1
Pró-Reitoria de Graduação
Curso de Tecnologia em Segurança da Informação
Disciplina de Estratégia de Defesa e Ataque
Sistematização
Autor:
Professor:
2
Sumário
1 - Introdução
1.1 - Resumo
1.2 - Aspectos positivos encontrados
1.3 - Aspectos negativos encontrados
1.4 - Opinião do aluno:
1.5 - O que é Forense Computacional
1.6 - Obtenção e Coleta de Dados
1.7 - Prova Digital
1.8 - Cuidados Necessários para Coleta
1.9 - Coletas dos Dados Voláteis
1.10 - Coletas dos dados de Memória Física
1.11 - Procedimentos Finais da Coleta
1.12 - Formulários de Cadeia de Custódia
1.13 - Certidões de Integridade de Dados
1.14 - Conclusão
1.15 - Referencias bibliográficas
Índice de Ilustrações
1.1 – Ciclo dos Procedimentos Forenses
1.2 – Formulário da Cadeia de Custódia
1.3 – Como Funciona a Pericia Digital
3
1 - Introdução
O trabalho que escolhi para analisar, opinar e sugerir novas ideias tem o título de: Introdução a Computação Forense. Segue o Link abaixo:
http://jeiks.net/wp-content/uploads/2013/10/Comp_Forense-Slide_01.pdf
1.1 - Resumo
Quero aqui contextualizar sobre a maneira superficial a qual foi apresentado o trabalho em questão, pois o tema Perícia Forense Computacional é muito abrangente e é assunto recorrente em vários meios de comunicação, principalmente após o vazamento de informações por parte do ex-analista de Inteligencia Edward Snowden sobre a espionagem das comunicações realizadas pela NSA, a qual despertou muita curiosidade nas pessoas sobre se isso é possível ou era pura ficção. Então o trabalho deveria primar por uma explanação mais detalhada e rica de mecanismos facilitadores voltados para quem ainda não se interou do assunto, poder familiarizar-se um pouco mais. Mas ao ler este trabalho ficaria de certa forma frustrado com o conhecimento adquirido.
É do conhecimento de todos que a grande migração de informações para o ambiente digital aumentou o potencial de exposições de dados sensíveis, pessoais ou corporativas, aumentando a possibilidade de seu uso indevido. Os mesmos recursos tecnológicos desenvolvidos para facilitar a vida de pessoas e empresas de boa índole colaboram para fragilizar a privacidade e podem ser exploradas por pessoas de má fé. A busca por informações para obter vantagens pessoais (indivíduos) ou competitivas (empresas) nem sempre é pautada pela legalidade e ética. Alguns dos acontecimentos que motivaram uma grande preocupação com a segurança da informação foram os atentados de 11 de setembro, nos Estados Unidos, fazendo com que o governo americano investisse pesado no aparelhamento com instrumentos legais para investigar a vida do cidadãos, em nome da segurança coletiva. Muitas vezes, estes instrumentos possibilitam a investigação de maneira discutível, por exemplo, em junho de 2013 ocorreu o vazamento de informações relacionadas á espionagem americana que ocorria em diversos países, incluindo o Brasil.
As técnicas que habilitam a invasão de privacidade pela recuperação de dados registrados em mídia de armazenamento são chamadas de forense digital e, em contrapartida, a antiforense digital define métodos de remoção, ocultação e subversão de evidencias com o objetivo de mitigar os resultados de analise forenses (Garfinkel 2007).
As técnicas de forense digital utilizam exastivamente recursos de recuperação de arquivos, fragmentos de arquivos ou fragmentos de texto que o proprietário do equipamento julgava como excluído. Desta forma, indícios e evidencias digitais podem ser obtidos para construir prova técnica de delitos cometidos. Entretanto, as mesma
4
técnicas podem ser usadas para atividades criminosas, expondo informações de estratégias corporativas ou dados que possam prejudicar um indivíduo (Garfinkel 2007). Ou seja, as mesmas técnicas e conhecimentos podem ser utilizados tanto para investigação como para o acesso indevido dos dados. O que diferencia um do outro é a ética profissional da área de forense digital.
1.2 - Aspectos positivos encontrados:
Como está em voga a forense digital, acredito que a contribuição de quem produziu o trabalho terá seu objetivo alcançado pela simples razão de que quem quer realmente aprender procura enriquecer seus conhecimentos com novas e várias pesquisas. Os assuntos abordados tais como: computação forense, passos de uma investigação, Investigação digital, etc. farão o seu papel de despertar no “iniciante” um panorama de como se começa e se desenrola os caminhos da forense digital.
Como é comum nos dias atuais verificar nas mídias notícias relacionadas a situações onde informações ou imagens sigilosas são divulgadas em redes públicas, segredos corporativos são compartilhados com a concorrência e o acesso a informações financeiras privadas facilita negócios muito lucrativos. Um exemplo de vazamento de dados sensíveis ocorrido no Brasil e que resultou em um movimento para aprovação de lei que trata de crimes cibernéticos ( Lei 12.737/12) foi o “Caso Carolina Dieckmann”. Na verdade, muitos outros casos semelhantes ou com maiores consequências vem ocorrendo há muito tempo, só que por ser uma pessoa pública a celeridade foi impar.
O nobre autor foi muito feliz quando citou o ciclo dos procedimentos forenses, que aqui eu acrescento a figura ilustrativa 1.1. com intuito de aclarar o entendimento desse passo a passo. O processo forense transforma a mídia em evidencia, necessária para a aplicação de lei ou para uso interno das empresas. A primeira transformação ocorre quando os dados coletados são examinados e as informações extraídas da mídia são analisadas por ferramentas forenses. A segunda, quando a analise dos dados cria informações que, processadas, resultam em evidencias (Kent ET AL. 2006).
Diferente das provas físicas dos crimes convencionais, comprovações encontradas nas mídias magnéticas são digitais e podem existir de diversas formas. Arquivos, fragmentos de logs e outros indícios residentes em uma mídia podem ser relacionados para criar uma evidencia que indique a ocorrência de um crime ou auxilie a identificação de um criminoso.
1.3 - Aspectos negativos encontrados:
O autor poderia ter se detido com maior ênfase aos fatores mais importantes na forense digital que é a proteção das provas. Uma das atribuições do perito é garantir que o equipamento sob análise e os processos de coleta sejam administrados com cuidado para garantir que:
5
A) Nenhuma evidencia seja danificada, destruída ou comprometida pelos procedimentos utilizados para investigar o equipamento;
B) O processo não crie nenhuma condição que possa inviabilizar uma verificação futura;C) Seja estabelecida (e mantida) uma cadeia de custodia;D) Caso o equipamento esteja em uso (Live Forensics), o tempo de intervenção seja o
menor possível;E) Qualquer informação obtida, não pertinete ao escopo da investigação, seja tratada
dentro dos limites éticos e legais, e não seja divulgada;F) Todo o processo deve ser documentada para permitir a sua reprodução.
Ressaltamos que a forense digital pode ser classificada em dois tipos básicos: Live forensics e Post-Mortem Forensics (Carvey 2009). A Live Forensics, especifica procedimentos de investigação não intrusivos, sem equipamentos em uso, e analisa informações persistentes (gravadas em dispositivos de armazenamento) e voláteis (com tempo de vida restrito). A Post-Mortem implica na apreensão de equipamentos para analise em laboratório e não inclui a analise de dados voláteis, como os gravados em memoria RAM, que são perdidos quando há a falta de energia.
Quanto à definição de Computação Forense, o nobre colega se superou no fator negativo, pois apresentou uma definição simplista da computação forense e principalmente em relação a historia da computação foi ainda mais infeliz.
1.4 - Opinião do aluno:
6
Vamos aqui tentar aprimorar o trabalho do autor para não só ratificar as “criticas” feitas por mim como também mostrar que é perfeitamente possível apresentar um trabalho mais elaborado e enriquecedor.
Um dos princípios fundamentais da forense é o Princípio da Troca de
Locard. De acordo com esse princípio, qualquer um, ou qualquer coisa, que
entra em um local de crime leva consigo algo do local e deixa alguma coisa
para trás quando parte. No mundo virtual dos computadores, o Princípio da
Troca de Locard ainda é válido (ou pelo menos parte dele): onde quer que o
intruso vá ele deixa rastros. Tais rastros podem ser extremamente difíceis ou
praticamente impossíveis de serem identificados e seguidos, mas eles existem.
Nesses casos, o processo de análise forense pode tornar-se extremamente
complexo e demorado, necessitando do desenvolvimento de novas tecnologias
para a procura de evidências.
Toda e qualquer informação digital capaz de determinar que houve uma
intrusão ou que provenha alguma ligação entre o invasor e a vítima ou entre a
invasão e o atacante, poderá ser considerada como uma evidência.
O investigador deve ser capaz de identificar as evidências através das
informações previamente coletadas por ele.
1.5 - O que é Forense Computacional?
É a ciência que estuda a aquisição, preservação, recuperação e análise de dados
armazenados em mídias computadorizadas e procura caracterizar crimes de informática
de acordo com as evidências digitais encontradas no sistema invadido. A Forense
Computacional é uma área de especialização relativamente nova no mundo e está se
desenvolvendo principalmente pela necessidade das instituições legais atuarem no
combate aos crimes eletrônicos. É notório e as estatísticas reveladas através das
pesquisas mostram o aumento expressivo das fraudes eletrônicas, sendo que a perícia
forense se mostra uma eficiente ferramenta para identificação e redução desses riscos.
As ações com base na prática de forense computacional são uma técnica cientifica,
aplicada dentro de um processo legal que busca evidências e responsabilização de
envolvidos em incidentes que usem os meios computacionais para execução de crimes
ou burlar regras estabelecidas.
De acordo com Freitas (2006) a Forense Computacional é o ramo da
7
criminalística que compreende a aquisição, prevenção, restauração e análise de
evidências computacionais, quer sejam os componentes físicos ou dados que foram
processados eletronicamente e armazenados em mídias computacionais. Na figura
abaixo é apresentado um modelo proposto por Ubrich e Valle (2005), que procede de
uma estrutura hierárquica de duas classes multiníveis (Aspectos Legais e Aspectos
Técnicos).
Na classe dos Aspectos Legais encontram-se as exigências legais, baseadas na
área de Direito, às quais devem estar sujeitas aos procedimentos periciais. Já a classe
dos Aspectos Técnicos corresponde às questões práticas da área computacional.
Diariamente há diversos tipos de casos de fraudes e crimes onde o meio
eletrônico foi em algum momento utilizado para este fim, sendo este tipo de caso
chamado, de acordo com Ubrich e Valle (2005), de CyberCrime.
De acordo com Adams (2000), atualmente já existem padrões metodológicos
bem definidos e desenvolvidos pelo SWGDE (Scientific Working Group on Digital
Evidence), que é o representante norte-americano na International Organization on
Computer Evidence (IOCE). Tais padrões foram apresentados durante a International
8
Hi-Tech Crime and Forensics Conference (IHCFC), realizada em Londres, de 4 a 7 de
outubro de 1999.
Esses padrões seguem um único princípio: o de que todas as organizações que
lidam com a investigação forense devem manter um alto nível de qualidade a fim de
assegurar a confiabilidade e a precisão das evidências. Esse nível de qualidade pode ser
atingido através da elaboração de SOPs (Standard Operating Procedures), que devem
conter os procedimentos para todo tipo de análise conhecida e prever a utilização de
técnicas aceitas na comunidade científica internacional, apresentadas a seguir.
1.6 - Obtenção e Coleta de Dados
Os procedimentos adotados na coleta de dados devem ser formais, seguindo toda
uma metodologia e padrões de como se obter provas para apresentação judicial, como
um checkList, de acordo com as normas internacionais de padronização, citadas acima.
Um exemplo de checkList adotado na obtenção e coleta de provas pode ser
encontrado no site da Comissão Européia (2004).
Identificação
Dentre os vários fatores envolvidos no caso, é extremamente necessário saber
separar os fatos dos fatores, que possam vir a influenciar ou não um crime, para
estabelecer uma correlação na qual se faz um levantamento das ligações relevantes
como datas, nomes de pessoas, autarquias, etc, dentre as quais foi estabelecida a
comunicação eletrônica.
Preservação
Um Perito Forense Computacional experiente, de acordo com Kerr (2001), terá
de ter certeza de que uma evidência extraída deverá ser adequadamente manuseada e
protegida para se assegurar de que nenhuma evidência seja danificada, destruída ou
mesmo comprometida pelos maus procedimentos usados na investigação e que nenhum
vírus ou código malicioso seja introduzido em um computador durante a análise
forense.
Análise
Na concepção de Kerr (2001), a análise será a pesquisa propriamente dita, onde
o investigador se detém especificamente nos elementos relevantes ao caso em questão
pois todos os filtros de camadas de informação anteriores já foram transpostos.
9
Novamente, deve-se sempre ser um profissional atento e cuidadoso em termos
da obtenção da chamada "prova legítima", a qual consiste numa demonstração
implacável e inquestionável dos rastros e elementos da comunicação entre as partes
envolvidas e seu teor, além das datas e trilhas dos segmentos de disco utilizados.
Apresentação
De acordo com Freitas (2006) esta fase é tecnicamente chamada de
"substanciação da evidência", pois nela consiste o enquadramento das evidências dentro
do formato jurídico, sendo inseridas, pelo juiz ou pelos advogados, na esfera civil ou
criminal ou mesmo em ambas.
Desta forma, quando se tem a certeza material das evidências, atua se em
conjunto com uma das partes acima descritas para a apresentação das mesmas.
O investigador precisa estar perfeitamente sintonizado com os objetivos de cada
etapa metodológica apresentada na figura exposta anteriormente para poder minimizar o
tempo e a quantidade de dados que deve desde obter até apresentar, maximizando sua
eficiência e eficácia.
A aplicação minuciosa de técnicas investigativas na computação forense é, sem
dúvida, muito semelhante às técnicas de perícias investigativas utilizadas em crimes
convencionais. De a cordo com uma metodologia criada pela SWGDE é possível
conhecer as características do ambiente de trabalho e entender o ambiente forense
computacional como a cena de um crime, por isso há a necessidade de seguí-la como
forma de aperfeiçoar o trabalho pericial.
A grande abrangência da atividade forense computacional em diversas áreas que
envolvem segurança computacional traz complexidade aos trabalhos a serem realizados
na investigação de cada caso. A validade técnica e jurídica das metodologias para
recuperar dados de computadores envolvidos em incidentes de segurança tem se tornado
fundamental, pois os procedimentos têm que ser tecnologicamente robustos para
garantir que toda a informação útil como prova seja obtida e também de uma forma a
ser legalmente aceita de forma a garantir que nada na evidência original seja alterado,
adicionado ou excluído.
1.7 - PROVA DIGITAL
As provas podem ser as mais diversas possíveis como e-mails, arquivos de
registros (conhecidos como logs), arquivos temporários com informações pessoais,
10
conexões abertas, processos em execução e outras evidências que possam existir no
computador. Mas para serem aceitas num processo jurídico, devem ter sido obtidas de
forma lícita. (Souza, 2011) É importante que o perito forense digital saiba manusear
apropriadamente as provas digitais coletadas, conservando o local onde se está
recolhendo as informações, assegurando que elas possam ser usadas como suporte para
a uma investigação. (Brassanini, Moreno e Taxman)
O perito precisa ter em mente sempre que em diversos tipos de crimes há provas
digitais. Seja onde e qual for o crime, o nível de cuidado deve ser o mesmo: preservar o
local, garantir a custódia e o controle das provas recolhidas, pois é de suma importância
para o sucesso da perícia.
O material que será coletado como prova pode ser facilmente adulterado. No
local nada pode ser tocado ou alterado, pois esse cuidado é de grande importância para
que as provas coletadas fiquem íntegras. Assim nenhuma pessoa sem ser o perito deve
manusear equipamentos, ficando sob responsabilidade dele avisar logo ao ser chamado.
A prova digital é um material muito frágil que precisa ser manuseado
corretamente, sendo necessário um armazenamento correto, longe do calor e frio
excessivo, um transporte adequado e longe de objetos magnéticos.
Qualquer dado ou informação digital é criada, guardada, traduzida ou decodificada por
um dispositivo digital seja ele Computadores Pessoais, dispositivos de Armazenamento
em rede, CDs, DVDs, máquina Fotográfica, relógio com comunicação via USB, entre
outros.
Os Dados também podem estar armazenados em locais fora dos domínios físicos
da cena investigada, como provedores de internet, Servidores FTP - File Transfer
Protocol - e servidores Corporativos.
Nesses Casos, a coleta dos dados somente será possível mediante ordem judicial.
A cópia de dados envolve a utilização de ferramentas adequadas para duplicação dos
dados, pois é de vital importância que seja garantida a preservação da integridade das
evidências coletadas, pois caso isso não ocorra, as evidências poderão ser invalidadas
como provas perante a justiça.
A garantia da integridade das evidências consiste na utilização de ferramentas
que aplicam algum tipo de algoritmo hash. Assim como os demais objetos apreendidos
na cena do crime, os materiais de informática apreendidos deverão ser relacionados em
um documento chamado Cadeia de Custodia.
11
Deve ser feito cópia lógica (Backup) do material a ser analisado, no mínimo
duas cópias, uma para ser realizada coleta dos dados pertinentes a investigação e a outra
copia deve ser guardada em um local seguro, caso haja a necessidade de novas análises.
Durante a coleta de dados é muito importante manter a integridade dos atributos de
tempo mtime (modification time), atime (acess time) e ctime (creation time) – MAC
times. Mactime: permite que a partir das informações contidas nos metadados dos
arquivos e diretórios, uma visão cronológica dos acontecimentos seja mostrada. (Silva,
2010).
1.8 - CUIDADOS NECESSÁRIOS PARA COLETA
Os procedimentos devem ser feitos com no mínimo duas testemunhas, de
preferência com um mínimo de conhecimento em informática. O perito tem por
obrigação explicar os procedimentos executados de forma clara e simples, a fim de
conseguir um entendimento básico dos ouvintes. Se possível deve-se flmar o
procedimento de coleta.
Segundo Mota Filho (2010) os gerentes de rede devem ser orientados em caso de
invasão a seguir os seguintes procedimentos:
• Quando se identifica uma invasão não se pode de maneira alguma
acessar ou emitir comandos na máquina comprometida.
• Desconectar o cabo de rede para que o invasor não execute nenhuma
operação remota no equipamento.
• Em hipótese alguma a máquina deve ser desligada, a não ser que o
invasor o faça. Sendo assim é necessário aguardar a chegada do perito para ligar o
equipamento.
• Caso o equipamento seja ligado e se descubra que o mesmo foi vítima de
invasão, não se deve mexer mais em nada e aguardar a chegada do perito.
• O perito deve ser chamado o mais rápido possível e um responsável deve
acompanhar os procedimentos, pois a ajuda é de suma importância para sanar eventuais
dúvidas que o perito possa ter em relação ao ambiente periciado.
Segundo Mota Filho (2010) as autoridades que aprendem máquinas suspeitas devem
seguir as seguintes orientações:
12
• Se ao efetuar o flagrante o equipamento estiver ligado, chamar um perito
forense computacional para realizar uma coleta da memória. Isso ajudará nas
investigações, pois os dados da memória são preciosos numa investigação.
• Para remover a máquina ou provas do local (qualquer aparelho ou
periférico que possa conter informações digitais), lacrar os mesmos dentro de uma caixa
ou embalagem plástica apropriada, na presença de duas testemunhas. Utilizar lacres
confiáveis, seguros e numerados.
Alguns equipamentos que podem ser utilizados para armazenamento de provas digitais:
• Telefones Celulares;
• Pen drives;
• Câmeras Digitais;
• DVDs/CDs;
• MP3 Players;
• Cartões de memória flash;
• Impressoras com Smart Media ou memória interna;
• Gravador de vídeo digital (por exemplo, DVR’s);
• Secretárias eletrônicas;
• GPS;
• Consoles de jogos (por exemplo, Xbox, Playstation);
• Gravadores digitais de voz.
•
1.9 - COLETA DOS DADOS VOLÁTEIS
A seguir serão descritos procedimentos, considerando que o perito encontrou
uma máquina com Linux (Ubuntu 11.04) instalado e a mesma estava ligada. Todos os
procedimentos devem ser seguidos por duas testemunhas e de preferencia que todas as
operações sejam filmadas. Não esquecer de anotar a hora da execução dos
procedimentos.
Ao se deparar com o equipamento em funcionamento, chamar o administrador do
mesmo e solicitar a senha de root. O primeiro passo é recolher o conteúdo da memória
RAM. Mas porque o dump de memória é importante? Tudo o que está em execução no
equipamento fica temporariamente na memória. Criando uma imagem da memória, ou
dump de memória pode-se identificar os arquivos (processos) em execução, processos
13
pais e processos filhos. Tornando-se possível verificar como estava sendo a utilização
do equipamento no momento do dump de memória, quais programas estavam sendo
executados e provavelmente algumas senhas também ficam temporariamente na
memória.
Inserir um HD ou pendrive de maior capacidade que a memória ram do
equipamento a ser periciado e de preferência montar eles no diretório /mnt com o
comando:
# mount -t vfat -o umask=0000 /dev/sdb1 /mnt
Obs: O procedimento de montar outros tipos de dispositivos não será abordado, nesse
caso para o dump de memória foi utilizado um pendrive de 16GB numa máquina com 2
GB de memória RAM.
Verificar com o comando a seguir a versão do kernel e a arquitetura da
distribuição instalada no equipamento:
# uname -r-n
As versões de kernel anteriores a versão 2.6.27 não possuem restrição de acesso
à memória, assim o comando dd funciona corretamente. Executar o comando para fazer
o dump de memória:
# dd if=/dev/mem of=/mnt/memoria.dd
Caso o kernel seja igual ou posterior ao 2.6.27, então se faz necessário o módulo
fmen, disponível em http://hysteria.sk/~niekt0/foriana. Fazer o download do módulo,
compilar e instalar o módulo com os seguintes comandos:
#tar -xzf arquivo.tgz - para descompactar o arquivo tgz
#make - para compilar
#run.sh para instalar o módulo ( verificar o arquivo README após descompactar o
arquivo para maiores informações).
Após instalar o módulo executar o comando:
14
# dd if=/dev/fmem of=/mnt/memoria.dump bs=1M count=2048
É importante especificar o tamanho da memória para o dd não entrar em looping
(caso o comando dcfldd esteja disponível, fazer o dump de memória com ele pois os
comando e as opções do comando são as mesmas).
Após esse procedimento ainda é necessário coletar algumas informações
importantes para perícia, que são:
• Usuários logados no sistema; Para verificar os usuários logados no sistema, executar o
comando:
# w > /mnt/users
Assim todos os usuários conectados e seus respectivos terminais ficam armazenados no
arquivo users.
• Situação do uso da memória; Para verificar o uso da memória do equipamento, executar
o comando:
# free -m >/mnt/memoria.free
Esse comando lista o uso da memória ram e swap do equipamento e a opção –m é para
a resposta do comando ser mostrada de forma amigável em MB.
• Histórico de comandos do equipamento; O comando history exibe os últimos comandos
digitados no bash. Para isso executar o comando:
# history > /mnt/history
Assim a lista de comandos estará armazenada para futura verificação.
• Quais processos estão ativos; Com o comando ps -aux todos os processos em execução
no equipamento serão listados com várias informações importantes como, por exemplo,
dono do processo em execução, PID, tempo do processo, quando iniciou o processo e
outros. Para isso executar o comando da seguinte forma:
15
# ps –aux > /mnt/processo
Porém algum desses processos podem estar ocultos para o comando ps, assim usa-se,
se estiver disponível no sistema operacional, ( não se deve instalar nada em uma
máquina viva), o comando unride.
Esse comando é uma ferramenta forense desenvolvida para encontrar processos ocultos.
Executar os seguintes comandos se estiver disponível:
# unhide proc > /mnt/unhide.proc
# unhide sys > /mnt/unhide.sys
# unhide brute > /mnt/unhide.brute
O unhide é útil também para listar portas TCP ocultas. Se existirem, executar o
comando:
# unhide-tcp > /mnt/unhide.tcp
• Quanto tempo à máquina esta ligada; Já que a máquina estava ligada antes mesmo do
perito chegar ao local é importante saber quanto tempo o sistema tem de operação sem
reiniciar. Para isso executar o comando:
# uptime > /mnt/uptime
• Conexões e portas de redes abertas; Com o comando netstat são verificadas todas as
portas e conexões de rede abertas e quais processos. Para isso executar o comando:
# netstat tunap > /mnt/netstat.
Executar esse comando mesmo que o cabo de rede não esteja conectado.
• Relação de pacotes instalados; Como na máquina periciada o sistema operacional é o
Ubuntu 11.04, ele é baseado em Debian. Segundo o site Ubuntu.org o sistema de
pacotes do Debian utiliza pacotes com extensão .deb. Trata-se de arquivos compactados
16
contendo os arquivos dos programas em questão (binários e configuração), juntamente
com arquivos de controle para o gerenciamento de pacotes. O dpkg é a base do sistema
de pacotes do Debian, e classificado como um ferramenta de nível médio para gerência
de pacotes. Usado para instalação e remoção de pacotes primitivamente (Guia Ubuntu
PT, 2009). Para verificar os pacotes instalados no equipamento executar o seguinte
comando:
# dpkg –l > /mnt/list_pacotes
• Data e hora do sistema; Logicamente existe a possibilidade de que a hora do sistema
não esteja certa, portanto deve-se anotar a hora correta e data, posteriormente executar
o comando:
# date > /mnt/date
• Discos utilizados e suas partições; É necessário saber quantos discos existem no
equipamento e como os mesmos estão particionados, executando o comando para obter
essa informação:
#df -hT > /mnt/df
• Dispositivos montados; O comando mount mostra os dispositivos montados e suas
permissões. Para obter essas informações executar o comando:
# mount > /mnt/mount
• Esquema de particionamento dos discos; Para verificar como os discos estão
particionados e o tipo de partição, executar o seguinte comando:
# fdisk -l > /mnt/fdisk
17
• Versão do kernel; Anteriormente foi utilizado o comando uname –r para verificar qual a
versão do kernel utilizada, vai executar o comando novamente direcionando a saída para
um arquivo no dispositivo, montado no diretório /mnt.
Executar o comando:
# uname -r > /mnt/kernel_ver
• Informações dos dispositivos de rede; É necessário verificar como esta configurado o
dispositivo de rede. Para isso executar o comando:
# ifconfig > /mnt/ifconfig
• Rotas; Verificar as rotas das interfaces de rede executando o comando:
# route -n > /mnt/rotas
• Módulos do kernel; Por fim e não menos importante, destacar o lsmod para listar os
módulos do kernel carregados no sistema. Executar o comando:
# lsmod > /mnt/lsmod.
Terminada a coleta dos dados preliminares. O próprio sistema operacional da máquina
periciada foi utilizado para a coleta, não foi utilizado nenhum live CD para extrair tais
dados e nem reiniciado o equipamento. Com isso o objetivo de manter a confiabilidade
e a disponibilidade das informações contidas na memória ram e as informações contidas
na máquina antes de ser reiniciada ou desligada foi mantido.
Para garantir a integridade e a confiabilidade do dump de memória do sistema que será
periciado, explicar para as duas testemunhas o que é o md5 e hash e mostrar o
funcionamento se for necessário. Executar os comandos a seguir para criar o hash e o
md5 do dump de memória criado anteriormente.
# md5sum memoria.dump > memoria.dump.md5
# sha256sum memoria.dump > memoria.dump.sha256
18
No caso o pacote dcfldd não estava disponível quando foi criado o dump da memória,
por isso foi usado o dd. Se ele estivesse disponível, o hash e o md5 poderiam ser criados
simultaneamente com o seguinte comando:
# dcfldd if=/dev/fmem of=/mnt/memoria.dump bs=1M
count=2048
hash=md5,sha256md5log=/mnt/memoria.dump.md5sha256log=/mnt/memoria.dump.sh
a256
Após isso, desmontar o pendrive do equipamento e verificar em outra estação se esta
tudo correto. Não esquecer de preencher o laudo de custódia corretamente.
1.10 - COLETA DOS DADOS DE MEMÓRIA FÍSICA
Para prosseguir, foi escolhida a distribuição FDTK V3 live cd para coleta dos
dados do harddisk. Existem várias distribuições no mercado como BackTrack, Helix,
CAINE, DEFT Linux e muitas outras. Escolher a distribuição mais agradável para
prosseguir com a coleta. Pode ser um CD, DVD ou pendrive USB.
Nunca esquecer que esse procedimento tem de ser acompanhado pelas testemunhas.
Desligar a energia do equipamento e inserir um HD maior que a do equipamento
periciado, pode ser um HD externo ou interno. Sempre explicar o procedimento para as
testemunhas.
Ligar o equipamento e inicializar o live cd. Montar o dispositivo de
armazenamento de coleta no /mnt. No caso a máquina periciada possui um hd de 80 GB
SATA (/dev/sda). Foi utilizada para a coleta um HD externo USB da Samsung de
500GB.
Agora usando o dcfldd foi criada a imagem do disco e ainda os hashes md5 e sha256 da
imagem. Para isso executar o comando:
#dcfldd if=/dev/sda of=/mnt/hd.sata.dd hash=md5,sha256 md5log=/mnt/
hd.sata.dd.md5 sha256log=/mnt/ hd.sata.dd.sha256
19
1.11 - PROCEDIMENTOS FINAIS DA COLETA
Verificar se o procedimento anterior foi executado corretamente e verificar o
tamanho da imagem criada e se os hashes estão corretos. Desligar o equipamento.
Agora é necessário lacrar o computador ou abrir o equipamento e lacrar o HD. Para
isso, acompanhado das testemunhas, utilizar lacres numerados e embalagens adequadas
para o armazenamento.
Preencher um laudo de custódia e um laudo de integridade, colocando todos os dados da
imagem da memória e do disco rígido. Como nas figuras abaixo:
EVIDÊNCIA ELETRÔNICA
1.12 - FORMULÁRIO DE CADEIA DE CUSTÓDIA
Caso Núm.: 1209087 Pág.: 1 De: 1
MÍDIA ELETRÔNICA/DETALHES EQUIPAMENTO
Item:
1
Descrição:
Hard Disc Seagate Barracuda 7200.7 80 GB
Fabricante:
Seagate
Modelo:
ST30808272AS
Num. de serie:
5MT2MK9Y
DETALHES SOBRE A IMAGEM DOS DADOS
Data/Hora:
05/05 -
15:32
Criada por:
Leandro
Método usado:
DCFLDD
Nome da Imagem:
hd.sata.dd
Partes:
1
Drive: HASH:
8369b53a57f27c00b90faacafd26b40baec03b40ae0342145687da
76af53ee1c
CADEIA DE CUSTÓDIA
Destino: Data/Hora: Origem: Destino Motivo:
Análise Forense Data: 05/05 Nome/Org.:
Leandro
Nome/Org.:
Leandro
Analizar conteúdo
Hora: Assinatura: Assinatura:
\DEV\SDA
20
18:00
Data: Nome/Org.: Nome/Org.:
Hora: Assinatura: Assinatura:
Data: Nome/Org.: Nome/Org.:
Hora: Assinatura: Assinatura:
Data: Nome/Org.: Nome/Org.:
Hora: Assinatura: Assinatura:
Data: Nome/Org.: Nome/Org.:
Hora: Assinatura: Assinatura:
Data: Nome/Org.: Nome/Org.:
Hora: Assinatura: Assinatura:
Data: Nome/Org.: Nome/Org.:
Hora: Assinatura: Assinatura:
Data: Nome/Org.: Nome/Org.:
Hora: Assinatura: Assinatura:
Figura 01 – Formulário de cadeia de custódia
1.13 - Certidão de Integridade de Dados
Eu Leandro Catini, perito forense computacional, portador do CPF no.
000000000-53 às 15:32 do dia 05 de maio de 2014, no departamento de perícia digital,
na presença do Senhor Fulano de Tal , advogado, portador do CPF no. 010101011-00 e
Beltrano Silva e Silva, analista de sistema, portador do CPF no. 010101011-01 foi
criada a imagem do HD de 80GB referente ao caso número 1209087.
Hash gerado no ato da coleta
Nome da imagem: hd.sata.dd
Hash md5: f7dccb120ec0e78a4d84d2c0d5501511
Hash sha 256:
8369b53a57f27c00b90faacafd26b40baec03b40ae0342145687da76af53ee1c
21
________________________________________
LEANDRO CATINI
CPF 000000000-53
Perito Forense
________________________________________
FULANO DE TAL
CPF 010101011-00
________________________________________
BELTRANO SILVA E SILVA
CPF 010101011-01
1.14 - Conclusão
Desde 2013 quando os jornais e revistas aumentaram a divulgação do acesso de
informações de governos e grandes empresas pela NSA dos Estados Unidos da
América, muita discussão tem sido gerada em relação à forma como a informação
podem facilmente ser acessada.
Existe uma tendência de que as pessoas comuns passem a se preocupar mais
com a forma de armazenamento suas informações, salientando que a criptografia é
fundamental para parte da segurança.
O acesso a ferramentas e técnicas está cada vez mais difundido o que pode vir a
facilitar a sua utilização por pessoas comuns.
A coleta da prova digital é de suma importância para obter sucesso numa perícia
computacional. Foi testado e comprovado em uma situação real a forma correta de
coletar os dados visando o sucesso de uma perícia forense computacional.
A utilização de softwares livres tem o objetivo de reduzir os custos para o perito,
ficando assim, mais acessível para quem solicita a pericia. Ainda pode-se muitas vezes
22
modificar o código fonte e adequar esses softwares a necessidade do perito ou da perícia
em questão.
Acredita-se que seguindo esses passos o perito executará de forma correta uma
coleta de dados em uma máquina com sistema operacional baseado em Linux, ou
mesmo outros, claro com alguma mudanças.
1.15 - REFERÊNCIAS BIBLIOGRÁFICAS
http://www.gta.ufrj.br/grad/07_1/forense/reconhecimento.html
Minicursos do XIII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais — SBSeg 2013
BRASSANINI, David; MORENO, Karine e TAXMAN. Guia de Campo sobre prova digital. 1ª. Edição. CASTRO JÚNIOR, Antônio Pires de, et al. Forense Computacional em Memória Principal. Disponível em: < http://www.mp.go.gov.br/portalweb/hp/1/docs/forencomp-ram.pdf > Acesso em 21/09/2011 GUIA UBUNTU PT. Explicacao do Dpkg e Apt Disponível em : <
http://www.guiaubuntupt.org/wiki/index.php?title=Explicacao_do_Dpkg_e_Apt >
Acesso em: 22/09/2011
MOTA FILHO, Eriberto João. Perícia Linux com Debian GNU/Linux Parte 1 Procedimentos iniciais e coletas. Disponível em: < http://eriberto.pro.br/forense/guia_forense_1.1_parte_1.pdf > Acesso em: 22/09/2011 PAIVA, Jadilson Alves de. Praticas Anti-Forense: Um estudo de seus impactos na forense computacional. Disponível em: < http://www.nogueira.eti.br/profmarcio/obras/Jadilson%20-%20Anti-Forense.pdf > Acesso em: 20/09/2011 SILVA, Segura Rodrigo. Forense Digital: Produzindo Provas Legais. Disponível em:
< http://www.prevenirperdas.com.br/portal/index.php?option=com_content&view=article &id=177:forensedigital&catid=18:prevencao-a-fraudes&Itemid=7 > Acesso
em: 22/09/2011 SOUZA, Rafael. Perícia Forense Computacional. Disponível em: < http://www.ticnics.com.br/pericia-forense-computacional/> Acesso em: 21/09/2011
23