docUma Abordagem sobre Forense Computacional
download 
Denúncia Transcrição
Uma Abordagem sobre Forense Computacional
Uma Abordagem sobre Forense Computacional Patrícia Lima Quintão, Carla da Silva Teixeira, Mônica de Lourdes Souza Batista, Raffael Gomes Vargas Bacharelado em Sistemas de Informação – Faculdade Metodista Granbery (FMG) Rua Batista de Oliveira, 1145 – CEP 36010-530 – Juiz de Fora – MG – Brazil [email protected], [email protected], [email protected], [email protected] Resumo Nas últimas décadas a utilização de computadores tornou-se parte integrante da vida das pessoas, permitindo o aparecimento de vários tipos de crimes eletrônicos. Nesse contexto, é importante que as organizações se preparem para investigar casos que envolvam a informática e adotem procedimentos válidos e confiáveis que permitam recuperar os dados dos computadores envolvidos em atividades criminosas. São apresentados neste trabalho noções de forense computacional e ferramentas que podem ser utilizadas para auxiliar na coleta, manutenção e análise de evidências. Palavras-Chave: Forense Computacional, Perícia Aplicada à Informática. Abstract In the last decades the use of computers became an integrated part of people life, allowing the appearing of many electronic crimes. In this context, is important that the agencies get ready to investigate the chaos that involves informatics and adopt valid and trustworthy procedures that allows the rescue of computer's data involved in criminals activity. In this work, we present basic notions of computer forensics and tools that can be used to collect, keep and analyze evidences. INTRODUÇÃO Atualmente, muitas empresas que utilizam a Internet possuem algum aparato de segurança, como por exemplo, firewalls e VPNs, para evitar que sua rede seja invadida por hackers. Mas essas ferramentas de segurança são softwares que possuem muitas linhas de código, e que podem conter algum erro de programação. Mesmo que a empresa tome todas as medidas para se proteger dos ataques, ela não está totalmente livre de ser invadida (OLIVEIRA, 2001). Falhas de segurança podem acontecer, visto que alguma vulnerabilidade ainda não divulgada pode ser utilizada ou um novo tipo de ataque pode ser explorado. Dessa forma, não se pode Revista Eletrônica da Faculdade Metodista Granbery - http://re.granbery.edu.br - ISSN 1981 0377 Faculdade de Sistemas de Informação - N. 3, JUL/DEZ 2007 afirmar que um determinado aparato de segurança está isento de falhas (OLIVEIRA, GUIMARÃES e GEUS, 2002). No caso de um incidente de segurança é muito importante adotar políticas para que os danos sejam menores. É necessário que haja metodologias para que, uma vez descoberta a invasão, seja possível identificar, coletar e manipular as evidências sem que as mesmas sejam distorcidas, além de planejar alguma medida de segurança contra os invasores (OLIVEIRA, 2001). Nesse contexto, esse trabalho tem como objetivo destacar as etapas do processo de uma perícia forense computacional, bem como algumas ferramentas e hardwares utilizados no processo de uma investigação forense. Para isso o trabalho apresenta as seguintes seções além desta introdução. A segunda seção define a Ciência Forense. Na terceira seção é destacado o conceito de Forense Computacional. A quarta seção apresenta os processos de uma perícia forense computacional. A quinta seção aborda um conjunto de ferramentas que oferecem suporte às etapas do processo de investigação forense. Na sexta seção são apresentados alguns hardwares utilizados em perícia no mercado. Por fim, tem-se as considerações finais do trabalho e as referências bibliográficas utilizadas. CIÊNCIA FORENSE Quando se escuta o termo forense, logo vem à mente o meio policial, no qual policiais e peritos tentam solucionar algum mistério. Nesse contexto, eles devem analisar delicadamente todo tipo de objetos, de sinais e de marcas que faziam parte da cena do crime. A análise forense se inicia quando os policiais chegam ao local do crime e isolam o perímetro para evitar a exposição excessiva e a possível contaminação das evidências. Após essa fase, tem-se a etapa de identificação e coleta de todo o tipo de dado e material que possa ajudar na resolução do caso em questão. Uma vez realizada essas duas fases, inicia-se a análise laboratorial das evidências (OLIVEIRA, 2001). FORENSE COMPUTACIONAL Devido ao surgimento de casos que envolvem o meio computacional, tornou-se necessário o desenvolvimento de uma nova disciplina forense, cujo objetivo é criar metodologias e acumular conhecimentos para a aquisição, manipulação e análise de evidências digitais. A Forense Computacional é o ramo da criminalística que compreende a aquisição, prevenção, restauração e análise de evidências computacionais, que podem ser os componentes físicos ou dados que foram processados eletronicamente e armazenados em mídias computacionais (VARGAS, QUINTÃO e GRIZENDI, 2007). Palmer and Corporation (2001) destacam que a Forense Computacional pode ser definida como a inspeção científica e sistemática em ambientes computacionais, com o objetivo de angariar evidências derivadas de fontes digitais, tendo como objetivo promover a reconstituição dos eventos encontrados (dessa forma, pode-se determinar se o ambiente em análise foi utilizado na realização de atividades ilegais ou não autorizadas. Para resolver um mistério computacional é necessário examinar o sistema nos mínimos detalhes, ou seja, da maneira que um detetive examina a cena de um crime. Dessa forma, o perito que está realizando a análise deve conhecer profundamente o sistema operacional em que está trabalhando para identificar e entender as relações de causa e efeito de todas as ações tomadas durante a análise (OLIVEIRA, GUIMARÃES e GEUS, 2002). Para que o perito conduza uma análise forense computacional de maneira eficaz é necessário que ele tenha uma série de habilidades, como, por exemplo, raciocínio lógico, mente aberta e o entendimento das relações de causa e efeito. Todas essas habilidades (que são encontradas nos programadores) são utilizadas durante a busca de um erro em um programa (REIS e GEUS, 2001). A Forense Computacional é uma área de pesquisa muito recente e poucos são os trabalhos sobre esse assunto no Brasil. É importante que esta área se desenvolva, pois muitos hackers utilizam os computadores em atividades criminosas (VARGAS, QUINTÃO e GRIZENDI, 2007). O PROCESSO DA PERÍCIA FORENSE COMPUTACIONAL Segundo Pereira et al (2007) pode-se dividir as fases de um processo de investigação forense computacional em quatro etapas, identificadas como: coleta dos dados, exame dos dados, análise das informações e interpretação dos resultados, que serão melhor detalhadas a seguir. Coleta dos dados Essa parte inicial do processo de realização da perícia em informática é de grande importância para o sucesso da análise pericial. Nesse momento, coleta-se o máximo de provas (dados relacionados ao evento) possível, que são os artefatos a serem utilizados. É importante que seja utilizada uma metodologia clara e objetiva no momento da coleta das provas (MELO, 2005). As evidências digitais devem ser manipuladas com bastante cuidado, para que não sejam danificadas ou destruídas, o que pode ocorrer por meio de vírus, campos eletromagnéticos, choques mecânicos, eletricidade estática, entre outros. Os procedimentos utilizados durante o processo devem ser bem documentados e reprodutíveis partindo de uma cópia das evidências originais, para que possuam valor legal (PEREIRA, 2007). Exame dos dados Nessa fase são selecionadas e utilizadas ferramentas e técnicas apropriadas a cada tipo de dado coletado, com o objetivo de identificar e extrair as informações relevantes ao caso que está sendo investigado, mas sempre com a preocupação de manter a integridade dos dados (PEREIRA et al, 2007). Análise das informações Nesta fase, segundo Pereira et al (2007) é feita uma análise dos dados filtrados na etapa anterior, com o objetivo de se obter informações úteis e relevantes que possam responder às perguntas que deram origem à investigação. Pretende-se identificar nessa fase, o autor, o que fez, quando fez, quais os danos de seu ato e como realizou o crime (FREITAS, 2006), se possível tentando identificar o modus operanti (modo de operação) do potencial atacante. Para que tenha sucesso nesse processo é preciso saber como, onde e como procurar as evidências (MELO, 2005). Nessa fase são analisadas e avaliadas as possibilidades de como o incidente pode ter ocorrido (hipóteses) (MENEGOTTO, 2006). Interpretação dos resultados Nessa etapa final do processo de investigação é gerado um relatório (laudo pericial) no qual devem estar descritos os procedimentos realizados e os resultados obtidos (PEREIRA et al, 2007). Um laudo pericial corresponde a um relatório técnico sobre a investigação, no qual são apontados fatos, procedimentos, análise e resultados. O laudo é realizado a partir das provas; a decisão é toda da justiça. O maior segredo de uma investigação, para seu sucesso, consiste em verificar se há ou não destruição ou alteração das provas. As provas devem ser protegidas de tal forma que não percam a sua veracidade (FREITAS, 2006). O relatório de resposta a incidente depende diretamente de como os dados investigados foram manipulados. Tem-se casos de criminosos que saíram ilesos devido à coleta e à manipulação de dados de maneira incorreta. Os relatórios devem ser concisos, coerentes e representar o foco da investigação (PEREIRA, 2007). FERRAMENTAS PERICIAIS A seguir são destacadas oito ferramentas que podem ser utilizadas em uma perícia computacional, a saber: Ilook, GetDataBack, SmartWhois, eMailTrackerPro, EnCase, PromqryUI 1.0, OllyDBG, Camouflage. – Ilook O software ILook, ilustrado na Figura 1, trata-se de uma ferramenta de forense computacional usada para analisar os meios digitais dos sistemas computacionais apreendidos. Desenvolvido por Elliot Spencer (ILOOK, 2007), esse software tem potencialidades para examinar imagens inclusive de outras ferramentas de forense computacional, como SafeBack e Encase, e também de discos virtuais. Figura 1. Tela principal da ferramenta ILook (EVIDENCIAL DIGITAL, 2007) – GetDataBack A ferramenta GetDataBack é um recuperador de dados , que deve ser instalado no Windows (vide Figura 2). Sendo assim, o computador que será usado para recuperação de dados deverá possuir um HD com o Windows instalado mais o GetDataBack. Basicamente em todos os recuperadores passivos pode-se encontrar um menu ou botão para mapeamento dos dados e um outro para salvar esses dados em um disco rígido extra, não modificando o HD com problema (EVIDÊNCIA DIGITAL, 2007). Figura 2. Tela principal da ferramenta GetDataBack (EVIDÊNCIA DIGITAL, 2007) – SmartWhois A ferramenta SmartWhois, criada pela Tamasoft, auxilia na verificação de IPs e de domínios na Internet, por meio de acessos diretos a mais de 60.000 bases de dados do estilo Whois, no mundo, buscando resultados mais completos dentro de segundos (TAMOSOFT, 2007). Utilizada de forma correta, a ferramenta permite que o usuário possa visualizar todas as informações contidas sobre o endereço IP, hostname ou domínio, como país, cidade, estado, nome do fornecedor de rede, administrador e informações do contato da assistência técnica. Para que isso seja possível, basta digitar a indicação do IP ou domínio da organização desejada e a ferramenta apresenta na tela a localização da empresa correspondente aos dados digitados no sistema, como informado anteriormente. Esta ferramenta utiliza padrões de dados que um Whois não utiliza, assim podendo identificar a origem de mensagens suspeitas de e-mail, auxiliar em estudos mais completos sobre registros, entre outras formas de auxílio. A Figura 3 ilustra a tela de abertura da ferramenta SmartWhois. O usuário indica qual o domínio ou o IP que se deseja investigar (nesse caso “granbery.edu.br”) e a ferramenta retorna todas as informações desse domínio ou IP. Segundo Vargas, Quintão e Grizendi (2007) é uma ferramenta de grande utilidade quando se deseja, por exemplo, investigar uma determinada correspondência eletrônica que omite os dados do remetente. Nesse caso, basta digitar o endereço do IP do servidor que a ferramenta auxiliará na busca de todos os dados necessários na identificação do remetente. Figura 3. Tela principal da ferramenta SmartWhois (VARGAS, 2006) – eMailTrackerPro Criada e distribuída pela empresa Visualware (VISUALWARE, 2007), segundo Vargas, Quintão e Grizendi (2007) a ferramenta eMailTrackerPro analisa o cabeçalho de um e-mail, informa o IP da máquina que enviou a mensagem e o país ou a região do mundo de onde se originou o e-mail, mostrando a localização em um mapa mundi, conforme visto na Figura 4. Também identifica o uso do misdirection, tática usada pelos spammers para cobrir seus rastros; e possui integração com a ferramenta VisualRoute, também da Visualware para a obtenção de informações sobre o IP que originou a mensagem (VISUALWARE, 2007). O eMailTrackerPro pode ser utilizado para acompanhar todo e-mail recebido por uma suposta vítima. Isso significa que se recebido um spam, a ferramenta poderá verificar de onde foi enviado o e-mail, capturando a pessoa ou a máquina transmissora do spam; além disso a ferramenta permite a visualização de todos os e-mails do usuário antes da entrega em seu host ou computador. Essa característica faz uma varredura de cada entrega do e-mail e identifica rapidamente de onde originaram e se são misdirected. Na Figura 4, apresenta-se à esquerda a rota de um determinado e-mail por IPs e a rota do mesmo no mapa mundi, e, à direita, indica-se a empresa responsável pelos serviços de e-mail. Pode-se utilizar essa ferramenta quando se deseja, por exemplo, investigar se as informações confidenciais de uma suposta organização foram vendidas antes mesmo de chegar “às mãos” da empresa responsável por esse serviço. Nesse caso, faz-se uma busca da rota por onde esse e-mail passou, informando quando houve o desvio da informação confidencial (VARGAS, QUINTÃO e GRIZENDI, 2007). Figura 4. Tela da Ferramenta eMailTracker com Rota de IPs – EnCase A ferramenta EnCase, criada e patenteada pela empresa Guidance Software, que é diretamente ligada ao setor forense computacional, é uma das ferramentas mais completas no que se refere à perícia forense, pois além de auxiliar na recuperação de arquivos excluídos, padroniza laudos periciais, organiza um banco de dados com as evidências, faz o encryption (fornece senhas do arquivo) e o decryption (“quebra” as senhas) dos arquivos, analisa hardwares, logs, formatos e tipos de e-mails e fornece uma opção de se manusear a evidência sem danificá-la, além de outras características (GUIDANCE, 2007). De acordo com Christófaro (2006) a ferramenta EnCase da Guidance Software surgiu no cenário da Computação Forense em 1998 nos Estados Unidos, dois anos depois ela se tornaria a principal ferramenta forense. Naquela época, a maioria dos examinadores se utilizavam do prompt dos sistemas operacionais em suas investigações; a proposta de um ambiente compatível com os populares ponteiros e janelas do Windows da Microsoft era ousada, uma vez que na visão dos examinadores forenses o prompt era mais poderoso e ainda oferecia mais opções de controle, além do mais a ferramenta irá ser composta por quatro recursos básicos que permitem sua funcionalidade abrangente. Esses recursos serão vistos a seguir (GUIDANCE, 2007): – análise detalhada do sistema: a ferramenta é capaz de descobrir arquivos ocultos e excluídos, detectar rootkits, procurar documentos, identificar processos de invasores, reconstruir atividade de Web e de e-mails, até decodificar certos tipos de criptografia e identificar comunicação não autorizada na rede; – análise paralela: este tópico analisa com rapidez um grande número de computadores ao mesmo tempo, reunindo informações críticas sobre seu estado e conteúdo. A análise paralela é o recurso básico que permite produzir velocidades de pesquisa empresarial e reação a incidentes muito superiores às tecnologias concorrentes; – correção: após a identificação de um evento mal-intencionado, a ferramenta auxilia a detê-lo e controlá-lo. Em quase todos os casos de reação a incidentes, é possível ver o problema, mas não fazer algo a respeito ou não fazer nada, ou então, usar ferramentas de terceiros para remediar a situação, o que pode significar a desativação de pelo menos uma parte da rede. Com a ferramenta pode-se documentar o incidente detalhadamente, acessar os computadores comprometidos e corrigir o problema; – integração: a ferramenta é capaz de ser integrada à infra-estrutura de segurança existente na empresa para proporcionar reação a incidentes em tempo real automatizada. Os alertas gerados por tecnologias de monitoração, com os sistemas IDS1 e SIG2, ativam reações automatizadas pela ferramenta, permitindo aos profissionais de segurança reagir a centenas e potencialmente a milhares de alertas por dia, logo após o evento ocorrer. A Figura 5 ilustra uma verificação da caixa de entrada de e-mail, utilizando métodos de busca e investigação da ferramenta EnCase em e-mails. Pode-se utilizar essa ferramenta quando se deseja, por exemplo, investigar os dados em um computador que foram excluídos ao se formatar logicamente a máquina. 1 2 IDS: Sistema de detecção de invasores SIG: Ferramenta de gerenciamento de informações seguras Figura 5. Tela do EnCase com visualização dos anexos de e-mail (VARGAS, 2006) Segundo Andrade (2005), nessa situação a ferramenta pode auxiliar o perito na busca de dados nos setores não utilizados do HD e, logo após, fazer uma busca em todos os e-mails enviados à suposta vítima, podendo com essa ferramenta recuperá-los, mesmo se estiverem em uma área que foi formatada. – PromqryUI A ferramenta em questão permite a detecção de um sniffer de rede em execução nos computadores com os sistemas operacionais Windows Server 2003, Windows XP ou Windows 2000. O sniffer de rede é um software ou hardware criado para obter os dados que passam por uma rede. Uma vez obtidos, esses dados capturados podem ser utilizados para análise do tráfego de rede, execução de aplicações na rede e demais fins de segurança. Também pode ser usado com fins ilegítimos, incluindo o roubo de dados, quebras de senha e mapeamento de rede. Um sniffer de rede pode ser executado em modo não-promíscuo ou modo promíscuo. O modo promíscuo ocorre quando a placa do adaptador de rede copia todos os quadros que passam pela rede para um buffer local, independentemente do endereço de destino. Esse modo permite que os sniffers de rede capturem todo o tráfego de rede na sub-rede local do sniffer ou na rede local virtual (VLAN), que pode incluir difusões, difusões ponto a ponto e difusões seletivas (MICROSOFT, 2007). A ferramenta auxilia na inserção de um único sistema ou um intervalo de sistemas à lista, sendo possível adicionar sistemas por endereço IP ou por nome. Se um nome for adicionado, PromqryUI tenta determinar o nome para um endereço IP, se não for possível determinar o nome para um endereço IP, a consulta falhará. A Figura 6 apresenta todos os sistemas adicionados à lista, que serão automaticamente salvos ao sair do PromqryUI; já a lista Systems To Query será preenchida automaticamente com os sistemas e intervalos salvos. Figura 6. Sistemas adicionados e intervalos salvos (MICROSOFT, 2007) É possível usar as opções de ping e detalhamento para iniciar a consulta aos sistemas selecionados. O resultado da consulta, destacando se foram encontradas interfaces em execução no modo promíscuo, é exibido em seguida, conforme ilustrado na Figura 7. Quando PromqryUI (ou Promqry) localiza um host com interface em execução no modo promíscuo, PromqryUI usa o WMI3 para consultar o host a respeito de informações adicionais com o objetivo de facilitar a identificação desse host, como apresentado na Figura 8 (MICROSOFT, 2007). 3 WMI: Windows Management Instrumentation, infra-estrutura que possui recursos de linha de comando e de criação de script, você pode monitorar e controlar os eventos do sistema relacionados a aplicativos, componentes de hardware e redes. Figura 7. Consulta feita e apresentação de interface promíscua (MICROSOFT, 2007) – OllyDBG O OllyDbg é uma ferramenta chamada de debugador, que permite o acompanhamento, passo a passo, da execução de programas, além de possuir um desassemblador muito conciso, que apresenta todas as linhas de comando, podendo observar o conteúdo dos registradores e de posições da memória. Essa ferramenta processa várias ações demonstradas em uma janela com quatro painéis. É apresentado na Figura 8 um breakpoint numa área de um código, de um vírus desassemblado. Observe que no canto inferior direito da Figura 8 há uma área de texto com o nome paused ( isso quer dizer que todas as modificações poderão ser feitas com o programa parado). No canto inferior esquerdo aparece o texto program entry point indicando que a execução está parada naquele momento e o ponteiro está no ponto de entrada do programa. Figura 8. Breakpoint no OllyDbg (OLLYDBG, 2007) – Camouflage A Camouflage é uma ferramenta de uso simples, que utiliza princípios básicos de esteganografia para poder “ocultar” arquivos dentro de outros arquivos. A esteganografia está presente em nosso cotidiano nas várias formas possíveis, tanto em uma nota de 1 real, apresentando formas que não poderão ser vistas a olho nu e somente com auxílio de equipamentos, lentes, reagentes químicos, ou fotorreagentes, como apresentado na Figura 9, quanto em um documento que poderá conter inúmeras mensagens ocultas. Figura 10. Cédula de Real Esta ferramenta é utilizada por muitos terroristas para enviar e receber informações através de imagens, em textos, áudio, vídeo e até em pacotes TCP/IP. Hoje, o perito forense em informática deve estar muito atento a qualquer tipo de imagem aparentemente inofensiva, pois dentro dela pode estar alguma informação altamente valiosa para a perícia de um caso. Para um perito forense é necessário conhecer todos os formatos de imagens para avaliar o tamanho real, em disco, de um arquivo de imagem. Como em qualquer tecnologia nova, na esteganografia ainda não há ferramentas que possam avaliar 100% uma imagem, por isso a necessidade de investimentos e estudos no assunto. A ferramenta freeware denominada Camouflage utiliza um determinado arquivo, nesse caso um arquivo de imagem, para “camuflar” demais arquivos. Como exemplo, na Figura 10, a ferramenta foi ilustrada com o uso de um arquivo de imagem intitulado PericiaGranbery.jpg para camuflar um arquivo de texto, do tipo .txt, denominado senhas.txt. Figura 10. Escolha do arquivo de imagem Como apresentado anteriormente e exemplificado na Figura 11 é escolhido um arquivo de imagem para que seja camuflado o arquivo de texto, sendo que o arquivo de imagem não sofrerá alterações na imagem, podendo trafegar pela Internet sem nenhum problema, mas se a pessoa que receber esse arquivo tiver a ferramenta Camuflage, é possível verificar se existe algo encoberto utilizando a opção UnCamuflage, assim podendo receber o arquivo e extrair o dado camuflado. Figura 11. Extração do arquivo camuflado Na seção seguinte serão destacados exemplos de hardwares que podem ser utilizados na perícia forense computacional. HARDWARES UTILIZADOS EM PERÍCIA Para realizar um processo de análise válido, é indispensável um conjunto de ferramentas confiável e, principalmente, que as evidências coletadas possam ser utilizadas em uma disputa judicial. A seguir, são apresentadas algumas ferramentas para auxiliar o perito em seu trabalho, com uma breve descrição de sua utilização e finalidade. – FastBlock 2 A empresa Guidance Software, além de desenvolver softwares para perícia forense, como o EnCase, também desenvolve hardwares para a área de perícia forense computacional, em conjunto com a empresa Wiebe Tech, como o FastBlock2 Lab Edition e Fiel Edition (GUIDANCE, 2007). O hardware Fiel Edition é uma ferramenta portátil, como apresentada na Figura 12, capaz de fazer bloqueios, criptografia, leituras e cópias de disco rígidos no próprio local do incidente a ser periciado. O hardware promove assim não só a coleta de dados, mas também a proteção dos dados coletados, apresentando tecnologias de comunicação ATA, SATA e USB (GUIDANCE, 2007). Figura 12. FastBloc2 Fiel Edition Já o hardware Lab Edition é uma ferramenta não portátil, como apresentada na Figura 13, utilizada somente em ambientes laboratoriais. Além de fornecer todas as funções da versão Fiel Edition, trabalha também com tecnologias de comunicação FireWare e ATA, que a outra versão não fornece. Além de serem compatíveis com software EnCase, trabalham diretamente com uma ferramenta denominada Computer Forensic Software Recognition para poder reaver, reorganizar e exportar estes dados coletados. As duas ferramentas trabalham tanto em plataformas Windows e Unix, quanto em plataforma Mac, atendendo assim os principais sistemas operacionais, que estão presentes hoje no mercado (GUIDANCE, 2007). Figura 13. FastBloc2 Lab Edition – Estação F.R.E.D Este hardware, ilustrado na Figura 14, consiste em uma estação de perícia produzida pela Digital Intelligence, Inc. (http://www.digitalintelligence.com), para aquisição e análise de evidências em computadores. Possui recursos não encontrados em estações padrão de mercado e configuração bastante flexível. Pode-se ter: disco flexível de 3 ½ e 5 ¼, drives de ZIP, JAZ e DITTO, discos IDE e SCSI, etc. Também possui bloqueadores de escrita por hardware (FREITAS, 2005). Figura 14. F.R.E.D - Forensic Recovery of Evidence Device (FREITAS, 2006) CONSIDERAÇÕES FINAIS Este trabalho apresentou um tema bastante atual e que tem recebido significativa atenção tanto da comunidade científica quanto da indústria: a forense computacional. Foram destacadas as etapas de uma perícia forense computacional, bem como ferramentas que podem ser utilizadas em uma investigação. A forense computacional trabalha com dados físicos e reais, mas numa realidade digital, na qual os dados físicos são informações elétricas, eletrônicas, magnéticas, eletromagnética e em outras formas mais ou menos voláteis. Os dados mudam, as tecnologias mudam, os equipamentos mudam, os conhecimentos mudam, tudo que conhecemos muda e sempre mudará, por isso há a necessidade da busca de conhecimentos para a aquisição e um maior detalhamento de evidências. Como proposta de trabalhos futuros cita-se a possibilidade de realizar um estudo mais avançado sobre ferramentas específicas para um determinado ambiente (linux ou windows), com o objetivo de exemplificar o uso dessas ferramentas em um caso real de perícia computacional. REFERÊNCIAS BIBLIOGRÁFICAS ANDRADE, T. F. de. Perícia Forense Computacional Baseada em Sistema Operacional Windows. Trabalho de Conclusão de Curso, Jaraguá do Sul, Santa Catarina, 2005. CRHISTÓFARO, G. T. Forense Computacional em Ambientes de Redes - EnCase, Apresentação na III Conferência Internacional de Investigação em Crimes Cibernéticos - IcCyber, Brasília, 2006. FREITAS, A. R. de. Perícia Forense Aplicada à Informática. Trabalho de Curso de Pós-Graduação “Lato Sensu”em Internet Security. IBPI. 2003. _________Perícia Forense Aplicada a Informática: Ambiente Microsoft. Rio de Janeiro: Brasport, 2006. GUIDANCE. About EnCase® Forensic. Disponível em: <http://www.guidancesoftware.com/products/ef_index.aspx/>. Acesso em: 14 ago. 2007. ILOOK. Disponível em: <http://www.ilook-forensics.org/>. Acesso em: 6 set. 2007. LEE, H. C., PALMBACH, T. M., MILLER, M. T. Henry Lee’s Crime Scene Handbook. San Diego: Academic Press.2001. MICROSOFT. Descrição do Promqry 1.0 e PromqryUI 1.0. Disponível em: <http://support.microsoft.com/kb/892853/>. Acesso em: 6 set. 2007. MELO, Sandro. Disponível em <http//www.linux.com.br>. Acesso em: 13 mar. 2005. MENEGOTTO, V. H. Análise Forense: Processo de Investigação Digital. Disponível em: <http://www.axur.com.br/artigo.php?id=67>. Acesso em: 10 dez. 2006. OLIVEIRA, F. S. Metodologias de Análise Forense para Ambientes Baseados em NTFS. 2001. OLIVEIRA, F. S.; GUIMARÃES, C. C.; GEUS, P. L. Resposta a Incidentes para Ambientes Corporativos Baseado em Windows. 2002. OLLYDBG. Disponível em: <http://www.ollydbg.de/>. Acesso em: 10 set. 2007. PALMER, G. and CORPORATION, M. A Road Map for Digital Forensic Research. Technical Report. 2001. PEREIRA, Marcos Nascimento Borges. Disponível em: <http://www.forensedigital.com.br>. Acesso em: 12 mai. 2007. PEREIRA et al. Forense Computacional: Fundamentos, Tecnologias e Desafios Atuais. Anais do VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais, pp. 03-53, Rio de Janeiro, 2007. PERITO CRIMINAL. Disponível em <http://www.peritocriminal.com.br/> Acesso em abril de 2007. REIS, M. A.; GEUS, P. L. Forense Computacional: Procedimentos e Padrões. 2001. TAMOSOFT. Disponível em: <http://www.tamos.com/products/smartwhois/>. Acesso em: 03 ago. 2007. VARGAS. R. G.; QUINTÃO, P.L; GRIZENDI, L.T. Perícia Forense Computacional. Anais do I Workshop de Trabalhos de Iniciação Científica e de Graduação da Faculdade Metodista Granbery, pp. 20-29, Juiz de Fora, Maio de 2007. VARGAS, R. G. Processos e Padrões em Perícia Forense Aplicado a Informática. Trabalho de Conclusão de Curso, Bacharelado em Sistemas de Informação, Faculdade Metodista Granbery, Juiz de Fora, Minas Gerais, 2006. VISUALWARE. eMailTrackerPro ® 2007. Disponível <http://www.emailtrackerpro.com/index.html>. Acesso em: 19 abr. 2007. em:
