Universidade Independente de Angola Faculdade de Ciencias de Engenharia e Tecnologia – FCET

SEGURANÇA DE INFORMAÇÃO USO DE FERRAMENTAS FORENSES NA RECUPERAÇÃO DE DADOS

Luanda, 2014

SEGURANÇA DE INFORMAÇÃO USO DE FERRAMENTAS FORENSES NA RECUPERAÇÃO DE DADOS

SEGURANÇA DE INFORMAÇÃO USO DE FERRAMENTAS FORENSES NA RECUPERAÇÃO DE DADOS

__________________________________________________ Engª. Maria Teka

Luanda,__________ de _______________________de 2014

INTEGRANTES DO GRUPO

Anderso Josué ...................................................................................................... 101423

Ariclene Paulo ...................................................................................................... 110954

Evandro Carvalho ................................................................................................. 101454

Nilton Muhongo ..................................................................................................... 70325

AGRADECIMENTOS

Agradecemos a professora Engª. Maria Teka, por nos ter designado este trabalho, pois com ele aprendemos muito sobre as ferramentas forenses disponiveis em código aberto, e como são utilizadas na recuperação de dados.

RESUMO

A Computação Forense, como uma área de significativa importância diante da utilização de máquinas para atos ilícitos, torna-se fundamental, pois visa reconstruir eventos, verificar, coletar, validar, apresentar evidências digitais com validade probatória em juízo e consequentemente comprovar o uso inadequado de computadores por criminosos.

Com o avanço da tecnologia nos últimos anos, as ferramentas forenses auxiliam na busca de infrações digitais que vêm se sofisticando a cada dia. Assim se faz necessário o uso dessas ferramentas cada vez mais modernas e incrementadas que perfaçam a obtenção de evidências, padronização de laudos e posteriormente uma apresentação dos mesmos.

ABSTRACT

The Forensic computing as an area of significant importance on the use of machines for illegal acts, it is essential, as it aims to reconstruct events, check, collect, validate, submit digital evidence with probative validity in court and thus prove the inappropriate use of computers by criminals.

With the advancement of technology in recent years, forensic tools assist in the search for digital infractions made by organizations or even ordinary people have become more sophisticated every day. Thus it is necessary to use these tools increasingly modern and spiked it allow obtaining evidence, standardization of reports and subsequent presentation of the same.

SUMÁRIO

1. INTRODUÇÃO ....................................................................................................... 9 1.1 Objetivo Geral ................................................................................................. 10 1.1.1 Objetivo Especifico ........................................................................................ 10

2. COMPUTAÇÃO FORENSE .................................................................................... 11

2.1 Analise Forense ................................................................................................ 11

2.2 Ferramentas para Analise Forense ................................................................... 12

2.2.1 OSForensics ................................................................................................... 12

2.2.2 Encase Forensic ............................................................................................. 13

2.2.3 Testdisk ......................................................................................................... 13

2.2.4 Foremost ....................................................................................................... 13

3. CONCLUSÃO ....................................................................................................... 15

REFERÊNCIAS BIBLIOGRÁFICAS .............................................................................. 16

1. INTRODUÇÃO

As notáveis vantagens trazidas pela Internet e pela Tecnologia da Informação permitiram que pessoas pudessem mudar de vida e realizar coisas que nunca imaginavam que seriam capazes de fazer. Porém, à medida que a quantidade de informação na rede cresceu, aumentaram também riscos que possuem grande impacto na segurança da informação.

No mundo de hoje, é essencial prevenir-se e desenvolver técnicas de segurança que possam assegurar a proteção de dados e a privacidade dos usuários da tecnologia. É importante ressaltar que, nem sempre, tais técnicas resolverão problemas de segurança, visto que, em meio a milhares de usuários mal intencionados, sistemas possuem falhas e incidentes podem ocorrer. Nesses casos, entra em cena a computação forense, área responsável pela coleta e exame de evidências digitais, reconstrução de dados e ataques, identificação e rastreamento de invasores.

Antigamente, a chave para resolver crimes era obtida por meio de impressões digitais, análise de rastro, documentos de papel e outros meios tradicionais. Hoje, a tecnologia proporcionou inúmeros progressos para a análise forense, onde o uso de diversas ferramentas tornou a resolução de problemas cibernéticos eficaz. Essas ferramentas auxiliam o processo de análise forense, abrangendo desde restauração, reconstituição e recuperação de dados, até o estudo de limitações de segurança e práticas a serem utilizadas para proteção de dados na rede.

1.1 Objetivo Geral

Este trabalho tem como objetivo geral, fazer uma analise das ferramentas forenses disponíveis em software livre, e que são comummente utilizados para a recuperação de arquivos/dados dentro de um sistema de arquivos.

1.1.1 Objetivo Específico

Fazer uma demonstração sobre o funcionamento das ferramentas forense OSForensics, e Testdisk.

2. COMPUTAÇÃO FORENSE

Atualmente, o conceito de Segurança da Informação aplica-se a todos os aspetos de proteção de informações, dados e sistemas, incluindo pequenas práticas que devem ser realizadas por cada indivíduo para preservação pessoal. Levando em conta que a informação está em toda a parte e pode ser armazenada de inúmeras formas, os riscos associados à falta de segurança implicam trabalhos incansável para que incidentes possam ser evitados. Entretanto, a importância da informação só é reconhecida quando é destruída, perdida ou até roubada.

A Computação forense consiste no uso de métodos científicos que tem como principal objetivo fazer a analise, identificação, coleta, interpretação, validação, preservação, documentação e apresentação de evidencias

2.1 Analise Forense

É um conjunto de aplicações que, em geral, são utilizadas para determinar se o computador foi ou está sendo utilizado para fins ilegais, e os especialistas dessa área investigam os meios de armazenamento de dados, as comunicações, a criptografia de dados, entre outras possibilidades, tentando conseguir alguma informação relevante. A partir dessas informações, são feitas atribuição de origem do ataque, verificação de autenticidade e reconstrução de eventos de manipulação, a fim de identificar atividades ilegais ou não autorizadas.

A análise forense é composta de quatro passos:

1. Identificar fontes de evidência aceitas pelo sistema legal.

2. Preservar a evidência.

3. Analisar a evidência.

4. Apresentar o resultado da análise.

Durante a análise forense, o perito tem condições de estabelecer ou recriar os eventos que estão sendo investigados. O objetivo é responder às perguntas-chave que normalmente dão origem a uma investigação: quando e como um fato ocorreu e quem é o responsável pelo mesmo.

2.2 Ferramentas para Analise Forense

Dados são apagados continuamente em um sistema de arquivos. Mas o que se sabe é que nenhum arquivo é realmente apagado de um disco a não ser que seja sobrescrito por outros dados. Apagar o conteúdo ocupado por um arquivo no disco gastaria tempo e um trabalho considerável do Sistema Operacional e do disco rígido propriamente dito. Em vez disso, o Sistema Operacional adota um método mais prático e otimizado, que consiste em marcar como “livres para uso” tanto os blocos ocupados pelo arquivo que se deseja apagar como a entrada correspondente ao arquivo em seu diretório.

Ferramentas diversas são desenvolvidas com a finalidade de recuperar dados, e algumas serão descritas mais abaixo:

2.2.1 OSForensics

O OSForensics é um software para análise e gerenciamento de computadores, que permite recuperar informações através de técnicas de pesquisa forense no ambiente digital. Desde a verificação das marcas de data de criação e modificação de arquivos até a comparação com “hashes” (marcações específicas de determinados arquivos, usadas pelo sistema operacional para conferir sua veracidade), é possível vasculhar o computador à procura de informações e atividades, mesmo as realizadas antes da instalação do programa.

Com o OSForensics é possível:

1- Achar documentos perdidos ou recuperar documentos excluídos:

OSForensics possui uma busca avançada que possibilita achar documentos e e-mail perdidos em sua caixa de entrada. O programa pode facilmente abrir seus e-mails e vasculhar pela informação desejada, além de fazer verificações de memória (úteis durante a utilização de discos criptografados), conferência de unidades USB e indexação de arquivos.

2- Rastrear atividades no computador:

Ideal para quem compartilha o equipamento com outras pessoas e deseja saber o que outros andam fazendo no sistema. OSForensics identifica atividades realizadas na internet (como sites acessados, downloads, informações de login e senha, formulários preenchidos...), e também é capaz de registrar dispositivos USB conectados, e informações de rede wireless. Em termos de segurança, OSForensics permite criar conjuntos MD5, SHA-1, CRC32 OU SHA-256 para arquivos individuais ou discos inteiros, e pode criar assinaturas descrevendo o conteúdo de pastas e unidades e comparar esses

registros com assinaturas posteriores. Dessa forma, qualquer alteração no arquivo ou unidade pode ser facilmente detetada.

3- Descobrir o que há dentro do PC:

OSForensics também investiga informações que vão além de programas e sistema operacional, como elementos que compõem a CPU, modelo de placa de vídeo, HD, etc.

Além de todos os serviços de verificação e segurança oferecidos pelo OSForensics, o aplicativo também é útil para quem cuida de diversos computadores ao mesmo tempo (como em agências e grandes empresas), fornecendo uma versão portátil. Dentro do aplicativo, é possível criar uma instalação USB, permitindo levar as vantagens do OSForensics para qualquer máquina que necessite de segurança.

2.2.2 Encase Forensic

O encase forensic é uma potente plataforma de investigação que coleta dados digitais, realiza analises, informa as descobertas e as preserva em um formato validado e legalmente aceite.

Ele produz uma copia binária exata da unidade de disco ou mídia original, depois a verifica gerando valores de hash MD5 para os arquivos de imagem relacionados e atribui valores de CRC aos dados.

Essas verificações e balanços revelam quando as provas foram falsificadas ou alteradas, mantendo todas as provas digitais legalmente para os processos judiciais.

2.2.3 Testdisk

O Testdisk é uma ferramenta de código aberto, utilizada para recuperar dados.

2.2.4 Foremost

Esta ferramenta é um programa de console de propriedade dos Estados Unidos usada para recuperar arquivos baseando-se em seus cabeçalhos, rodapés e estruturas de dados internas, pode trabalhar em ficheiros de imagem.

Os cabeçalhos e rodapés podem ser especificados por um arquivo de configuração ou pode-se usar opções de linha de comando para especificar tipos de arquivo. Estes tipos embutidos visam estruturas de um formato de arquivo de dados que permite uma recuperação mais rápida e confiável.

A ferramenta possibilita identificar e reconstruir arquivos em partições que estejam corrompidas, em espaço não usado, mesmo depois da instalação de um novo sistema operacional, desde que os blocos de dados necessários existam.

3. CONCLUSÃO

Em função da globalização que deixa transparecer os crimes digitais, é essencial que sejam feitos esforços constantes a respeito de fiscalização, nacional e internacional em conjunto com a padronização de procedimentos e uso de ferramentas do meio forense computacional.

Este artigo apresentou algumas ferramentas com interface simples e compatível aos sistemas operacionais Windows e Linux, para facilitar a utilização e o aprendizado. As características e conhecimento do investigador são essenciais, porém seus conhecimentos devem ser usados em conjunto com boas ferramentas e uma metodologia excelente. Para isso, todo o trabalho em forense computacional deve preceder muito estudo, planeamento e preparação efetiva.

O investigador forense deve se preparar e estar atualizado constantemente sobre as ferramentas disponíveis para auxilia-lo, afinal, sempre haverá algo novo, pois, nenhum ambiente é totalmente seguro e não existem crimes sem rastros.

Dessa forma, com este trabalho analisamos aplicações da perícia forense à informática, que em cada caso representa um desafio diferente, por consequência da evolução dos ambientes computacionais e da cada vez maior especialização de criminosos que agem na internet.

REFERENCIAS BIBLIOGRÁFICAS

NORTON. O que é crime cibernético? Disponível em: <http://br.norton.com/cybercrime-definition/promo>. Acesso em: 22 – Maio – 2014.

VARGAS, Raffael. Perícia Forense Computacional – Ferramentas Periciais. Disponível em: <http://imasters.com.br/artigo/6485/gerencia-de-ti/pericia-forense-computacional- ferramentas-periciais/>. Acesso em: 22 – Maio – 2014.

REIS, Marcelo. GEUS, Paulo. Análise Forense de Intrusão em Sistemas Computacionais: Técnicas, Procedimentos e Ferramentas. Disponível em: <http://www.las.ic.unicamp.br/paulo/papers/2002-Pericia-marcelo.reis- forense.tecnicas.procedimentos.pdf >. Acesso em: 22 – Maio – 2014.

MANCILHA, Juliano Dias. Análise Forense em ambiente Linux e Windows: uma atualização teórica. Disponível em: <http://fatecsjc.edu.br/trabalhos-de-graduacao/wp- content/uploads/2012/04/Analise-Forense-em-Ambiente-Linux-e-Windows.pdf>. Acesso em: 22 – Maio – 2014.

RIBEIRO, Alexandre de Oliveira. Análise Forense. Disponível em: <http://www.gta.ufrj.br/grad/06_2/alexandre/>. Acesso em: 22 – Maio – 2014.

ROCHA, Anderson. Análise forense de documentos digitais. Disponível em: <http://www.ic.unicamp.br/~rocha/teaching/2012s2/mo447/aulas/aula-05-analise- forense-documentos.pdf>. Acesso em: 23 – Maio – 2014.

HOLPERIN, Marco. LEOBONS, Rodrigo. Análise Forense - Ferramentas. Disponível em: < http://www.gta.ufrj.br/grad/07_1/forense/afmb.html>. Acesso em: 23 – Maio – 2014.