd29yZC9mb250VGFibGUueG1sUEsBAi0AFAAGAAgAAAAhAKVR8wbYAQAA2QMAABAAAAAAAAAAAAAAAAAA5iMDAGRvY1Byb3BzL2FwcC54bWxQSwUGAAAA AA0ADQBEAwAA9CYDAAAA

3701 3702 ------=_NextPart_000_000D_01CA497C.9DEC1E70-- 3703 3704. 3705 QUIT

No conteúdo da quarta sessão mostra que Ann está acessando seu e-mail pela

segunda vez e está digitando seu usuário de e-mail e senha em um login nas linhas

3 e 4, Essas linhas se encontram codificadas em base64 mais na análise da

segunda sessão esses dados já foram decodificados onde o seu usuário é

“sneakyg33k@aol.com” e a senha que é “558r00lz”, e mais abaixo na linha 5 mostra

que Ann está enviando outro e-mail, só que agora para um endereço diferente que é

“mistersecretx@aol.com” e no assunto do e-mail é “rendezvous8”.

Nas linhas 33 e 34 mostra o conteúdo do e-mail onde Ann diz: “Hi sweetheart! Bring

your fake passport and a bathing suit. Address attached. love, Ann”. Que traduzido é

“Oi querido! Traga o seu passaporte falso e um maiô. Endereço anexado. amor,

Ann”. Com o conteúdo do e-mail analisado a polícia não tem mais duvidas sobre

Ann ter uma amante e está querendo fugir da cidade. Na linha 56 fica claro que

houve um anexo, pois mostra o nome de um arquivo chamado

“secretrendezvous.docx” que traduzido é “encontrosecreto.docx”. Na linha 57 mostra 8 De origem francesa rendezvous significa encontro, encontrar alguém, encontro marcado. Local para

encontros amorosos.

46

a codificação do arquivo transferido que é base64. E da linha 61 até a linha 3700

mostra o arquivo que foi anexado no e-mail em codificação base64. Como o arquivo

em muito grande cerca 132 paginas só está mostrando uma parte dela acima. E a

parte que está falta está entre [... Continuação...]. Para extrair e depois descodificar

o arquivo anexado, deve-se copiar o conteúdo que está na linha 61 até 3700 da

quarta sessão 192.168.001.159.01038-064.012.102.142.00587, e colar em um

arquivo com extensão texto, para fazer esse processo rápido, Execute o comando

sed9 no terminal:

Figura 22 - Copiando conteúdo da linha 61 a 3700 para arquivo.txt.

Após a execução do comando todo conteúdo que está na linha 61 até a linha 3700

na quarta sessão será copiando para dentro do arquivo.txt, após esse comando

vamos agora decodificar todo o conteúdo do arquivo.txt, assim todos dados

decodificados será jogado para um arquivo com extensão docx, para isso execute o

seguindo comando no terminal:

Figura 23 - Dados sendo decodificados e sendo copiado para arquivo.docx.

9 Sed é um editor de fluxo. Muito utilizado nos sistemas operacionais tipo Unix, que atua em linha de

comandos.

47

Após a execução do comando todas as informações decodificadas serão jogadas no

arquivo docx, para descobrir seu conteúdo é só abri-lo pelo Libre Office onde será

mostrado o conteúdo conforme a figura 25 abaixo.

Figura 24 - Informação dentro do arquivo.docx.

Além do mapa para onde Ann pretende fugir com seu Amante, existe uma

mensagem que a Ann escreveu para seu amante dizendo: “Meet me at the fountain

near the rendezvous point. Address below. I’m bringing all the cash.” que traduzido é

“Encontre-me na fonte perto do ponto de encontro. Endereço abaixo. Estou levando

todo o dinheiro.”. E para saber o hash do anexo, digitamos o seguindo comando no

terminal:

Figura 25 - Mostrando o hash do arquivo.docx

O hash do anexo do e-mail é 9e423e11db88f01bbff81172839e1923.

Para fazer uma análise rápida e menos detalhada no arquivo evidencias.pcap sem

usar muito linha de comandos e com o mesmo objetivo de descobrir o que tem

48

dentro do arquivo, analisaremos evidencias.pcap com o Xplico, uma Ferramenta de

Análise Forense de rede toda automatizada. E antes de iniciar o Xplico, devemos

verificar se o servidor web10 esta rodando, e por ultimo iniciar o Xplico. Conforme os

comandos abaixo:

Figura 26 - Iniciando serviços do servidor web e do Xplico.

Abriremos o Xplico no navegador web digitando a seguinte url: 127.0.1.1:9876/ e por

padrão o usuário e a senha para fazer no login na ferramenta é Xplico. Conforme a

figura abaixo:

Figura 27 - Tela de login do Xplico.

10 Servidor web é um computador ou programa de computador responsável por aceitar pedidos HTTP de clientes, geralmente os navegadores, e servi-los com respostas HTTP, incluindo opcionalmente dados, que geralmente são páginas web, tais como documentos HTML com objetos embutidos (imagens, etc.).

49

Após o login temos que criar um novo caso para analisar o evidencias.pcap

conforme a figura 29 abaixo:

Figura 28 - Tela de inclusão de novo caso no Xplico.

Para iniciar a análise temos que criar uma nova sessão e depois fazer o upload do

arquivo evidencias.pcap, feito isso a tela Xplico ficará de acorda com a figura abaixo:

Figura 29 - Tela Inicial do Xplico com evidencias.pcap a ser analisando.

Percebemos que existem dois e-mails enviados, o mesmo numero de e-mails

enviados da primeira análise feita manualmente, para ver o conteúdo desses e-mails

clicamos em Correio e depois em E-mail de acordo com a figura 31 abaixo.

50

Figura 30 - Lista de e-mails no arquivo evidencias.pcap

Confirmamos assim os dois e-mails enviados por Ann, para ver o conteúdo devemos

clicar no e-mail, primeiro clicamos no e-mail enviado para sec558@gmail.com.

Figura 31 - E-mail enviado para sec558@gmail.com.

Sem precisar executar nenhum comando via terminal, pelo Xplico já conseguimos

ver o que tem dentro do e-mail. Agora voltamos na página anterior e clicamos no e-

mail enviando para mistersecretx@aol.com, nele também já podemos ver o

conteúdo do e-mail exclusive anexo do arquivo secretrendezvous.docx:

Figura 32 - E-mail enviado para mistersecretx@aol.com.

51

Para obter o anexo do e-mail é só clicar no anexo e fazer o Download, após ter

baixando deverá extrai-lo, clicando em cima do arquivo zip com botão direito e

depois clicar em extrair aqui.

Figura 33 - Mostrando anexo baixado e extraído para pasta 3_FILES.

Após ser extraído, será criada uma pasta com o nome 3_FILES e dentro dela haverá

todo conteúdo do anexo. E a imagem do anexo ficará dentro da pasta media que

está dentro da pasta Word.

Figura 34- Mostrando mapa que estava dentro do arquivo no anexo.

52

Depois da perícia do arquivo evidencias.pcap e das analises de sessões por

sessões a polícia desvenda as respostas das setes perguntas:

1. Qual é o endereço de e-mail de Ann? Resposta: sneakyg33k@aol.com

2. Qual é a senha de e-mail de Ann? Resposta: 558r00lz

3. Qual é o endereço de e-mail amante secreto x de Ann? Resposta: mistersecretx@aol.com

4. Quais informações então no e-mail ou dos e-mails? Resposta: No primeiro e-mail enviado para seu marido, está o seguinte conteúdo:

“Desculpe – eu não posso fazer o almoço na próxima semana depois de tudo.

Saindo da cidade. Outra vez! - Ann”. No segundo e-mail enviado para seu amante,

Ann diz: “Oi querido! Traga o seu passaporte falso e um maiô. Endereço anexado.

amor, Ann” e junto ao e-mail está um anexo.

5. Se houve anexo, qual o nome do anexo e o seu Md5sum? Resposta: Junto ao e-mail está um documento docx com nome

secretrendezvous.docx e o Md5sum do arquivo é

9e423e11db88f01bbff81172839e1923.

6. O que tem dentro do anexo? Resposta: Tem uma mensagem que Ann diz: “Encontre-me na fonte perto do ponto

de encontro. Endereço abaixo. Estou levando todo o dinheiro.” e um mapa da Playa

del Carmem em México.

7. Qual o Assunto do e-mail ou dos e-mails? Resposta: No primeiro e-mail para seu Marido o assunto é “Almoço na próxima

semana” e no segundo e-mail para seu Amante o assunto é “Encontro Secreto”.

53

4 CONCLUSÃO E RECOMENDAÇÕES 4.1 CONCLUSÃO A perícia forense de rede em computadores consiste em investigar, mas também

devemos pensar em ferramentas, metodologias de investigação e armazenamento

de evidências. Todos esses pensamentos e processos são muito importantes para

cumprir as análises da pericia forense de rede.

O objetivo geral desse trabalho veio mostrar ferramentas para a perícia forense de

rede, as suas finalidades, funções e os processos para análise pericial. No capitulo 2

e 3 o objetivo geral foi aplicado mostrando a parte teórica e prática das ferramentas

de rede alcançado assim os objetivos específicos onde foram mostradas as

ferramentas que podem se usadas na análise forense e demostrando as

importâncias de cada uma nos processos feitos na perícia.

As ferramentas de rede que foram usadas no trabalho atendeu o estudo de caso,

dessa forma considera que a hipótese levantada no item 1.5 é verdadeira, pois boas

ferramentas ajudam sim a uma análise pericial forense para construção de um laudo

pericial.

Ao final deste estudo concluo que as ferramentas de rede para perícia forense é

muito importante para a análise pericial em ocorrência em uma rede de

computadores, uma vez que se abre uma investigação pericial o perito está disposto

a ser coerente e não fraudar a investigação.

As análises pode ser uma ação judicial então se deve ter respeito e mostrar suas

habilidades no processo de perícia, a fim de solucionar o caso coletando evidencias

e trata-las com todos os recursos possíveis e depois apresenta-los em um laudo

pericial contendo todos os passos durante e depois da ocorrência e todas as

informações coletadas na análise.

54

4.2 RECOMENDAÇÕES Em decorrência do desenvolvimento deste trabalho, foi possível perceber que vários

assuntos importantes merecem ser mais bem detalhados, para compreensão mais

aprofundada do tema exposto, no entanto, por não pertencerem ao escopo principal

ou por ser muito extensos. A sugestão é que sejam elaborados em trabalhos futuros.

Alguns dos temas que podem ser discutidos com mais detalhes são:

• Ferramentas para perícia em sistemas operacionais GNU/Linux.

Todas as ferramentas citadas no trabalho funcionam nos sistemas operacionais

GNU/Linux. Mais existem muitas outras poderosas para esse sistema operacional

que não foram citadas neste trabalho.

• Abordagem das leis de crimes virtuais como pedofilia, racismo, preconceito e

outros.

• Redes de Computadores

• Sistemas Operacionais

• Criptografia

• Ética na Perícia Forense

55

5 REFERÊNCIAS BIBLIOGRÁFICAS 1. ANDRADE, Maria Margarida de. Introdução à metodologia do trabalho

científico: elaboração de trabalhos na graduação. 5 ed. São Paulo: Atlas, 2001.

2. ANDRADE, Paulo Henrique Coelho. Segurança de perímetro de Rede em

conformidade com os padrões NBR ISSO/IEC (BS7799) e C2. Lavras: 2007, 55 p. Monografia (Pós-Graduação em Administração em Redes Linux) – Universidade Federal de Lavras, Lavras, 2007.

3. BARROS, Aidil Jesus da Silveira; LEHFELD, Neide Aparecida de Souza.

Fundamentos de Metodologia Cientifica. 2. ed. São Paulo: Pearson Makron Books, 2000.

4. BOSCO, J. Segurança de Perímetro. Disponível em:

<http://www.inf.ufsc.br/~bosco/ensino/ine5680/material-seg-redes/SegurancaPerimetro.ppt>. Acesso em 22/05/2012.

5. CAMPOS, André. Sistema de Segurança da Informação: Controlando os

riscos. 2. ed. Florianópolis: Visual Book, 2007

6. CERT.br, Ponto de informação e coordenação do Ponto BR. Incidentes Reportados ao CERT.br -- Janeiro a Março de 2012. . Disponível em <http://www.cert.br/stats/incidentes/2012-jan-mar/top-atacantescc.html/> Acesso em 20/06/2012

7. CERVO, Amado L.; BERVIAN, Pedro A.; SILVA, Roberto da. Metodologia

científica. 6 .ed. São Paulo: Pearson Education do Brasil, 2006.

8. FERRÃO, Romário Gava. Metodologia científica para iniciantes em pesquisa. 3. ed. Espírito Santo: Incaper, 2008.

9. GIL, Antônio Carlos. Como elaborar projetos de pesquisa. 4. ed. São Paulo:

Atlas, 2002

10. GREEG, Brendan. Chaosreader. Disponível em <http://chaosreader.sourceforge.net/>. Acesso em 25/06/2012

11. GUIMARAES, Alexandre Guedes; LINS, Rafael Dueire; OLIVEIRA, Raimundo.

Segurança com redes privadas virtuais: VPNs. 1. ed. Rio de Janeiro: Brasport, 2006.

12. JÚNIOR, Paulo Roberto. Ferramenta Forense de Análise de Rede (NFAT) –

Xplico. Disponível em <http://www.vivaolinux.com.br/artigos/impressora.php?codigo=11484/> Acesso em 10/05/2012

56

13. LAUREANO, Marcos Aurélio Pchek. Gestão de segurança da informação. Disponível em: <http://www.mlaureano.org/aulas_material/gst/apostila _versao_20.pdf>. Acesso em 06/11/2011

14. MELO, Sandro. Computação Forense com Software Livre. 1 ed. Rio de Janeiro: Alta Books, 2009

15. MORAES, Alexandre Fernandes de. Redes sem fio: Instalação, configuração e segurança. São Paulo: Érica Ltda, 2010.

16. PÁDUA, Elisabete Matallo Marchesini de. Metodologia da pesquisa. 7. Ed.

São Paulo: Papirus editora, 2002.

17. QUEIROZ, Claudemir; VARGAS, Raffael. Investigação e Perícia Forense Computacional. 1ª ed. Rio de Janeiro: Brasport, 2010.

18 RITTER, Jordan. Ngrep – Rede Grep. Disponível em

<http://ngrep.sourceforge.net/> Acesso em 23/06/2012.

19 VERGARA, Sylvia Constant. Projetos e relatórios de pesquisa em administração. 8. ed. São Paulo: Atlas, 2007.

57

APÊNDICE

58

APÊNDICE A – LAUDO PERICIAL

LAUDO PERICIAL

FABRÍCIO SANTOS SACRAMENTO CRC/ES SM – 033333/0-3

JUSTIÇA FEDERAL SEÇÃO JUDICIÁRIA DO ESPÍRITO SANTO 42ª VARA FEDERAL DE SÃO MATEUS PROCESSO: 88.00.000-2 AÇÃO: EVIDENCIAS.PCAP

EXEQÜENTE: FULANO CIPRIANO DA SILVA

EXECUTADO: ANN DERCOVER

DATA DE ENTREGA DO LAUDO: 05 de Novembro de 2012

FABRÍCIO SANTOS SACRAMENTO Perito Contador CPF 111.111.111-11 CRC-PR CO 033333/O-3

59

SUMÁRIO

I – OBJETIVO...........................................................................................2 II - RESPOSTAS DAS ANÁLISES...........................................................3 III – CONCLUSÃO....................................................................................4 IV – ENCERRAMENTO............................................................................4

60

I – OBJETIVO Depois de ser libertada sobre fiança, Ann Dercover desaparece! Felizmente sua

conexão de rede estava sendo monitorado pela polícia antes de deixar a cidade.

Segundo o Chefe de polícia, acredita que Ann pode ter comunicado com o seu

amante o Senhor Secreto X por e-mail, antes de fugir. A agora a polícia resta

desvendar que informações estão nesse e-mail. Tais como:

8. Qual é o endereço de e-mail de Ann?

9. Qual é a senha de e-mail de Ann?

10. Qual é o endereço de e-mail amante secreto x de Ann?

11. Quais informações então no e-mail ou dos e-mails?

12. Se houve anexo, qual o nome do anexo e o seu Md5sum?

13. O que tem dentro do anexo?

14. Qual o Assunto do e-mail ou dos e-mails?

Com essas respostas respondidas, a polícia ficará mais perto de saber para onde

Ann Dercover foi. E para essa investigação será usada ferramentas de rede para a

perícia.

O objetivo desse laudo pericial é mostrar as informações coletadas depois da análise

feita nos dados capturados no e-mail de Ann Dercover.

61

II - RESPOSTAS DAS ANÁLISES

Depois da perícia do arquivo evidencias.pcap e das analises de sessões por

sessões a polícia desvenda as respostas das setes perguntas:

Qual é o endereço de e-mail de Ann? Resposta: sneakyg33k@aol.com

Qual é a senha de e-mail de Ann? Resposta: 558r00lz

Qual é o endereço de e-mail amante secreto x de Ann? Resposta: mistersecretx@aol.com

Quais informações então no e-mail ou dos e-mails? Resposta: No primeiro e-mail enviado para seu marido, está o seguinte conteúdo:

“Desculpe – eu não posso fazer o almoço na próxima semana depois de tudo.

Saindo da cidade. Outra vez! - Ann”. No segundo e-mail enviado para seu amante,

Ann diz: “Oi querido! Traga o seu passaporte falso e um maiô. Endereço anexado.

amor, Ann” e junto ao e-mail está um anexo.

Se houve anexo, qual o nome do anexo e o seu Md5sum? Resposta: Junto ao e-mail está um documento docx com nome

secretrendezvous.docx e o Md5sum do arquivo é

9e423e11db88f01bbff81172839e1923.

O que tem dentro do anexo? Resposta: Tem uma mensagem que Ann diz: “Encontre-me na fonte perto do ponto

de encontro. Endereço abaixo. Estou levando todo o dinheiro.” e um mapa da Playa

del Carmem em México.

Qual o Assunto do e-mail ou dos e-mails? Resposta: No primeiro e-mail para seu Marido o assunto é “Almoço na próxima

semana” e no segundo e-mail para seu Amante o assunto é “Encontro Secreto”.

62

III – CONCLUSÃO Dado o estudo do processo e das diligências realizadas, este Perito

conclui que houve dois envio de e-mail por Ann, sendo um para seu marido e outro

para amante com um anexo de um mapa da Praia de Carmem em México.

Ainda informa o Perito que não são necessários esclarecimentos

adicionais, uma vez que ficou claro houve o envio dos e-mails e a cidade para aonde

a executada pretende fugir.

IV – ENCERRAMENTO Tendo encerrado os trabalhos periciais, lavro o presente Laudo Pericial

que contém 5 (cinco) páginas, impressas e rubricadas no anverso, com 4 (quatro)

anexos abaixo relacionados, também devidamente rubricados em todas as páginas.

São anexos deste Laudo:

Imagens:

Tela Inicial do Xplico com evidencias.pcap a ser analisando.

E-mail enviado para sec558@gmail.com.

E-mail enviado para mistersecretx@aol.com

Mostrando mapa que estava dentro do arquivo no anexo.

Firmo o presente, São Mateus, 05 de Novembro de 2012. _________________________________ FABRÍCIO SANTOS SACRAMENTO Perito Contador CPF 111.111.111-11 CRC-ES SM 033333/O-3

63

ANEXOS – IMAGENS Imagem 1 - Tela Inicial do Xplico com evidencias.pcap a ser analisando.

Imagem 2 - E-mail enviado para sec558@gmail.com. Imagem 3 - E-mail enviado para mistersecretx@aol.com.

64

Imagem 4 - Mostrando mapa que estava dentro do arquivo no anexo.