docRENATO BENTO CLEMENTE - Instituto de Computação
download 
Denúncia Transcrição
RENATO BENTO CLEMENTE - Instituto de Computação
UNIVERSIDADE FEDERAL DE MATO GROSSO COORDENAÇÃO DE ENSINO DE GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO TÉCNICAS DA FORENSE COMPUTACIONAL PARA COLETA, IDENTIFICAÇÃO E PRESERVAÇÃO DE EVIDÊNCIA DIGITAL NA ANÁLISE LÓGICA EM AMBIENTE WINDOWS (NTFS) RENATO BENTO CLEMENTE CUIABÁ – MT 2009 UNIVERSIDADE FEDERAL DE MATO GROSSO COORDENAÇÃO DE ENSINO EM GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO TÉCNICAS DA FORENSE COMPUTACIONAL PARA COLETA, IDENTIFICAÇÃO E PRESERVAÇÃO DE EVIDÊNCIA DIGITAL NA ANÁLISE LÓGICA EM AMBIENTE WINDOWS (NTFS) RENATO BENTO CLEMENTE Orientador: Prof. MSc. JOSE DE PAULA NEVES NETO Monografia apresentado ao Curso de Ciência da Computação da Universidade Federal de Mato Grosso, como requisito para a elaboração de Trabalho de Conclusão de Curso, para obtenção do Titulo de Bacharel em Ciência da Computação. CUIABÁ - MT 2009 UNIVERSIDADE FEDERAL DE MATO GROSSO COORDENAÇÃO DE ENSINO DE GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO CERTIFICADO DE APROVAÇÃO Título: TÉCNICAS DA FORENSE COMPUTACIONAL PARA COLETA, IDENTIFICAÇÃO E PRESERVAÇÃO DE EVIDÊNCIA DIGITAL NA ANÁLISE LÓGICA EM AMBIENTE WINDOWS (NTFS) Autor: Renato Bento Clemente Aprovada em ___/___/______ Prof. MSc. José de Paula Neves Neto Instituto de Computação - UFMT (Orientador) Prof. MSc. Luís Cézar Darienzo Alves Instituto de Computação - UFMT Prof. MSc. Luciana Correia Lima de Faria Borges Instituto de Computação - UFMT DEDICATÓRIA A todos os meus familiares que acreditam na minha capacidade de superação. Em especial minha mãe, que tem trabalhado dignamente a vida toda, por acreditar na capacidade de seus filhos. Aos poucos e bons amigos que fiz nesta jornada que agora se encerra. AGRADECIMENTOS Ao MSc. José de Paula Neves Neto por ter aceito de imediato me orientar na realização deste trabalho. Aos colegas de sala com os quais, sem sombra de dúvidas, aprendi a ser um ser humano melhor. Em especial, Igor Lysenko e Cleber Gomes por terem contribuído com material para a realização deste trabalho, assim como Rafael (Patrão), Filipe Molina (Tsu) por suas histórias e companheirismo nas horas de bar, Vitor Hugo (Hermano) por ser o palhaço que é, Vinicius Baum (Vini Bom) e Davidson (Bambuxa), Rodrigo (Digão) por sua paciência irritante e por fim, Leonardo Albuquerque (MCSA, MCDST...) que está “bombando” na cidade. Agradeço a todos aqueles que participaram de mais um ciclo da minha vida que agora se encerra. Não tenho dúvidas que levarei um pouco de todos comigo e com certeza ira contribuir para que eu seja melhor do que quando teve inicio esta etapa da minha vida, e por fim, agradeço a todos os professores. A todos, muito obrigado. SUMÁRIO LISTA DE FIGURAS.......................................................................................................................................... 8 LISTA DE TAB ELAS ....................................................................................................................................... 10 RES UMO .............................................................................................................................................................. 11 LISTA DE S IGLAS E AB REVIATURAS................................................................................................... 12 1. INTRODUÇÃO .............................................................................................................................................. 13 1.1 A PRESENTAÇÃO......................................................................................................................................... 13 1.2 OBJET IVOS.................................................................................................................................................. 15 1.2.1. Objetivo Geral ................................................................................................................................. 15 1.2.2. Objetivos Específicos ..................................................................................................................... 15 1.3. JUST IFICATIVA .......................................................................................................................................... 15 1.4 M ET ODOLOGIA .......................................................................................................................................... 16 1.5 CRONOGRAMA PROPOST O........................................................................................................................ 17 1.6 CRONOGRAMA EXECUTADO.................................................................................................................... 19 2. FORENSE COMPUTACIONAL ....................................................................................................................... 20 2.1 A A NÁLISE PERICIAL ................................................................................................................................ 21 2.1.1 Análise Lógica .................................................................................................................................. 21 2.2 PADRONIZAÇÃO NA FORENSE COMPUTACIONAL................................................................................. 22 2.2.1 Principais Entidades ....................................................................................................................... 22 2.3 A NATUREZA DE UM CRIME CIBERNÉTICO ............................................................................................. 23 2.4 EVIDÊNCIA DIGITAL.................................................................................................................................. 25 2.4.1 Desafios na obtenção da evidência digital.................................................................................. 25 2.4.2 Fontes de Informação ..................................................................................................................... 26 2.5 BOAS PRÁTICAS NA FORENSE COMPUTACIONAL ................................................................................... 29 2.5.1 Coletando Evidências...................................................................................................................... 30 2.5.2 Manuseio da Evidência................................................................................................................... 30 2.6 FERRAMENTAS FORENSES........................................................................................................................ 32 2.6.1 Categoria de Ferramentas Forenses............................................................................................ 32 3. TÉCNICAS, PROCEDIMENTOS E FERRAMENTAS DA FORENS E COMPUTACIONAL ................................................................................................................................................................................. 33 3.1 PRIMEIRA RESPOST A A INCIDENTES ....................................................................................................... 33 3.2 PROCESSO DE A NÁLISE FORENSE ........................................................................................................... 34 3.2 TERMINOLOGIA COMUMENTE UTILIZADA.............................................................................................. 36 3.3 O PROCESSO DE INVEST IGAÇÃO DOS ILÍCITOS ENVOLVENDO SISTEMAS COMPUTACIONAIS. ......... 37 3.3.1 Busca e apreensão ........................................................................................................................... 37 3.3.2 Transportando os equipamentos apreendidos............................................................................ 41 3.3.3 Encaminhando o material para a análise ................................................................................... 42 3.3.4 O processo de identificação dos artefatos................................................................................... 42 3.3.5 Cadeia de Custódia ......................................................................................................................... 43 3.4 O LABORATÓRIO DE FORENSE COMPUTACIONAL ................................................................................ 43 3.4.1 Instalações Físicas .......................................................................................................................... 44 3.4.2 Equipamentos Disponíveis no Laboratório................................................................................. 45 3.4.3 Softwares ........................................................................................................................................... 47 3.5 LAUDO PERICIAL ....................................................................................................................................... 54 3.6 INICIANDO O PROCESSO DE ANÁLISE ...................................................................................................... 54 3.6.1 Criação da imagem pericial .......................................................................................................... 55 3.7 A GEOMET RIA DO DISCO RÍGIDO............................................................................................................ 57 3.7.1 O Funcionamento de um Disco Rígido ........................................................................................ 59 3.7.2 Sistemas de arquivos ....................................................................................................................... 65 3.8 O SI ST EMA OPERACIONAL WINDOWS XP E O SISTEMA DE A RQUIVOS NTFSF.............................. 68 3.8.1 Princípios de Projeto do Windows XP ......................................................................................... 68 3.8.2 Componentes do Sistema Operacional Windows XP ................................................................ 70 3.8.3 Sistema de Arquivos NTFS ............................................................................................................. 73 4. ILÍCITOS COMPUTACIONAIS.............................................................................................................. 81 4.1 PEDOFILIA E PORNOGRAFIA INFANTIL ................................................................................................... 84 5. O CENÁRIO PROPOSTO.......................................................................................................................... 90 5.1 ONDE ENCONT RAR EVIDÊNCIA NO W INDOWS XP ............................................................................... 91 5.1.1 Evidência do Usuário...................................................................................................................... 91 5.1.2 Evidência do Sistema ...................................................................................................................... 92 5.2 A INVEST IGAÇÃO DO CENÁRIO PROPOST O..........................................................................................100 5.2.1 A Técnica Utilizada .......................................................................................................................100 5.2.2 As primeiras Providências ...........................................................................................................101 5.2.3 Coleta de Dados.............................................................................................................................103 5.2.4 Análise dos Dados Coletados ......................................................................................................113 5.2.5 Preservação das Evidências ........................................................................................................119 5.2.6 Laudo pericial ................................................................................................................................121 6. CONS IDERAÇÕES FINAIS ....................................................................................................................123 7. REFERÊNCIAS B IB LIOGRÁFICAS ...................................................................................................124 8 LISTA DE FIGURAS FIGURA 1 – DIVISÃO DAS AT IVIDADES OPERACIONAIS DA FORENSE COMPUTACIONAL ............................ 34 FIGURA 2 – CICLO DE PROCESSOS DA FORENSE COMPUTACIONAL . .............................................................. 35 FIGURA 3 – APARÊNCIA DE DISCO REMOVÍVEL ................................................................................................ 40 FIGURA 4 – M ÍDIAS REMOVÍVEIS MAIS COMUNS. ............................................................................................. 41 FIGURA 5 – FORMULÁRIO PADRÃO..................................................................................................................... 43 FIGURA 6 – F.R.E.D (FORENSE RECOVERY EVIDENCE DEVICE). .................................................................. 46 FIGURA 7 – F.R.E.D –L. ....................................................................................................................................... 46 FIGURA 8 – TELA INICIAL DO HELIX. ................................................................................................................. 50 FIGURA 9 – FTK, FERRAMENTA PARA CRIAÇÃO DE IMAGENS DE DISCOS..................................................... 51 FIGURA 10 – M ENU PARA COLETA DE DADOS NO FDTK UBUNT UBR........................................................... 52 FIGURA 11 – FORMULÁRIO DE CADEIA DE CUST ÓDIA NO FDTK. ................................................................. 52 FIGURA 12 – UT ILITÁRIOS PARA A CRIAÇÃO DE IMAGENS DOS DISCOS. ....................................................... 53 FIGURA 13 – UT ILITÁRIOS PARA QUEBRA DE SENHA JOHN THE RIPPER........................................................ 53 FIGURA 14 – HIERARQUIA DE MEMÓRIA DE CINCO NÍVEIS .............................................................................. 58 FIGURA 15 – INTERIOR DE UM DISCO RÍGIDO. .................................................................................................. 59 FIGURA 16 – DISCO , T RILHAS E SET ORES. ......................................................................................................... 60 FIGURA 17 – DISCO , BRAÇOS E CABEÇAS DE LEITURA..................................................................................... 62 FIGURA 18 – CONCEIT O DE CILINDRO. .............................................................................................................. 63 FIGURA 19 – DIAGRAMA DE BLOCOS DO WINDOWS XP. ................................................................................ 71 FIGURA 20 – M AST ER FILE TABLE .................................................................................................................... 78 FIGURA 21 – EXEMPLO DE UM REGIST RO PARA UM ARQUIVO PEQUENO. ..................................................... 79 FIGURA 23 – EST RUT URA DE UM VOLUME NTFS............................................................................................. 80 FIGURA 22 – EXEMPLO DE REGIST RO DE UM ARQUIVO. .................................................................................. 80 FIGURA 24 – INDICADORES DO SAFERNET ........................................................................................................ 87 FIGURA 25 – SAFERNET , COMPARATIVO ENTRE PERÍODOS. ........................................................................... 88 FIGURA 26 – LI ST A DOS DOCUMENTOS RECÉM ABERT OS................................................................................ 93 FIGURA 27 – CONFIGURAÇÃO DOS ARQUIVOS TEMPORÁRIOS DA INT ERNET NO WINDOWS. ..................... 94 FIGURA 28 – HIST ÓRICO DE NAVEGAÇÃO INTERNET EXPLORES. .................................................................. 94 FIGURA 29 – PAINEL DE HIST ÓRICO DO MOZILA FIRE FOX. ........................................................................... 95 FIGURA 30 – TELA DO REGEDIT .EXE COM AS CHAVES DO REGIST RO. ........................................................... 96 FIGURA 31 – REGI ST RO DOS ÚLTIMOS ARQUIVOS ACESSADOS P ELO USUÁRIO. ........................................... 97 FIGURA 32 – REGI ST RO DA MFT COM MACTIMES. ........................................................................................ 98 FIGURA 33 – EXEMPLO DO SUMARIO, USO DO ALTERNATE ST REAM. ............................................................ 99 FIGURA 34 – FOT OGRAFIA DA TELA DO COMPUTADO SUSPEITO. .................................................................101 FIGURA 35 – FOT OGRAFIA DO CENÁRIO. .........................................................................................................102 FIGURA 36 – FOT OGRAFIA DA PARTE TRASEIRA DO COMPUT ADOR.............................................................102 FIGURA 37 – FERRAMENTA DE CRIAÇAO DE IMAGENS DO HELIX ...............................................................104 FIGURA 38 – FERRAMENTA PARA GERAÇÃO DE HASH. .................................................................................105 FIGURA 39 – CRIADOR DE IMAGENS DO HELIX...............................................................................................105 FIGURA 40 – A RQUIVOS GERADOS PELO DUMP DA MEMÓRIA......................................................................106 FIGURA 41 – INFORMAÇÕES DO ARQUIVO IMAGE.DD_AUDIT .......................................................................106 FIGURA 42 – INFORMAÇÕES DO SIST EMA, FERRAMENTA DO HELIX. ..........................................................107 FIGURA 43 – PROCESSOS SENDO EXECUTADOS PELO W INDWOS. ................................................................108 FIGURA 44 – VISÃO GERAL DO SISTEMA, W INA UDIT ....................................................................................109 FIGURA 45 – INFORMAÇÕES SOBRE O DISCO RÍGIDO......................................................................................109 FIGURA 46 – PC ON/OFF TIME, MOST RA O USO DO COMP UTADOR NAS ULTIMAS T RÊS SEMANAS..........110 FIGURA 47 – FERRAMENTAS FORENSES DISPONÍVEIS PARA RESPOST A À INCIDENTES. ............................111 FIGURA 48 – P ST VIEWER. ..................................................................................................................................112 FIGURA 49 – IEHI ST ORY MOST RA AS ÚLTIMA URLS VI SIT ADAS.................................................................112 FIGURA 50 – SCAN FOR PICT URES, ENCONT RA ARQUIVOS DE IMAGENS. ...................................................113 FIGURA 51 – INFORMAÇÕES DO USUÁRIO DO SIST EMA. ................................................................................114 FIGURA 52 – IEHI ST ORY, INDÍCIOS DE UM ILÍCITO. ......................................................................................114 FIGURA 53 – O S ARQUIVOS AINDA EST ÃO NO DISCO. ....................................................................................115 FIGURA 54 – SCAN FOR PICT URES, PROVAS DA POSSE DE MATERIAL ILÍCITO. ..........................................116 FIGURA 55 – DAT A DE CRIAÇÃO DO ARQUIVO DE IMAGEM . .........................................................................116 9 FIGURA 56 – PERÍODO DE USO DO SISTEMA. ...................................................................................................117 FIGURA 57 – A RQUIVOS DE VÍDEO COM NOMES PERTINENTES AO CASO. ...................................................117 FIGURA 58 – HIST ÓRICO DE AÇÕES DO HELIX. ...............................................................................................119 10 LISTA DE TABELAS TABELA 1 – TAMANHOS PADRÕES PARA CLUST ERS NOS SIST EMAS DE ARQUIVOS DO W INDOWS XP ...... 76 TABELA 2 – FICHA DOS DADOS REFERENTES A CADA EVIDÊNCIA COLETADA. ..........................................120 11 RESUMO O uso de sistemas computacionais para o cometimento de ilícitos é uma realidade dos nossos dias que deve ser enfrentada seriamente. A Forense Computacional surge como uma resposta àqueles que perpetuam atos danosos a sociedade, nos quais os sistemas computacionais estejam envolvidos de diversas maneiras. Neste trabalho são abordados os principais aspectos desta nova ciência, a Forense Computacional. São apresentados, algumas das principais técnicas, procedimentos e ferramentas disponíveis ao perito para a realização do seu trabalho. Também é proposto um cenário de um ilícito, onde serão aplicadas as técnicas, procedimentos para identificação, coleta, análise e preservação da evidência digital, através do uso de uma ferramenta forense chamada Helix 3. Neste cenário será usado um computado do tipo PC com sistema operacional Windows XP Professional Service Pack 2. As técnicas serão aplicadas com o intuito de buscar evidências do ilícito proposto, no caso um computador onde está armazenado material com conteúdo proibido relacionado à pornografia infantil. 12 LISTA DE SIGLAS E ABREVIATURAS BIOS Basic Input Output System CDFS CD-ROM File System CMOS Complementary Metal-Oxide-Semiconductor FAT File Allocation Table (Tabela de Alocação de Arquivos) HD Hard Disc (Disco Rígido) IBM International Bussines Machine IOCE International Organization on Computer Evidence MB Mega Byte (Unidade de medida) MS Microsoft NTFS New Tecnology File System PC Personal Computer RAM Random Access Memory SACC Seção de Apuração de Crimes por Computador SP2 Service Pack 2 SO Sistema Operacional SWGDE Scientific Working Group on Digital Evidence UDF Universal Disk Format URL Uniform Resource Locator USB Universal Serial Bus 13 1. INTRODUÇÃO 1.1 APRESENTAÇÃO Ao longo da história humana, diversos avanços tecnológicos acabaram sendo usados para o cometimento de ilícitos de diversas naturezas. A evolução da ilicitude juntamente com o avanço da tecnologia e da popularização de seu uso em atividades criminosas tem sido, de uma forma geral, muito mais rápido do que a capacidade da legislação preventiva de se adequar a essa realidade. Sendo assim, as técnicas utilizadas na elucidação desses ilícitos precisaram evoluir na tentativa de dar uma resposta a essas ações contrarias à lei. Mais que evoluir, precisaram ser desenvolvidas e estudas como uma ciência, a Ciência Forense. A Ciência Forense é a aplicação da Ciência com o objetivo de auxiliar a resolução de questões legais. A forense não é por si só uma ciência, o termo pode descrever qualquer ciência, Psicologia, Química, Toxicologia, mas mais comumente descreve a aplicação das tecnologias de uma ciência, do que a ciência propriamente dita (MOHAY et al., 2003). O campo da Ciência Forense se desenvolveu ao longo dos séculos. Segundo Nolan et al (2005), os primeiros registros datam de 1248 D.C., na ocasião um médico chamado Hi Duan Yu, escreveu “The Washing Away of Wrongs” algo como, “a purificação dos erros”. Yu representou o conhecimento anatômico e médico da época relacionando-os à lei, tais como a diferença entre afogamento, estrangulamento e morte por causas naturais. Considerando que a Ciência Forense teve todos esses anos para evoluir, o campo tão especializado quanto a Forense Computacional ainda está engatinhando. Portanto, não deve ser surpresa que haja tão pouca padronização e consistência entre as cortes e a indústria da área de Forense Computacional, como resultado ainda não pode ser considerada formalmente como uma disciplina científica (NOLAN et al., 2005) A adoção de computadores pessoais por usuários domésticos e pela indústria na década de 1980 e no início da década de 1990 resultou em um enorme volume informações 14 eletrônicas armazenadas que pode, se necessário, constituir evidência eletrônica de atividades ilícitas e/ou suspeitas (MOHAY et al., 2003). Assim como aconteceu antes, as técnicas de elucidação de crimes e outros atos ilícitos precisaram se desenvolver para permitir o esclarecimento de uma nova categoria de lesão praticada através de dispositivos de computação, surgindo assim a Forense Computacional. A Forense Computacional é um campo relativamente novo, criado com o objetivo de suprir as necessidades de instituições legalmente constituídas, no que se refere à manipulação das novas formas de evidência digital (GUIMARÃES et al., 2001). Tratase da ciência que estuda a aquisição, preservação, recuperação e posterior análise dos dados que estejam em formato eletrônico e que esteja armazenado em algum tipo de mídia computacional. Outra definição para a Forense Computacional pode ser “Forense Computacional: O estudo de como as pessoas usam o computador para causar danos, ferir e mesmo destruir.” (MOHAY et al., 2003, p. 1, tradução nossa). O ambiente Microsoft Windows foi escolhido especialmente por ser o SO mais popularmente utilizado no mundo, seja em uso empresarial ou doméstico. Conseqüentemente, a presença maciça do SO Windows em sistemas computacionais o torna mais comumente utilizado em muitos dos ilícitos computacionais. Este trabalho descreve o que é uma evidência digital e as técnicas utilizadas pela Forense Computacional para realizar sua correta manipulação. Para que a evidência tenha valor judicial na elucidação de um ilícito. 15 1.2 OBJETIVOS 1.2.1. Objetivo Geral O objetivo deste trabalho é descrever os procedimentos da Forense Computacional, no processo de análise lógica em ambiente Microsoft Windows (NTFS), para obtenção de uma evidência digital legalmente aceita levando-se em consideração a atual realidade da legislação brasileira. 1.2.2. Objetivos Específicos Descrever os aspectos gerais da Forense Computacional; Descrever o que é uma Evidência Digital; Descrever a padronização na obtenção da Evidência Digital; Descrever as técnicas de análise forense existentes; Criar um cenário de um ilícito hipotético com o uso de computador; Identificar qual a técnica se adéqua melhor ao cenário proposto; Realizar a análise lógica dos dados encontrados no computador. 1.3. JUSTIFICATIVA O aumento considerável de ilícitos relacionados a dispositivos de computação requer medidas de investigação que sejam tecnicamente capazes de combater este tipo de ação danosa através da aquisição de tecnologia, treinamento de seu pessoal e parcerias com instituições técnico-científicas, a fim de validar judicialmente as provas armazenadas em computadores e outros dispositivos digitais. A Forense Computacional é uma área de pesquisa relativamente recente e são poucos os trabalhos sobre este assunto no Brasil. Entretanto, é crescente a necessidade de seu desenvolvimento, haja visto que a utilização de computadores em atividades ilegais é cada vez mais comum. Arquivos de log, correspondência eletrônica, arquivos de texto e de imagem constituem-se em dados importantes para elucidação de ilícitos computacionais. Recentes leis aprovadas no Brasil tentam diminuir a impunidade de quem comete tais ilícitos. 16 Inúmeros crimes digitais ficaram sem punição por absoluto desconhecimento de muitos magistrados quanto à possibilidade de se rastrear o que foi feito em um computador, e como foi feito. Com as recentes tentativas dos legisladores brasileiros de tipificarem os crimes cometidos através de dispositivos computacionais, fica clara e evidente a grande importância do estudo da Ciência Forense Computacional, seus aspectos jurídicos e suas técnicas de obtenção das evidências digitais e, conseqüentemente o peso de seu valor probante na elucidação de atos ilícitos. 1.4 METODOLOGIA A metodologia utilizada inicia-se com a pesquisa e o levantamento bibliográfico de informações sobre a Forense Computacional no contexto atual, visando obter conhecimento teórico das principais técnicas utilizadas na pratica de obtenção, preservação e posterior análise e caracterização de uma evidência digital. As informações serão obtidas através de livros, artigos, e revistas eletrônicas especializadas em Forense Computacional. Após reunir conhecimento teórico, serão realizados testes práticos em um ambiente hipotético de um ilícito cometido com um computador, com o propósito de definir qual a melhor técnica para o cenário proposto. O processo de análise será realizado em um computador arquitetura IBM PC, com 80 gigabytes de capacidade de disco rígido e 512 megabytes de memória RAM, rodando o sistema operacional Windows XP SP2 32 bits. 17 1.5 CRONOGRAMA PROPOSTO A seguir será apresentado o cronograma proposto para ser executado durante o desenvolvimento do trabalho de conclusão de curso. Tabela 1 – Cronograma Proposto Meses / Semanas Etapas Mar Abr Mai Jun Jul Ago Set Out Nov 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 Etapa 1 Etapa2 Etapa 3 Etapa 4 Etapa 5 Etapa 6 Etapa 7 Etapa 8 Etapa 9 Etapa 1 – Pesquisa Bibliográfica. Consiste na pesquisa bibliográfica: leitura de livros e artigos para reunir conhecimento teórico acerca da forense computacional, suas técnicas empregadas na coleta, preservação e posterior análise da evidência digital. Etapa 2 – Detalhamento das técnicas e ferramentas empregadas na forense computacional. Nesta etapa serão apresentadas as técnicas ferramentas utilizadas em cada uma das fazes na forense computacional. Etapa 3- Detalhamento dos ilícitos cibernéticos. Será feita uma descrição dos crimes cibernéticos mais comuns. Etapa 4 – Apresentação e implantação do cenário de um ilícito hipotético. Nesta etapa do projeto, há a intenção de se criar um cenário de um ilícito computacional, para que se realize um estudo de caso. 18 Etapa 5 – Inicio da aplicação da análise forense. Nesta etapa terá inicio fase prática do trabalho, com a primeira parte da análise forense que consiste em coletar as evidências no cenário do crime cibernético. Serão utilizadas as técnicas e ferramentas detalhadas na etapa 2. Etapa 6 – Preservação da evidência. Aplicação das técnicas e ferramentas utilizadas para a preservação das evidências digitais. Etapa 7 – Análise da Evidência. Aplicação da última fase da parte técnica da forense computacional, que consiste na utilização das ferramentas e técnicas para a análise da evidência recolhida e preservada. Etapa 8 – Análise dos resultados finais e escrita da monografia. Consiste na elaboração de um laudo técnico acerca das evidências digitais produzidas. Etapa 9 – Apresentação à banca avaliadora 19 1.6 CRONOGRAMA EXECUTADO Etapas Meses / Semanas MAR ABR MAI JUN JUL AGO SET OUT NOV 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 Etapa 1 Etapa2 Etapa 3 Etapa 4 Etapa 5 Etapa 6 Etapa 7 Etapa 8 Etapa 9 No cronograma executado foram observadas algumas diferenças em relação ao cronograma proposto. A principal delas é referente ao te mpo estimado para a realização do processo de análise, que fora bem menor que o esperado. 20 2. FORENSE COMPUTACIONAL A Forense Computacional é a área de pesquisa forense que foi criada para suprir as necessidades das instituições legalmente constituídas no que se refere às novas formas de evidências digitais existentes. “Forense Computacional é a identificação, preservação, e análise de informação armazenada, transmitida, ou produzida por sistemas computacionais [...]” (MOHAY et al., 2003, p.21). O objetivo da análise em dispositivos de computação é a extração de qualquer vestígio que possibilite a elaboração de material probante, re lacionado ao caso investigado, legalmente aceito, que comprove a existência de um ilícito e sua autoria. Ainda que o resultado da investigação não seja levada à corte é preciso que se proceda responsavelmente, “O escopo de uma investigação compreende detectar ações planejadas e ações em curso, bem como ações passadas.” (MOHAY et al., 2003, p.6). A Ciência Forense tem produzido resultados importantes ao longo dos anos e seu valor jurídico decorre do fato que seus resultados são produzidos a partir de fundamentos científicos e não da interpretação subjetiva. Para sustentar os resultados da análise forense é necessário seguir procedimentos e protocolos, além da confecção de documentos e laudos judicialmente aceitáveis e cientificamente comprováveis que assegurarão os requisitos técnicos e legais de uma evidência produzida. Uma perícia em um computador suspeito de invasão o u mesmo apreendido em alguma operação policial, envolve uma serie de procedimentos técnicos e ferramentas adequadas para se efetuar a análise. Além da necessidade de que se conheça as minúcias do sistema operacional para que fiquem claros os efeitos das ações do perito. A preocupação em se usar ferramentas adequadas para a realização do trabalho pericial decorre do fato da necessidade de não se alterar o sistema que está sendo analisado. Qualquer alteração do sistema pode prejudicar toda a investigação. 21 Uma análise em um computador pode produzir provas claramente incriminadoras, como uma agenda de contatos ou diários pessoais. Analisar um sistema computacional suspeito não é uma tarefa fácil, é preciso observar o computador não como um usuário comum o observa, mas como um detetive o faria. A Forense Computacional pode ser considerada um assunto relativamente novo no Brasil. Contudo, o crescimento do acesso aos meios computacionais e seu uso em atividades danosas tem alimentado o desenvolvimento de novos estudos sobre o assunto. 2.1 A ANÁLISE PERICIAL A análise pericial é considerada de extrema importância na solução de ilícitos diversos, pois se trata do processo seguido pelo perito para extrair informações relevantes de diversas fontes, sistemas computacionais no caso da Forense Computacional, e auxiliar nas investigações e no processo judicial. A análise pericial em computadores não é diferente e exige paciência, atenção e raciocínio apurado. A análise pericial em computadores pode ser dividida em duas camadas: análise lógica e análise física. Neste trabalho abordamos a análise lógica. 2.1.1 Análise Lógica “A análise lógica, às vezes conhecida como análise arquivo por arquivo [...]” (MOHAY et al., 2003, p.56) realiza a investigação em nível de aplicação, procedendo a análise do conteúdo do arquivo, usando a aplicação que o produziu ou uma ferramenta aplicativo específica para ler o arquivo produzido por aquela aplicação. Segundo (MOHAY et al., 2003) a análise lógica possui dois benefícios: Ela supera a principal lacuna da análise física, a qual por sua natureza irá ignorar strings de busca divididas entre dois setores logicamente consecutivos de um arquivo, caso eles não estiverem fisicamente consecutivos no disco. Ela fornece uma visão de alto nível ou semântica do conteúdo do arquivo. Por exemplo, inspecionar um diretório de arquivo é mais simples usando um comando “dir” no ambiente Microsoft Windows ou um comando “ls” do UNIX 22 do que usando um editor de texto simples. Um exemplo similar ao uso de comandos, só que mais poderoso, ocorre ao examinarmos os registros do Microssoft Windows NT/2000/XP, o qual é muito facilitado pelo uso do programa regedit. 2.2 PADRONIZAÇÃO NA FORENSE COMPUTACIONAL A criação de padrões de procedimentos na execução de exames periciais em computadores deve obedecer aos aspectos legais e técnicos. Os aspectos técnicos precisam, por sua vez, obedecer estritamente o que diz a lei vigente, para que os resultados produzidos pelos procedimentos periciais sejam válidos (REIS & GEUS, 2001). Para se desenvolver protocolos e estabelecer políticas para a correta manipulação da evidência digital é preciso que estes protocolos e po líticas reflitam o consenso da comunidade científica internacional, possibilitando a produção de resultados válidos e reprodutíveis. Diferentemente das outras práticas forenses, na Forense Computacional não se pode aplicar sempre o mesmo método. No exame de uma gota de sangue, para se identificar a quem ela pertence basta realizar um exame de DNA, e compará- la à amostras dos possíveis suspeitos, com seus padrões e procedimentos. Na análise forense de um computador temos que levar em consideração o sistema operacional, o sistema de arquivo, os protocolos de rede e o tipo de mídia que se quer analisar. Existem regras para a boa prática da forense computacional, elas foram desenvolvidas pela Scientific Working Group on Digital Evidence (SWGDE), representante estadunidense nos esforços de padronização da Forense Computacional, e seguem o principio de que toda instituição que lida com investigação forense deve buscar um alto nível de qualidade para garantir a confiança e a exatidão da evidência, visando seu valor jurídico. 2.2.1 Principais Entidades Existem várias entidades internacionais que buscam o desenvolvimento das técnicas empregadas e também uma padronização para a Forense Computacional entre elas destacamos (REIS & GEUS, 2001): International Organization on Computer Evidence (IOCE): Principal entidade internacional centralizadora dos esforços de padronização. Ela foi estabelecida em 1995 23 com o objetivo de facilitar a troca de informações entre as diversas agências internacionais, sobre a investigação de crimes envolvendo computadores ou outros assuntos forenses relacionados ao meio eletrônico. Scientific Working Group on Digital Evidence (SWGDE): Criado em 1998, ele é o representante estadunidense nos esforços de padronização conduzidos pela IOCE. Seção de Apuração de Crimes por Computador (SACC): Atua no âmbito do Instituto Nacional de Criminalística/Polícia Federal, a fim de dar suporte técnico às investigações conduzidas em circunstâncias onde a presença de materiais de informática é constatada. 2.3 A NATUREZA DE UM CRIME CIBERNÉTICO Forense Computacional envolve a investigação de evidências baseadas em computadores e isso necessariamente requer que o investigador entenda as regras seguidas pela tecnologia computacional (MOHAY et al., 2003). Muitas investigações não serão necessariamente levadas a juízo. Não obstante, ainda sim precisam ser realizadas, talvez visando descobrir uma falha e poder repará-la. O uso de computador inspirou uma nova gama de formas de ações criminosas tais como invasão de privacidade, fraudes bancárias, divulgação de pornografia infantil e difamação pessoal. Visto que muitos desses atos necessariamente exigem de seu praticante um bom nível de conhecimento prático de informática, as ações praticadas ganham certo “glamour” e seus praticantes são vistos por muitos como heróis e não como bandidos. Os ilícitos virtuais cresceram no mundo inteiro e no Brasil especialmente na última década. Devido a uma estabilidade econômica mais acentuada, diversos bens de consumo ficaram mais acessíveis à população em geral, entre eles o computador. Com o número cada vez maior de usuários de computador, conectados ou não a Internet, criouse, no Brasil, um mundo de oportunidades repleto de vítimas em potencial para as ações ilícitas. Este novo mundo de tecnologia que criou a chamada sociedade da informação possibilitou o surgimento de uma nova gama de criminosos. São eles os hackers e os 24 crackers que permeiam, entre outras figuras, o imaginário dos usuários de computadores. Estes são responsáveis por boa parte dos prejuízos causados aos usuários de sistemas computação especialmente através da Internet, disseminando vírus, desvendando códigos ou roubando e divulgando informações pessoais ou sigilosas. Dentre os crimes mais praticados podemos destacar: furto de dados, estelionato, clonagem de cartões de crédito, injúria, difamação, calúnia, racismo, homofobia, terrorismo, venda de drogas ilícitas, roubo de propriedade intelectual, divulgação de pornografia infantil entre outros. Existe, contudo, segundo Mohay et al (2003), uma classificação de crimes de computador assim aceita: O computador é o alvo do crime, com a intenção de danificar sua integridade, confidencialidade e/ou disponibilidade. O computador é um repositório de informações usadas ou geradas pelo cometimento de um crime. O computador é usado como ferramenta no cometimento de um crime. Computador como alvo: neste tipo de crime o computador é o alvo e pode estar envolvido em uma situação criminosa quando sua integridade, confidencialidade e/ou disponibilidade é atacada. Este tipo de ilícito, geralmente, visa adquirir informações armazenadas no computador sem autorização, com o intuito de se obter o controle do sistema ou alterar a integridade dos dados ou interferir na disponibilidade dos serviços. Computador como fonte de informações: o computador é usado como repositório de informações usadas ou geradas no cometimento de um crime. Um traficante de drogas pode usar o computador para armazenar informações de sua movimentação financeira. Um hacker pode armazenar, em um computador, informações como senha de usuários e números de cartões de crédito roubados. Computador usado como ferramenta: neste exemplo o computador é usado como ferramenta para o cometimento de ações criminosas. Muitas delas são apenas reproduções de ações cometidas no mundo real, ou seja, são ações criminosas 25 tradicionais cometidas rotineiramente, em sociedade, sem a necessidade de um computador. Exemplos são a venda de drogas ilegais pela Internet, divulgação de pornografia infantil, fraudes bancárias e violação de direitos autorais. Além disso, as facilidades dos sistemas computacionais podem ser usadas indiretamente em ilícitos. Email e salas de bate papo podem ser usados para planejar inúmeras ações criminosas. Cabe à forense computacional o trabalho de identificar, coletar, preservar e analisar as evidências destes crimes, auxiliando os órgãos policiais e judiciais competentes na solução e posterior punição dos atos ilícitos que tenham sido perpetrados. 2.4 EVIDÊNCIA DIGITAL A complexidade da forense computacional e da evidência computacional cresceu com a sofisticação dos computadores e do uso da Internet. Evidência é o que distingui a hipótese de uma afirmação infundada (MOHAY et al., 2003). 2.4.1 Desafios na obtenção da evidência digital Muitos suspeitos: em um crime de homicídio, o ato ilícito fica evidente, existe um cadáver. Neste caso, o investigador pode obter uma lista de suspeitos: quem conhecia a vítima, quem se beneficiaria com sua morte, quais seus inimigos, quem teria acesso ao local do crime. A princípio um ilícito cometido pela Internet nos daria milhões de suspeitos, beneficiados pelo anonimato, ainda que temporariamente. Identificação do crime: em ilícitos cometidos através do computador ou relacionados a ele, a natureza do que aconteceu é menos óbvia que parece. Quando um hacker rouba dados de um computador dificilmente a vítima perceberá de imediato e em muitos casos nunca perceberá. Muitas evidências em potencial: na forense computacional pode ser necessário criar uma hipótese que possa ser refinada ao longo da investigação. Pode ser muito difícil definir o quanto na cena do crime pode ser realmente uma evidência. A princípio pode não ser muito claro exatamente qual o crime foi cometido, qual o limite da cena do crime. 26 A evidência pode ser facilmente contaminada: as evidências coletadas na cena de um crime são coletadas e enviadas a um laboratório para serem analisadas e então os resultados são enviados de volta. Na Forense Computacional todos os aspectos da investigação, nomear o crime, identificar o autor, seguir o rastro da evidência e criar os modos operantes usam as mesmas técnicas de análise digital. A análise forense computacional é particularmente vulnerável a erros. Assim como ocorre com digitais e gotas de sangue, as evidências digitais podem ser facilmente contaminadas se, por exemplo, o sistema for reiniciado, pois isso pode mudar todas as configurações do sistema e apagar possíveis traços. Uma evidência contaminada acaba com o trabalho: Provar uma hipótese significa provar quem, quando e onde, recriando um cenário, obedecendo a uma linha de tempo. O comprometimento de um único item pode comprometer todo o trabalho de perícia. O investigador precisa preservar a integridade das evidências contidas no dispositivo recolhido. 2.4.2 Fontes de Informação Evidência é a qualidade daquilo que é evidente, que é incontestável, que todos vêem ou podem ver e verificar. No âmbito da criminalística, porém, constitui uma evidência o vestígio que, após analisado pelos peritos, se mostrar diretamente relacionado com o delito investigado. As evidências são, portanto, vestígios depurados pelos peritos. Buscar por vestígios de um crime em um sistema computacional consiste em uma varredura minuciosa nas informações que estão armazenadas nele. A análise dessas informações passa pelos dispositivos de armazenamento de massa até a memória volátil (REIS & GEUS, 2001). Os vestígios dependem do ilícito ao qual estão relacionados. Exatamente por isso devemos adotar a abordagem co rreta em cada situação. Às vezes a perícia forense consiste em encontrar vestígios que por si só já comprovam uma infração ou podem ligar uma pessoa à prática de um crime. Imaginem que, por exemplo, ao encontrar imagens de pornografia infantil em um computador, ou documentos que haviam sido roubados de uma empresa, fica difícil não ligar o suspeito ao ilícito. Muitas vezes o objetivo da perícia é responder se um determinado arquivo sofreu algum tipo de alteração e pra isso precisa juntar outros vestígios espalhados pelo computador para, 27 finalmente, obter uma evidência. Muitas são as fontes de informação em uma análise forense computacional. 2.4.2.1 Sistema de Arquivo O sistema de arquivo consiste, talvez, na maior fonte de informações para a perícia forense. A análise pode ser realizada em arquivos de dados normais ou até em executáveis, para determinar seu conteúdo ou qual sua função no sistema. Os vestígios podem ser buscados através de informações do tipo data, hora, nomes de pessoas e telefones, imagens ou dados específicos, como arquivos de log. Mudanças inesperadas no comportamento de programas, arquivos que foram mudados de diretório, tudo isso poder servir como vestígio a ser analisado. 2.4.2.2 Arquivos de log Os arquivos de log representam uma boa fonte de informações para a análise de um computador, pois permitem que o perito tenha conhecimento de fatos que tenham acontecido no sistema computacional. Trata-se de um arquivo que registra informações de um programa desde o momento em que é aberto, das atividades do usuário, dos processos do próprio sistema e das conexões de rede, além de informações específicas de aplicativos e serviços. Pode ser um log de seu programa antivírus, pode ser um log de suas conversas num programa de bate-papo. Enfim trata-se de uma excelente fonte de informações para o processo de análise do computador. 2.4.2.3 Memória A memória principal ou memória primária é onde todas as informações que estão sendo processadas pelo sistema devem estar armazenadas. Um processo em execução, dados manipulados e que ainda não foram salvos no disco rígido devem residir na memória volátil. Essas informações podem ser acessadas através de dumps da memória, processo de capturar as informações da memória. Outra técnica que pode ser utilizada é a geração de core files ou core dump, que são arquivos que contêm a cópia exata da memória ocupada pelo processo quando este é terminado pelo sistema. Nesses arquivos pode-se realizar busca por palavras chaves a fim de se encontrar algum vestígio relevante. 28 2.4.2.4 Arquivos Temporários Muitos programas, tais como processadores de texto, navegadores web e bancos de dados, criam arquivos temporários nos diretórios durante sua execução. Estes arquivos são apagados automaticamente após o término de sua execução. Esses arquivos podem conter vestígios de um ato ilícito e devem ser investigados, particularmente quando as alterações feitas no arquivo original não foram salvas no disco. 2.4.2.5 Setor de Swap O gerenciamento de memória do sistema operacional utiliza o setor de swap como uma grande área de armazenamento temporário de arquivos, permitindo que processos sejam momentaneamente descarregados da memória principal, liberando espaço para a execução de outros. O setor de swap pode ser tanto um arquivo quanto uma área inteira de disco, portanto, pode conter fragmentos de arquivos ou mesmo arquivos inteiros que podem ser periciados em busca de vestígios. 2.4.2.6 Setor de Boot No setor de boot há a informação de onde está localizado o sistema operacional e os arquivos que devem ser lidos para a inicialização do computador. Se o setor de boot for alterado, para inicializar outro arquivo, por exemplo, será possível carregar qualquer programa durante a inicialização do SO, inclusive, e principalmente, programas maliciosos, o que corresponde a uma fonte plausível de vestígios a serem periciados. 2.4.2.7 Dispositivos Periféricos Dispositivos periféricos são equipamentos que são conectados ao computador, por exemplo: mouse, impressora e teclados. Muitos dispositivos periféricos como modem, pagers e aparelhos de fax possuem memória que podem ser salvas e posteriormente analisadas. Além disso, muitos dispositivos podem ser acoplados ao sistema computacional possibilitando a execução de fraudes. 29 2.4.2.8 Espaços não utilizados no dispositivo de armazenamento Os espaços não utilizados no dispositivo de armazenamento de massa podem conter informações valiosas para a Forense Computacional. A deleção de dados armazenados não apaga as informações, o sistema simplesmente disponibiliza aquele espaço para ser reutilizado. Estes espaços podem conter vestígios de que o usuário tentou apagar dados armazenados. Estes espaços podem ser assim caracterizados: Não alocados no sistema de arquivos; Alocados a arquivos, mas não totalmente utilizados; Área do dispositivo de armazenamento que não constituí uma partição de disco; ou que não possui qualquer sistema de arquivos. Estes espaços podem conter informações importantes e devem ser investigados. 2.4.2.9 Comportamento de Processos Os processos executam com as características específicas de privilégio que determina quais recursos do sistema, arquivos e programas podem ser acessados por ele e de que modo se dá esse acesso. Esse conjunto de regras determina o comportamento do processo e as conseqüências de sua execução. Um invasor pode desvirtuar esse comportamento, fazendo com que o processo se comporte de forma inesperada pelo usuário, acessando ou alterando dados, acessando dados não autorizados, ou até mesmo consumindo recursos e prejudicando a execução do sistema. 2.5 BOAS PRÁTICAS NA FORENSE COMPUTACIONAL O propósito aqui e descrever as boas práticas da forense computacional. Não serão levados em consideração informações sobre sistemas operacionais específicos ou ferramentas de forense computacional. 30 Segundo (SWGDE, 2006) as práticas são as seguintes: 2.5.1 Coletando Evidências Verifique com o oficial da investigação para determinar quais equipamentos devem ser levados para a cena do crime; Reveja a autorização legal para a coleta de evidência, assegurando quaisquer restrições anotadas. Se necessário durante a execução da coleta, obtenha autorização para coletas fora do escopo da busca; Quando for impraticável remover a evidência da cena, deve-se copiar ou criar uma imagem da evidência, obedecendo aos procedimentos locais; Solicite informações de potenciais suspeitos, testemunhas, administradores de rede, etc. Verifique informações sobre o sistema a ser coletado, (se nhas, sistemas operacionais, apelidos, endereços de e-mail); A cena do crime deve ser investigada sistemática e minuciosamente atrás de evidências. Os investigadores devem ser tecnicamente capazes de reconhecer os diferentes tipos de evidências. 2.5.2 Manuseio da Evidência Se o computador está desligado, não ligue o computador. Um especialista em Forense Computacional deve ser chamado quando disponível; Antes de desligar o computador, considere a possibilidade de um software de criptografia ter sido instalado no computador ou mesmo fazer parte do SO. Métodos forenses apropriados devem ser usados para capturar os dados criptografados antes de o computador ser desligado; Avaliar a energia necessária para os dispositivos de memória volátil e seguir os padrões para o manuseio desses dispositivos; 31 Documente as condições da evidência; Tire fotos de boa qualidade (tela, frente e parte traseira do computador, e da área ao redor do computador a ser coletado), se possível, tire fotos da porta do ambiente e do ambiente como um todo; Documente apropriadamente as condições da co nexão dos dispositivos externos; Observe e documente todos os danos pré-existentes nas evidências; 2.5.2.1 Computadores stand-alone (Desconectado da Rede) Desconecte todas as fontes de energia do computador. Igualmente retire a bateria do laptop; Coloque fitas de evidência no conector de força na parte traseira do computador. 2.5.2.2 Computadores em Rede Estações de trabalho: remova o conector de força da parte traseira do computador; Coloque fitas de evidência no conector de força na parte traseira do computador. Nota: Todo computador em rede pode ser usado para compartilhamento de arquivos, estes sistemas devem ser desligados seguindo os procedimentos normais. 2.5.2.2 Servidores Deve-se determinar a extensão dos dados que devem ser coletados; Capture dados voláteis se necessário; Se for necessário desligá-lo, use os comandos apropriados. 32 2.6 FERRAMENTAS FORENSES O crescimento da indústria de recuperação de dados e evidência digital vem acompanhado do forte crescimento do numero de ferramentas para forense computacional (MOHAY et al., 2003). Muitas dessas ferramentas são verdadeiros pacotes de softwares, integrando um grande numero de ferramentas que desempenham uma variedade de funções de análise forense. 2.6.1 Categoria de Ferramentas Forenses As ferramentas de análise forense podem ser divididas em três categorias (MOHAY et al., 2003). Essa divisão e feita com base na funcionalidade oferecida pela ferramenta, seguindo esse raciocínio, podemos enumerá- las assim: 1. Ferramentas criadoras de imagem a. Cria imagens de memória volátil; b. Cria imagem de discos e arquivos. 2. Ferramentas de análise a. Ferramentas de recuperação de dados e arquivos; b. Ferramentas de checagem de integridade de discos e arquivos. 3. Ferramentas de visualização a. Ferramentas de análise da linha de tempo (time-lining tool). No Capítulo 3 são abordados mais detalhadamente os procedimentos e ferramentas da Forense Computacional. 33 3. Técnicas, Procedimentos e Ferramentas da Forense Computacional Durante a realização do seu trabalho o perito pode encontrar situações p roblemáticas que venham a prejudicar e até mesmo inviabilizar totalmente, o processo de análise pericial. Segundo Costa (2003), a própria conduta policial que antecede a investigação é de vital importância para que se consiga um resultado final satisfatório. O respeito aos procedimentos básicos na condução de um caso desde o seu inicio até a sua conclusão são o mínimo necessário para garantir o sucesso do ponto de vista da obtenção, preservação e posterior análise de uma evidência digital e conseqüente valor jurídico. Neste Capítulo são apresentadas as principais técnicas que um perito da Forense Computacional deve seguir, quais as habilidades ele deve possuir, quais procedimentos deve obedecer e as ferramentas que possui à sua disposição para realizar o se u trabalho. 3.1 PRIMEIRA RESPOSTA A INCIDENTES Possuir conhecimento sobre os aspectos fundamentais e as principais questões sobre a Forense Computacional pode ser considerado essencial para os administradores de sistema nos dias de hoje. Tendo em vista que o responsável pela primeira resposta a incidentes muitas vezes é o próprio administrador do sistema, e não um perito profissional, é grande a necessidade de este profissional estar bem informado e saber aplicar as boas práticas da Forense Computacional a procedimentos administrativos rotineiros e, principalmente, compreender como essas ações podem afetar adversamente o valor dos dados numa futura análise forense. Os profissionais responsáveis pela Forense Computacional devem possuir kits de ferramentas forenses confiáveis preparados para o uso, através das quais ele poderá ter acesso ao sistema de forma segura, sem que qualquer alteração precise ser realizada e que possa prejudicar o processo de investigação. “Ao analisar um sistema cujo estado confiável não é conhecido, ele deve ser considerado não confiável até que se prove o contrário” (NOLAN et al., 2005, p. 63, tradução nossa). 34 Quando um programa é executado, normalmente usa bibliotecas compartilhadas e altera o registro do tempo de acesso de arquivos comuns. Isso é importante para a Forense Computacional ao determinar quando as ações ocorreram. Este é o motivo da necessidade de ferramentas confiáveis. E no papel de responsável pela primeira resposta à incidentes o profissional precisa escolher ferrame ntas que produzam saídas com informações especificas para a análise posterior (NOLAN et al., 2005). 3.2 PROCESSO DE ANÁLISE FORENSE Segundo Melo (2009), do ponto de vista macro, as atividades desenvolvidas pelo perito em Forense Computacional podem ser divididas em três fases, no que se refere aos procedimentos operacionais, conforme ilustrado pela Figura 1. Figura 1 – Di visão das ati vi dades operacionais da Forense Computacional (MELO, 2009). Forense In Vivo: ocorre no momento em que o perito toma contato com incidente ocorrido. A coleta de dados periciais com o sistema ativo exige muito mais do perito. A boa prática exige o uso de ferramental, técnicas e procedimentos adequados, como por exemplo, gravar tudo em um segundo computador. Na Forense Em Vivo, dependendo do contexto, podemos encerrar a análise com o desligamento do computador de forma abrupta, o que classicamente é procedimento tomado pelo perito (MELO, 2009). Forense Post Mortem: consiste na aplicação das técnicas, ferramentas e procedimentos na análise de todos os dados perícias coletados, artefatos identificados e ou recuperados. O objetivo é cruzar as informações e estabelecer uma base de conhecimento para elaboração de um laudo pericial. 35 Forense de Rede: pode ser considerada como a aplicação das técnicas, procedimentos e ferramental da Forense Computacional, para a aquisição de informações de todo o trafego da rede que estejam correlacionados a algum incidente de segurança. Pode-se, também, realizar a recuperação de informações que serão analisadas na Forense Post Mortem com o objetivo de identificar a autoria de ações tomadas na rede Segundo Melo (2009), do ponto de vista da organização dos processos, a Forense Computacional pode ser dividida em um ciclo de atividades que devem ser desempenhada de acordo com a Figura 2: Aquisição Identificação Avaliação Apresentação Figura 2 – Ciclo de processos da Forense Computaci onal (MELO, 2009). A descrição de cada uma das atividades desempenhadas no ciclo da análise pericial é como se segue: Aquisição: fase inicial do processo de análise, na qual se pode aplicar a Forense In Vivo. O perito em Forense Computacional utiliza as técnicas, procedimentos e ferramentas na coleta dos potencias dados e artefatos que podem constituir-se em evidência. Identificação: nesta fase o perito realiza a análise dos dados levantados durante a fase de aquisição para identificar dados periciais e artefatos realmente relevantes para o processo de investigação, que sejam qualificáveis como vestígios, evidências ou provas. 36 Avaliação: neste ponto do processo o perito faz uma análise mais pontual, caracterizando e mantendo os dados periciais como um vestígio, evidência ou prova, ou desqualificando-os e os descartando. O processo é realizado para cada dado pericial. Apresentação: fase final de todo o processo, consiste na elaboração de Laudo Pericial redigido com riqueza de detalhes e com o maior número de informações possível. O laudo deve possuir uma base de argumentação sólida, sustentada pelos vestígios, evidências e provas encontradas no(s) sistema(s) periciados. O rigor necessário na elaboração do Laudo Pericial possibilita a sua apresentação para uma diretoria ou até mesmo a uma corte, onde será usado como material probante em alguma matéria em discussão. Resumidamente, o que se recomenda é que o perito seja rigoroso ao por em prática os procedimentos investigativos, para que o valor da evidência seja inquestionável. Voltaremos a falar mais sobre cada uma das fases do ciclo de análise forense. 3.2 TERMINOLOGIA COMUMENTE UTILIZADA Ao trabalharmos com Forense Computacional, bem como qualquer outra área de conhecimento, devemos estar familiarizado com os termos mais comumente utilizados. No decorrer deste trabalho utilizaremos algumas convenções utilizadas na prática forense. Em Costa (2003), encontramos os termos abaixo relacionados. Imagem: uma cópia completa de uma mídia de armazenamento, por exemplo, um disco rígido, usada para futuras duplicações ou restaurações. Backup: cópias de arquivos utilizadas para futuras restaurações. Imagem duplicada: réplica exata de todos os setores do disco rígido, incluindo cada 0 e 1. Essa duplicação inclui espaços não alocados, danificados e arquivos do swap. Mídia de prova: a fonte original de informações, por exemplo, o disco rígido de uma vítima ou suspeito de envolvimento em algum ilícito computacional. 37 Mídia de destino: uma mídia de suporte para onde a mídia de provas é duplicada. Isto significa que uma imagem pericial de uma mídia de provas é transferida para uma mídia de destino. Imagem restaurada: cópia da imagem pericial devolvida à sua forma original, inicializável. Sistema operacional nativo: sistema operacional no qual a mídia de provas, ou uma duplicação desta, é inicializada para análise pericial. Análise ao vivo (In Vivo): análise pericial realizada quando estão sendo tomadas medidas de investigação com a mídia de provas em funcionamento. Análise off-line (Post Mortem): análise em que a mídia de provas ou a imagem duplicada são analisadas utilizando uma mídia de inicialização controlada ou outro sistema operacional. A mídia de provas ou a imagem pericial não são o suporte primário utilizado durante o processo de inicialização do sistema. 3.3 O PROCESSO DE INVESTIGAÇÃO DOS ILÍCITOS ENVOLVENDO SISTEMAS COMPUTACIONAIS. O processo de investigação pode determinar o sucesso ou não de uma Análise Forense visto que, durante a realização da perícia, os profissionais certamente vão encontrar dificuldades que podem comprometer todo resultado do processo pericial. Os procedimentos considerados básicos que norteiam a condução adequada de um caso, do seu início até o fim, e que podem determinar o sucesso da investigação, do ponto de vista da preservação das provas, serão apresentados abaixo. 3.3.1 Busca e apreensão A busca e apreensão de material para ser analisado estão contidas na primeira etapa do processo do ciclo da forense computacional mostrado na Figura 2. Consiste em agrupar o máximo de artefatos com possível valor pericial. Segundo Melo (2009), o sucesso de uma análise pericial pode ser determinado pela qualidade do material coletado e dos procedimentos adotados na sua coleta. Por isso, é crucial que o perito atente para uma metodologia clara e objetiva na coleta das fontes de dados. 38 Os conceitos da Perícia Forense se aplicam em diversas áreas do conhecimento. Por isso é possível que haja métodos e técnicas apropriados para manipulação de artefatos em cada uma destas áreas. Mesmo na Forense Computacional o perito pode se deparar com composições de cenários distintos, principalmente devido ao grande número de tecnologias diferentes, tal como SO diferentes, arquiteturas de hardware distintas, novas versões de softwares e equipamentos computacionais portáteis diversos (MELO, 2009). Espera-se que o perito computacional tenha capacidade técnica de efetuar a busca por dados em diversos dispositivos computacionais, que vão de um simples desktop até um servidor, passando por dispositivos como celulares, câmeras portáteis etc. A forma como os dados são armazenados é diferente. E embora a metodologia e os objetivos sejam iguais, algumas técnicas e ferramentas podem diferir de um sistema Linux para um sistema Windows, por exemplo. Cada sistema operacional possui uma forma de desligamento mais adequado. No caso do Linux deve-se observar se o sistema está em ambiente gráfico, que possui um procedimento de desligamento semelhante ao ambiente Windows. Caso o sistema esteja em ambiente de linha de comando será necessário efetuar o comando de desligamento, por exemplo, shutdown –h para proceder com o processo de desligamento adequadamente. Mas isso não significa que este seja o processo padrão em uma investigação, cabendo ao perito avaliar a forma correta para cada caso. O ambiente Windows XP possui um processo intuitivo de desligamento do sistema que consiste dos seguintes passos: clica-se em iniciar desligar e por fim seleciona-se a opção desligar na caixa de diálogo que o sistema apresenta. O sistema ainda possui a opção hibernar, que faz com que o sistema grave todo o conteúdo da memória RAM no disco rígido de forma que ao se religar o sistema volta-se à condição anterior ao desligamento, o que segundo Costa (2003) pode constituir-se em uma fonte de informações para os peritos computacionais. 39 Essa pluralidade de fontes de informações torna todo dispositivo de armazenamento digital passível de investigação. Essa mesma heterogeneidade levou Melo (2009) a classificar estas fontes de informações, de acordo com a aplicação de cada uma, da seguinte forma: Exame em mídia de armazenamento computacional; Exame em computadores pessoais (desktop); Exame em servidores; Exame em servidores e estações em ambiente computacional distribuído; Exame em sistema de redes; Exame em equipamento eletrônico programável; Exame em sistemas de informação. O perito computacional que esteja efetuando in loco o seu trabalho na fase de busca e apreensão deve estar atento a todo e qualquer dispositivo que possa constituir-se em fonte de dados e posteriormente em informações valiosas. O perito deve estar capacitado a identificar e manusear as mais variadas formas de mídias de armazenamento. Antes de sair do local da apreensão, o perito deve realizar uma busca minuciosa por mídias removíveis nas quais podem estar dados que futuramente podem constituir-se em evidências relevantes ao caso. Deve ser observada a existência de mídias removíveis como disquetes, zipdisks, CDs DVDs entre outras. Outra observação importante que deve ser feita é quanto a existência de discos rígidos re movíveis do tipo gaveta. Caso o equipamento apreendido possua um gabinete com o aspecto de gaveta, mas sem o disco rígido, é primordial que se encontre a gaveta que faz parte do sistema (COSTA, 2003). O motivo desta recomendação é obvio, nesta gaveta pode estar contido o sistema que servia de plataforma para o cometimento de um ilícito computacional, ou que fora vítima de um. A Figura 3 mostra a aparência de um sistema como o mencionado. 40 Figura 3 – Aparência de disco removí vel Em Costa (2003), o autor apresenta um caso bastante ilustrativo da importância de se observar a cena de um ilícito computacional como um todo, durante a Forense Computacional. Em uma busca efetuada por uma equipe policial, fora encontrado um equipamento como o ilustrado na Figura 3 sem a gaveta do disco rígido. Após a análise na imagem pericial de algumas estações, descobriu-se atalhos para planilhas com nomes sugestivos para o caso investigado, todos os atalhos apontavam para o equipamento usado como servidor que estava sem a gaveta. O equipamento havia sido retirado por funcionários da empresa durante o procedimento de busca e apreensão, sem que os investigadores percebessem. Este fato demonstra bem a necessidade de se proceder com muita atenção durante o processo de busca e principalmente, a importância de se ter um profissional capacitado em campo que possa reconhecer esses artefatos e classificá- los como relevantes fontes de dados para a investigação. Como os policiais não conheciam o equipamento, sua falta não foi sentida, o que prejudicou muito o resultado da perícia. A Figura 4 mostra os dispositivos de armazenagem mais comumente encontrados assim enumerados, CDs e DVDs (1), disquetes (2), memorystick (3), mini-disc (4), bernoulli (5), zip-disc (6), jaz-disc (7), fitas-dat (8), smartmedia card (9), pendrive (memória flash) (10). 41 (2) (1) (4) (3) (6) (8) (7) (5) (9) (10) Figura 4 – Mí di as removí veis mais comuns. Todo e qualquer material que sirva como suporte de armazenamento de dados pode constituir-se em uma fonte de informação e, portanto, deve ser devidamente recolhido ao laboratório responsável pela realização da análise forense. 3.3.2 Transportando os equipamentos apreendidos. Em tempos remotos, os componentes eletrônicos que compunham os sistemas computacionais costumavam ser mais frágeis que os atuais. Apesar destes componentes, já há algum tempo, serem bem menos sensíveis ao manuseio e transporte ainda deve-se ter muito cuidado no trato do material apreendido. Tombos, pancadas e até mesmo a exposição a materiais químicos podem danificá- los seriamente e conseqüentemente comprometer definitivamente o trabalho pericial. A recuperação de dados em equipamentos danificados é possível e até existe um bom número de empresas especializadas neste trabalho, mas, seu custo ainda é proibitivo. Desta forma recomenda-se cuidado ao transportar aqueles sistemas que constituirão as fontes de informação no processo de análise: os artefatos devem ser acondicionados, preferencialmente, em caixas de papelão protegidos por materiais que absorvam impacto, como isopor, plástico bolha etc. As caixas contendo o material de análise devem ser afixadas no veiculo de transporte para que não deslize ou tombe, e também devem estar ligeiramente afastadas das partes rígidas do veiculo. Sendo assim concluímos a primeira etapa do ciclo que compõe o processo de análise pericial da Forense Computacional que é a aquisição do maior número possível de fontes de informações para a investigação. 42 3.3.3 Encaminhando o material para a análise Uma vez recebido os equipamentos computacionais e as mídias removíveis, o responsável pela ação policial deve confeccionar os documentos devidos e enviar todo material apreendido o mais breve possível ao laboratório responsável pela análise forense (COSTA, 2003). Quanto mais cedo forem iniciados os trabalhos maiores as chances de sucesso no processo de investigação. Antes de se efetuar qualquer ação de inicialização do sistema deve-se primeiro efetuar os procedimentos adequados para a realização da duplicação pericial. Uma inicialização não controlada do sistema pode danificá- lo e comprometer os dados armazenados, por exemplo, alterar o ordenamento seqüencial das evidências e conseqüentemente inviabilizar a caracterização de uma prova. Em Costa (2003) é retratado um caso em que o individuo havia inserido um pequeno software ligado ao processo de inicialização de seu computador, que particionaria o disco de armazenamento, caso não fosse desativado. Como o disco já havia sido devidamente duplicado os danos causados não foram graves, tendo em vista que o processo de análise era feito na mídia de destino. Ao iniciar o sistema a equipe percebeu uma mensagem sobre a inexistência de SO, levando a equipe a suspeitar da existência de algum processo que teria causado o dano. Após analisar outra cópia da imagem pericial, descobriram a configuração efetuada pelo usuário e a desativaram. 3.3.4 O processo de identificação dos artefatos. O perito computacional precisa manter a mesma postura metódica mostrada na etapa anteriormente descrita, para organizar e documentar cada um dos artefatos adquiridos no processo de aquisição. Esta etapa do processo consiste em documentar o ciclo de investigação desde seu inicio, indicando em documento o órgão solicitante da per ícia, a data do recebimento e as características do material, além dos dados referentes ao perito responsável pelo caso, data e hora de cada exame realizado e o fim dos trabalhos realizados. 43 A documentação clara e detalhada sobre cada artefato adquirido e p ericiado e os resultados obtidos são cruciais para a elaboração de um laudo pericial adequado (MELO 2009). Em Costa (2003) é proposto um modelo padrão de formulário para que se realize esta documentação, a Figura 5 mostra este modelo. Data do recebimento: OC. N° Órgão requisitante: Autoridade requisitante: Portador: Objetivo da perícia MATERIAL ENTREGUE Item Descrição Figura 5 – Formul ário padrão (COSTA, 2003). 3.3.5 Cadeia de Custódia Caso seja questionada a veracidade das evidências, acerca de possíveis alterações e ou substituições daquelas, existe o que se conhece como cadeia de custódia. Trata-se de uma documentação sistematizada do histórico de manipulação de evidência. Nesta documentação fica claro qual artefato estava sob a posse de quem, por qual período e por quais razões. 3.4 O LABORATÓRIO DE FORENSE COMPUTACIONAL A realidade enfrentada pelos aparelhos oficiais de investigação no Brasil, na realização do trabalho pericial para auxiliar a elucidação de ilícitos de naturezas diversas, é de que quase sempre enfrentam restrições em instalações, ferramental e também recursos humanos. No que se refere a perícia computacional as condições não são diferentes (COSTA, 2003). Nos últimos anos, com o maior acesso por parte da população brasileira a meios computacionais, e conseqüentemente maior exposição a ilícitos computacionais, a demanda por recursos que permitam a realização adequada dos trabalhos periciais envolvendo sistemas computacionais tem se tornado maior. 44 Instalações adequadas, ferramental confiável e principalmente o material humano bem treinado são essenciais para a realização de exames cada vez mais apurados e diversificados que necessitam de características técnicas e humanas importantes. Os avanços tecnológicos imporão novas necessidades, mas as mais importantes são apresentadas a seguir, segundo Costa (2003). 3.4.1 Instalações Físicas Segundo Costa (2003), a montagem física do laboratório de Forense Computacional requer um espaço mínimo de doze metros quadrados (12 m²), com aproximadamente três por quatro metros (3x4 m) de tamanho, com iluminação fluorescente 4x40w de partida rápida. Entretanto, o ideal é que o laboratório ocupe uma área de quarenta metros quadrados (40,00 m²), sendo dividido em duas áreas com objetivos distintos. A primeira partição, contendo vinte e oito metros quadrados (28 m²), seria o laboratório propriamente dito e os doze metros quadrados (12 m²) restantes serviriam como um depósito de equipamentos. Numa das paredes do laboratório deve haver uma bancada em toda sua extensão com largura de 0,90 metros e altura em torno de 0,95 ou 1,10 metros acima do piso, para que se possa trabalhar nela tanto sentado quanto em pé. O depósito deve ser equipado com prateleiras para o armazenamento adequado dos equipamentos de forma segura. Estas prateleiras devem ser preferencialmente não metálicas, evitando assim danos que possam ser causados por descargas elétricas. No laboratório, a bancada deve possuir uma superfície forrada com material emborrachado para evitar danos aos equipamentos, causados por impactos e ou descargas eletrostáticas. A bancada deve possuir gavetas para armazenamento de ferramentas e outros equipamentos, além de pranchas pra acomodar o teclado dos computadores. 3.4.1.1 Rede Elétrica e Lógica Sobre a bancada deve haver, por toda sua extensão, uma linha de tomadas tripolares ligadas a uma rede elétrica devidamente aterrada e em conjunto de três tomadas. Acompanhando essa distribuição, deverá existir um ponto de conexão a rede para cada conjunto de três tomadas. A velocidade de transmissão da rede é muito importante, principalmente nas duplicações periciais cuja imagem é transmitida pela rede para um servidor de arquivo ou outro equipamento com capacidade de armazenagem suficie nte 45 para o arquivo gerado. Pode ser necessário reconstruir uma rede e, para tanto, os dispositivos concentradores, como o switch, por exemplo, devem possuir portas suficientes para a conexão de novos computadores ou hubs. Segunda Costa (2003), em uma configuração mais elaborada, recomenda-se a segmentação da rede em duas, sendo uma para os trabalhos periciais e outra para as estações de trabalho do laboratório. O laboratório deve possuir condicionadores de ar capazes de garantir a refrigeração adequada das instalações e o funcionamento de rede de computadores, sem gerar o desconforto dos profissionais e nem prejudicar o bom funcionamento dos equipamentos. 3.4.2 Equipamentos Disponíveis no Laboratório Essencialmente o laboratório precisa de uma estação peric ial para a realização dos trabalhos relacionados à duplicação pericial. Esta estação pericial deve ser capaz de rodar diversos sistemas operacionais. Necessariamente, uma configuração mínima exige a instalação do Microsoft Windows e de uma distribuição Linux entre as várias que estão disponíveis. Além disso, deve possuir discos com alta capacidade para armazenar as imagens geradas de discos inteiros, uma unidade de fita DAT, gravadores de CD/DVD, drives para mídias flexíveis e outras mídias comuns como, zip disks, memory cards, memory stick, smart media e outros vários que já foram mostrados neste Capítulo. Placas de captura de vídeo e o máximo de portabilidade possível, para possíveis ações fora dos domínios do laboratório, também estão entre os requisitos desta estação pericial. Existem opções comerciais disponíveis no mercado, como a mostrada pela Figura 6, desenvolvida pela Digital Intelligence o Forense Recovery Evidence Device (F.R.E.D) constitui-se em uma plataforma para a realização dos trabalhos periciais. 46 Figura 6 – F.R.E.D (Forense Recovery Evi dence Device ). Isso não implica que esta estação pericial não possa ser construída de acordo com as necessidades e ou recursos disponíveis. No entanto devem ser observadas as restr ições de qualidade dos componentes que comporão o sistema. Componentes de boa procedência produzidos por empresas conceituadas são, em sua maioria, homologados para os sistemas que forem adotados como plataforma de trabalho do laboratório. Com esse rigor, busca-se evitar problemas de incompatibilidade entre hardware e software. A Figura 7 mostra uma opção de laptop forense também desenvolvido pela Digital Intelligence, trata-se do F.R.E.D – L, um dispositivo que busca garantir que os trabalhos periciais possam ser executados em loco. Figura 7 – F.R.E.D –L. Além da estação pericial, o laboratório deve contar com outro equipamento com menos componentes, porém, construído seguindo os mesmo princípios rigorosos mostrados anteriormente. Essa estação deve, essencialmente, conter uma quantidade considerável 47 de memória para a realização de trabalhos diversos, mas, em especial, sua atividade primária será a utilização de softwares que tenham por finalidade a quebra de senhas. Por fim, o laboratório deve contar ainda, com pelo menos outras duas estações de trabalho destinadas a digitalização e tratamento de imagens, confecção dos laudos periciais e, se possível, um scanner e uma máquina fotográfica digital, destinada a registrar imagens dos dispositivos, componentes e equipamentos periciados. A Guidance, fabricante do software Encase, possui um hardware que permite a duplicação pericial de discos rígidos IDE e SCSI, conhecido por FastBloc. Este sistema possibilita, de forma não invasiva em ambiente Windows, a criação de arquivo de provas ou de mídia de destino. A primeira versão é um hardware externo que realiza o bloqueio de escrita na mídia de origem (mídia de provas), e precisa de uma interface SCSI na estação pericial em que estiver acoplado. 3.4.3 Softwares Os softwares são considerados tão importantes quanto os demais equipamentos na realização do trabalho pericial. Em princípio, devemos pensar na aquisição dos sistemas operacionais que a estação deve possuir. Segundo Costa (2003), a estação principal deve possuir uma plataforma Microsoft Windows, sendo mais recomendado o Windows Server, uma distribuição Linux de livre escolha e finalmente o MS-DOS. A estação destinada à quebra de senha pode fazer uso da plataforma Windows 2000 Professional ou XP. As demais estações devem possuir Windows XP ou superior, ou uma distribuição Linux. Estas estações ainda deverão contar com uma licença par o pacote de aplicativos Microsoft Office ou Open Office ou outra suíte a gosto do usuário. 3.4.3.1 Ferramentas Para Duplicação Segundo Consta (2003), podemos encontrar dois tipos básicos de ferramentas para duplicação pericial. No primeiro se encontram os utilitários que produzem uma imagem pericial completa em forma de arquivo pra a análise off-line e, no segundo, os que produzem uma imagem passível de restauração da partição ou do disco, permitindo inclusive usa inicialização. 48 3.4.3.2 Encase O Encase, da Guidance, é um software adequado para o trabalho pericial. Desenvolvido para o ambiente Microsoft Windows, possui um interface gráfica amigável e grande facilidade de manuseio. Possui suporte para a maioria do sistema de arquivos tais como FAT12, FAT16, FAT32, NTFS, MFS, HFS, HFS+ (Macintosh), Ext2 (Linux), Unix, Sun, Open BSD, CD-R, DVD-R (COSTA 2003). O Encase cria um arquivo de provas (envidence file) de forma não invasiva, o que garante a fidelidade e a integridade dos dados em relação à sua fonte original. O arquivo pode ser analisado diretamente pelo software e dele pode-se extrair uma serie de formatos com exibição automatizada, por exemplo, dos arquivos de imagens JPG, GIF, BMP e outros. O software possui um recurso interessante e de grande utilidade, usado principalmente quando se procura por um texto em particular, pesquisando uma string (cadeia de caracteres), dentro do conteúdo do arquivo de provas que fora criado (COSTA, 2003). A imagem criada pelo Encase oferece suporte para pesquisa por setor do disco, com visualização tanto em modo hexadecimal quanto em modo texto. Os arquivos visualizados no Encase apresentam seu status, indicando se estão acessíveis, se foram deletados e sua condição de recuperação O Encase possui a capacidade de formar o timeline (linha do tempo), de forma gráfica. Este recurso ajuda muito a estabelecer a temporalidade dos dados encontrados e mostrar de forma clara as datas relativas aos arquivos encontrados e ou existentes no sistema (COSTA, 2003). Todos os arquivos de imagens gráficas podem ser visualizados dentro das suas pastas através da guia gallery, que exibe somente imagens, nos mais diversos formatos. 3.4.3.3 Safeback O Safeback, da New Technologies Inc. é considerado um dos mais utilizados softwares para duplicação pericial, no meio forense. Tem capacidade de extrair imagem de qualquer disco ligado às controladoras de unidades (COSTA, 2003). 49 Possui capacidade de efetuar réplicas perfeitas de um disco rígido, incluindo aéreas inativas, áreas com arquivos deletados e de criar imagens em um arquivo único ou em vários arquivos de tamanho pré-estabelecido. O Safeback possui funções para criar imagem, restaurá-la, comparar os valores de soma de verificação ( trata-se de uma assinatura digital resultante da aplicação de algoritmos sobre a mídia de provas e mídia de destino) e registrar todas as tarefas em arquivos de log, além de armazenar dados do disco duplicado, tais como, marca, capacidade de armazenamento e numero de série entre outros (COSTA, 2002). 3.4.3.4 Norton Ghost A Symantec produz o Norton Ghost em duas versões, uma para uso corporativo e outra para uso pessoal que. O Norton Ghost pode trabalhar de diversas maneiras para se obter uma imagem inicializável. Por meio de um disco de inicialização A primeira forma de se realizar a duplicação é por meio da criação de um disco de inicialização contendo, além dos arquivos de sistema, os arquivos do próprio Ghost (COSTA, 2003). Sendo assim, existem algumas opções para se realizar a duplicação, segundo Costa (2003). Copiando de um disco para outro diretamente sem criar um arquivo de imagem; Copiando um disco e salvando sua imagem em outro disco; Copiando uma partição e salvando sua imagem em outra partição ou disco. Por intermédio do Symantec Ghost Console A se forma é realizada da seguinte forma, o Symantec Ghost Console dá suporte, tanto para a criação quanto para a restauração de imagens, via rede. 50 3.4.3.5 Helix O Helix é uma distribuição Linux baseada no Ubunto, porem, é mais que um simples live-CD, trata-se de uma distribuição Linux destinada a Forense Computacional. Desenvolvido pela e- fense, o Helix foi modificado de forma que jamais interfira de forma invasiva no sistema investigado, ou seja, não produz qualquer alteração que possa prejudicar a correta investigação que será realizada. A Figura 8 mostra a tela inicial do Helix. Figura 8 – Tela i nicial do Helix. O Helix possui ferramentas para criação de imagens da memória RAM, discos rígidos e mídias removíveis. Além de ferramentas para captura de imagens da tela do computador, e ferramentas para procura por arquivos de imagem. O Helix possui ferramentas que podem ser utilizadas em todas as etapas da investigação. A Figura 9 mostra uma poderosa ferramenta para a criação de imagens de discos rígidos e removíveis, como pendrives e discos ópticos. 51 Figura 9 – FTK, ferramenta para criação de i magens de discos. 3.4.3.5 FDTK UbuntuBr (Foresne Digital Tool Kit) Trata-se de um projeto livre que visa produzir e manter uma distribuição baseada, assim como o Helix, na consagrada distribuição Linux Ubuntu. O FDTK UbuntuBr reúne em seu pacote, mais de cem ferramentas capazes de atender a todas as etapas da investigação na Forense Computacional. A distribuição oferece a opção de ser usada como um live-CD, bem como pode ser instalada em um computador, transformando-o em uma estação pericial. O FDTK possui uma interface amigável, muito parecida com uma versão do Ubuntu de uso geral, estruturada conforme as etapas da investigação, além de ser distribuída com idioma em português. A Figura 10 mostra a tela com a seqüência das ações no FDTK. O FDTK possui um menu coleta de dados, bastante intuitivo, com uma seqüência padrão na Forense Computacional, cujo primeiro passo é a cadeia de custódia. 52 Figura 10 – Menu para coleta de dados no FDTK UbuntuBr. A opção Formulário abre um formulário para a cadeia de custódia, onde serão armazenados dados referentes aos artefatos apreendidos para serem periciados. Dados referentes à data, hora, destino e motivo, usados para manter a história cronológica da evidência coletada. Além de informações referentes a detalhes da imagem criada da mídia de provas. A Figura 11 mostra um exemplo deste formulário. Figura 11 – Formulário de Cadei a de Custódi a no FDTK. 53 A Figura 12 mostra as ferramentas disponíveis no FDTK para a criação da imagem pericial, um dos primeiros passos na Forense Computacional. São várias ferramentas para criação de imagens periciais, assim como no Helix, a mais utilizada é o utilitário dd, que cria imagens contendo a extensão dd. Figura 12 – Utilitários para a criação de i magens dos discos. O FDTK possui uma ferramenta para a quebra de senhas muito conhecida, John the Ripper. Caso arquivos, ou mesmo o próprio sistema, possua senha, este utilitário encontrara e tentara decodificá- la. Figura 13mostra este utilitário. Figura 13 – Utilitários para quebra de senha J ohn the Ri pper 54 O FDTK esta disponível para download na página do projeto (http://www.fdtk.com.br/wordpress/), e pode se tornar uma ferramenta importante para a investigação de ilícitos computacionais no Brasil. 3.5 LAUDO PERICIAL Em Costa (2003), o autor afirma que o perito deve ter liberdade na confecção do laudo pericial, tendo em vista que ele será o único responsável pelo documento e seu conteúdo. Sendo assim, não serão oferecidos modelos e sim orientações para a confecção do relatório final. Inicialmente, deve-se fazer uma breve introdução sobre o casso, com um relato histórico do caso investigado, indicando dados sobre o recebimento dos equipamentos, sobre os equipamentos em si, com suas respectivas descrições. O próximo passo é descrever os objetivos dos exames pericias a serem realizados, baseados nos requisitos estabelecidos pela autoridade requisitante. Em seguida, em um terceiro tópico, devem ser abordados os aspectos referentes à metodologia adotada, que deve vir acompanhada dos equipamentos, hardware e software, necessários à realização dos trabalhos. Recomenda-se o uso de equipamentos legalmente licenciados, não se deve utilizar softwares piratas para produzir provas, pois estaríamos cometendo um crime para esclarecer outro. Por fim, abordaremos os exames, detalhando o trabalho realizado. Em seguida vem conclusão, na qual o perito deve exprimir o que conseguiu extrair do material examinado, apresentado respostas ao que lhe foi questionado. 3.6 INICIANDO O PROCESSO DE ANÁLISE Segundo Costa (2003), os trabalhos periciais realizados com objetivos legais devem, obrigatoriamente, manter as provas materiais preservadas pra que possam ser, em caso de dúvida, reavaliadas. Neste ponto é discutido um dos mais importantes procedimentos do ciclo de análise da Forense Computacional. 55 3.6.1 Criação da imagem pericial Muitas vezes a realização do exame pericial In Vivo não é possível ou mesmo recomendado. No caso de Forense Computacional que envolva a aquisição de equipamentos que não possam ser removidos para o laboratório, é necessário que se execute a duplicação da mídia de provas para garantir a preservação das evidências necessárias à solução do caso investigado. Somente se for impossível evitar o exame direto na mídia de provas deve-se proceder sua análise direta, seja um disco rígido externo ou mídias removíveis, caso contrario deve-se sempre efetuar o exame na mídia de destino que contenha a imagem pericial das mídias de provas. Como alguns exames podem efetivamente alterar metadados de arquivos, como data e hora da criação, data e hora da ultima modificação entre outros, e recomendável que façamos mais de uma cópia da mídia de provas. Tal procedimento garante ao perito uma maior liberdade de ação durante o processo de análise (COSTA, 2003). Tal preocupação tem fundamento. Alterações ocorridas ao iniciarmos o sistema ou simplesmente ao abrirmos um arquivo podem prejudicar o timeline (linha de tempo). Na Forense Computacional a linha de tempo, é uma cronologia dos eventos relacionados ao caso em questão. Ao utilizarmos uma mídia de provas em um sistema computacional contendo a plataforma Microsoft Windows, por exemplo, e esta mídia for reconhecida pelo sistema operacional como um sistema de arquivos compatível, ocorrerão mudanças nos metadados dos arquivos, comprometendo a integridade das provas (COSTA, 2003). Existem formas diferentes de se produzir a imagem pericial, que levam em consideração o tipo de exame a ser realizado, a infra-estrutura disponível e finalmente a metodologia a ser empregada. A qualidade das provas produzidas em uma investigação está diretamente ligada à estrutura de apoio oferecida ao profissional perito. Em se tratando da criação imagem pericial de um disco rígido, Costa (2003) aponta três formas básicas abaixo relacionadas: Removendo a mídia do equipamento questionado, transferindo-a para uma estação apta a recebê-la e então realizar a duplicação pericial; 56 Produzindo a imagem no próprio equipamento a ser examinado, inserindo nele um novo disco e utilizando ferramentas apropriadas para esse tipo de duplicação; Promover a produção da imagem através de uma comunicação com canal de dados protegido, em rede, para uma estação pericial previamente preparada para executar o processo. A realização da duplicação pericial em mídias removíveis é relativamente mais fácil e existem softwares específicos pra isso (COSTA, 2003). No caso dos arquivos terem sido apagados da mídia, ou pelo menos haja essa suspeita, a duplicação deve ser “bit-abit”. Neste tipo de duplicação, setor por setor, bloco-a-bloco são copiados com todo o seu conteúdo, mesmo que um arquivo não faça mais parte da tabela de alocação de arquivos. Segundo Costa (2003), os equipamentos a serem periciados devem ficar em posse dos responsáveis pela pericia até a conclusão dos exames e confecção do laudo pericial. Sendo assim, o perito terá certa tranquilidade para realizar seu trabalho, levando-se em consideração a melhor forma pra realização da duplicação pericial na mídia de provas. Existem diversos softwares e até mesmo hardware para executar a duplicação pericial. No entanto existem princípios que estas ferramentas devem respeitar. Segundo Costa (2003), o primeiro e mais importante diz que a ferramenta não deve jamais provocar alterações na mídia original que possui as informações, que podem constituir as futuras provas. Outro princípio é de que, durante a duplicação de uma mídia, se for encontrado um setor danificado o utilitário deve ser capaz de reservar uma área idêntica e prosseguir com o processo. 3.6.1.1 Primeiros Cuidados Durante o processo de duplicação pericial devemos tomar cuidados básicos visando garantir a total integridade dos dados encontrados na mídia de pro vas. Basicamente, isso significa que não poderá haver em hipótese alguma escrita na mídia que sofrerá a duplicação. 57 Em mídias removíveis como disquetes, fitas dat, a proteção contra escrita é relativamente mais fácil, tendo em vista que tais dispositivos possuem mecanismos físicos para proteção contra escrita. Dispositivos como CDs possuem acesso somente leitura, sendo praticamente impossível uma escrita acidental. Ao instalarmos a mídia de prova na estação pericial ou colocar a mídia de destino da estação a ser analisada, devemos tomar o cuidado de configurar corretamente a geometria dos discos e a ordem de inicialização (COSTA, 2003). A geometria do disco pode ser efetuada no Setup da BIOS. Os BIOS mais recentes possuem recursos de autodetecção de discos rígidos. 3.7 A GEOMETRIA DO DISCO RÍGIDO. O disco rígido é um sistema de armazenamento de grande capacidade que, diferentemente da memória RAM, não é volátil e exatamente por isso é destinado ao armazenamento de arquivos e programas (MORIMOTO, 2002). Seja qual for o tamanho da memória principal, ela não terá tamanho suficiente para armazenar as informações que o usuário precisa e quer armazenar. Com a melhora constante da tecnologia as pessoas pensam em armazenar coisas que anos atrás era inimaginável. Como por exemplo, todo o acervo de grandes bibliotecas ao redor do mundo, com o objetivo de disponibilizar o acesso on-line a toda sua obra. O que com certeza, necessitara de grande capacidade de armazenamento para os livros previamente digitalizados. A solução tradicional para o armazenamento de grandes quantidades de dados é uma hierarquia de memória, como a ilustrada pela Figura 14. À medida que descemos na hierarquia a capacidade de armazenamento aumenta, bem como tempo de acesso aos dados. No topo desta pirâmide estão os registradores que podem ser acessados na velocidade da CPU. Logo após vem a memória cache seguida da memória RAM que hoje são encontradas em capacidades que vão de 16 MB, para sistemas básicos, até dezenas de gigabytes na extremidade mais alta. Depois vêm os discos magnéticos, responsáveis pela maior capacidade de armazenamentos dos computadores. Por fim, temos as fitas magnéticas e os discos ópticos (TANENBAUM, 2007). 58 Registradores Cachê Memória Principal Disco Magnético Fita Disco Óptico Figura 14 – hierarquia de memória de cinco ní veis (TANEMB AUM, 2007). Os primeiros discos rígidos foram desenvolvidos na década de cinqüenta pela IBM nos Estados Unidos da América. O dispositivo era formado por nada menos que cinqüenta (50) discos de vinte e quatro (24) polegadas de diâmetro cada e possuíam uma capacidade total de cinco megabytes (5MB). Com essa capacidade, que para época era espantosa, custava uma fortuna, cerca de trinta e cinco mil dólares (MORIMOTO, 2002). Nos dias de hoje, os discos possuem, normalmente, de três a doze centímetros de diâmetro. Notebooks já possuem discos com menos de três centímetros (TANENBAUM, 2007). Inicialmente caros e de pouca capacidade, os discos rígidos foram se popularizando e diminuindo seu tamanho e aumentando sua capacidade de armazenamento. Nos dias de hoje estão disponíveis ao usuário comum discos com capacidades de até um terabyte por preços bem mais em conta. Nesta seção estudamos o funcionamento deste dispositivo tanto em nível físico quanto lógico. A Figura 15 mostra o interior de um HD. 59 Figura 15 – Interior de um Disco Rígido (VASCONCELOS, 2002). 3.7.1 O Funcionamento de um Disco Rígido Internamente no disco rígido, os dados são gravados em discos magnéticos, chamados em inglês de platters (pratos). A designação disco rígido vem justamente do fato destes discos internos serem lâminas de metal extremamente rígidas (MORIMOTO, 2002). O disco é composto de duas camadas. A primeira camada, chamada de substrato, trata-se de um disco metálico feito de ligas de alumínio polidos em salas esterilizadas a fim de que se tornem perfeitamente planos. Para permitir o armazenamento de dados estes discos são recobertos com uma segunda camada de material magnético. A aplicação da camada de material eletromagnético é realizada dos dois lados do disco e pode ser feita de dois tipos. A primeira forma chama-se eletroplating, é bem semelhante ao processo de eletrólise usado para banhar bijuterias à ouro. Segundo Morimoto (2002), esta técnica não permite uma superfície muito uniforme por isso, somente era usada em HDs mais antigos com capacidade até quinhentos MB. A técnica mais usada recentemente chama-se sputtering e usa uma tecnologia semelhante à usada pra soldar transistores nos processadores (MORIMOTO, 2002). A camada magnética possui alguns mícrons de espessura, por isso, possui uma fina camada cujo objetivo é oferecer alguma proteção contra pequenos impactos. Esta proteção é importante, pois, apesar dos discos serem encapsulados em salas limpas, 60 internamente eles possuem ar com pressão semelhante à pressão ambiente, não seria possível um disco rígido funcionar caso, internamente, possuíssem apenas vácuo (MORIMOTO, 2002). Os HDs são hermeticamente fechados, a fim de barrar qualquer contaminação do ambiente externo. Os discos são montados em um eixo feito de alumínio sólido o suficiente para evitar qualquer vibração durante o processo de leitura/escrita, mesmo em altas rotações. O disco possui um motor de rotação, que deve manter uma rotação constante. Os motores podem ser considerados um dos mais importantes componentes do HD, tendo em vista que têm grande responsabilidade pela durabilidade dos discos, uma vez que, boa parte das falhas graves é proveniente do motor. 3.7.1.1 Trilhas, Setores e Cilindros Com o objetivo de organizar o processo de gravação e leitura de dados no disco, a superfície do disco foi dividida em trilhas e setores. Segundo Morimoto (2002), as trilhas são círculos concêntricos que tem início no ponto mais externo do disco e tornam-se menores à medida que se aproxima do centro. Cada trilha recebe um número de endereçamento para permitir sua localização, a primeira recebe o número zero e as seguintes recebem os números um, dois, três e assim por diante (MORIMOTO, 2002). A Figura 16 mostra a organização do disco em trilhas e setores. Figura 16 – Disco, trilhas e setores (VASCONCELOS, 2002). 61 Visando facilitar ainda mais o acesso aos dados, as trilhas são divididas em setores. Trata-se de pequenos trechos onde os dados são armazenados. Cada setor possui capacidade de quinhentos e doze bytes (512 bytes) de informação. Cada setor é precedido de um preâmbulo que permite a sincronização do cabeçote antes de uma leitura ou escrita. Segundo Tanenbaum (2007), após os dados existe um código de correção de erros (ECC – Error-Correcting-Code). Entre setores consecutivos existe uma lacuna intersetores. Todos os discos possuem braços de leitura móveis que podem se mover para dentro e para fora em diferentes distâncias radiais da haste ao redor da qual o disco gira. A cada distância radial pode ser escrita uma trilha diferente, sendo assim, as trilhas são uma série de círculos concêntricos ao redor da haste (TANENBAUM, 2007). A largura da trilha depende da largura do cabeçote e da precisão com que ele pode ser posicionado. Com as tecnologias mais atuais, os discos possuem entre cinco mil (5.000) e dez mil (10.000) trilhas por centímetro, o que garante trilhas com larguras a faixa de um (1) a dois (2) micra (1 mícron= 1/1.000 mm). Para definir o limite de uma trilha bem como de um setor são usados marcas de endereçamento, pequenas áreas com um sinal magnético que oriente a cabeça de leitura e gravação, permitindo que os dados desejados sejam acessados. Portanto, nota-se que as trilhas não são marcações físicas na superfície do disco, e sim um anel de material magnetizado que possui pequenas áreas de proteção que o separa das trilhas que estão dentro e foras deste. Além das trilhas e setores, os HDs possuem as faces do disco. Internamente, um HD é formado por vários discos (também chamados de pratos) empilhados, se ndo que, nos dias de hoje os PCs possuem em média doze pratos por drive, o que resulta em doze ou vinte e quatro superfícies de gravação. Tendo em vista que podemos usar os dois lados dos pratos para armazenar dados, cada lado passa, então, a ser chamado de face. Como cada face é isolada da outra, temos em um mesmo disco rígido várias cabeças de leitura uma para cada face (MORIMOTO, 2002). 62 Embora tenhamos várias cabeças de leitura, elas não se movimentam de forma independente. As cabeças de leitura e gravação são presas individualmente em uma peça chamada braço de leitura e gravação. Os braços são agrupados em uma mesma peça metálica, de modo que todas as cabeças de leitura se movimentam horizontalmente para diferentes posições radiais ao mesmo tempo. Ao ordenar que o braço de leitura se movimente até a trilha 569 da face do disco 4, não é possível que, ao mesmo tempo, outra cabeça de leitura esteja posicionada na trilha 5678, exatamente por seus movimentos não serem independentes. A Figura 17 mostra o braço de leitura. Uma vez que todas as cabeças de leitura sempre estarão na mesma trilha de seus respectivos discos, introduzimos o conceito de cilindro. Um cilindro é um conjunto de diversas trilhas com o mesmo número em pratos diferentes. Por exemplo, o cilindro um (1) é formado por todas as trilhas um (1) das faces de todos os pratos do HD, o cilindro dois (2) por todas as trilhas dois (2) de cada face, e assim por diante. A Figura 18 mostra, de forma simplificada, o conceito de cilindro Figura 17 – Disco, braços e cabeças de leitura (VASCONCELOS, 2002). 63 Figura 18 – Conceito de Cilindro (VASCONCELOS, 2002). 3.7.1.2 Densidade dos discos Antes de abordarmos o processo de leitura e gravação de dados no HD, falamos um pouco sobre o conceito de densidade. Para criarmos um disco de maior capacidade de arma zenamento, podemos aumentar o número de pratos internos, usarmos discos maiores ou aumentarmos sua densidade. Se simplesmente aumentarmos o número de discos de quatro (4) para oito (8), por exemplo, aumentaríamos a sua capacidade, mas não seu desempenho (MORIMOTO, 2002). Sendo assim, a maneira mais eficiente de se aumentar a capacidade dos discos é aumentando a densidade dos discos magnéticos. Aumentar a densidade de um disco significa, basicamente, a possibilidade de escrever mais dados no mesmo espaço físico (MORIMOTO, 2002). Isso possibilita um número maior de trilhas no mesmo disco, sendo que cada trilha terá um número maior de setores, o que permite o armazenamento de uma quantidade maior de dados num disco de mesmo tamanho. Um problema que, segundo Morimoto (2002), surge com o aumento da densidade do disco é que se diminuirmos o espaço ocupado por cada bit no disco, enfraquecemos seu sinal magnético. Torna-se necessário então uma mídia de melhor qualidade para que os 64 dados possam manter-se estáveis no disco. Faz-se necessária uma cabeça de leitura mais sensível bem como aperfeiçoar o mecanismo de movimentação dos braços de leitura. Apesar destes problemas, os fabricantes têm conseguido desenvolver tecnologias que permitem aumentar consideravelmente a densidade dos pratos dos discos rígidos mais modernos (MORIMOTO, 2002). 3.7.1.3 Como Funciona o Processo Gravação e Leitura de Dados Os pratos (ou discos) de um HD são cobertos por uma fina camada de material magnético, e quanto mais fina for a superfície de gravação, maior será sua sensibilidade e, como conseqüência, maior será sua densidade de gravação (MORIMOTO, 2002). Os primeiros HDs usavam a mesma tecnologia de gravação dos disquetes, conhecida como “coated media”, que permitia uma baixa densidade de gravação e também não é muito durável. Os discos atuais usam mídia laminada (plated media), mais densa e de qualidade superior, que permite a grande capacidade de armazenamento dos discos atuais. O cabeçote de leitura contém uma bobina de indução que funciona como um eletroímã flutuando logo acima de uma superfície, apoiada por uma espécie de colchão de ar (TANENBAUM, 2007). No disco rígido, este eletroímã é extremamente pequeno e preciso, sendo capaz de gravar trilhas medindo menos de um centésimo de milímetro. Durante o processo de gravação de dados no disco, essa cabeça de leitura e gravação utiliza seu campo magnético para organizar a moléculas de óxido de ferro da superfície de gravação. Este processo faz como que os pólos positivos das moléculas se alinhem ao pólo negativo da cabeça de leitura e gravação e, por outro lado, faz com que os pólos negativos das moléculas alinhem-se ao pólo positivo da cabeça de leitura e gravação. Uma vez que a cabeça de leitura e gravação do HD funciona como um eletroímã sua polaridade pode ser alterada de forma constante. Com o disco girando ininterruptamente, variando a polaridade da cabeça de leitura e gravação, é variada também a direção dos pólos positivo e negativo das moléculas. Temos um bit um (1) ou zero (0), de acordo com direção dos pólos (MORIMOTO, 2002). 65 A cabeça de leitura e gravação pode mudar sua polaridade milhões de vezes por segundo, seguindo ciclos bem definidos, para serem gravadas as seqüências de bit zero (0) e um (1) que formam os dados. Um conjunto de moléculas é usado para representar cada bit. Quanto maior a densidade, menor o número de moléculas necessárias para armazenar cada bit, conseqüentemente, teremos um sinal magnético mais fraco. Será necessária uma cabeça de leitura e gravação mais precisa (MORIMOTO, 2002). No processo de leitura dos dados gravados, a cabeça de leitura cap ta o campo magnético gerado pelas moléculas alinhadas. Uma pequena corrente elétrica é gerada pela variação entre os sinais magnéticos positivos e negativos. Esta corrente percorre os fios da bobina e quando chega à placa lógica do HD é interpretado como uma seqüência de bits um (1) e zero (0). Apesar dos discos modernos terem incorporado vários aperfeiçoamentos, o processo de leitura e escrita de dados ainda continua sendo o mesmo dos primeiros discos rígidos desenvolvidos pela IBM (MORIMOTO, 2002). 3.7.2 Sistemas de arquivos O fabricante realiza uma formatação física no HD na fase final de fabricação. Esta formatação consiste na divisão lógica do disco em trilhas, setores e cilindros, já discutidos neste Capítulo. Este processo prepara toda a estrutura básica para que a cabeça de leitura e gravação possa realizar seu trabalho de armazenar e recuperar dados. Não obstante, para que este disco seja reconhecido e utilizado pelo SO, faz-se necessária uma divisão lógica do disco. Esta formatação lógica consiste em escrever no HD a estrutura do sistema de arquivos utilizada pelo sistema operacional (MORIMOTO, 2002). O armazenamento e recuperação de informações são considerados essenciais para o funcionamento de qualquer aplicação computacional. Os processos devem ser capazes de ler e gravar consideráveis quantias de dados em diversos dispositivos de armazenamento de massa, tais como, discos e fitas. 66 Os arquivos devem ser gerenciados pelo sistema operacional de maneira à facilitar o acesso dos usuários ao seu conteúdo quando solicitado. A parte do sistema operacional responsável por gerenciar esses serviços é o sistema de arquivos. O sistema de arquivos pode ser considerado a parte mais visível do SO tendo em vista que a manipulação de arquivos é uma atividade constantemente realizada pelos usuários do sistema (MACHADO & MAIA, 2007). Um sistema de arquivos consiste em um conjunto de estruturas lógicas e rotinas que permitem ao sistema operacional controlar o acesso ao disco rígido. Cada sistema operacional possui um sistema de arquivos (MORIMOTO, 2002). Um arquivo é formado por informações logicamente correlatas, que podem representar dados ou instruções. “Um arquivo executável, por exemplo, contém instruções compreendidas pelo processador, enquanto um arquivo de dados pode ser estruturado liv remente como u m arquivo de texto ou de forma mais rígida, por exemp lo, um banco de dados relacional.” (MACHADO & MAIA, 2007, p. 215 ). Os sistemas de arquivos mais utilizados são: o EXT2 pra o Linux, FAT16 compatível com o MS DOS e muitas das versões do Windows, a FAT32 e o NTFS da Microsoft (MORIMOTO, 2002). O NTFS será estudado mais aprofundadamente mais adiante. Quando um usuário deleta um arquivo, o sistema de arquivos não apaga permanentemente o arquivo do disco rígido. Ele simplesmente cria uma sinalização que diz ao sistema operacional que aquele setor do disco pode ser reusado. Saber como reconstruir um arquivo apagado é considerada uma das mais importantes tarefas do investigador forense (NOLAN et al., 2005) 3.7.2.1 System FAT (File Allocation Table) O sistema FAT foi desenvolvido para o sistema MS-DOS e, posteriormente, utilizado em várias versões do MS Windows. O FAT16 utiliza esquema de listas encadeadas para estruturar o sistema de arquivos, está limitado a partições de quatro gigabits (4 Gb) e apresenta baixo desempenho e segurança (MACHADO & MAIA, 2007). 67 Uma evolução natural da antiga FAT16, a FAT32 utiliza 32 bits para o endereçamento de cada cluster, permitindo clusters de apenas 4 KB, mesmo em partições maiores que 2GB. O tamanho máximo de uma partição com FAT32 é de 2048 Gigabytes (2 Terabytes), o que permite formatar qualquer HD atual em uma única partição (MORIMOTO, 2002). 3.7.2.2 Formatação do Disco Rígido Para que um disco rígido esteja pronto para ser usado, devemos formatá- lo. Formatar um disco rígido significa dividir o disco em setores lógicos endereçáveis, o que permite que os dados sejam gravados e lidos de maneira organizada posteriormente. Morimoto (2002) afirma que, formatação de disco é um assunto complicado até para profissionais, que muitas vezes têm dúvidas sobre o assunto. Devemos, primeiramente, compreender que existem dois tipos de formatação: a formatação física, ou de baixo nível, e a formatação lógica. A organização física do disco em trilhas, setores e cilindros já fora discutida anteriormente. Esta divisão do disco se faz necessária para que os dados possam ser gravados e acessados no disco rígido. Esta divisão do disco é chamada de formatação de baixo nível. Discos mais antigos, padrão ST-506 e ST-412, que há mais de uma década foram substituídos pelos padrões IDE e SCSI, eram mais simples e permitiam que a formatação física fosse realizada pelo próprio usuário através do Setup (MORIMOTO, 2002). Os HDs IDE e SCSI, padrões utilizados atualmente, podem ser considerados mais complexos, sendo quase impossível determinar qual é disposição das trilhas, setores e cilindros, a fim de que se realize uma formatação física. Esses padrões não possuem problemas de desalinhamento, causado pelo aquecimento e resfriamento do disco durante o processo de leitura/escrita o que, nos padrões mais antigos, provocavam a alteração das trilhas. Sendo assim, a formatação física dos discos IDE e SCSI é realizada uma única vez na fábrica (MORIMOTO, 2002). 68 Segundo Morimoto (2002), qualquer tentativa indevida de formatar fisicamente os discos mais modernos não surtira qualquer efeito, podendo inclusive, em casos raros, inutilizar o disco completamente. O que nos leva a concluir que discos dos padrões IDE ou SCSI não precisam ser fisicamente formatados, sendo desaconselhada qualquer tentativa. Em um disco rígido pode existir mais de uma partição lógica. Dividir um disco rígido em diferentes partes consiste no processo de formatação do disco. As partições são tradicionalmente nomeadas pelo sistema operacional Windows como „C‟, „D‟, „E‟, e assim por diante (NOLAN et al., 2005). 3.8 O SISTEMA OPERACIONAL WINDOWS XP E O SISTEMA DE ARQUIVOS NTFS O sistema operacional Windows XP é um sistema operacional presente em muitos computadores em uso, apesar de seus substitutos, Windows Vista e, mais recentemente, o Windows 7, já estarem à venda no mercado mundial. Trata-se de um SO multitarefa de trinta e dois (32) e sessenta e quatro (64) bits para processadores AMD K6/k7 e Intel IA32 e IA64 entre outros processadores mais recentes. Sucessor do Windows NT/2000, o XP foi lançado também para substituir o Windows 95/98. Seus principais objetivos de projeto eram segurança, confiabilidade, facilidade de uso e compatibilidade com aplicações de outras versões do Windows, alto desempenho, portabilidade e suporte internacional (SILBERSCHATZ et al., 2004). Abordaremos as principais características do sistema, a arquitetura em camadas e principalmente o sistema de arquivos NTFS característico desta, e de outras versões do Microsoft Windows. Aos interessados em informações mais completas e abrangentes sobre o sistema, recomendamos a obra Sistemas Operacionais com Java, onde encontramos uma boa abordagem acerca das características do Microsoft Windo ws. 3.8.1 Princípios de Projeto do Windows XP Os principais objetivos do projeto do Windows XP incluem segurança, confiabilidade, compatibilidade e alto desempenho, extensibilidade, portabilidade e suporte 69 internacional (SILBERSCHATZ et al., 2004). Abaixo são apresentados alguns desses objetivos. Segurança Segundo Silberschatz et al (2004), os objetivos de segurança do Windows XP exigiram muito mais do que a simples conformidade com padrões de projeto que permitiram ao Windows NT 4.0 receber certificação C2 do governo estadunidense. Esta classificação indica uma proteção moderada contra softwares defeituosos ou maliciosos. Foram realizadas revisões completas do código combinadas com sofisticadas ferramentas de análise, visando investigar e identificar eventuais defeitos que pudessem representar vulnerabilidade na segurança do sistema. Confiabilidade do Sistema O Windows XP fora o sistema operacional mais confiável lançado pela Microsoft até então. Boa parte desta confiabilidade vem da maturidade do código fonte, teste de stress profundos do sistema e detecção automática de falhas nos dirvers. Foram realizados testes manuais e automáticos em todo o código fonte, para identificar mais de sessenta e três mil (63.000) linhas que pudessem conter problemas não detectados e então se reviu cada área, a fim de verificar a correção do código (SILBERSCHATZ et al., 2004) . O Windows XP incorpora ainda, novas facilidades para monitorar a “saúde” do sistema como, por exemplo, o download de reparos antes que o usuário identifique o problema. Extensibilidade Segundo Silberschatz et al (2004), a extensibilidade do Windows XP refere-se ao fato de que o sistema pode acompanhar os avanços na tecnologia da computação. Para facilitar as mudanças necessárias, o sistema possui uma arquitetura em camadas que será discutida mais a diante. O executivo do Windows XP roda o kernel em modo protegido e oferece os serviços básicos do sistema. Em cima do executivo, vários subsistemas de servidor operam no modo usuário. Entre estes subsistemas estão os subsistemas de ambientes, que simulam vários sistemas operacionais. Sendo assim, programas desenvolvidos para MS-DOS e versões antigas do Windows podem ser executados no Windows XP no ambiente de execução apropriado. 70 3.8.2 Componentes do Sistema Operacional Windows XP A arquitetura do Windows XP é um sistema de módulos em camadas como mostra a Figura 19. As principais camadas desta arquitetura são a HAL (Hardware Abstraction Layer), o kernel e o executivo, sendo que, todos executam em modo protegido. Além de uma coleção de subsistemas e serviços que executam em modo usuário. Os subsistemas que executam em modo usuário são classificados em duas categorias. Os subsistemas de ambiente simulam diferentes sistemas operacionais; os subsistemas de proteção oferecem funções de segurança. Segundo Silberschatz et al (2004), uma das principais vantagens deste tipo de arquitetura é que as interações entre os módulos podem ser mantidas de forma simples. Com mais de quarenta milhões de linhas de código escritas, em sua maioria em linguagem C, no entanto, com alguns módulos escritos em C++ e assembly, o sistema possui uma combinação do modelo em camadas e o modelo cliente servidor. Embora não seja totalmente orientado a objeto, o Windows representa seus recursos internos como objetos. Isto foi feito visando diminuir o impacto das mudanças que o sistema possa sofrer no futuro. Além disso, a criação, manipulação, proteção e compartilhamento de recursos podem ser feitas de forma mais simples e uniforme (MACHADO & MAIA, 2007). Pode-se notar que a arquitetura do Windows está dividida em duas camadas. No modo usuário estão os processos do sistema, serviços, aplicações e subsistemas de ambiente. E no modo kernel está o núcleo do sistema propriamente dito e o HAL (Hardware Abstraction Layer). A Figura 19 mostra o diagrama de blocos do Windows XP. As camadas superiores do kernel do Windows XP dependem das interfaces da HAL, e não diretamente do hardware básico, o que confere o isolamento das camadas superiores das diferenças existentes no hardware. 71 P rocesso de logon Aplicações OS/2 Subsistema de Segurança Aplicaçõe s Win32 Aplicaçõe s Win16 Subsistem a OS/2 VDM Win18 Aplicações MS-DOS Aplicações P OSIX VDM MS-DOS Subsistema P OSIX MS- DOS P rotocolo de Autenticação Subsistema Win32 BD Gerenciador de Segurança Modo Usuário Modo Kernel Executivo Gerenciador de E/S Gerenciador de Objetos Facilidade da LP C Gerenciador de processos Gerenciado r Plug & Play Gerenciador de me mória Virtual Sistema de arquivos Facilida de da LPC Gerenciador de janelas Gerenciador de cache Drivers de dispositivos Kernel Drivers de Rede Camada de abstração do Hardware Drivers de dispositivos Gráficos Hardware Figura 19 – Di agrama de Blocos do Windows XP (SILB ERS CHATZ et al. p. 558, 2004). A Figura mostra os vários componentes da arquitetura do Windows XP, entre eles destacamos a Hardware Abstraction layer, abordada na próxima seção, e os subsistemas de execução que confere ao Windows XP certa compatibilidade com aplicativos desenvolvidos para outras versões do Windows e o antigo MS-DOS. 72 3.8.2.1 Camada de Abstração do Hardware (HAL – Hardware Abstraction Layer) A HAL é responsável por tornar transparente, às camadas superiores do sistema operacional, as diferenças de hardware. O objetivo da HAL e tornar o Windows XP “portável”, ou seja, independente da arquitetura da plataforma onde está sendo executado. Trata-se de uma biblioteca que engloba parte do código do sistema dependente do hardware, como acesso a registradores e endereçamento de dispositivos, identificação de interrupções, temporização, sincronização em ambientes com multiprocessamento e interface com a BIOS e CMOS. Essa camada garante ao Windows uma grande facilidade ao ser portado pra plataformas de hardware diferentes. Segundo Silberschatz et al (2004), a HAL exporta uma interface de máquina virtual usada pelo despachante do kernel, pelo executivo e pelos drivers de dispositivos. A vantagem desta técnica é que uma única versão de cada driver de dispositivo se faz necessária. Ela pode ser executada em todas as plataformas de hardware (SILBERSCHATZ et al., 2004). Os drivers de dispositivos mapeiam dispositivos pra acessá- los diretamente. Os detalhes administrativos do mapeamento da memória, configuração do barramento de entrada e saída, e tratamento de facilidades especificas da placa-mãe, ficam a cargo das interfaces da HAL. 3.8.2.2 O kernel do Windows XP O kernel do Windows XP oferece a base para a execução ao executivo e os subsistemas. Ele permanece em execução na memória RAM e jamais tem sua execução preemptada. (SILBERSCHATZ et al., 2004). O kernel possui quatro funções principais assim apresentadas por Silberschatz et al (2004): escalonamento de threads, tratamento de interrupções e execução, sincronismo de baixo nível do processador e recuperação após uma falta de energia. O kernel do Windows XP é orientado a objeto. Um tipo de objeto é um tipo de dado definido pelo 73 sistema que possui atributos, ou seja, valores de dados, e um conjunto de métodos, por exemplo, funções e operações (SILBERSCHATZ et al., 2004). Um objeto é uma instância de um tipo de objeto. O kernel realiza seu trabalho usando um conjunto de objetos do kernel cujos atributos armazenam os dados do kernel e cujos métodos realizam as atividades do kernel (SILBERSCHATZ et al., 2004). 3.8.2.3 Despachante do Kernel O despachante (dispatcher) do kernel oferece a base para o executivo e os subsistemas. Segundo Silberschatz et al (2004), a maior parte do despachante nunca é paginada fora da memória, e sua execução jamais é preemptada. As suas principais funções são o escalonamento de threads, implementação de primitivas de sincronismo, gerenciador do temporizador, interrupções de softwares e despacho de execução. 3.8.3 Sistema de Arquivos NTFS O Microsoft Windows é o sistema operacional predominante nos computadores pessoais no mundo, e com grande parcela de servidores também (NOLAN et al., 2005). O sistema operacional Microsoft Windows suporta quatro tipos diferentes de sistemas de arquivos, CDFS, UDF, FAT e NTFS. Cada sistema de arquivo determina como os diretórios e arquivos são organizados, o formato dos nomes dos arquivos, desempenho e segurança de acesso aos dados (MACHADO & MAIA, 2007). O CDFS (CD-ROM File System) oferece suporte a dispositivos como CD-ROM e DVDs. Enquanto o UDF (Universal Disk Format) é uma evolução do CDFS, e também é voltado à mídias como CDs e DVDs. O sistema de arquivos New Tecnology File System (NTFS) foi desenvolvido especialmente para novas versões do MS Windows, e utiliza o esquema de árvore-B para estruturar o sistema de arquivos. O NTFS oferece muitas vantagens como alto grau de segurança e desempenho, principalmente quando comparado ao FAT. Em Machado & Maia (2007), são enumeradas algumas das vantagens deste sistema de arquivos face a seus predecessores. 74 Nomes de arquivos com até duzentos e cinqüenta e cinco caracteres, incluindo brancos e letras maiúsculas e minúsculas; Partições NTFS dispensam o uso de ferramentas de recuperação de erros; Proteção de arquivos e diretórios por grupos; Criptografia e compressão de arquivos; Suporte a volumes de dezesseis Exabytes e 2³² -1 arquivos por volume; Ferramentas de desfragmentação e gerencia de quotas em disco; Suporte a Unicode; Suporte a RAID 0, RAID 1 e RAID 5. O NTFS é um sistema mais antigo do que se acredita. Seu projeto começou no inicio da década de oitenta. Nesta mesma época, estava tendo inicio o projeto do Windows NT. A idéia era projetar um sistema de arquivos que pudesse ser usados por décadas mesmo que os discos evoluíssem muito (MORIMOTO, 2002). 3.8.3.1 Estruturas Lógicas do NTFS O NTFS trabalha com volumes que são partições lógicas do disco rígido. Um volume pode ser a representação de todo o espaço do disco ou somente partes deste disco físico. Isso significa que em um mesmo disco podemos ter mais de um volume que estejam configurados com diferentes sistemas de arquivos, por exemplo, NTFS, FAT e EXT2. Essa possibilidade de particionamento permite que, por exemplo, tenhamos mais de um sistema operacional instalado no mesmo disco. Podemos dar boot (iniciar) em uma, ou mais versões do Windows, como o Windows XP e Windows 2000, ou então uma versão do Windows e uma distribuição Linux. Um disco, quando formatado com o NTFS, é dividido em setores que são agrupados em clusters. O cluster é uma unidade de alocação de espaço no disco e seu tamanho varia de acordo com volume, quanto maior o volume, maior o tamanho do cluster (MACHADO & MAIA, 2007). 75 Estes clusters formam um grupo maior de dados que forma uma única unidade de armazenamento endereçável. Combinando setores em clusters, o sistema de arquivos reduz o tempo para ler e gravar arquivos. “Um cluster, ou unidade de alocação, é o menor montante de espaço em disco que pode ser alocado para armazenar u m arquivo. Todos os sistemas de arquivos usados pelo Windows XP Prefessional organiza os disco rígido baseado no tamanho de cluster, o qual é determinado pelo número de setores que o cluster possui. Por exemplo, em u m disco que possui setores de quinhentos e doze Bytes (512 B), u m cluster de quinhentos e doze Bytes (512 B) possui um setor, ao passo que, um cluster de quatro Kilobytes (4KB) possui oito setores.” (NOLAN et al., p. 39, 2005). Os diferentes sistemas de arquivos suportados pelo Windows, FAT16, FAT32 e NTFS, usam diferentes tamanhos de cluster, dependendo do tamanho do volume, e cada sistema de arquivo possui um número máximo de clusters que pode suportar. Clusters pequenos possibilitam que o disco armazene informações mais rapidamente, uma vez que, os espaços não utilizados pelo cluster não pode ser utilizado por outros arquivos. A Tabela 1 mostra os tamanhos padrões para clusters para volumes com os sistemas de arquivos do Microsoft Windows XP. Assim como no FAT16 e FAT32, no NTFS várias estruturas lógicas são incluídas no HD. Serão apresentadas as estruturas mais importantes que compõe o sistema de arquivos NTFS. Apesar de a idéia ser basicamente a mesma para os outros sistemas, no NTFS essas estruturas têm suas peculiaridades. Uma dessas estruturas é Master File Table (MFT). A MFT substituiu a FAT, armazenando as localizações de todos os arquivos e diretórios, incluindo os arquivos referentes ao próprio sistema de arquivos. A MFT será discutida mais extensamente na próxima seção deste Capítulo. 76 Tabela 1 – Tamanho de cl usters nos sistemas de arqui vos do Windows XP (NOLAN et al. p. 40, 2005). Tamanho do Volume Tamanho cluster FAT16 Tamanho cluster FAT32 Tamanho cluster NTFS 7 MB – 16 MB 2 KB Não Suportado 512 Bytes 17MB – 32MB 512 Bytes Não Suportado 512 Bytes 33MB – 64MB 1 KB 512 Bytes 512 Bytes 65MB – 128MB 2 KB 1 KB 512 Bytes 129MB – 256MB 4 KB 2 KB 512 Bytes 257MB – 512MB 8 KB 4 KB 512 Bytes 523MB – 1,024MB 16 KB 4 KB 1 KB 1,025MB – 2GB 32 KB 4 KB 2 KB 2GB – 4GB 64 KB 4 KB 4 KB 4GB – 8GB Não Suportado 4 KB 4 KB 8GB – 16GB Não Suportado 8 KB 4 KB 16GB – 32GB Não Suportado 16 KB 4 KB 32GB – 2 Terabytes Não Suportado Não Suportado 4 KB 3.8.3.2 MFT (Master File Table) Com o NTFS, a Microsoft substituiu a FAT (File Allocation Table) por uma estrutura chamada de MFT (Master File Table). A localização de todos diretórios e arquivos, inclusive os arquivos de sistema, está armazenada nesta tabela. Porém, a forma como se dá este mapeamento é diferente da FAT. Segundo Morimoto (2002), cada entrada de arquivo ou diretório na MFT possui dois Kilobytes (2 KB) para armazenamento de dados. Nestas entradas são armazenados o nome do arquivo e seus atributos. Restando uma pequena área de dados de mil e quinhentos Bytes (1.500 B), que pode ser maior ou menor, variando de acordo com o 77 espaço ocupado pelo nome e outros atributos do arquivo. Este espaço de mil e quinhentos Bytes é usado para guardar o início do arquivo. Se o arquivo for muito pequeno ele pode ser armazenado diretamente na entrada da MFT, caso contrário, serão armazenados apenas o números dos clusters ocupados por ele. Coso não seja possível armazenar nem mesmo os atributos do arquivo na MFT, os atributos serão, então, gravados em clusters vagos do HD e a MFT conterá apenas entradas que apontam para eles (MORIMOTO, 2002). Os atributos de um arquivo no sistema NFTS podem facilmente ter mais de dois Kilobytes (2KB). No NTFS os atributos possuem informações mais completas que as existentes no sistema FAT. Os atributos do arquivo incluem o nome, versão, nome MS-DOS (nome simplificado com oito caracteres de extensão). No entanto, incluem, principalmente, as permissões do arquivo, quais usuários do sistema podem acessá- lo ou não e um espaço para auditoria, que permite armazenar informações sobre quais operações envolvendo o arquivo devem ser gravadas para que se possa realizar uma investigação se necessár io (MORIMOTO, 2002). A Figura 20 apresenta a estrutura MFT, na qual os registros de zero até 15 são usados pelo sistema para mapear os arquivos do controle do sistema de arquivos (arquivos de metadados). Os demais registros são utilizados para mapear os arquivos e diretórios do usuário. O registro de número zero é utilizado para mapear a própria MFT (MACHADO & MAIA, 2007). 78 0 Master File Table 1 Cópia da MFT 2 Arquivo De Log 3 Vo lu me 4 Atributos 5 Diretório Raiz 6 Arquivo Bit map 7 Arquivo de Boot 8 Arquivos de Metadados Arquivos de Cluster Ruins ● ● ● 16 Arquivos e Diretórios do Usuário Figura 20 – Master File Table (MACHADO & MAIA, 2007). 79 Os registros na MFT possuem o mesmo tamanho, porém possuem formatos diferentes. Um registro possui um header (cabeçalho), que serve para identificar o registro, seguido por um ou mais atributos. Os atributos são formados por um par valor e cabeçalho. O cabeçalho identifica o que o valor representa. O NTFS define treze tipos diferentes de atributos que podem aparecer em um registro. A Figura 21 mostra um exemplo de um pequeno arquivo, onde todos os seus atributos, inclusive os dados, podem perfeitamente Atributo 1 Atributo 2 Descritor de Segurança Atributo 3 Cabeçalho Nome do Arquivo Cabeçalho Informaçõe s padrão Cabeçalho Cabeçalho Header do Registro estár presentes no registro da MFT (MACHADO & MAIA, 2007). Dados Atributo 4 Figura 21 – Exempl o de um registro para um arqui vo pequeno (MACHADO & MAIA, 2007). Um arquivo em disco é formado por uma seqüência de clusters não necessariamente contíguos no disco. Por questão de desempenho, o sistema de arquivos tentará alocar os clusters que formam o arquivo, de forma seqüencial no d isco. Caso não seja possível, o arquivo será formado por vários conjuntos de clusters contíguos chamados de extent. O número de extents indica o grau de fragmentação do arquivo. O sistema de arquivos NTFS registra na MFT a posição inicial do extent no disco, afim de, mapear os extents de um arquivo. O sistema utiliza o LCN (Logical Cluster Number) e quantos cluster contíguos compõem o extent (MACHADO & MAIA, 2007). 80 A Figura 22 mostra um exemplo de um arquivo composto por três extents. Se o número de extents ultrapasse o tamanho do registro na MFT, um ou mais registros adicionais podem ser utilizados (MACHADO & MAIA, 2007). LCN Cluster ........ .. LCN Cluster 4 1355 Extent 1 1588 LCN Cluster 3 Extent 2 2000 2 ........ .. Extent 3 Figura 22 – Exempl o de registro de um arqui vo (MACHADO & MAIA, 2007). Estas são as estruturas básicas do sistema de arquivos NTFS, a formatação de um volume NTFS resulta na criação da Master File Table, além de diversos arquivos de sistema com meta informações usadas para a implementação do próprio sistema de arquivos (OLIVEIRA, 2002). A Figura 23 mostra a estrutura de um volume formatado com o sistema de arquivos NTFS. Setor de Boot MFT Arquivos de Sistema Arquivos Figura 23 – Estrutura de um volume NTFS. No setor de boot estão as rotinas responsáveis pela inicialização do volume, além de outros arquivos mapeados nos primeiros registros da MFT. Arquivos de sistema e arquivos comuns do usuário. 81 4. Ilícitos computacionais Conhecidos como cybercrimes, os ilícitos computacionais têm crescido, principalmente nos últimos, com o aumento considerável do número de usuários de sistemas computacionais no Brasil e no mundo. Neste Capítulo é apresentado um cenário de um ilícito envolvendo um sistema computacional, no qual serão aplicados os procedimentos discutidos neste trabalho. O termo cybercrimes foi criado no inicio dos anos noventa, com o crescimento da Internet, especialmente na America do norte. Fora criado um subgrupo dentro do G8 (Grupo dos sete países mais ricos do mundo e a Rússia), com o objetivo de realizar estudos referentes às novas modalidades de atos ilícitos cometidos através de ou contra sistemas computacionais. Concomitantemente, o conselho europeu dava forma a Convenção sobre Cybercrimes, tal convenção, incorporava um conjunto de técnicas de vigilância, consideradas, pelas instituições legais, necessárias para se combater os cybercrimes. Esta convenção descreve as diversas recomendações e área sujeitas conforme se segue, segundo Perrin (2005): Artigo 1 - Crimes contra a confidencialidade, integridade e disponibilidade de dados de computador e sistemas. Artigo 2 - Crimes relacionados a computadores [falsificação e fraude]. Artigo 3 - Crimes relacionados ao conteúdo [pornografia]. Artigo 4 - Crimes relacionados à infração de da propriedade intelectual e direitos conexos. Artigo 5 - Responsabilidade subsidiária e sanções [esforço e auxílio ou responsabilização corporativa]. A maior parte da convenção esta associada, principalmente, a leis de procedimentos e cooperação internacional, sendo muito breves as recomendações dos crimes propriamente ditos. 82 O sucesso de uma ação penal exigia novas técnicas para reunir provas, visando garantir sua integridade e compartilhamento internacional. As solicitações de preservação de dados ou captura de dados em tempo real, invariavelmente, demandam interferência nas liberdades civis. A Constituição Federal da Republica Federativa do Brasil discorre em – Dos direitos e Garantias Fundamentais, Capítulo I – Dos Direitos e Deveres Individuais e Coletivos: Art. 5° – Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos seguintes termos: [...] XII – é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no ultimo caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal; O acesso a informações cadastrais e informações telemáticas, só será possível mediante ordem judicial. O cybercrime se aplica a novas categorias de ilícitos, tais como os relacionados à pornografia na Internet ou a distribuição de material pornográfico que violem a legislação de determinados países. A falta de barreiras físicas da Interne, possibilitou que se distribuíssem tais matérias para além das fronteiras dos países de origem de seus produtores. Invadir e ou invalidar sistemas de computadores também passa a ser considerada uma atividade delituosa, o que não era encarado como atividade ilícita por muitos países. O objetivo deste tratado era estabelecer regras e um acordo para seu cumprimento, e deveriam ser seguidas pelos países aderentes. Quando tiveram início os esforços para confecção do anteprojeto do Tratado Sobre Cybercrimes, boa parte das instituições legalmente constituídas, responsáveis por fazer cumprir a lei, mostrava grande atraso tecnológico. Não se sabia como investigar, como levantar as provas e nem como preservá- las, ou mesmo como rastrear a origem de uma mensagem. No entanto, o termo cybercrime pode não ser o mais apropriado, uma vez que, os ilícitos são praticados no mundo real por pessoas reais. 83 Muitos hackers não acreditam que somente olhar as informações de um sistema invadido não constitui uma ilicitude, uma vez que eles descobrem e reportam as falhas de segurança existentes. Este ato constitui-se em uma nova categoria de atos ilícitos, que está relacionada à quebra, invasão e espionagem de sistemas computacionais de pessoas ou organizações. Existe ainda, o fato de ilícitos antigos estarem sendo praticados através dos novos sistemas computacionais. Golpes, antes aplicados por telefone, agora são praticados via internet, violação dos direitos autorais é um ilícito antigo, bem como a pornografia infanto-juvenil, mas que agora se utiliza de novas ferramentas, como computadores e a Internet, para serem perpetrados. Um terceiro aspecto do chamado cybercrime, os sistemas computacionais servem como repositórios de provas, necessárias à elucidação de diferentes formas de atos ilícitos, não necessariamente ligadas ao chamado cyberespaço. Um traficante de drogas pode armazenar em seu computador informações de contabilidades de suas atividades financeiras, na venda de drogas. Estas informações podem servir na elaboração de provas legalmente aceitas em um tribunal. “Nós construímos um mundo em que os chips de silício são responsáveis pela criação e disseminação de bits digitais, que transportam informações. Estes bits compõem um novo tipo de prova, e podem representar um risco para os indivíduos” (Perrin, 2005). Cabe ao perito forense, proceder de forma moralmente correta, cientifica e tecnicamente aceita, para permitir que aos órgãos competentes dêem uma resposta satisfatória à sociedade. Ações que façam com que os indivíduos que perpetuem ilícitos computacionais, não se sintam impunes diante de uma possível ineficácia dos órgãos de investigação ou mesmo do sistema judicial em puni- los exemplarmente. 84 4.1 PEDOFILIA E PORNOGRAFIA INFANTIL Entre os vários ilícitos praticados através dos sistemas computacionais, um que tem tido grande destaque na mídia internacional e, conseqüentemente, chamado a atenção das autoridades no mundo todo, está relacionado à exploração sexual infantil. A despeito de não ser um ilícito recente, e perpetrado, não necessariamente, através de computadores, este ilícito tem crescido consideravelmente nos últimos anos, especialmente devido ao acesso a Internet ter se popularizado desde o inicio da década de 1990. Está exploração tem se dado de forma mais rápida com o uso de sistemas computacionais, e especialmente com a produção caseira ou profissional de material pornográfico infantil, e sua conseqüente divulgação principalmente via Internet. No Brasil, mais recentemente, tornou-se crime não só a divulgação e ou produção deste tipo de material, mais a simples posse de qualquer conteúdo, seja em forma digital ou não, caracteriza uma grave infração da lei. Sendo assim, este foi o ilícito escolhido para compor o cenário proposto do estudo de caso, para a aplicação de algumas técnicas, procedimentos e ferramentas da Forense Computacional. Antes, discutiremos um pouco sobre este tipo de ilícito. A OMS (Organização Mundial da Saúde) define a pedofilia como sendo, ao mesmo tempo, uma doença e um distúrbio psicológico. A sua existência se dá através da simples atração de adultos ou adolescentes por crianças de até quatorze anos. A simples atração, sem a necessidade da consumação de qualquer ato sexual, já caracteriza a pedofilia. O interesse e a exploração sexual, infanto-juvenil, por adultos não é um fenômeno recente, e tem sido identificada desde a antiguidade. A invenção da máquina fotográfica no século XIX contribuiu para a prática da disseminação das imagens destes contatos sexuais. Tendo em vista que, a partir de então, havia a possibilidade de se registrar e, posteriormente, acessar este material. Entretanto, com a massificação da Internet nos anos noventa, estas ações danosas encontraram uma nova forma de disseminação de material de grandes proporções. 85 Novos softwares de edição de imagens e vídeos, câmeras digitais, equipamentos de vídeo e até mesmo celulares, garantem que o material áudio visual seja produzido de forma fácil e barata e, até certo ponto, impune. A tentativa de combater a pornografia infantil d isseminada, principalmente, através de meios eletrônicos, engloba esforços conjuntos de muitas partes, instituições de todos os níveis do governo na tentativa de reprimir este comércio clandestino, e milionário, que envolve sórdidos esquemas profissionais e amadores. Não existe, na legislação brasileira, a tipificação do ilícito pedofilia. As consequências dos atos, do comportamento de um pedófilo é que podem ser considerados atos ilícitos. Como por exemplo, a posse de material, em meio digital ou não, contendo pornografia infantil, é considerado um ato criminoso No Brasil o Estatuto da Criança e do Adolescente estabelece formas de punição ao abuso sexual. Em 25 de novembro de 2008, durante a abertura do “III Congresso Mundial de Enfrentamento da Exploração Sexual de Crianças e Adolescentes”, realizado no Rio de Janeiro, o Presidente da República sancionou a Lei 11.829/2008, proposta pela CPI da Pedofilia, que modificou o Estatuto da Criança e Do Adolescente (ECA), criando novos tipos de crimes para combate à pornografia infantil e ao abuso sexual: Crime de Produção de Pornografia Infantil: é a produção de qualquer forma de pornografia envolvendo criança ou adolescente (artigo 240 do Estatuto da Criança e do Adolescente – pena de 4 a 8 anos); Também pratica este crime quem agência, de qualquer forma, ou participa das cenas de pornografia infantil (artigo 240, §1º, do Estatuto da Criança e do Adolescente); A pena para este delito pode ser aumentada em alguns casos especiais, por exemplo, se o praticante do ilícito exercer qualquer função publica (Professor, médico publico etc.). Crime de Divulgação de Pornografia Infantil: é a publicação, troca ou divulgação, por qualquer meio (inclusive Internet) de foto ou vídeo de pornografia ou sexo explícito 86 envolvendo criança ou adolescente (artigo 241-A do Estatuto da Criança e do Adolescente – pena de 3 a 6 anos); Também pratica este crime quem (artigo 241-A, §1º, do Estatuto da Criança e do Adolescente): assegura os meios de armazenamento das fotos ou vídeos de pornografia infantil, ou seja, a empresa de Internet que guarda a pornografia em seus computadores para a pessoa que quer divulgar; ou que assegura o acesso à internet, por qualquer meio, da pessoa que quer divulgar ou receber pornografia infantil. Trata-se de uma tentativa de punir os provedores de acesso e outros que permitam o armazenamento e divulgação de qualquer material relacionado à pornografia infantil. Mas, agora a tipificação de um ilícito que nos interessa mais, tendo em vista que, fará parte do cenário proposto: Crime de Posse de Pornografia Infantil: é ter em seu poder (no computador, pendrive, em casa, etc.) foto, vídeo ou qualquer meio de registro contendo pornografia ou sexo explícito envolvendo criança ou adolescente (artigo 241- B do Estatuto da Criança e do Adolescente – pena de 1 a 4 anos); A SaferNet Brasil, uma associação civil de direito privado, sem fins lucrativos e ou econômicos, sem vínculos políticos partidários e de atuação nacional. Logo que criada, a SaferNet tornou-se referência em combate a crimes e violação dos direitos humanos na Internet no Brasil. Entre os principais desafios da SaferNet está enfrentamento as ilícitos como aliciamento, produção e difusão em larga escala de imagens de abuso sexual de crianças e adolescentes, racismo, neonazismo, intolerância religiosa, homofobia, apologia e incitação a crimes contra a vida e maus tratos contra animais. A SaferNet disponibiliza em seu site (http://www.safernet.org.br/site/indicadores), os indicadores dos principais denúncias recebidas por está instituição, através de um uma ferramenta interativa da Central Nacional de Denúncias, com possibilidade de realizar pesquisas por ilícito e ou período. A Figura 24 mostra algumas estatísticas encontradas. 87 Figura 24 – Indicadores do SaferNet. A demonstrador do SaferNet deixa claro que a maior parte das denuncias, tanto as únicas quanto às referentes a domínios específicos, no caso o Orkut, é referente à pornografia infantil. 88 Figura 25 – SaferNet, comparati vo entre períodos. O comparativo entre os períodos de 1° de outubro de 2006 e 1° de novembro de 2006, e entre os períodos de 1° de outubro de 2009 e 1° de novembro de 2009, mostra o crescimento no número de denúncias relacionadas pornografia infantil de mais de mais de 170 %. Estes números deixam claros que o problema é sério deve ser enfrentado seriamente. E não resta dúvidas, de que a forense computacional deve ser aplicada, visando auxiliar a autoridade legal, a trazer os responsáveis por estes atos sórdidos à luz da justiça e dar uma resposta satisfatória à sociedade. Estes dados são mostrados na Figura 25. Em termos oficiais, pode-se dizer que o Brasil fez importantes avanços nos últimos anos, especialmente com a criação da Subcomissão Temática de Enfrentamento à 89 Pedofilia e Pornografia Infantil na Internet. Fazem parte desta comissão, os poderes Legislativo, Executivo e Judiciário, governos Federal e Estaduais, além de órgãos internacionais, a Sociedade Civil organizada e o setor privado. Fizeram parte da pauta de discussão desta Subcomissão os aspectos fundamentais para a elaboração de uma política de enfrentamento eficaz, capaz de dar à sociedade uma resposta a altura da gravidade dos ilícitos cometidos. Abaixo são apresentados alguns destes tópicos discutidos, segundo Reis & Reifschneider (2004). Elaboração de um Plano de Ação Nacional de enfrentamento; Definição de uma instância coordenadora, em nível nacional, das ações de enfrentamento; Liberação pelo Governo Federal de recursos para a estruturação material e humana da rede investigativa da pornografia infantil na Internet; Criação de banco de dados unificado, alimentado pelas várias corporações policiais e disponível aos operadores da lei engajados neste enfrentamento; Acompanhamento das ações judiciais contra pedófilos e pornógrafos; O perfil das vítimas da pornografia infantil, em sua maioria, tem entre 10 e 15 anos, são do sexo feminino, e foram fotografadas nuas, ou seminuas, em poses sensuais. Os abusadores alegam que os pais sabiam e que foram pagos por isso. Predominantemente, as vitimas são pertencentes às classes mais pobres da sociedade brasileira, e em sua maioria pertencentes à raça negra. Os abusadores, em sua maioria, possuem entre 23 a 35 anos, são do sexo masculino e ocupam profissões diversas (REIS & REIFSCHNEIDER, 2004). É claro que existe o aspecto patológico por trás da demanda por este tipo de material. Sem menosprezá-lo, o Brasil tem se prontificado a enfrentá-la, na mediada de sua capacidade, combatendo a ação de redes, nacionais e transnacionais, de exploração de pornografia infantil. 90 5. O Cenário Proposto Um dos ilícitos, cometidos através de sistemas computacionais, que tem aumentado consideravelmente está relacionado à pedofilia, especialmente a posse e ou divulgação de material pornográfico infanto-juvenil. Portanto, para a realização do estudo de caso, será criado um cenário cujo o ilícito a ser investigado esta relacionado à posse de material ilícito. O cenário proposto é simples e tem a seguinte configuração: Um suspeito é detido pela policia, acusado de possuir material envolvendo pornografia infantil em seu computador. O trabalho da Forense Computacional será investigar esta possibilidade, aplicando as técnicas corretas para identificação, coleta, preservação, análise das evidências e elaboração de um laudo pericial. O computador está configurado com o sistema operacional Windows XP SP2. Com um HD de oitenta Gigabytes (80 GB), com quinhentos e doze Megabytes de memória RAM. O computador encontra-se ligado no momento das primeiras operações, ainda na residência do suspeito. Como o objetivo proposto deste trabalho é a realização da análise lógica, será efetuada uma investigação, com o objetivo de encontrar evidências de posse de material envolvendo material pornográfico infantil, utilizando as ferramentas disponíveis para tanto. Tendo em vista que, a maioria dos usuários de computadores utiliza o sistema operacional Microsoft Windows, e mais especificamente, o Windows XP. Que, a despeito dos recentes lançamentos Windows Vista, e mais recentemente, Windows 7, ainda é o SO mais utilizado no mundo. Portanto, esta é a razão pela qual este é o ambiente escolhido e abordado neste trabalho. O sistema operacional Windows XP ainda está, presente em boa parte dos ambientes desktop de empresas e principalmente usuários caseiros. O tipo de incidente que normalmente envolve máquinas com este sistema operacional, difere um pouco do que ocorre, por exemplo, como o sistema Linux, que possui presença marcante em servidores. As principais razões para a análise forense em sistemas Windows são as seguintes: Sistema infectado por vírus ou outros códigos maliciosos; 91 Casos envolvendo direitos autorais; Pornografia Infantil; Utilização do sistema de forma maliciosa. As metodologias aplicadas a Forense Computacional em Linux podem perfeitamente ser aplicadas em ambiente Windows. Existe, porém, uma diferença, muitas informações importantes no Windows só poderão ser acessadas com o sistema “vivo”. Isto exige a realização da forense In Vivo. E no caso de uma investigação de um crime de posse e ou produção de material pornográfico infantil, o investigador não pode simplesmente possuir ou transmitir material pornográfico encontrado no computador do suspeito, uma vez que, isto pode acarretar problemas para o próprio investigador. 5.1 ONDE ENCONTRAR EVIDÊNCIA NO WINDOWS XP Costa (2003) aponta que, são inúmeros os locais onde podemos encontrar evidências em um computador. Depende do ilícito investigado ou da evidência que se procura, para traçar uma estratégia de pesquisa. Basicamente, definimos uma classificação para as evidências, na forense computacional, em dois grupos básicos (COSTA 2003). 1. Evidência do usuário; 2. Evidência do sistema. 5.1.1 Evidência do Usuário No primeiro grupo, estão as evidências produzidas diretamente pelo usuário tais como, arquivos de texto, imagens, arquivos de editoração (planilhas eletrônicas, apresentação de slides, documentos eletrônicos) ou qualquer outro produzido por softwares aplicativos. Um indivíduo envolvido com pedofilia infantil, por exemplo, confeccionando textos e imagens que possam comprovar eu envolvimento. Este material produzido é considerado como uma evidência de usuário. 92 Pode-se, de forma óbvia, fazer uma pesquisa diretamente nas pastas do usuário, disposta como abaixo, pra um sistema Windows 2000/ XP. Entretanto, este procedimento pode acarretar mudanças no sistema que comprometam a investigação. C:\Documents and settings\usuario\Meus Documentos. Caso o usuário não tenha se preocupado em usar recursos nativos do Windows 2000/XP tais como, criptografia, compactados e com senha, ocultos e até mesmo com extensão trocada, fica fácil encontrar as evidências do ilícito. Mas quase sempre as evidências estão, intencionalmente, ocultadas ou camufladas e tornam-se um desafio ao perito computacional. 5.1.2 Evidência do Sistema Neste segundo grupo, temos as evidências produzidas pelo sistema, que são em maior número e ricas em informações, e que podem ser divididas em dois subgrupos (COSTA, 2003). 1. Evidência do sistema da maquina de origem; 2. Evidência do sistema da maquina de destino. Segundo Costa (2003), em ambos os casos a evidência é produzia pelo sistema em resposta a uma ação do usuário. No primeiro subgrupo, estão os registros do sistema produzidos na execução de um ilícito no computador do autor, estes registros podem ser. 5.1.2.1 Histórico de Documentos O histórico de documentos, que oferece a lista dos últimos documentos acessados, fossem eles editados, criados ou simplesmente abertos para leitura. No Windows XP, podem ser acessados através de menu iniciardocumentos recentes. Outra forma de saber quais os últimos arquivos manipulados, por qualquer software aplicativo, é através do menu arquivo, que listam os documentos recém abertos. A Figura 26 mostra como funciona no Windows XP. 93 Figura 26 – Lista dos documentos recém abertos. 5.1.2.2 Cache e Histórico da Internet Ao acessar a Internet, usualmente, o sistema faz cache das paginas acessadas, bem como das imagens e outros elementos de composição da pagina web que fora visitada. Estes arquivos são gravados no disco, em uma pasta e lá permanecem por um período determinado, que pode variar em função do tamanho da pasta que abriga tais arquivos. A atualização dos arquivos, que tem como co nseqüência sua substituição à medida que o tempo passa, é determinada pela configuração da pasta. Os arquivos temporários podem caracterizar a visita a um site que podem ser de interesse em uma investigação, por exemplo, em uma investigação envolvendo caso s de pedofilia, em que o suspeito “navega” por sites relacionados ao tema e adquire imagens e vídeos considerados ilegais. O Helix possui uma ferramenta que busca por entradas de URLs do Explorer e as fornece de forma não invasiva. Esta ferramenta pode ser uma eficiente maneira de buscar por dados que nos leve às evidências relacionadas ao ilícito investigado. A Figura 27 mostra a configuração deste recurso no Internet Explorer. 94 Figura 27 – Configuração dos arqui vos temporári os da Internet no Wi ndows. Além dos arquivos temporários da Internet, temos o histórico de navegação, que contém relação dos sites visitados pelo usuário. O histórico pode possuir formas diferentes de apresentação de acordo com o navegador e ou versão utilizada, mas todos apresentam uma relação dos sites visitados pelo usuário (COSTA, 2003). No Internet Explorer, o histórico é apresentado em um painel na lateral esquerda do nave gador como mostrado na Figura 28. Figura 28 – Histórico de navegação Internet Expl ores. 95 É possível acessar o histórico de navegação, no Windows XP, na seguinte pasta: C:\ Documents and Settings\usuario\Configrações Locais\historico. O navegador Mozila Fire Fox, também possui o recurso do histórico semelhante ao Explorer, na forma de um painel com o link para acesso à pagina. A Figura 29 mostra o painel do histórico do Mozila Fire Fox. Figura 29 – Painel de histórico do Mozila Fire Fox. 5.1.2.3 Registros do Windows Trata-se de um banco de dados que fornece informações ao sistema operacional, relativas ao hardware, software, drivers, perfis, configurações, dados de licenciamento e centenas de outras informações adicionais relevantes ao funcionamento do Windows. Toda e qualquer alteração de configuração realizada no sistema, bem como as informações citadas nas seções anteriores, serão automaticamente adicionadas ao registro. Isso faz com que, o registro, torne-se uma ferramenta relevante para o trabalho pericial durante o levantamento de evidência (COSTA, 2003). O editor de registro do nativo do Windows, o regedit.exe, é mais que suficiente para que possamos manipular os registros. Deve-se conhecer um pouco de sua estrutura, pois, 96 qualquer alteração indevida pode resultar em dano ao sistema (COSTA, 2003). O regedite.exe pode ser acessado através dos seguintes passos: iniciar executar regedit. O editor será aberto e mostrara as chaves de registro. Segundo Costa (2003), o registro é dividido em cinco ou seis chaves, dependendo da versão do sistema operacional. Esta chave compõe a unidade básica de informação divida em níveis hierárquicos. As chaves de primeiro nível indicam a classe de informação, que varia com a versão do sistema operacional. Todas elas começam com a palavra HKEY, originaria da letra H (de handle) que possui o significado de um apontador, mais a palavra KEY (Chave), ou seja, como um ponto de acesso à dados do sistema obedecendo uma classificação. A Figura 30 mostra as chaves de registro do Windows XP. Figura 30 – Tel a do regedi t.exe com as chaves do registro. As chaves vistas na figura acima são descritas, de forma sucinta, em Costa (2003) da maneira que se segue. HKEY_CLASSES_ROOT – Esta chave guarda informações relativas à associação de arquivos aos respectivos softwares criadores, editores ou visualizadores. HKEY_CURRENT_USER – Esta chave guarda informações relativas ao perfil do usuário corrente, como configurações pessoais etc. HKEY_LOCAL_MACHINE – Esta chave guarda informações relativas a software, hardwares instalados no computador, bem como, configurações do Windows como tema, papel de parede resolução de vídeo entre outros. 97 HKEY_USERS – Esta chave armazena informações referentes a todos os usuários do equipamento e suas configurações pessoas. A chave HKEY_CURRENT_USER possui um apontador para o usuário corrente que está listado na HKEY_USERS. O usuário é identificado na chave pelo Security Identifier (SID), uma string que possui aparência semelhante a esta: S-15-21-2025429265-1563985344-854245398-1146. HKEY_CURRENT_CONFIG – Esta chave guarda informações relativas ao perfil do hardware do equipamento, caso este recurso esteja sendo utilizado, do contrário, armazena informações padrão do Windows. Costa (2003) afirma que, as chaves armazenam informações de grande utilidade para o processo pericial. Podemos encontrar dados pertencentes a uma lista dos cento e cinqüenta (150) últimos arquivos manipulados ou das vinte e cinco (25) ultimas URLs visitadas. A Figura 31 mostra uma lista contendo os últimos arquivos acessados pelo usuário do sistema Windows XP, em especial arquivos de imagem do tipo JPEG. Figura 31 – Registro dos últi mos arqui vos acessados pelo usuário. Estas informações podem ser encontradas através dos seguintes passsos: No regedite.exe, KEY_CURRENT_USERSoftwareMicrosoft WindowsCurrent VersionExplorerRecent Docs. Lá estão mantidos os registros dos últimos arquivos manipulados pelo usuário corrente, sejam eles documentos, arquivos binários, 98 atalhos e como vimos arquivos de imagens. Estes dados podem constituir uma fonte importante de informações ao perito computacional. 5.1.2.4 Dados Voláteis Os dados voláteis contêm informações que serão perdidas caso o computador seja desligado, ou o fornecimento de energia seja interrompido de qualquer maneira. As ferramentas e a forma como esses dados são manipulados são importantes, uma vez podem provocar alterações nas informações. Os dados considerados voláteis podem ser encontrados em diversas fontes diferentes tais como as enumeradas abaixo. 1. Arquivos Temporários; 2. Dados armazenados na memória RAM e que ainda não foram salvos no disco rígido; 3. Processos em execução. Estas informações referentes a processos em execução, arquivos temporários e dados na memória principal serão perdidos caso a fonte de energia cessar. Depende do ilícito a ser investigado, a necessidade ou não, de se obter estes dados. 5.1.2.5 MACTimes Os MACTimes são um poderosa ferramenta para reconstituir o que ocorreu em um sistema de arquivos no passado. Este termo refere-se aos três atributos de tempo presentes em praticamente todos os sistemas de arquivos na maioria dos SOs. No Windows XP estes atributos sãos os LastWriteTime, LastAccessTime e CreationTime, respectivamente, tempo da última escrita, tempo do último acesso e tempo de criação. A análise destas informações deve usar ferramentas que contornem os métodos convencionais de acesso aos arquivos, evitando assim, qualquer alteração ou perda de informações. A Figura 32 mostra um registro com MACTimes. Header Name Arquivo.txt Standard Info January 3, 2000 8:30 pm Attribute List January 3, 2000 8:46 pm December 9, 1999 5:3 pm Data Figura 32 – Registro da MFT com MACTi mes (OLIVEIRA, 2002). Data(non- resident) 99 5.1.2.6 Alternate Streams Alternate Streams constituem um ponto importante para a análise de um sistema NTFS. Em resumo, trata-se de um mecanismo para inserir um arquivo dentro do outro, sem que isso acarrete em aumento de seu tamanho, alteração de seu conteúdo. Todo arquivo NTFS possui outro arquivo sem nome embutido chamado default stream ou unnamed stream. Entretanto, existe a possibilidade de se criar arquivos embutidos com nomes diferentes chamados alternate steam. O Windows utiliza-se dos alternate streams para armazenar informações que são disponibilizadas ao usuário na aba Resumo do Explorer. Estas informações são armazenadas em um alternate stream chamada ?summaryInformation. A interrogação representa um caracter especial não imprimível (OLIVEIRA, 2002). Na Figura 33 vemos um exemplo do uso desta ferramenta no Windows XP Figura 33 – Exempl o do sumario, uso do alternate stream. O perigo desta ferramenta é que ela pode ser usada para esconder códigos maliciosos em arquivos legítimos. Os arquivos embutidos só podem ser descobertos através de programas específicos. 100 5.2 A INVESTIGAÇÃO DO CENÁRIO PROPOSTO Como boa parte das investigações policiais, nosso caso tem início com uma denúncia, recebida pelo comando da polícia: um homem aparentando trinta e seis anos de idade estaria aliciando crianças e adolescentes, em sua maioria do sexo feminino, para a produção caseira de artefatos pornográficos. A fim de tornar os passos da investigação mais compreensíveis e didáticos, será utilizada a ferramenta de investigação forense Helix 3 em sua versão 2009R1. Esta versão do Helix conta com inúmeras ferramentas aptas a realizar cada um dos passos da Forense Computacional. A ferramenta utilizada deve interagir o mínimo possível com o sistema, evitando ao máximo provocar qualquer alteração nas informações contidas tanto no disco, quanto na memória. O liveCD do Helix permite compor um kit de ferramentas que atendem esta necessidade. E como unidade de armazenamento dos dados coletados, podemos utilizar um dispositivo USB como um pendrive, por exemplo, ou mesmo disco rígido externo, caso não seja possível ter no ambiente uma estação forense móvel, o que seria o ideal. 5.2.1 A Técnica Utilizada Visto que, no cenário proposto o computador está ligado no momento em que a equipe policial, entre eles o perito computacional, chega ao local, o processo de investigação se iniciara ainda no cenário, a melhor técnica será a forense In Vivo, em que os primeiros processos da forense computacional são realizados com o computador ainda ligado. “Forense In Vivo, ocorre no momento em que o perito toma contato com o incidente. (..) A Forense In Vivo pode ou não ser encerrada com desligamento do computador” (MELO, 2009). Será realizada a análise lógica, onde se realiza a procura por evidências em um disco utilizando um sistema operacional que conhece o sistema de arquivos. 101 5.2.2 As primeiras Providências A primeira providência, como em toda operação policial, é cercar-se dos meios legais para a realização da busca e apreensão. O principal deles é o Mandado de Busca e Apreensão. Chegando ao local da investigação deparamo-nos com o computador ligado, a primeira providência que se deve tomar neste caso é fotografar a tela do monitor ligado, a fim de que, se registre quais programas estavam sendo usados no momento da chegada da equipe de investigação. Além de fotografar a tela do computador o perito computacional, deve fotografar o cenário como um todo, identificando possíveis objetos que possam fornecer informações relevantes ao caso, tais como, discos ópticos diversos (CDs e DVDs), pendrives, maquinas fotográficas e ou filmadoras digitais, tocadores de MP3, entre outros diversos dispositivos de armazenamento removíveis já abordados na seção 3.3.1 e mostrados na Figura 4. Caso o computador possua conexões com redes, devem ser fotografadas também. Estes passos compreendem a primeira parte das ações do perito: a coleta de informações. A Figura 34 mostra uma fotografia da tela do computador. Figura 34 – Fotografi a da tela do computado suspeito. 102 Figura 35 – Fotografi a do cenári o. Como dito, é importante registrar por meios fotográficos o ambiente em torno do computador. Na Figura 35 vemos uma fotografia da mesa onde o computador e stá instalado, e fica registrado que sobre a mesa encontra-se um dispositivo de armazenamento removível do tipo pendrive. Figura 36 – Fotografi a da parte traseira do computador. Fotografia da parte traseira do computador. É importante registrar as possíveis conexões existentes. A Figura 36 mostra a fotografia da parte traseira do computador. 103 5.2.3 Coleta de Dados Como dito na seção 5.2.2, o perito iniciara o processo de coleta dos dados realizando um breve estudo da situação do cenário a ser periciado. Coletando fontes externas de armazenamento e fotografando o computador o local em torno deste e o ambiente com um todo. Preferencialmente, o perito deve começar a coleta de evidências, obedecendo a uma ordem de volatilidade, iniciando pelos dados mais voláteis, que não poderão ser reproduzidas posteriormente, ainda que se realize a criação da imagem do disco. Entre estas informações estão o conteúdo da memória, o ambiente onde a maquina está localizada e a tela do computador no momento da busca. Caso o computador possua alguma numeração de serie que possa servir para identificálo posteriormente, o perito deve fazer a anotação deste numero, para que se tenha certeza de que se trata do sistema investigado. O perito deve evitar capturar a imagem da tela utilizando o print screen, uma vez que isso pode sobrescrever dados que, eventualmente, estejam na área de transferência. Tendo em vista que o computador está ligado, devemos fazer uma dump da memória, a fim de se obter uma imagem de tudo que está armazenado na memória RAM no momento da análise. Utilizando a ferramenta pra a criação de imagens de discos e memória física do Helix 3, é possível criar uma imagem do conteúdo da memória RAM, utilizando para tanto, um pendrive ou mesmo um disco óptico onde serão armazenados os arquivos gerados. Após a criação da imagem da memória, o perito deve prossegui com a criação da imagem do disco rígido. A criação da imagem do HD necessita de uma mídia de destino que possua no mínimo a mesma capacidade da mídia de provas, uma vez que a copia é realizada bit a bit. Este tipo de criação de imagem difere em muito da simples criação de uma copia de arquivos, uma vez que ela cria uma copia fiel de todo o conteúdo do disco, incluindo espaços não utilizados, portanto, exige o uso de uma mídia de destino com tamanho no mínimo igual à mídia de provas. Porem, a melhor forma de se realizar a criação de imagens de disco é utilizando uma estação forense, abordada na seção 3.4.2. 104 O processo de criação de imagens forense pode ser efetuado após o desligamento do sistema por isso, será mostrado aqui apenas de forma ilustrativa. A análise Post Mortem é responsável por realizar a investigação no resultado da criação da imagem das mídias de provas e a coleção dos dados coletados durante a análise In Vivo. Tanto a criação da imagem da memória (dump), quanto a criação da imagem do disco rígido, utilizando a ferramenta disponível no Helix 3, resulta em arquivos com a extensão dd. Figura 37 – Ferramenta de Cri açao de Imagens do Helix A Figura 37 mostra a ferramenta do Helix 3 para criação de imagens de disco e memória física do computador. Repare que a ferramenta possibilita a criação de imagens, não somente de todo o disco rígido, mas também de partições ló gicas e discos removíveis como pendrives e CDs e DVDs. Para garantir que as imagens sejam criadas possam ser confrontadas com a mídia de provas, e seja atestada a veracidade do conteúdo das mídias de destino, existe o que se conhece por soma de verificação, também chamada de Hash. A soma de verificação é uma assinatura digital resultante da aplicação de algoritmos sobre a mídia de provas e mídia de destino, que resultara numa identificação única que poderá ser conferida a qualquer momento. Caso haja qualquer alteração na mídia de provas, essa assinatura será alterada e não coincidirá com a assinatura original. Existem vários algoritmos, o Helix utiliza o MD5. 105 Figura 38 – Ferramenta para geração de Hash. A Figura 38 mostra como gerar o Hash MD5 para o arquivo de imagem da memória, com extensão dd. Na Figura 39 vemos como criar um imagem da memória física. Figura 39 – Criador de i magens do Helix. 106 A Figura 40 mostra os arquivos gerados pelo processo de criação da imagem da memória RAM, gravados em um pendrive limpo e livre de qualquer malware. Figura 40 – Arqui vos gerados pelo Dump da memória Na imagem podemos ver os arquivos com extensão dd, que é imagem da memória RAM, e extensão md5, trata-se do arquivo de Hash ou soma de verificação, além de um arquivo de texto chamado image.dd_audit, com informações de log de funcionamento da própria ferramenta e do usuário corrente. A Figura 41 mostra as informações deste arquivo. Figura 41 – Informações do arqui vo i mage.dd_ audi t 107 5.2.3.1 Coletando Dados do Computador Para garantir a coerência das evidências, diferenciando e identificando as alterações provocadas pelo investigador, devemos identificar o horário e o timezone do sistema, alem de outras informações referentes ao uso do computador pelo suspeito e configuração do sistema, hardware e software. A Figura 42 mostra a coleta destas informações no Helix. Figura 42 – Informações do sistema, Ferramenta do Helix. Entre as informações disponíveis estão o nome do usuário, nome da maquina, empresa proprietária desta versão do Windows XP instalada no computador, se o usuário corrente possui privilégios de administrador do sistema, o numero IP (Interne Protocol) da máquina. Além de informações referentes às partições lógicas, discos removíveis e unidades de DVD/CD. Além disso, é possível obter informações acerca dos processos que estão sendo executados, é possível obter estas informações através do próprio Windows utilizando o conjunto de teclas Crtl+Alt+Del, que executara o gerenciador de tarefas do Windows, entretanto, usar qualquer ferramentas do próprio sistema pode provocar alterações indesejadas nas informações que estão sendo buscadas. 108 Figura 43 – Processos sendo executados pelo Windwos. A Figura 43 mostra o funcionamento de uma das ferramentas do Helix para análise dos processos em execução. Os processos são mostrados em seus respectivos diretórios. Saber quais softwares aplicativos estão instalados no computador pode ser uma informação importante para o investigador. Softwares para edição de imagem, criação de vídeos, comunicação instantânea e gerenciadores de downloads, todos estes programas podem ser usados para produzir, adquirir e distribuir material envolvendo pornografia infantil. O WinAudit é uma ferramenta do Helix que disponibiliza informações bastantes completas sobre o sistema investigado. Desde informações sobre o hardware passando por software e até mesmo informações sobre programas que apresentaram problemas de funcionamento. 109 Figura 44 – Visão geral do sistema, WinAudit. A Figura 44 mostra como WinAudit é eficiente em informar dados referentes a todo o sistema, que vão do nome do usuário corrente até a resolução da monitor. Como já foi dito antes, é necessário coletar informações que possam discriminar o sistema periciado, como por exemplo, informações sobre o disco rígido encontrado no computador apreendido na operação policial. A Figura 45 mostra como o WinAudit oferece estas informações ao perito. Figura 45 – Informações sobre o disco rígido 110 Estas informações são valiosas para qualquer confrontamento que venha a ser necessárias, para atestar a veracidade da mídia de provas apreendida. São informações referentes ao fabricante, modelo e número de série do disco rígido. Parte destes dados deve ser inserida no formulário usado para discriminar os itens apreendidos na operação policial, tal qual o exemplificado na Figura 5. Outra ferramenta importante para a investigador forense é uma que possibilite estabelecer uma linha de tempo das ações ilícitas que estão sendo investigadas. Uma opção do Helix é o Pc On/Off Time mostra uma linha de tempo de uso do computador durante três semanas. É possível saber em quais dias e por quanto tempo em horas o computador esteve ligado. A Figura 46 mostra o funcionamento desta ferramenta. Figura 46 – Pc On/Off Ti me, mostra o uso do computador nas ulti mas três semanas. 111 5.2.3.2 Buscando Evidências do Ilícito Na seção anterior buscávamos as primeiras informações sobre o sistema em si, configuração de hardware, software, usuários, entre outras informações. Nesta seção buscamos informações pertinentes ao caso investigado. Como se trata de um caso de posse e produção de material pornográfico envolvendo crianças, serão buscadas evidências como fotos, vídeos, históricos de acesso a páginas web que possua tal conteúdo. O Helix possui um conjunto de ferramentas aptas a realizar a busca por diversas formas diferentes de informações contidas no computador investigado. A Figura 47 mostra o acesso a algumas destras ferramentas. Figura 47 – Ferramentas Forenses dis poní veis para res posta à inci dentes. A primeira ferramenta é um PST Password Viewe r, serve para recuperar senhas de arquivos .pst, pastas pessoais do MS Outlook. 112 Figura 48 – PstViewer. Como mostrado na Figura 48 não há qualquer senha de pastas do Outlook para ser recuperado pelo aplicativo. O aplicativo IEHistoryVie w mostra as URLs visitadas nos últimos dias, e podem conter dados relevantes à investigação do caso. São entradas referentes a web sites e diretórios visitados pelo usuários. A Figura 49 mostra seu funcionamento. Figura 49 – IEHistory mostra as últi ma URLs visitadas. Scan For Pictures é a ferramenta para a procura por arquivos de imagens no Helix. Uma busca por imagens, poderia perfeitamente ser realizada atravé s de aplicativos do próprio sistema operacional Windows XP. Entretanto, ao acessar um arquivo usando tais ferramentas, os metadados do arquivo, tais como data de ultimo acesso e 113 modificação, podem ser, inadvertidamente, alterados e comprometer a investigação. Como o Helix atua de forma minimamente intrusiva, os riscos são bem menores. A Figura 50 mostra a interface do Scan For Picutres. Figura 50 – Scan For Pictures, encontra arqui vos de i magens. 5.2.4 Análise dos Dados Coletados A análise dos dados coletados é próxima etapa no trabalho pericial. Nesta fase o perito transforma, vestígios em evidências. É difícil dimensionar esta fase em números de horas, pois o tempo gastos para análise dos dados coletados está intrinsecamente ligado à natureza de cada caso. Uma investigação forense aplicada em uma rede pode necessitar de dias de análise, dependendo da extensão da ação de um invasor por exemplo. Seja qual for o motivo da investigação, o perito precisa de uma avaliação criteriosa dos dados que tem em mãos. Os dados isolados podem não representar algo interessante, juntando-os a informações do próprio sistema operacional, podem ganhar importância e tornarem-se muito mais significativos. Sendo assim tem inicio o processo de análise dos dados coletados. Segundo os aplicativos de análise do sistema disponíveis no Helix, o usuário Renato, é proprietário do sistema investigado e que, portanto, possui poderes de administrador do 114 sistema. E que no momento da chegada ao local da ocorrência e ap licação dos primeiros passos da Forense Computacional, era exatamente o seu usuário que estava “logado” no sistema, ou seja, era o usuário corrente. Como indica a Figura 51. Figura 51 – Informações do usuário do sistema. Outros dados interessantes foram encontrados no aplicativo IEHistory, que lista as ultimas URLs acessadas. Como mostra a Figura 52. Figura 52 – IEHistory, indícios de um ilícito. 115 A Figura 52 mostra algumas dessas informações marcadas para uma melhor visualização. As URLs fazem referências a diretórios acessados e também endereços de sites web acessados recentemente pelo suspeito. Algumas URLs trazem indícios de que o suspeito acessou a Internet e buscou por arquivos de imagens de sexo com crianças. Além de possui arquivos de vídeo com a extensão wmv em seu computador, com nomes suspeitos. Até então não se pode acusálo de qualquer ilícito, tendo em vista que, caso estes arquivos não estejam mais no computador, por exemplo, se o suspeito teve acesso ao referido conteúdo e então o descartou. É preciso encontrar evidências da posse do material proibido. Através do Helix, é possível navegar até o diretório referenciado na busca do IEHistory, e então verificar se estes arquivos ainda estão armazenados no disco. A Figura 53 mostra estes dados. Figura 53 – Os arqui vos ainda estão no disco. Uma vez que foi verificada a existência dos arquivos no disco, buscamos por arquivos de imagens no diretório suspeito, D:\anine m. Utilizando a ferramenta Scan For Picture, foram encontradas evidências claras da posse de material pornográfico 116 envolvendo, aparentemente crianças, e adolescentes menores de idade. Como mostra a Figura 54. Figura 54 – Scan For Pictures, provas da posse de material ilícito. Estabelecendo um comparativo entre os metadados de uma das imagens encontradas e os dados referentes ao uso do computador, podemos estabelecer um paralelo entre momento do uso do computador e a posse do material ilícito. Figura 55 – Data de criação do arqui vo de i magem. A Figura 55 mostra a data e hora de criação do arquivo de imagem com extensão JPG no sistema. Estas informações coincidem com os dados mostrados pelo aplicativo PC 117 On Off do Helix, que indica que o sistema estava sendo usado na respectiva data e que o horário de criação da imagem está dentro do período no qual o computador esteve ligado. Como mostra A Figura 56. Figura 56 – Período de uso do sistema. Outro evidência relevante para a solução do ilícito está em um arquivo chamado projetoMenina.wmv, que aparece em destaque na Figura 52, como uma das entradas encontradas pelo IEHistory, e armazenado no mesmo diretório D:\anine m. Juntamente com outro arquivo de mesma extensão com o nome de projetoMenina_0001.wmv. Além de um arquivo chamado projetoMenina.MSWMM, tratando-se de um projeto do Windows Movie Maker, um software destinado a produção caseira de vídeos. Estas evidências indicam que o investigado pode ter produzido os vídeos em seu próprio computador. Na Figura 57 vemos este indício. Figura 57 – Arqui vos de ví deo com nomes pertinentes ao caso. 118 Foram encontradas vidências de posse do material ilícito ligados ao caso investigado. São arquivos de imagem e vídeo contendo pornografia envolvendo garotas, aparentemente menores de idade o que é considerado crime de acordo com a lei. Não cabe a perito fazer juízo de valor acerca das evidências encontradas. O perito deve analisar as provas encontradas de forma profissional. Mesmo sabendo tratar-se de crime a posse e ou produção de pornografia infantil ele deve proceder de forma coerente e sem paixões, elaborando um laudo puramente técnico acerca do que fora encontrado e classificado como evidência. O Helix não possui uma ferramenta de timeline, mas o próprio perito deve registrar os passos tomados durante o processo de análise. Na Tabela 2 são mostrados, grosseiramente, o registro das ações efetuadas durante a coleta das evidências. Tabela 2 – Tabela com o histórico das ações. Horário Ação 17:06 Inicio das buscas por evidências com a fotografia do local e das condições do computador. 17:13 Inicio das buscas no computador. O Helix liveCD é inserido na leitora de CD/DVD 17:24 Primeira providência criar uma imagem da memória física. 18:15 Término da criação da imagem da memória. 18:19 Coleta das primeiras informações sobre o sistema. 18:23 Busca por histórico de acesso a Internet e diretórios. 18:27 Busca em diretórios suspeitos como D:\aninem. 18:34 Busca por arquivos de imagens e vídeos relacionados ao caso investigado Ao final do uso do Helix liveCD ele gera uma relatório em formato PDF com as ações tomadas pelo investigador através do uso das ferramentas disponíveis para a análise forense. A Figura 58 mostra uma parte deste documento. 119 Figura 58 – Histórico de ações do Helix. 5.2.5 Preservação das Evidências Basicamente nesta etapa deve-se tomar muito cuidado para que qualquer procedimento realizado pelo perito, não acarrete em alteração das evidências coletadas. Caso seja necessário realizar a perícia com o sistema ligado, deve-se armazenar as evidências encontradas em um dispositivo de protegido contra gravações. Os componentes encontrados devem ser armazenados em sacos plásticos antiestética, para evitar que dados sejam perdidos. Além de serem lacrados e identificados. Outra ação para a preservação das evidências coletadas é a cadeia de custódia. Trata-se de um documento, impresso ou em meio digital, usado durante o processo de análise e preservação da evidência, para garantir a integridade das evidências caso seja necessário que elas troquem de mãos e sejam analisadas por outros peritos ou em outros laboratórios. Estabelecendo-se um histórico das evidências analisadas. Este documento deve possuir algumas informações tais quais as enumeradas abaixo. Quem, quando, como e onde foi realizada a coleta da evidência; Quem tem a posse da evidência original; Processo, o que foi feito com a evidência? Foi clonada ou feita a análise?; As evidências devem ser catalogadas em fichas que possibilitem a rápida identificação de cada uma. O sistema de fichas possibilita que se conheça as principais características 120 de cada artefato encontrado e classificado como uma evidência. Os detalhes a serem armazenados em cada ficha são mostrados pela Tabela 3. Tabela 3 – Ficha dos dados referentes a cada evi dência coletada. Tag Tipo 10112009-1332-JPG Arquivo de imagem JPG Nome Child_porn_070510_mn.jpg MD5 Hash 0dabec77198135ce52776c2f5991d410 Tamanho 27679 bytes Data criação 10/11/2009 Descrição Arquivos contendo imagem pornográfica de criança Observações Local da Coleta Método da Coleta Data Coleta Responsável O primeiro campo da ficha é uma tag que identifica de forma única cada evidência e pode ser criada utilizando-se os dados de data e hora da criação do arquivo, ou que a mesma foi encontrada. Além disso, a ficha possui informações referentes ao arquivo em si. Campos como Nome, Tipo, valor do Hash, Tamanho em bytes, Data de criação, descrição do arquivo, e finalmente, caso haja alguma observação acerca da evidência se, por exemplo, ela esteja ligada a outra evidência, este fato pode ser descrito neste campo. Além de campos referentes ao método utilizado para coleta, data de sua execução e o responsável pela coleta da evidência. Podem ser, se o perito quiser, descritos também dados referentes às condições da evidência. 121 5.2.6 Laudo pericial A Forma como o perito deve proceder no momento da elaboração do laudo pericial está descrita com mais detalhes na seção 3.5. A seguir serão apresentadas, de forma sucinta, algumas informações que devem constar no laudo pericial seguindo as recomendações apresentadas na referida seção. Sobre o caso investigado Após denúncia anônima, a delegacia de defesa da criança e adolescente passou a investigar um homem suspeito de produzir e ou possuir material envolvendo pornografia infantil. Realizadas as primeiras investigações, no dia dezessete de Novembro de dois mil e nove, foi realizada um operação de busca e apreensão na casa do suspeito. Computador investigado O Computador do suspeito, onde foram realizadas as investigações possuem a seguinte configuração. Arquitetura: IBM PC; Processador tipo e quantidade: um processador Intel Pentium 4 2.6 GHz; Memória RAM: 512 megabytes; Disco Rígido: Seagate ST380817AS 76319MB (80 GB). Sistema Operacional: Windows XP Professional Service Pack 2 Objetivo dos exames O exame pericial pretende encontrar provas de que o suspeito possui material ilícito, tais como arquivos de imagem e vídeos, com conteúdo pornográfico infantil. 122 Metodologia adotada Primeiramente foram tiradas fotografias do local e de pontos estratégicos do computador tal qual a tela uma vez que o computador encontrava-se ligado no momento da análise. A análise In Vivo foi adotada utilizando o Helix 3 liveCD, uma ferramenta consagrada como uma das mais eficientes pra a Forense Computacional. Foram criadas imagens do conteúdo da memória física, a fim de se preservar as informações voláteis que estavam armazenadas na memória. Em seguida foram realizadas buscas por indícios referentes ao caso investigado. Como por exemplo, endereços eletrônicos e arquivos de vídeos e imagens. Ferramentas Utilizadas do Helix 3 2009R1 Acquisition dd. Informações do sistema: WinAudit; Histórico do Explorer: IE History Viewer; Navegação por diretórios: Helix Browse; Histórico de uso do computador: PC On/Off Time Procura por arquivos de imagens: Scan For Puctures Conclusão Foram encontrados arquivos de imagem e vídeo que possuem conteúdo referente ao caso investigado. O suspeito possui em seu computador evidências de que produziu vídeos de conteúdo ilícito. Os exames revelaram que no dia 10 de novembro fora criado um arquivo de projeto do Windows Movie Maker, um conhecido software de editoração de vídeos e imagens. O arquivo de nome projetoMenina.MSWMM encontravas-se no diretório D:/aninem juntamente com outros arquivos. No diretório D:/aninem foram encontrados arquivos de imagem com a extensão JPG, nos quais era possível visualizar garotas, aparentemente menores de idade, nuas e em poses sensuais. 123 6. Considerações Finais A Forense Computacional vem se tornando uma ferramenta bastante importante para as instituições de Justiça, na elucidação dos chamados crimes cibernéticos. São inúmeras as ferramentas disponíveis que facilitam o trabalho do perito forense. Entretanto, os esforços para uma padronização internacional das técnicas ainda enfrentam várias barreiras que vão das diferenças na legislação, até mesmo na falta de investimentos de alguns países em recursos técnicos para a realização do trabalho pericial. O surgimento de novas ferramentas, muitas delas baseadas em software livre, tem facilitado a aquisição de ferramentas capazes de prover ao perito, meios para a realização do seu trabalho. Não obstante, esbarramos em outro problema que é capacitação técnica dos profissionais da Forense Computacional. Há uma necessidade urgente em investimentos, principalmente dos órgãos governamentais, na formação destes profissionais. Este trabalho não tem por objetivo abranger todos os campos da Forense Computacional. Mas mostrar algumas técnicas, procedimentos e ferramentas que podem auxiliar o perito computacional na elucidação de um ilícito. Contudo, a despeito das dificuldades enfrentadas, as técnicas disponíveis podem, se seguidas obedecendo aos aspectos legais, se converterem em uma ferramenta indispensável para as autoridades policias e judiciais na elucidação e no processamento de ilícitos cometidos com o uso de dispositivos computacionais. 124 7. Referências Bibliográficas COSTA, Marcelo Antonio Sampaio Lemos. Computação Forense. Campinas SP. ed. Millennium , 2003. (Tratado de Perícias Criminalísticas; v. 9). GUIMARÃES, Célio C; OLIVEIRA, Flavio S; REIS, Marcelo A; GEUS, Paulo L. Forense Computacional: Aspectos Legais e Padronização. In: I Workshop sobre Segurança em Sistemas Computacionais, 2001, Curitiba, PR. Anais do WSeg'01 (SCTF'01), 2001. p. 80-85. Disponível em:< http://www.guiatecnico.com.br/PericiaForense/Secoes/site.asp?id=6>. Acessado em: 28 Dez. 2008. MACHADO, Francis B; MAIA, Luiz P. Arquitetura de Sistemas Operacionais 4° edição. Rio de Janeiro RJ. ed. LTC, 2007. MORIMOTO, Carlos E. Hardware Manual Completo 3 ed., 2002. Disponível em: < http://www.gdhpress.com.br/hmc/ >. Acessado em:22 de Out de 2009. MELO, Sandro. Computação Forense Com Software Livre: Conceitos, Técnicas, Ferramentas e Estudos de Casos. ed. AltaBooks, 2009. MOHAY, George; ANDERSON, Alison; COLLIE, Byron; DE VEL, Oliver; McKEMMISH, Rod. Compute r and Intrusion Forensics. ed Artech House, 2003. NOLAN, Richard; O´SULLIVAN, Colin; BRANSON, Jake; WAITS, Cal. First Responders Guide to Compute r Forensics. HANDBOOK CMU/SEI-2005-HB-001; CERT Trainning and Education, 2005. Disponível em:< http://www.sei.cmu.edu/publications/documents/05.reports/05hb001.html> Acessado em: 22 Ago 2009. OLIVEIRA, Flavio de S. Resposta a Incidentes e Análise Forense para Rede Baseada em Windows 2000. Instituto de Computação Universidade Estadual de Campinas 2002. Disponível em < http://libdigi.unicamp.br/document/?code=vtls000294968> Acessado em: 20 jun 2009. PERRIN, Stephanie. Desafio das Palvras: Enfoques Multiculturais Sobre a Sociedade da Informação. ed. C&F Éditions. França, 2005. Disponível em:< http://vecam.org/article660.html> Acessado em 02 Nov 2009. REIS, Marcelo A; GEUS , Paulo L. Forense Computacional: Procedime ntos e Padrões. In: III Simpósio sobre Segurança em Informática, 2001, S. José dos Campos, SP. Anais do SSI'01, 2001. p. 73-81. Disponível em:< http://www.las.ic.unicamp.br/paulo/papers/2001-SSI- marcelo.reis- forense.padroes.pdf> Acessado em: 28 Dez 2008. REIS, Alexandre V. dos; REIFSCHNEIDER, Elisa D. B. Pesquisa Sobre Pornografia Infantil na Internet. Brasilia DF, 2004. 125 SILBERSCHATZ, Abraham; GAGNE, Greg ; GALVIN, Peter B. Sistemas Ope racionais – com Java 6° edição. ed. Campus, 2004. SWGDE (Scientific Working Group on Digital Evidence). Best Practices For Computer Forensics. Version 2.1(2006). Disponível em:< http://www.swgde.org/documents/swgde2006/Best_Practices_for_Computer_Forensics %20July06.pdf>. Acessado em: 23 Mai 2009. TANENBAUM, Andrew S. Organização Estruturada De Computadores 5° edição. São Paulo SP. ed. Pearson Prentice Hall, 2007. VASCONCELOS, Laércio. Hardware Total. ed. Makron Books, 2002.
