CENTRO PAULA SOUZA FATEC OURINHOS ANLISE DE SISTEMAS E TECNOLOGIA DA INFORMAO

Luan Ambrosio

PERCIA FORENSE EM SISTEMAS OPERACIONAIS OPEN SOURCE

OURINHOS (SP) 2012

Luan Ambrosio

PERCIA FORENSE EM SISTEMAS OPERACIONAIS OPEN SOURCE

Trabalho de Concluso de Curso apresentado a Faculdade de Tecnologia de Ourinhos como requisito parcial para obteno do grau de Tecnlogo em Segurana da Informao. Orientador: Prof. Me. Fabio Eder Cardoso.

OURINHOS (SP) 2012

Luan Ambrosio

PERCIA FORENSE EM SISTEMAS OPERACIONAIS OPEN SOURCE

Trabalho de Graduao - TG apresentado a Faculdade de Tecnologia de Ourinhos como requisito para a concluso do Curso de Anlise de Sistemas e Tecnologia da Informao.

Data da aprovao: 15/12/2012

_______________________________________________ (assinatura) - ___________(nota) Orientador: Prof. Me. Fabio Eder Cardoso Fatec Ourinhos

_______________________________________________ (assinatura) - ___________(nota) Prof. Jean D. H. M. Andreazza Fatec Ourinhos

_______________________________________________ (assinatura) - ___________(nota) Prof. Robson Leite Fatec Ourinhos

RESUMO
Esse trabalho tem como objetivo, demonstrar o estudo sobre a percia forense computacional em sistemas operacionais open source. A percia forense uma rea relativamente nova e que vem se tornando cada dia mais importante devido ao alto crescimento de crimes eletrnicos durante os anos, sua principal funo investigar crimes digitais em busca de evidncias para serem utilizadas como provas. A percia forense basicamente dividida em quatro procedimentos, as evidncias precisam ser identificadas, preservadas, analisadas e apresentadas. Para que uma evidncia se torne uma prova vlida em um caso, regras e procedimentos precisam ser seguidos, pois um nico erro durante uma etapa poder prejudicar todo o restante do processo. Quando uma percia realizada, todas as fases necessitam ser documentadas, por exemplo, a cadeia de custdia um documento que contribui para a validao da prova pericial, nela registrado o responsvel pela evidncia no momento, onde ela se encontra, em caso de transferncia da evidncia qual o seu destino, as ferramentas utilizadas em uma determinada anlise, os comandos utilizados, entre outras informaes, tudo deve ser registrado mesmo que um erro tenha sido cometido, a cadeia de custdia precisa ser mantida do inicio ao fim para que se mantenha a integridade das evidncias. A cadeia de custdia s uma parte da regra, uma percia efetiva deve contar com peritos bem treinados, no s tecnicamente, mas principalmente em boas prticas, por isso, importante que o perito receba um treinamento de programas das melhores prticas na percia forense computacional. A forense computacional pode ser aplicada a qualquer tipo de sistema operacional, esse trabalho aborda especificamente a percia forense em sistemas operacionais open source. Sistemas operacionais que utilizam o ncleo Linux so grandes portadores de evidncias, pois so sistemas recheados de informaes, o que facilita o trabalho dos peritos. As evidncias e ferramentas para percia forense em sistemas operacionais open source so diversas, pode-se encontrar evidncias digitais investigando os sistemas de arquivos com ferramentas e comandos nativos do Linux, verificando o MACtime dos arquivos, usando kit de ferramentas de processamento digital de provas, como, ferramentas para cpia bitstream, gerao de hashes, recuperao de dados apagados, recuperao de dados em dispositivos volteis, anlise de arquivos de log, anlise do trfego da rede e outras informaes referentes ao sistema que est sendo investigado. Palavras chave: Percia Forense, Evidncias, Provas, Crimes.

ABSTRACT
This work aims to demonstrate the studies about computer forensics in open source operating systems. The forensics is a relatively new area and it is becoming increasingly important because of the high growth of electronic crimes over the years, its main function is to investigate digital crimes for evidence to be used as proofs. The forensics is basically divided into four procedures; the evidence must be identified, preserved, analyzed and presented. For evidence becomes a valid proof in a case, rules and procedures need to be followed, because a single error during a step could harm the rest of the process. When a skill is performed, all phases need to be documented, for example, the chain of custody is a document that contributes for the validation of expert evidence, in it the responsible is recorded for the evidence at the time, where it is, in case of transference of the evidence which your destination, the tools used in a given analysis, the commands used, among other information, everything should be registered even if a mistake has been committed, the chain of custody must be maintained from beginning to end so that if keep the integrity of the evidence. The chain of custody is only a part of the rule, an effective skill must have well-trained experts, not only technically, but mainly in practice, so it is important that the expert receives a best practices training program in forensic computing. A computer forensics can be applied to any type of operating system, this work specifically approach the forensics on open source operating systems. Operating systems that use the Linux kernel are big holders of evidence; they are replete with information systems, which facilitate the work of experts. The evidence and forensic tools to open source operating systems are diverse, you can find digital evidence investigating file systems with tools and native Linux commands, checking the MACtime files using toolkit processing digital evidence, as tools for bitstream copy, hashes generating, deleted data recovery, data recovery in volatile devices, analysis of log files, network traffic analysis and other information about the system being investigated. Key Words: Forensics, Evidence, Proofs, Crimes.

LISTA DE ILUSTRAES
Figura 1: Disco rgido apreendido como evidncia .................................................................. 15 Figura 2: Cadeia de custdia preservao comea antes de os dados serem coletados e termina na disposio final. ...................................................................................................... 18 Figura 3: Exemplo do documento de uma cadeia de custdia. ................................................ 19 Figura 4: Bloqueador fsico de gravao entre as unidades de disco rgido............................. 25 Figura 5: Disco rgido sendo copiado sem proteo................................................................. 25 Figura 6: Um valor de hash calculado e armazenado para cada dado copiado.. ................... 26 Figura 7: Representao de um diretrio e o seu inode associado.. ......................................... 29 Figura 8: Viso geral dos sistemas de arquivos Linux.............................................................. 29 Figura 9: Contedo do inode do diretrio raiz.. ....................................................................... 30 Figura 10: inode do arquivo /etc/passwd.. ................................................................................ 31 Figura 11: Utilizando o Sleuth Kit e o Autopsy Forensic Browser.. ........................................ 40 Figura 12: Viso geral do programa PTK.. ............................................................................... 41 Figura 13: File Slack Space.. .................................................................................................... 42 Figura 14: Processo de recuperao de arquivos apagados usando o SMART.. ....................... 45 Figura 15: Montando a partio do sistema a ser periciado... .................................................. 56 Figura 16: Criando imagem do disco e arquivos de hash com a ferramenta dcfldd................. 57 Figura 17: Imagem do disco e arquivos de hash gerado.. ........................................................ 57 Figura 18: Formulrio de cadeia de custdia preenchido.. ....................................................... 58 Figura 19: Montando a imagem em uma interface de loopback.. ............................................ 58 Figura 20: Exibio da imagem montada em uma interface de loopback.. .............................. 59 Figura 21: Procurando, copiando e gerando hash dos arquivos do tipo imagem.. ................... 59 Figura 22: Exibindo as imagens copiadas.. .............................................................................. 60 Figura 23: Hash e pasta de origem das imagens copiadas.. ..................................................... 60 Figura 24: Procurando, copiando e gerando hash dos arquivos do tipo vdeo.. ....................... 61 Figura 25: Exibindo os vdeos copiados.. ................................................................................. 61 Figura 26: Hash e pasta de origem dos vdeos copiados.. ........................................................ 62 Figura 27: Recuperao de dados utilizando o foremost.. ........................................................ 62 Figura 28: Arquivos jpg recuperados usando o foremost.. ....................................................... 63 Figura 29: Arquivos flv recuperados usando o foremost.. ........................................................ 63 Figura 30: Gerando o MAC Time das evidncias.. ................................................................... 64

Figura 31: Arquivo contendo o MAC Time das evidncias.. .................................................... 64 Figura 32: Verificando o contedo do arquivo xferlog.. .......................................................... 65 Figura 33: Verificando a integridade da imagem do disco.. ..................................................... 65

LISTA DE SIGLAS
ACE BIOS CCE CD-ROM CFCE CPU ENCE EXT2 EXT3 GCFA GPS IOCE MD5 NTFS POST RAM SHA1 SWGDE TCT TSK UFS USB Departamento de Computao da Universidade Federal de So Carlos Basic Input Output System Computer Certified Examiner Compact Disk Read Only Memory Computer Forensics Certified Examiner Central Processing Unit EnCase Certified Examiner Extended File System 2 Extended File System 3 GIAC Certified Forensic Analyst Global Positioning System International Organization of Computer Evidence Message Digest 5 New Technology File System Power On Self Test Random Access Memory Secure Hash Algorithm 1 Standard Working Group on Digital Evidence The Coroners Toolkit The Sleuth Kit Unix File System Universal Serial Bus

SUMRIO
1. INTRODUO ........................................................................................................ 11 Objetivos. ................................................................................................................... 11 Justificativa. ................................................................................................................ 12 2. 3. 3.1 3.2 3.3 3.4 3.5 4. 4.1 4.2 4.3 4.3.1 4.3.2 4.3.3 4.4 5. 5.1 5.1.1 5.2 5.2.1 5.3 5.3.1 5.3.2 5.3.3 5.4 5.5 5.5.1 6. 7. CONCEITO DE PERCIA FORENSE COMPUTACIONAL ............................ 13 PROCEDIMENTOS ................................................................................................ 14 Identificando as evidncias. ....................................................................................... 14 Preservando as evidncias.. ........................................................................................ 14 Analisando as evidncias............................................................................................ 16 Apresentando a anlise.. ............................................................................................. 17 Cadeia de custdia.. .................................................................................................... 18 MELHORES PRTICAS NA FORENSE COMPUTACIONAL ....................... 20 Quem estabelece as melhores prticas. ...................................................................... 20 Quem deve seguir as melhores prticas.. ................................................................... 20 Resumo das melhores prticas.. ................................................................................. 21 Dados volteis e forenses ao vivo.. ............................................................................ 21 Melhores prticas na preservao de provas.. ............................................................ 22 Melhores prticas na aquisio de provas.. ................................................................ 23 O que acontece em muitos casos ................................................................................ 27 EVIDNCIAS DIGITAIS ....................................................................................... 28 Sistemas de arquivos .................................................................................................. 28 MACtimes ................................................................................................................... 32 Ferramentas de processamento digital de provas ....................................................... 33 The Coroners Toolkit e Sleuth Kit............................................................................. 39 Recuperao de dados ................................................................................................ 41 Ferramentas baseadas em Linux ................................................................................. 42 Data Carving .............................................................................................................. 47 Dump de memria ...................................................................................................... 49 Arquivos de log .......................................................................................................... 50 Trfego de rede ........................................................................................................... 52 Captura e anlise do trfego de rede .......................................................................... 53 ESTUDO DE CASO ................................................................................................. 56 METODOLOGIA .................................................................................................... 67

8. 9. 10.

RESULTADOS ......................................................................................................... 68 CONCLUSES ........................................................................................................ 69 REFERNCIAS ....................................................................................................... 70

11

1. INTRODUO
Problema da pesquisa

A popularizao e a revoluo computacional como eram de se esperar atingiram tambm o mundo dos crimes. As tecnologias dos computadores esto envolvidas cada vez mais em atividades ilcitas, como invaso de sistemas, disseminao de pornografia infantil, fraudes, roubos entre outros. Como a percia forense computacional pode colaborar na soluo de crimes virtuais?

Hiptese

A percia forense computacional possui procedimentos, programa de melhores prticas, alguns sistemas operacionais, diversas ferramentas e hardwares especficos que so capazes de adquirir e analisar dados, cujo objetivo o de transformar evidncias em provas para a soluo de um crime virtual.

Objetivos

O objetivo desse trabalho apresentar um contedo que permita o entendimento sobre a percia forense computacional, a fim de compreender como age a percia computacional em busca de provas para se chegar soluo de um crime virtual. Pretende-se demonstrar de forma clara e objetiva os fundamentos tericos, os procedimentos padres, as melhores prticas aplicadas na forense computacional, s evidncias digitais mais comuns encontradas nos sistemas operacionais que utilizam o ncleo do Linux, as ferramentas para preservao, aquisio, anlise e recuperao de evidncias que podem ser utilizadas como provas. O objetivo especfico desse trabalho descrever como se deve lidar com evidncias encontradas em sistemas operacionais que utilizam o ncleo do Linux, para um maior entendimento ser realizado um estudo de caso que visa identificar, preservar e analisar as principais evidncias de um sistema que estaria envolvido com algum tipo de delito cometido virtualmente, para a realizao ser utilizado tcnicas e ferramentas especficas para a percia forense computacional, aplicadas em um ambiente de teste.

12

Justificativa

Nos dias atuais praticamente tudo em um mundo informatizado funciona a base de softwares e hardwares, desde celulares at simples eletrodomsticos que possuem um programa lgico para mostrar as horas. Com o crescimento desenfreado da tecnologia, veio os criminosos que aproveitam de todos os tipos de tecnologia para cometer delitos a todas e quaisquer pessoas e empresas. Por esse motivo, surgiu rea de percia forense computacional, que apesar de ser um campo de pesquisa relativamente novo e estar em expanso, ainda pouco divulgada e carente de profissionais e pesquisas na rea, principalmente no Brasil. A percia forense um campo muito amplo, so diversas ferramentas e tcnicas que podem ser utilizadas, porm, muitos dos procedimentos e ferramentas so difceis de serem aplicados na prtica por falta de material explicativo, pois na percia forense, cada caso requer uma forma de se analisar e obter evidncias. A percia forense torna-se a cada dia mais importante na vida das empresas, pessoas e autoridades, isso devido ao enorme crescimento de crimes cibernticos que afetam a vida das pessoas e geram prejuzos incalculveis para as empresas. No Brasil conta-se ainda com poucos profissionais e pesquisadores na rea, o que acaba dificultando o estudo e conhecimento para muitas pessoas, j que os materiais, como livros e artigos em lngua portuguesa so poucos, mas a tendncia que a percia forense se torne cada vez mais popular, com mais pesquisas e profissionais na rea para atuarem no combate a crimes cibernticos.

13

2. CONCEITO DE PERCIA FORENSE COMPUTACIONAL

A percia forense tambm chamada de computao forense, forense computacional, criminalstica computacional, forense digital, investigao eletrnica e percia eletrnica a cincia que estuda a aquisio, preservao, recuperao e anlise de dados armazenados em mdias eletrnicas, com a utilizao de conhecimentos computacionais, juntamente com tcnicas de investigaes, a fim de se obter evidncias (FREITAS, 2006). O objetivo da percia forense a busca e coleta de evidncias relacionadas com o caso investigado, que permitam uma formulao de concluses acerca da infrao. O objetivo final da percia forense composta por duas abordagens. A primeira a anlise em busca de informaes que tenham valores coerentes de acordo com as leis vigentes, e serem utilizadas no processo criminal. Na segunda anlise o exame realizado dentro de uma corporao, com o objetivo de determinar a causa do incidente e assegurar que no ocorra novamente, sem que haja preocupaes com as formalidades legais (ESPINDULA, 2009). Mesmo que no haja inteno de um processo criminal ser institudo, toda investigao deve considerar por padro a utilizao de protocolos e metodologias que garantam uma possvel aceitao na corte de justia (KRUSE; HEISER, 2002). O problema de resolver um mistrio computacional nem sempre fcil, existe a necessidade de no se observar o sistema como um usurio comum e sim como um detetive que examina a cena de um crime. Nesse quesito os programadores levam alguma vantagem neste assunto, pois muita das habilidades necessrias para se procurar um erro em um cdigo fonte, so tambm necessrias para uma anlise forense, tais como: raciocnio lgico, entendimento das relaes de causa e efeito em sistemas computacionais e talvez a mais importante, ter uma mente aberta. (FARMER; VENEMA, 2007). Assim como em uma investigao criminal normal, existem procedimentos segundo Freitas (2006), que devem ser seguidos pela percia para que as evidncias no sejam comprometidas, substitudas ou perdidas, caso isso no ocorra, os juzes podero considerar as evidncias inadmissveis e os advogados de defesa podero contestar a legitimidade da evidncia, podendo o processo ser prejudicado.

14

3. PROCEDIMENTOS
Basicamente a forense computacional em sua essncia composta por quatro processos bsicos, as evidncias precisam ser identificadas, preservadas, analisadas e apresentadas. Em uma investigao forense, as tarefas a serem desenvolvidas podem percorrer todos os elementos bsicos acima, ou, somente alguns deles (FREITAS, 2006).

3.1 Identificando as evidncias As evidncias em um crime virtual podem ser diversas, tudo depende do tipo de delito cometido, em um caso de disseminao de pornografia infantil, o perito pode realizar buscas por imagens armazenadas no computador do suspeito, arquivos temporrios do navegador de Internet e o histrico de sites visitados, j em uma ocorrncia de acesso no autorizado, os arquivos de log podem ser uma evidncia muito valiosa. (FREITAS, 2006). A identificao das provas vai depender da competncia do perito e seu conhecimento sobre o tipo de crime envolvido, juntamente com sua habilidade em programas de computadores e sistemas operacionais. Segundo Freitas (2006), para serem encontradas evidncias concretas deve-se: Realizar uma busca por todos os dispositivos eletrnicos que possam conter possveis evidncias armazenadas; Buscar por qualquer tipo de informao que possa ser relevante para o caso: telefones, nomes, documentos, anotaes, etc.; Diferenciar as evidncias que possam ser teis e no teis para o caso, atravs de uma anlise ao vivo.

3.2 Preservando as evidncias

De acordo com Freitas (2006), a regra essencial durante uma investigao a de que o perito em hiptese alguma altere ou destrua as provas. Neste caso, para que as evidncias no tenham sua veracidade contestada importante que as provas sejam preservadas. Algumas regras importantes precisam ser seguidas para que as provas no sejam comprometidas, substitudas ou perdidas durante o transporte ou anlise no laboratrio. As seguintes etapas devem ser seguidas:

15

Para as evidncias serem analisadas de forma segura, deve-se criar uma imagem do sistema que ser periciado, comumente conhecido como duplicao pericial; Em caso de necessidade, aplicar a tcnica de anlise ao vivo, realizando a gravao das evidncias em mdias que permitam o bloqueio contra regravao; Se necessrio realizar uma anlise ao vivo, gravar as evidncias em mdias que permitam o bloqueio contra regravao; As evidncias devero ser colocadas em sacos e etiquetadas, aps isso o saco deve ser lacrado; A etiqueta dever conter informaes importantes para que no haja nenhum tipo de fraude, como o nmero para identificao das evidncias, o nmero do caso, a data e o horrio em que a evidncia foi coletada e o nome da pessoa que est levando para custdia; Os componentes e cabos do computador devem ser etiquetados, assim o perito conseguir realizar a montagem de forma correta quando for realizar a percia; Para evitar possveis danos ou dados corrompidos, o disco rgido deve ser colocado em saco antiesttica; Prevenir-se de possveis fatores que possam comprometer as provas durante o transporte, como umidade, lquidos, sujeira, eletricidade e etc.; Aps ter sido transportada, as evidncias devem ser colocadas em um local seguro que no permita ningum alterar as provas, para posteriormente serem analisadas; Ser for necessrio realizar alguma mudana durante essa etapa, preciso que seja documentado e justificado atravs da cadeia de custdia.

Figura 1: Disco rgido apreendido como evidncia Fonte: World of Forensic Science (2006)

16

3.3 Analisando as evidncias

Na etapa de anlise, Daniel Larry (2012) e Daniel Lars (2012), descrevem que o processo onde se deve localizar e recolher elementos que sirvam de provas a partir de evidncias que foram coletadas durante um caso. Em um caso envolvendo infidelidade conjugal, a evidncia que deve ser localizada pode incluir registros de e-mails e bate-papo entre o cnjuge e o amante. J em um caso de fraude, registros financeiros seria o alvo da anlise, bem como a eventual eliminao de registros envolvendo transaes financeiras. Em outro caso como o de pedofilia, o alvo da anlise seria a localizao de vdeos e imagens. Cada caso nico, por esse motivo as circunstncias podem variar amplamente, no s na evidncia pretendida, mas tambm na abordagem para realizar a anlise. Uma parte da anlise constituda por habilidades individuais, ferramentas utilizadas, bem como a formao do perito forense, essa parte a que tem mais impacto no resultado de um exame. Considerando que as provas eletrnicas podem aparecer em muitas formas e virem de tantos lugares diferentes e dispositivos, que a formao e a experincia do perito comeam a ter um impacto cada vez maior no sucesso do exame. A fase de anlise tambm onde a disparidade passa a se tornar um fator importante entre as competncias e abordagens de um perito de informtica e os de um perito forense computacional. Enquanto um perito de computador pode entender sobre muitos aspectos do uso do computador e a manipulao de dados, um especialista forense devidamente treinado vai ser muito competente em recuperao de dados, assim como nas tcnicas de anlises adequadas (DANIEL, Larry; DANIEL, Lars, 2012). Anlise de evidncias digitais mais do que somente determinar se algo como um arquivo existe em um disco rgido, ela tambm composta em descobrir o porqu do arquivo estar no disco rgido e, se possvel, quem as colocou l (DANIEL, Larry; DANIEL, Lars, 2012). Quando um perito vai analisar um sistema comprometido para Burdach (2010), antes de realizar qualquer atividade no sistema comprometido obrigatrio criar uma cpia em papel todo o procedimento de coleta de dados. Este procedimento ajuda a evitar erros durante a anlise de um incidente. Devem-se fazer anotaes complementares aps cada etapa final, mesmo que algo tenha dado errado. A documentao muito importante se a pretenso for de levar o caso para um tribunal.

17

O prximo passo registrar os resultados dos comandos executados durante a coleta de informaes. A partir da o perito liga um host1 de destino para a mesma rede local em que estar enviando informaes a partir do host comprometido. Nessa etapa o perito no est autorizado a escrever quaisquer resultados no sistema comprometido. Gravando dados localmente na mquina comprometida o perito pode excluir quaisquer sinais de invaso. Para o impacto ser menor, necessrio enviar todos os dados digitais a um computador remoto ou um host de destino, esta uma das regras mais importantes na anlise forense que nem sempre so fceis de cumprir (BURDACH, 2010). Aps a anlise das evidncias estarem concludas, o perito poder responder algumas perguntas segundo (FREITAS, 2006): Qual era o sistema operacional do computador suspeito? Qual usurio estava ativo na hora que ocorreu o crime? Que tipos de arquivos o criminoso utilizou? Quais as portas de comunicao estavam abertas? Quais os ltimos usurios que efetuaram logon no sistema? Quantos e quem eram os usurios do sistema operacional, eles pertenciam a algum grupo? Que tipos de arquivos foram deletados?

3.4 Apresentando a anlise

A apresentao dos resultados do perito para Daniel Larry (2012) e Daniel Lars (2012) o passo final no processo de anlise forense de provas digitais. Esta etapa inclui no apenas os resultados escritos ou relatrios, mas tambm a apresentao dos depoimentos dos peritos e testemunhas da corte. No existem regras severas, rpidas ou padres para relatar o resultado de um exame, cada rgo ou entidade privada pode ter suas prprias diretrizes especficas para o relatrio, dessa forma, relatrios de exame forense devem ser escritos de forma clara, precisa e objetiva, explicando o que foi examinado, as ferramentas utilizadas durante a investigao, os processos utilizados e os resultados da percia. O relatrio dever
1

Por definio, host qualquer computador ou mquina conectado a uma rede, que conta com nmero de IP e nome definidos, podendo oferecer informaes, recursos, servios e aplicaes aos usurios ou outros ns na rede. Disponvel em: http://www.techtudo.com.br/artigos/noticia/2012/02/o-que-e-umhost.html

18

incluir tambm os mtodos de coletas utilizados, incluindo medidas especficas tomadas para proteger e preservar a prova original e como a verificao da prova foi realizada. De forma geral um relatrio forense digital deve incluir os seguintes itens: Formao e experincia do perito; Ferramentas utilizadas durante a anlise; Os mtodos utilizados para verificar os dados; Processo utilizado para recuperar e extrair os dados; Os dados reais recuperados para apoiar na deciso final do processo.

3.5 Cadeia de custdia

A cadeia de custdia um documento que tem como funo provar onde as evidncias encontravam-se em certo momento e quem era o responsvel por tais durante o processo de percia. Ao serem documentadas essas informaes, possvel ter certeza que a integridade das evidncias no foram comprometidas (FREITAS, 2006). Um aspecto fundamental da preservao de dados digitais na descoberta de provas iniciar e manter a cadeia de custdia e controle de dados eletrnicos. Um processo de custdia bem documentado permite que os dados a serem submetidos sirvam como provas em um tribunal, em um processo judicial ou administrativo (HOLLEY et al., 2011). Uma cadeia de custdia bem documentada ser necessria no processo para demonstrar que os dados coletados e preservados no mudaram e que as impresses dos dados so cpias precisas do original (HOLLEY et al., 2011).

Figura 2: Cadeia de custdia preservao comea antes de os dados serem coletados e termina na disposio final. Fonte: Larry Daniel e Lars Daniel (2012, p. 27)

19

Figura 3: Exemplo do documento de uma cadeia de custdia. Fonte: FREITAS (2006, p. 6)

20

4. MELHORES PRTICAS NA FORENSE COMPUTACIONAL

Para uma percia forense ser eficiente, necessrio que se tenha um programa de melhores prticas, para que no ocorra algum procedimento errado que possa prejudicar todo o restante do processo. (DANIEL, Larry; DANIEL, Lars, 2012).

4.1 Quem estabelece as melhores prticas

O Instituto Nacional de Justia e a Associao de Chefes de Polcia definem padres mnimos para o recolhimento e preservao de provas digitais. Essas diretrizes so desenvolvidas com a participao da aplicao da lei, governo, acadmicos e profissionais da indstria. As melhores prticas so propagadas para a indstria atravs de publicaes e programas de treinamentos forenses digitais. Existem algumas certificaes para os profissionais que atuam na rea de percia forense como o EnCase Certified Examiner (EnCE), Computer Certified Examiner (CCE), Access Certified Examiner (ACE), Computer Forensics Certified Examiner (CFCE) e o GIAC Certified Forensic Analyst (GCFA) com o intuito de reforar essas prticas, garantindo que a pessoa a ser certificada tenha uma compreenso dos procedimentos adequados para receber corretamente e preservar provas eletrnicas (DANIEL, Larry; DANIEL, Lars, 2012).

4.2 Quem deve seguir as melhores prticas

Toda pessoa que se prope a trabalhar com um computador ou um perito forense digital deve sempre seguir as melhores prticas estabelecidas na rea atuante. Isso de vital importncia em um campo onde os resultados das aes do perito devem ser usados para fornecer resultados de prova com base na identificao, preservao e anlise de provas. Caso no siga as melhores prticas o trabalho do perito forense fica aberto ao desafio e a possibilidade de as evidncias coletadas no servirem como provas. O resultado de no aderir nem o mnimo das melhores prticas, a dvida sobre a competncia e qualificaes do perito, que por esse motivo, pode prejudicar a totalidade do trabalho. Tambm altamente provvel que um perito forense ser interrogado sobre as melhores prticas quando for depor em um tribunal (DANIEL, Larry; DANIEL, Lars, 2012).

21

4.3 Resumo das melhores prticas As melhores prticas so aplicveis coleta e preservao de provas. Estas so as duas partes crticas para garantir que as provas sero aceitas em um tribunal como sendo autnticas e uma representao precisa da evidncia original. Modificao de provas, intencionalmente ou acidentalmente, pode ter um efeito devastador sobre todo o processo. (DANIEL, Larry; DANIEL, Lars, 2012). Analisando a preservao das provas como a parte essencial da coleta e aquisio de evidncias digitais, pode-se notar que a necessidade de proteger e preservar as provas comea antes mesmo de os dados serem coletados, copiados ou analisados, e s termina na disposio final das provas. Seja essa disposio para devolver os itens coletados ao proprietrio, a apreenso definitiva dos itens ou a destruio das provas atravs de uma ordem de destruio, a preservao das provas devem permanecer. Na rea de forense computacional, a preservao a proteo geral das provas, enquanto a aquisio o ato de fazer cpias forenses de evidncias digitais a partir de discos rgidos, outras mdias fsicas ou de dispositivos volteis (DANIEL, Larry; DANIEL, Lars, 2012).

4.3.1 Dados volteis e forenses ao vivo Algumas evidncias s esto presentes no momento em que um computador ou servidor esto em funcionamento e sero perdidas caso o equipamento seja desligado. Provas que esto presentes somente quando o computador est em execuo so chamadas de evidncias volteis e devem ser coletadas ao vivo usando mtodos forenses. Isto inclui as evidncias que esto na memria RAM (Random Access Memory), tal como um programa que s est presente na memria RAM do computador (DANIEL, Larry; DANIEL, Lars, 2012). Muitos tipos de malware, tais como programas de cavalo de tria, vrus e worms so projetados para ficarem hospedados na memria RAM, e s aparecem quando o computador est em execuo e desaparecem quando o computador desligado, em muitos casos, sem deixar nenhum tipo de vestgio. H tambm muitos tipos de evidncias volteis que s esto disponveis quando o computador est em execuo, incluindo determinados arquivos temporrios, arquivos de log, arquivos de cache e senhas. A memria RAM apagada quando um computador desligado e os dados presentes so perdidos. Este pode ser um passo crtico, se houver suspeita de que haja algum tipo de criptografia de dados que impea o disco rgido ou partes dele de serem visualizados. Em muitos casos, a nica maneira de recuperar a senha

22

necessria para remover a criptografia de um disco rgido coletar a memria ao vivo antes que o computador seja desligado. Alm disso, se o computador est sendo executado, a parte criptografada do armazenamento de dados seria acessvel, mas s at o computador ser desligado, tornando-se essencial que o disco rgido do computador seja copiado enquanto ele estiver ligado. Existem ferramentas disponveis para fazer cpias da memria RAM e discos rgidos em computadores ou servidores que estejam em execuo (DANIEL, Larry; DANIEL, Lars, 2012).

4.3.2 Melhores prticas na preservao de provas Quando uma prova coletada segundo Daniel Larry (2012) e Daniel Lars (2012), ela deve ser preservada em um estado que possa ser usada como defesa em um tribunal. Preservao o processo de criao de uma cadeia de custdia, que comea antes da coleta e termina quando a evidncia liberada para o proprietrio ou destruda. Os passos de preservao incluem: Identificao: identificar o tipo e a localizao de uma prova digital pode ser um desafio. O perito precisa de um mandado de intimao ou de busca, que fundamental para coleta de provas digitais em qualquer local, como, discos rgidos de computadores, telefones celulares, cmeras digitais, aparelhos de GPS, dispositivos de armazenamento portteis, como discos rgidos USB e at mesmo iPods. Este o primeiro passo que precede as etapas. No aceitvel simplesmente coletar tudo quando voc chega a um local suspeito, o que voc est indo recolher deve ser previamente identificado, e depois ser solicitado um mandado de busca, seno, as evidncias no serviro como provas durante o processo no tribunal. Caso ocorra a coleta de itens no identificados previamente, as provas podero ser contestadas em uma ao legal. A linguagem durante a identificao deve ser especfica e possuir terminologia correta, usando termos como CPU em vez de computador, significa que voc pode recolher apenas a unidade central de processamento de um computador e no o prprio computador. Utilizando um termo em que voc especifica a coleta do disco rgido, ser permitida a remoo e coleta do disco rgido, mas no o computador inteiro. Somente com o disco rgido voc seria capaz de analisar as provas, porm, no seria capaz de identificar datas relativas aos arquivos por no possuir o computador por completo, isso acaba se tornando um problema para a investigao;

23

Coleta: A etapa de coleta crucial, pois este o primeiro contato real com a evidncia. No seguir corretamente a etapa de coleta pode levar a destruio ou alterao das provas. Se algum tentar coletar dados de um dispositivo e no conhece os mtodos adequados, como operar o computador antes de desliga-lo ou desligar um servidor de negcios crticos inadequadamente, pode levar a perda de provas crticas que poderiam ser coletadas antes do encerramento. Coleta pode incluir um ou todos os itens seguintes: Fotografar a prova no lugar antes da coleta ou duplicao; Completar o inventrio de cada item, incluindo a identificao das informaes, tais como nmeros de srie, fabricante e descries; Marcar cada item para rastreamento e identificao; Proteger cada item para evitar operao ilegal; Ensacar cada item em um recipiente seguro que deve ser selada com fita a prova de violao, para assegurar que a evidncia no seja modificada ou danificada durante o transporte; Colocar itens coletados em reas de armazenamento seguro; Procedimentos adequados de check-in e check-out, com uma cadeia de custdia mantida para qualquer acesso ou transporte das provas; Disposio final das provas, registradas em uma cadeia de custdia para qualquer evidncia que for liberada ou destruda.

4.3.3 Melhores prticas na aquisio de provas

A aquisio de provas segundo Daniel Larry (2012) e Daniel Lars (2012), a parte do processo judicial, durante o qual as informaes originais so copiadas ou duplicadas. fundamental seguir os procedimentos adequados para garantir a integridade das provas. A parte de aquisio pode ainda ser dividida em duas etapas: a duplicao e a verificao. Duplicao: Este um passo que facilmente executado incorretamente, especialmente se for feita por algum que no treinado corretamente para realizar a duplicao de provas eletrnicas. O nico mtodo aceito para duplicao de provas eletrnicas que a prova seja protegida contra qualquer possibilidade de alterao durante o processo de duplicao. Isto

24

requer a utilizao de ferramentas e tcnicas forenses. Usando mtodos no forenses podese levar a modificao da evidncia original ou cpias incompletas. Mtodo forense: O mtodo adequado para duplicao de evidncias em um disco rgido de computador ou outro dispositivo de armazenamento de mdia requer o uso do bloqueio de gravao do dispositivo de armazenamento original. O bloqueio contra gravao pode ser conseguido pelo uso de um dispositivo de hardware fsico que ligado entre o original e a cpia do disco rgido, conforme figura 4, ou usando uma mdia especial de inicializao que pode iniciar um computador de forma forense. A melhor opo para fazer uma cpia forense de um disco rgido remover o mesmo do computador, conecta-lo a um bloqueador fsico contra gravao, e em seguida, utilizar uma estao de trabalho forense e softwares forenses para realizar a cpia. No entanto, em alguns casos, a remoo da unidade de disco rgido no fcil, especialmente em computadores portteis. Quando este for o caso, o mtodo mais adequado realizar a cpia do disco usando um software que permita o bloqueio contra gravao. Quando um computador ligado pela primeira vez, ele passa por um conjunto de etapas, comeando com um Power On Self Test (POST), seguido pela carga do Basic Input Output System (BIOS). O BIOS um software que fica armazenado na placa principal do computador, ele diz ao computador quais os tipos de discos rgidos esto presentes, inicializa o teclado e outras portas de entrada e sada, tais como as portas USB, inicializa a placa de vdeo do computador e, basicamente, prepara os hardwares do computador para operar antes do sistema operacional ser carregado. Podem ser efetuadas configuraes no BIOS para dizer ao computador onde procurar o sistema operacional para ser iniciado, como em um disco rgido, a partir de um disquete, um CD-ROM ou um dispositivo USB. Durante o processo normal o computador ir carregar o sistema operacional instalado no disco rgido, mudando as configuraes do BIOS possvel impedir o computador de iniciar o sistema operacional pelo disco rgido e carregar um sistema operacional a partir de um CD-ROM, disquete ou pelo dispositivo USB. Ao se preparar para realizar uma cpia do disco rgido, o perito forense carrega um sistema operacional forense especial a partir de uma mdia de inicializao. Mdias de inicializao especiais so mdias que contm um sistema operacional que capaz de inicializar um computador, mas no permite gravao de dados no disco rgido original, esses sistemas operacionais forenses so modificados para efetivamente desativar

25

a capacidade de um computador realizar modificaes nos arquivos originais gravados no disco rgido. Uma vez que o computador iniciado, ou com um hardware de bloqueio de gravao ou por meio de um sistema operacional forense, o examinador consegue fazer uma cpia exata da superfcie de gravao do disco rgido inteiro;

Figura 4: Bloqueador fsico de gravao entre as unidades de disco rgido. Fonte: Larry Daniel e Lars Daniel (2012, p. 29)

Mtodo no forense: As pessoas no treinadas pata atuar com mtodos forenses adequados para a duplicao de provas digitais podem iniciar um computador de forma errada e ento realizar cpia de dados no disco rgido. Quando o computador iniciado de forma normal, o sistema operacional pode escrever no disco rgido e acabar realizando alteraes nos arquivos de datas, arquivos de log e outros tipos de arquivos de forma definitiva, ele acaba modificando e destruindo provas crticas. A figura 5 mostra dois discos rgidos conectados sem qualquer proteo no disco rgido que contm as evidncias originais, esse processo coloca as provas contidas ali em risco.

Figura 5: Disco rgido sendo copiado sem proteo. Fonte: Larry Daniel e Lars Daniel (2012, p. 31)

26

Mtodos no forenses incluem geralmente, cpias simples de arquivos de um disco rgido para outro dispositivo de armazenamento ou utilizando um programa de backup como o Norton Ghost. O Norton Ghost tem a capacidade de fazer uma cpia completa do disco rgido, porm, geralmente no aceita como um mtodo forense, porque cpias fantasmas dificultam a verificao e o uso de valores de hash. A razo para isso que o Norton Ghost no possui um mtodo para criao de um valor de hash da evidncia que est sendo copiada durante o processo de cpia. Alm disso, uma cpia no utilizando os mtodos forenses far com que se consigam apenas os dados armazenados no disco rgido, tais como documentos, planilhas e histrico da Internet. A cpia no utilizando mtodos forenses, no permitir a recuperao de arquivos apagados ou anlise das reas do disco rgido, onde a evidncia que no visvel para o usurio ainda pode residir. Verificao: Este o passo final no processo de cpia forense. A fim de que a prova seja admissvel, deve haver um mtodo para verificar que a evidncia apresentada seja exatamente a mesma que a original recolhida. A verificao realizada por meio de um algoritmo matemtico que calcula um nmero com base no contedo da prova. A figura 6 ilustra a unidade e o processo de gerao de hashes para os arquivos copiados. Isto chamado de criao de um valor de hash e realizada utilizando o algortmo Message Digest 5 (MD5) ou o Secure Hash Algorithm (SHA). O MD5 o mtodo mais comum utilizado para verificao na computao forense. Ferramentas forenses de duplicao criam automaticamente uma verificao de hash para o original e a cpia durante o processo de duplicao. Se estes valores de hash no coincidirem, surge dvida sobre a autenticidade da prova.

Figura 6: Um valor de hash calculado e armazenado para cada dado copiado. Fonte: Larry Daniel e Lars Daniel (2012, p. 32)

27

4.4 O que acontece em muitos casos

Com a propagao de telefones celulares, computadores e outros dispositivos digitais como evidncia potencial em condenaes por crimes, os recursos de aplicao da lei se tornaram cada vez mais aprimorados, o que acaba por se tornar de extrema importncia que o perito seja treinado para seguir as melhores prticas (DANIEL, Larry; DANIEL, Lars, 2012). O que ocorre em muitos casos, porm, que agentes acabam por modificar acidentalmente a evidncia por falta de treinamento, ou o departamento responsvel no teve a oportunidade de estabelecer os procedimentos para lidar com evidncias digitais (DANIEL, Larry; DANIEL, Lars, 2012). Do lado civil, devido falta de peritos qualificados para contratao, advogados particulares esto utilizando o pessoal de suporte de tecnologia da informao, em vez de peritos forenses para coletar a analisar evidncias. Os suportes de tecnologia da informao no esto treinados para seguirem as melhores prticas, consequentemente no seguem qualquer metodologia para proteger e preservar a evidncia original, alm de no usarem as ferramentas adequadas para coleta e preservao das provas. Falta de conhecimento das melhores prticas anda junto com a no utilizao de ferramentas adequadas para a coleta segura de provas (DANIEL, Larry; DANIEL, Lars, 2012).

28

5. EVIDNCIAS DIGITAIS
Evidncias digitais para Casey (2000) so quaisquer dados que podem provar que um crime tenha sido cometido, ou que possa fornecer uma ligao entre um crime e sua vtima ou um crime e seu autor. A definio proposta pelo Standard Working Group on Digital Evidence (SWGDE) para evidncia digital, qualquer informao de valor probatrio, que armazenado ou transmitido em forma digital. Outra definio proposta pela International Organization of Computer Evidence (IOCE), qualquer informao armazenada ou transmitida de forma binria que pode ser utilizada em um tribunal. No entanto, essas definies focam demais na negligncia de provas e dados do que simplesmente em uma investigao. Alm disso, a definio do termo binrio muito vaga, descrevendo apenas uma das muitas representaes comuns de dados informatizados. Uma definio mais ampla proposta pela Association of Chief Police Officers, a informao e dados transmitidos ou armazenados por um computador que possuem algum valor para a investigao. Uma definio mais geral proposta por Carrier (2006) para evidncias eletrnicas: so dados que suportam ou refutem uma hiptese sobre eventos digitais ou o estado dos dados digitais.

5.1 Sistemas de arquivos

Existem diversos sistemas de arquivos em sistemas operacionais open source, incluindo Unix File System (UFS), Reiser, Extended File System 2 (EXT2) e Extended File System 3 (EXT3) que possuem estruturas parecidas. Embora os diretrios desempenhem um papel em sistemas de arquivos Linux, eles so muito mais simples do que os existentes no sistema operacional Windows, no Linux eles contm apenas uma lista de nomes de arquivos e seu nmero de inode2 associado. Cada arquivo possui uma entrada associada na tabela de inode, identificado pelo nmero de inode, que contm todas as informaes sobre o arquivo, alm de seu nome. Na figura 7 possvel visualizar o contedo de um inode que incluem data e hora, nmero de bytes do ficheiro e quais os clusters no disco contm esses dados (CASEY, 2011).

Em sistemas operacionais, um n-i (inode, ou index node) uma estrutura de dados constituinte de um sistema de arquivos que segue a semntica UNIX. O n-i armazena informaes sobre um arquivo, tais como o dono, permisses e sua localizao.

29

Figura 7: Representao de um diretrio e o seu inode associado. Fonte: CASEY (2011, p. 553)

Os sistemas de arquivos Linux quebram cada partio em grupos de blocos, cada um com o seu prprio inode e blocos de dados. Dividir os dados desta forma evita danos catastrficos dos arquivos de sistema, porque no h um ponto nico de falha. Se a rea do disco que contm um grupo de blocos que est danificado, apenas os dados desse grupo so afetados, deixando os dados de outros grupos intactos (CASEY, 2011).

Figura 8: Viso geral dos sistemas de arquivos Linux. Fonte: CASEY (2011, p. 554)

Alm de conter dados, cada grupo de blocos possui uma duplicao dos componentes essenciais dos arquivos de sistema, isto , o superbloco e o descritor de grupo, para facilitar a recuperao se a cpia primria for danificada. O superbloco contm informaes sobre os arquivos de sistema, tais como o tamanho do bloco, nmero de blocos por grupo de bloco, a ltima vez que os arquivos de sistema foram montados, ltima vez que foi escrito e informaes do setor de inode do diretrio raiz (CASEY, 2011).

30

Descritores de grupo contm as informaes mais importantes para cada grupo de bloco, incluindo a localizao da tabela de inode. Em todos os grupos de blocos os descritores so duplicados, em caso de haver danos nos arquivos de sistema. Caso o descritor de grupo primrio de qualquer grupo de blocos for danificado, uma cpia de backup do descritor de grupo poder ser usada para reparar o dano. Se a tabela de inode em si est danificada, tornase mais difcil reconstruir os arquivos do grupo de blocos (CASEY, 2011). Resumindo, quando um sistema comandado para acessar um arquivo como /etc/passwd, ele procura primeiro no superbloco para o setor de inode nmero 2 para encontrar o diretrio raiz, conforme mostrado na figura 10. O sistema l o diretrio raiz at encontrar a entrada para o etc com seu nmero de inode associado (inode 0x00038001 = 229377 na figura 10), ele l os blocos de dados referenciados pelo inode 229377 at encontrar a entrada para o passwd, e acessa o inode associado para identificar os blocos de dados ocupados pelo arquivo de senha (CASEY, 2011).

Figura 9: Contedo do inode do diretrio raiz. Fonte: CASEY (2011, p. 555)

Se um arquivo possui mais dados que podem ser referenciados pelo campo de blocos diretos em seu inode, blocos indiretos adicionais so utilizados para armazenar informaes, de forma mais clara, os blocos indiretos possuem listas de blocos de dados que contm os

31

arquivos. Mesmo arquivos maiores podem exigir blocos indiretos adicionais, exceto quando os blocos indiretos contiverem mais listas (secundrias ou 2x) ou blocos indiretos que contenham listas dos blocos de dados que contm o arquivo. Alguns sistemas de arquivos permitem ainda um terceiro nvel de blocos indiretos, conforme figura 11 (CASEY, 2011). O Linux mantm um selo de data e hora de cada arquivo quando ele excludo. No caso da figura 11 o arquivo no foi excludo e o valor definido um valor padro. Quando um arquivo excludo, o Linux contabiliza seu tempo de excluso em forma de tempo em vez de poca, contabilizado o nmero de segundos desde 1 de Janeiro de 1970, 00:00:00 UTC (CASEY, 2011).

Figura 10: inode do arquivo /etc/passwd. Fonte: CASEY (2011, p. 556)

Quando um arquivo apagado em um sistema Linux, a entrada de arquivo do diretrio fica escondida e as notas do sistema que possuem um inode associado estaro disponveis para reutilizao. A entrada de arquivos do diretrio, o inode e os dados permanecem no disco at que sejam substitudos. Alguns sistemas como o Solaris, ext3 e verses mais recentes do ext2 removem o nmero de inode do diretrio, quebrando assim a ligao entre as entradas de diretrios e inodes, tornado mais difcil recuperao de arquivos

32

apagados. O sistema HP-UX apaga as entradas de diretrios completamente, tornando os arquivos ainda mais difceis de serem recuperados, os sistemas de arquivos mais novos tambm quebram a ligao entre o inode e os setores que continham os dados, eliminando assim todas as referncias do sistema de arquivos para os dados (CASEY, 2011). O sistema de arquivos ext3 Linux semelhante ao ext2, mas o ext3 tem a capacidade de executar registros no dirio para facilitar a recuperao do sistema de arquivos e reparao aps uma falha de sistema. Assim como ocorre com o New Technology File System (NTFS), atualmente no h ferramentas disponveis para interpretar o arquivo de dirio em ext3 para determinar quais alteraes foram feitas. Esta uma fonte potencialmente rica de informaes para a percia forense computacional que certamente ser explorado no futuro (CASEY, 2011).

5.1.1 MACtimes

Na percia forense computacional, muitas vezes, mais importante identificar quando algum evento ocorreu do que saber o que aconteceu. Informaes relacionadas ao tempo so muito relevantes em uma investigao (FARMER E VENEMA, 2007). MACtimes so campos de metadados que registram a data e hora do ltimo acontecimento em um determinado arquivo ou diretrio no (Windows, Linux ou outros tipos de sistemas de arquivos, ele um conjunto de trs atributos de tempo, mtime, atime e ctime. O mtime corresponde data e hora da ltima vez que o arquivo ou diretrio foi modificado, j o atime corresponde data e hora da ltima vez que o arquivo foi acessado, e o ctime registra quando um contedo sobre um arquivo muda, como o proprietrio, grupo, permisses e etc (FARMER E VENEMA, 2007). Para visualizar essas datas e horas no Linux basta utilizar o simples comando ls, ou ainda atravs da utilizao de outros tipos de ferramentas, como por exemplo, o mactime que est presente no Coroners Toolkits (FARMER E VENEMA, 2007). Os MACtimes so informaes valiosas, porm muito frgeis, pois se alteram com muita facilidade, ferramentas que gerenciam sistemas de arquivos por exemplo alteram o atributo atime, assim como uma simples leitura de uma pasta ou arquivo tambm alteram esse atributo, por isso importante o perito trabalhar sempre com cpia das evidncias originais, e tambm desativar as atualizaes de atime para que no corra o risco de alterar acidentalmente os dados (FARMER E VENEMA, 2007).

33

5.2 Ferramentas de processamento digital de provas

Segundo Casey (2011) o Linux possui varias caractersticas que o tornam ideal para aquisio de provas digitais e um sistema de exame forense. O sistema operacional Linux contm muitos utilitrios que so projetados para trabalharem em conjunto, a sada de informaes de uma ferramenta pode ser alimentada facilmente em outra ferramenta. O pipe (representado por uma barra vertical |) permite a sada de um programa para outro criando uma grande flexibilidade. Por exemplo, aps um disco passar por uma sanitizao, a combinao de comandos a seguir pode ser usado para verificar se todos os setores esto preenchidos com zeros: dd if=/dev/hda | xxd | grep v "0000 0000 0000 0000 0000 0000 0000 0000" Este comando procura por algo que no zero e deve retornar nada, desde que o disco tenha sido limpo corretamente. O Linux suporta muitos tipos de sistemas de arquivos e pode ser usado para examinar a mdia de um sistema UNIX, Windows, Macintosh e outros sistemas. O Linux permite tambm acesso a dispositivos, tornando mais fcil a aquisio de dados em mdias danificadas e burlar a proteo contra cpia em determinados cartes de memria (CASEY, 2011). Antes de realizar uma cpia de um fluxo de bits do disco, pode ser necessrio realizar uma busca por palavras chave para determinar se existem evidncias digitais importantes no sistema. Isto til quando necessrio procurar por itens especficos em um grande nmero de sistemas. O modo mais eficiente para pesquisa em muitos computadores inicia-los usando um disco de inicializao de aquisio de evidncia e executar um utilitrio de pesquisa no disco no prompt do Linux. O comando grep fornece a capacidade de busca de palavras chave. Uma vez que um sistema com provas teis tenha sido identificado, uma cpia bitstream3 completa pode ser feita (CASEY, 2011). O principal elemento para adquirir provas digitais usando o Linux o comando dd. O exemplo mais simples usando o dd para realizar uma cpia bitstream de um disco rgido: dd if=/dev/hda of=copiadodiscorigido.dd. O comando dd conta com muitas opes, permitindo ao usurio especificar o tamanho do bloco de unidade das provas e salvar segmentos de uma cpia bitstream em vrios arquivos, em casos que preciso gravar os dados em discos compactos. A sada do dd pode ser salva em um arquivo, conforme mostrado
3

Cpia bitstream na forense computacional uma cpia bit a bit dos dados da mdia de armazenamento original. Disponvel em: http://www.pcrforensics.com/index.php?option=com_glossary&letter=B&id=52&Itemid=132

34

acima, ou em um disco rgido em branco para criar um clone, ou podem ser enviadas atravs de uma conexo de rede a um sistema de coleta remoto usando netcat. Quando se precisa lidar com discos rgidos que possuem varias parties, aconselhvel realizar uma cpia bitstream de todo o disco primeiro e posteriormente extrair parties individuais conforme necessidade (CARRIER, 2003). Desta forma para Casey (2011), uma cpia completa do disco original preservada. Alm disso, antes de realizar uma cpia bitstream, de extrema importncia para a percia calcular o valor MD5 da unidade, para documentar o disco rgido que est sendo copiado. Para obter informaes sobre um disco rgido e as parties no disco, utilizar os seguintes comandos em Linux:

Comando: grep hd /var/log/dmesg Exemplo de sada: ide0: BM-DMA at 0xa890-0xa897, BIOS settings: hda:DMA, hdb:pio ide1: BM-DMA at 0xa898-0xa89f, BIOS settings: hdc:pio, hdd:pio hda: HITACHI_DK23DA-20, ATA DISK drive hda: 39070080 sectors (20004 MB) w/2048KiB Cache, CHS=2584/240/63, UDMA(100) hda: hda1 hda2 hda3 hda4 < hda5 >

Comando: /sbin/hdparm -I /dev/hda Exemplo de sada: /dev/hda: ATA device, with non-removable media Model Number: HITACHI_DK23DA-20 Serial Number: 14RM3D Firmware Revision: 00J2A0F3 Standards: Used: ATA/ATAPI-5 T13 1321D revision 3 Supported: 5 4 3 2 & some of 6 Configuration: Logical max current cylinders 16383 16383

35

heads 16 16 sectors/track 63 63 CHS current addressable sectors: 16514064 LBA user addressable sectors: 39070080 device size with M = 1024*1024: 19077 MBytes device size with M = 1000*1000: 20003 MBytes (20 GB) Capabilities: <cut for brevity>

Comando: /sbin/sfdisk -l -uS /dev/had Exemplo de sada: Disk /dev/hda: 2584 cylinders, 240 heads, 63 sectors/track Units = sectors of 512 bytes, counting from 0 Device Boot Start End #sectors Id System /dev/hda1 * 63 211679 211617 83 Linux /dev/hda2 211680 20684159 20472480 83 Linux /dev/hda3 20684160 22317119 1632960 82 Linux swap /dev/hda4 22317120 39070079 16752960 f Win95 Ext'd (LBA) /dev/hda5 22317183 39070079 16752897 83 Linux

Em algumas situaes segundo Casey (2011), os peritos forenses precisaro calcular o valor do resumo de mensagem de dados no disco para posterior comparao. O Linux contm utilitrios que fornecem o resumo de mensagem tais como o md5sum e sha1sum, que podem ser usados para verificar a integridade das evidncias digitais. A combinao de comandos a seguir usa o dd para extrair dados de um disco rgido e direciona os dados para o md5sum calcular o valor MD5 do disco:

Comando: dd if=/dev/sda bs=512 | md5sum Exemplo de sada: 2880+0 records in 2880+0 records out

36

de3af39674f76d1eb2d652543c536a32

Conforme Casey (2011), depois de calculado o valor MD5 do disco, o perito pode realizar a comparao do valor MD5 da evidncia original com o valor MD5 da cpia da evidncia coletada:

Comando: dd if=/dev/sda of=copiadodisco.dd bs=512 Exemplo de sada: 2880+0 records in 2880+0 records out

Comando: md5sum copiadodisco.dd Exemplo de sada: de3af39674f76d1eb2d652543c536a32 copiadodisco.dd

O laboratrio forense do Departamento de Defesa dos EUA criou uma verso melhorada chamada dc3dd que pode calcular valores MD5 dos dados em intervalos regulares durante o processo de cpia. A ferramenta dc3dd conta com muito mais recursos, que so projetados especificamente para percia forense, ela possui um modo de verificao e um log de auditoria (CASEY, 2011). Uma vez que uma cpia bitstream tenha disso criada, ela pode ser montada para a realizao de exames forenses. O Linux fornece uma interface de loopback que permite o acesso a um arquivo como se fosse um disco, permitindo que os examinadores trabalhem em cima de uma cpia como se fosse evidncia original, incluindo o acesso ao sistema de arquivos e a realizao de pesquisas. A seguir temos um exemplo de comandos que montam uma cpia bitstream (apenas leitura, atravs de um dispositivo de loopback) para gerar uma lista de arquivos com seus valores MD5 e uma lista de todos os arquivos que foram modificados no dia anterior (CASEY, 2011).

Comando: date Exemplo de sada:

37

Tue May 13 18:01:50 EDT 2003

Comando: mount -o ro,loop t sistema de arquivo (vfat, ext2, ext3, ext4) copiadodisco.dd /e1/case2/exhibit1 Comando: find /e1/case2/exhibit1 type f -exec md5sum {} \; Exemplo de sada: bca6aa0863902c44206dc3f09ccde765 documento01.doc adcbb2fe3bcdeb62addf4ea27f15ac7c emails.txt d787d1699ae3c3a81fe94a9482038176 enderecos.txt

Comando: find /e1/case2/exhibit1 -mtime 0 ls Exemplo de sada: 6 21 -rwxr-xr-x 1 root root 21504 May 13 11:58 documento01.doc 7 0 -rwxr-xr-x 1 root root 122 May 13 12:40 emails.txt 8 0 -rwxr-xr-x 1 root root 122 May 13 12:42 enderecos.txt

Para Casey (2011), Algumas formas de exames podem ser realizadas sobre os arquivos de evidncia em oposio montagem do sistema de arquivos. Por exemplo, o arquivo de evidncia pode ser visto usando um visualizador hexadecimal como xxd ou pode ser pesquisado utilizando palavras-chave, usando strings junto com o comando grep:

Comando: strings copiadodisco.dd | grep sales Exemplo de sada: Write additional Getafix sales letters

Comando: cat biotechx-keywords Exemplo de sada: patient GUID

38

Comando: grep -aibf biotechx-keywords copiadodisco.dd Exemplo de sada: 30573:_PID_GUIDAN{443A4AC0-6E57-11D7-865E-006097EDDC2E 37959:patient# infected cellcount 62023:patient# infected cellcount 86603:patient# infected cellcount 125313:_PID_GUIDAN{D2D244A2-0FE4-11D0-9B61-00AA003CF91A 150373:_PID_GUIDAN{443A4AC0-6E57-11D7-865E-006097EDDC2E 170341:_PID_GUIDAN{443A4AC0-6E57-11D7-865E-006097EDDC2E

No entanto esta tcnica para examinar um disco estreitamente limitada porque no indica quais os arquivos que continham as palavras-chave (CASEY, 2011). Exames forenses mais avanados podem ser realizados utilizando um conjunto de utilitrios chamado The Coroners Toolkit (TCT). Alguns exemplos de comandos com explicaes sobre sua funo so fornecidos na tabela 1. Estas ferramentas podem ser utilizadas em uma cpia bitstream de um disco ou para acessar um disco rgido diretamente (CASEY, 2011).
Tabela 1 Alguns utilitrios do The Coroners Toolkit Fonte: Casey (2011, p.562)
Comando ils -r/dev/hda1 Descrio Lista o inode dos arquivos apagados da partio 1 do disco hda. Mostra o contedo do inode 2 na partio 1 do disco hda Extrai espao no alocado de uma partio no disco hda

icat/dev/hda1 2

unrm/dev/hda1 > unallocated

mactime -R -d /e1/case2/exhibit3 12/13/2002

Gera uma lista cronolgica de MAC Times dos arquivos no diretrio /e1/case2/exhibit3 e todos os subdiretrios entre 13 de Dezembro de 2002 at o tempo atual.

39

5.2.1 The Coroners Toolkit e Sleuth Kit The Coroners Toolkit (TCT) um conjunto de bibliotecas que contam com vrios utilitrios para a percia forense computacional. O TCT possui cdigo aberto e foi desenvolvido por Wietse Venema e Dan Farmer. A primeira edio do TCT ocorreu no ano de 2000 e foi disponibilizado no website dos autores. Brian Carrier mais tarde estendeu as funcionalidades do TCT de varias maneiras, e lanou o novo software com o nome The Sleuth Kit (TSK), (FARMER E VENEMA, 2007). Uma das grandes funcionalidades do Sleuth Kit o apoio aos sistemas de arquivos FAT e NTFS, alm de diversas outras ferramentas poderosas (CASEY, 2011). Segundo Casey (2011), o comando istat do Sleuth Kit possui a funcionalidade de examinar inodes especficos. No exemplo abaixo possvel ver que mostrado o tempo de excluso somente dos arquivos apagados. possvel visualizar tambm informaes semelhantes de arquivos regulares atravs de comando padro do Linux, com o comando stat.

Comando: istat -f linux-ext2 copiadodisco.dd 2 Exemplo de sada: inode: 2 Allocated Group: 0 uid / gid: 0 / 0 mode: drwxr-xr-x size: 4096 num of links: 21 Inode Times: Accessed: Tue Nov 26 04:03:19 2002

File Modified: Mon Nov 25 20:39:17 2002 Inode Modified: Mon Nov 25 20:39:17 2002 Direct Blocks: 519

A combinao do Sleuth Kit juntamente com o Autopsy Forensic Browser fornecem diferentes vises de dados atravs de uma interface em um navegador web (CASEY, 2011).

40

Figura 11: Utilizando o Sleuth Kit e o Autopsy Forensic Browser. Fonte: CASEY (2011, p. 563)

Duas ferramentas baseadas em Linux que tambm so baseadas no TSK so o pyFLAG e o PTK4. O PTK uma extenso do TSK e possui uma interface grfica baseada na web, ele foi aprimorado com novos recursos como a indexao, que tem o objetivo de facilitar a pesquisa por palavras-chave. O PTK normalmente trabalha junto com o Autopsy Forensic Browser (CASEY, 2011). Devido o grande nmero de utilidades disponveis e a adaptabilidade infinita do Linux, ele uma plataforma muito potente para exames forenses e sua nica limitao um pouco da complexidade em conhecer o sistema. Embora algumas ferramentas baseadas no Windows podem ser usadas para examinar sistemas de arquivos ext2, ext3 e UFS, a maioria no facilita o exame de inodes e outros atributos caractersticos dos sistemas de arquivos Linux (CASEY, 2011).

Mais informaes, consultar: http://ptk.dflabs.com/

41

Figura 12: Viso geral do programa PTK. Fonte: CASEY (2011)

5.3 Recuperao de dados Segundo Casey (2011) ao contrrio do Windows e sistemas de arquivos Macintosh, o Linux no possui file slack space5. Quando o Linux cria um novo arquivo, ele grava o restante do bloco com zeros e os define como no alocado. Portanto, no possvel recuperar dados apagados do file slack space em sistemas Linux. Algumas ferramentas, como o test-disk e gpart possuem funes para recuperar parties apagadas em sistemas Linux e Windows. H apenas algumas ferramentas para a reparao de arquivos danificados em Linux, como o tarfix, fixcpio, tarx, e tar-aids (CASEY, 2011).
5

File slack space o espao no utilizado no final de um arquivo.

42

Figura 13: File Slack Space. Fonte: RABELO (2011)

5.3.1 Ferramentas baseadas em Linux

Uma das formas para a recuperao de arquivos apagados em sistemas Linux conforme Casey (2011), a busca de inodes e a recuperao de arquivos associados a ele. possvel obter uma lista de todos os inodes apagados a partir de um sistema Linux, utilizando o comando ils, conforme exemplo abaixo:

Comando: ils -f linux-ext2 /e1/case2/copiadodisco.dd | more Exemplo de sada: class|host|device|start_time ils|case|ext2-bitstream.dd|1054082181 st_ino|st_alloc|st_uid|st_gid|st_mtime|st_atime|st_ctime|st_dtime|st_mode|st_nli nk|st_size|st_block0|st_block1 1|a|0|0|973385730|973385730|973385730|0|0|0|0|0|0 24|f|500|500|973695537|973695537|973695537|973695537|40700|0|0|308|0 25|f|500|500|954365144|973695521|973695537|973695537|100600|0|28587|309|31 0 26|f|500|500|954365144|973695521|973695537|973695537|100600|0|340|338|0 2049|f|500|500|973695537|973695537|973695537|973695537|40700|0|0|8489|0 2050|f|500|500|953943572|973695536|973695537|973695537|100600|0|4178|8490| 8491

43

2051|f|500|500|960098764|973695521|973695537|973695537|100600|0|52345|849 5|8496 2052|f|500|500|953943572|973695537|973695537|973695537|100600|0|4860|8548| 8549 2053|f|500|500|959130680|973695521|973695537|973695537|100600|0|28961|855 3|8554 2054|f|500|500|959130680|973695521|973695537|973695537|100600|0|87647|8583| 8584 2055|f|500|500|961959437|973695521|973695537|973695537|100600|0|30799|867 0|8671 2056|f|500|500|959130680|973695521|973695537|973695537|100600|0|50176|870 2|8703 2057|f|500|500|953943572|973695537|973695537|973695537|100600|0|21700|875 2|8753 2058|f|500|500|959130680|973695521|973695537|973695537|100600|0|22865|877 5|8776 2059|f|500|500|959130680|973695521|973695537|973695537|100600|0|14584|879 9|8800 2060|f|500|500|953943572|973695521|973695537|973695537|100600|0|12276|881 5|8816 2061|f|500|500|959130680|973695521|973695537|973695537|100600|0|10840|882 7|8828 2062|f|500|500|959130680|973695521|973695537|973695537|100600|0|26027|883 8|8839

Conhecendo o nmero de inode de um arquivo excludo de acordo com Casey (2011), o contedo desse arquivo pode ser acessado utilizando o comando icat, desde que os dados existam conforme mostrado no exemplo acima para o inode 2054 (em negrito):

Comando: icat -f linux-ext2 ext2-copiadodisco.dd 2054 Exemplo de sada: dcc.c handles: activity on a dcc socket

44

disconnect on a dcc socket ...and that's it! (but it's a LOT) dprintf'ized, 27oct95 */ /* This file is part of the eggdrop source code copyright (c) 1997 Robey Pointer and is distributed according to the GNU general public license. For full details, read the top of 'main.c' or the file called COPYING that was distributed with this code. */ #if HAVE_CONFIG_H #include <config.h>

O Linux Disk Editor e o debugfs utilizam essa abordagem para recuperar arquivos apagados em sistemas de arquivos ext2. A ferramenta SMART tambm utiliza a mesma tcnica para recuperar arquivos apagados (BUCKEY E LISTON, 2002). No entanto, Casey (2011) explica que muitos sistemas de arquivos Linux removem as referncias de inodes para os setores que contm os dados, quebrando assim a conexo entre o inode e os dados no disco. Pode-se visualizar este fato em uma lista de inodes excludos de um sistema Solaris, o primeiro setor que continha dados de cada arquivo so ajustados para zero:

Comando: ils r -f solaris /e1/case2/ufs-copiadodisco.dd Exemplo de sada: class|host|device|start_time ils|legolas|/e1/morgue/ufs-bitstream.dd|1039101486 st_ino|st_alloc|st_uid|st_gid|st_mtime|st_atime|st_ctime|st_mode| st_nlink|st_size| st_block0|st_block1 213|f|0|1|1038427233|1038427233|1038427243|0|0|0|0|0 3946|f|0|0|987886669|987886669|987886690|0|0|0|0|0 7698|f|0|60001|987893332|987893332|987893332|0|0|0|0|0 11509|f|0|60001|987893332|987893332|987893332|0|0|0|0|0

45

15105|f|0|60001|987893332|987893332|987893332|0|0|0|0|0 15260|f|0|0|987886816|987886816|987886830|0|0|0|0|0 15261|f|0|0|987886821|987886821|987886830|0|0|0|0|0 15264|f|0|0|987886449|987886449|987886457|0|0|0|0|0 15265|f|0|0|987886449|987886449|987886457|0|0|0|0|0 22816|f|0|0|1038421634|1038421621|1038421634|0|0|0|0|0 22817|f|0|0|987893848|987887279|987893848|0|0|0|0|0 34164|f|0|60001|987893333|987893332|987893354|0|0|0|0|0 45493|f|0|0|1038421571|1038421571|1038421634|0|0|0|0|0 45494|f|0|0|1038421571|1038421571|1038421634|0|0|0|0|0 53039|f|0|60001|987893333|987887277|987893354|0|0|0|0|0 56784|f|0|0|987886929|987886922|987886935|0|0|0|0|0 56787|f|0|0|987886930|987886929|987886935|0|0|0|0|0 56788|f|0|0|987886903|987886903|987886917|0|0|0|0|0 60579|f|0|0|987886609|987886609|987886620|0|0|0|0|0

Figura 14: Processo de recuperao de arquivos apagados usando o SMART. Fonte: CASEY (2011, p. 567)

46

Outra forma de recuperar arquivos apagados segundo Casey (2011) verificar os diretrios de entradas eliminadas, desde que eles existam. O TSK usa desta tcnica para promover uma lista de diretrios e arquivos apagados em um sistema de arquivos ext2 utilizando o fls conforma demonstrado abaixo:

Comando: fls -d -r -f linux-ext2 /dev/hdd2 Exemplo de sada: -/- * 0: boot/ -/- * 4(realloc): boot/ -/- * 0: boot/P -/- * 0: boot/ -/- * 0: boot/ b/- * 0: dev/ataraid/d9p9;3d905a83 b/- * 0: dev/cciss/c7d9p9;3d905a83 c/- * 0: dev/compaq/cpqrid;3d905a83 c/- * 0: dev/dri/card3;3d905a83 b/- * 0: dev/i2o/hdz9;3d905a83 b/- * 0: dev/ida/c7d9p9;3d905a83 c/- * 0: dev/inet/udp;3d905a83 d/d * 933895(realloc): dev/input c/c * 66319(realloc): dev/ip2ipl0 l/l * 66318(realloc): dev/ip c/c * 66323(realloc): dev/ip2stat0 c/c * 66320(realloc): dev/ip2ipl1 c/c * 66321(realloc): dev/ip2ipl2 c/c * 66322(realloc): dev/ip2ipl3 d/d * 983047(realloc): dev/logicalco -/- * 3355443: dev/ <cut for brevity> O Autopsy Forensic Browser combina essa duas tcnicas para listar todas as entradas de diretrios que foram excludos, referenciados a um determinado inode (ele identificado

47

como Pointed to by file), abaixo temos um exemplo para o inode 3817585 em um sistema de arquivo ext2 (CASEY, 2011).

Exemplo de sada: inode: 3817585 Pointed to by file: /tmp/makewhatis3JoBa0 (deleted) /root/.netscape/cache/1A/cache3DDC0D5A01A20AD (deleted) /root/.netscape/cache/1A/cache3DD5997A1200A22 (deleted) File Type: empty Details: Not Allocated Group: 233 uid / gid: 0 / 0 mode: drwx------size: 0 num of links: 0 Inode Times: Accessed: Mon Nov 25 19:08:29 2002 File Modified: Mon Nov 25 19:08:29 2002 Inode Modified: Mon Nov 25 19:08:29 2002 Deleted: Mon Nov 25 19:08:29 2002 Direct Blocks:

Uma observao importante que essas ferramentas no se limitam a examinar apenas sistemas de arquivos do Linux, elas tambm podem ser utilizadas para recuperar arquivos de sistemas FAT e NTFS (CASEY, 2011).

5.3.2 Data Carving Alguns dados apagados podem ser recuperados usando caractersticas de classe. Por exemplo, com os utilitrios foremost e scalpel possvel recuperar dados a partir de qualquer objeto digital, como um arquivo de provas, um espao no alocado, parties corrompidas e arquivos de swap, mesmo aps o usurio ter realizado uma nova instalao do sistema operacional (CASEY, 2011).

48

O utilitrio foremost um software de console open source, cuja funo a recuperao de dados a partir de cabealhos, rodaps e estrutura de dados, este tipo de processo conhecido como extrao de dados (data carving). O foremost permite trabalhar em cima de uma imagem criada pelo comando dd, Encase, Safeback, dcfldd ou diretamente em uma partio ou disco (ALMEIDA, 2010). O recuperador de arquivos scalpel um recuperador simples, porm de alto desempenho, basicamente ele l um banco de dados com diversas definies de cabealho e rodap, a partir da, ele extrai os arquivos desejados de um dispositivo raw ou de um grupo de arquivos de imagem. O tipo de partio independe para o scalpel, ele consegue extrair dados de parties FAT, NTFS, ext2, ext3 ou parties raw (ALMEIDA, 2010). O resultado a seguir mostra a recuperao de arquivos mais importantes de uma cpia bitstream de um disco rgido:

Comando: foremost o carved-foremost v copiadodisco.dd Exemplo de sada: foremost version 0.62 Written by Kris Kendall and Jesse Kornblum. Using output directory: /e1/carved-foremost Verbose mode on Using configuration file: foremost.conf Opening /e1/linuxpractical.dd. Total file size is 1474560 bytes /e1/case2/floppycopy.dd: 100.0% done (1.4 MB read) A doc was found at: 17408 Wrote file /e1/case2/carved-foremost/00000000.doc -- Success A doc was found at: 37888 Wrote file /e1/case2/carved-foremost/00000001.doc -- Success A jpg was found at: 76800 Wrote file /e1/case2/carved-foremost/00000002.jpg -- Success A jpg was found at: 77230 Wrote file /e1/case2/carved-foremost/00000003.jpg -- Success A jpg was found at: 543232 Wrote file /e1/case2/carved-foremost/00000004.jpg -- Success

49

A gif was found at: 990208 Wrote file /e1/case2/carved-foremost/00000005.gif -- Success A jpg was found at: 1308160 Wrote file /e1/case2/carved-foremost/00000006.jpg -- Success Foremost is done (CASEY, 2011).

Outra opo ainda para recuperao de dados segundo Casey (2011) a utilizao do software Lazarus do TCT, o Lazarus classifica automaticamente os dados da seguinte forma:

1. L uma parte dos dados (1 kb padro). 2. Determina se o trecho arquivo binrio ou texto: a. Se o trecho for do tipo texto, o programa tenta classific-lo com base em seu contedo (por exemplo, html); b. Se for binrio, o programa tenta classific-lo utilizando comandos de arquivos Linux. 3. Se a classificao for realizada com sucesso, o Lazarus compara com o bloco anterior: a. Se eles forem da mesma classe, ento se encontram no mesmo ficheiro; b. Se forem de classes diferentes, ento se encontram em ficheiros difentes.
4. Se a classificao da parte dos dados no for bem sucedida, o Lazarus faz uma comparao

com o trecho anterior: a. Se eles forem do mesmo tipo (binrio ou texto), ento eles esto no mesmo arquivo; b. Se eles forem de tipo diferente (binrio ou texto), ento eles esto em arquivos diferentes.

5.3.3 Dump de memria Dump de memria o processo no qual se captura dados da memria, podendo ser ela a memria principal (memria RAM) ou a memria virtual do sistema (FARMER; VENEMA, 2007). Na percia forense antes da anlise dos dados da memria, necessrio capturar as informaes, ou pelo menos, a maior quantidade possvel. O Linux possui dois dispositivos virtuais, o /dev/mem e o /dev/kmem, que permitem a leitura e gravao na memria via esses dispositivos. O dispositivo /dev/mem um arquivo de espelhamento da memria principal do

50

computador, j o /dev/kmem o espelhamento da memria virtual do kernel (FARMER; VENEMA, 2007). De acordo com Reis (2003), como a memria principal do computador voltil, o procedimento recomendado coletar os dados da memria com o sistema nativo ligado, esse procedimento conhecido como anlise ao vivo, para realizar a cpia da memria principal no Linux, utiliza-se o seguinte comando:

dd if=/dev/mem of=mem.dump bs=1024

Para copiar a memria virtual do kernel, utiliza-se o seguinte comando:

dd if=/dev/kmem of=/kmem.dump bs=1024

Segundo Reis (2003), depois de copiado os dados da memria, o perito pode realizar algumas anlises, como por exemplo, a busca por palavras-chave atravs dos comandos grep e strings, conforme abaixo:

grep palavra-chave mem.dump # strings a mem.dump | grep palavra-chave # strings -a mem.dump | more

5.4 Arquivos de log

Arquivos de log so registros que normalmente esto armazenados em arquivos ASCII ou texto simples, eles possuem a funo de registrar eventos do sistema operacional e servios da rede. A relao entre arquivos de logs, segurana e auditoria so fundamentais para que se possa entender o que ocorreu com um sistema computacional (MILAGRE, 2008). importante que antes de se analisar os arquivos de log que o perito de a preferncia para anlise de dispositivos volteis, como um dump da memria e o congelamento do estado da rede e processos (MILAGRE, 2008). O Linux um sistema que possu muitos registros, com comandos simples possvel obter muitas informaes sobre o sistema, por exemplo, utilizando o comando last/log o sistema ir retornar os ltimos usurios que efetuaram um login no sistema. Para gerar uma lista das ultimas tentativas de login sem xito no sistema, utiliza-se o comando lastb.

51

Utilizando o comando who o sistema ir apresentar os usurios logados na mquina, j com o comando history | more, possvel ter acesso aos ltimos comandos executados na sesso atual (MILAGRE, 2008). Na maioria dos casos importante que o perito verifique os processos que esto sendo executados no momento por um usurio, o comando ps aux identifica os processos atuais em execuo. Se for preciso, o perito pode filtrar somente os arquivos chamados por um determinado processo PID, atravs do comando lsof p nmero do PID (MILAGRE, 2008). No Linux por padro, as maiorias dos registros do sistema ficam localizadas em /var/log, vale destacar alguns deles que so: /var/log/messages possu registros de acesso ao sistema e em alguns casos tambm do Iptables; /var/log/samba/log.smbd - logs do servidor de arquivos Samba; /var/log/httpd/(access, error ou agent.log) - logs do servidor web Apache; /var/log/lpr.log - informaes de acesso s impressoras; /etc/mail/maillog - logs do servidor de e-mails (MILAGRE, 2008). muito importante que o perito analise o arquivo /etc/syslog.conf, este o arquivo de configurao de todos os logs do sistema operacional, ele aponta aonde os arquivos de log esto guardados. Uma anlise cuidadosa deve ser feita nesse arquivo, pois ele pode ter sido alterado por um criminoso. Outra anlise essencial a verificao do arquivo /etc/passwd, conferir se o criminoso no criou alguma conta com privilgio de administrador que no seja conhecida, o perito pode ainda, visualizar o arquivo /var/log/auth.log, esse arquivo armazena todas as autenticaes no sistema com data e hora, seja ela bem sucedida ou no (MILAGRE, 2008). No arquivo /var/log/daemon.log, o perito pode identificar informaes envolvendo servios gerais do sistema, como logs da rede aonde pode-se verificar requisies de conexo ou de IPs, se o usurio conectou ou desconectou algum tipo de dispositivo utilizando portas USB. A funo do daemons registrar todos os tipos de servios e eventos do sistema (MILAGRE, 2008). Na forense computacional quando se trata de buscar logs o comando grep de grande ajuda, ele encontrado em quase todas as distribuies Linux, um aplicativo para

52

linhas de comandos do tipo binrio e funciona como um filtro na busca de logs, por exemplo, possvel buscar registros que tragam uma determinada string em sua linha (MILAGRE, 2008).
Em uma investigao de incidentes eletrnicos, a anlise de logs de extrema importncia, eis que se a funo do perito apurar a ocorrncia de fatos e identificar a autoria dos mesmos, a funo dos logs servir como testemunhas eletrnicas, aptas a depor sobre incidentes e crimes de tecnologia (MILAGRE, 2008).

5.5 Trfego de rede A captura do trfego de rede se equipara a uma gravao em vdeo de um determinado crime, pois a partir dos pacotes capturados, o perito tem a possibilidade de analisar a comunicao entre o atacante e o alvo, de forma que uma sequncia de eventos pode ser verificada, analisada e comparada a outras evidncias encontradas. Durante a anlise do trfego de rede possvel encontrar diversas evidncias, dentre essas evidncias as mais comuns encontradas so as seguintes: Pacotes contendo endereo IP invlido ou suspeito; Pacotes trafegando atravs de portas suspeitas, por exemplo, servidores utilizando portas desconhecidas acima de 1024 ou pacotes destinados a servidores que deveriam estar desabilitados; Trfego suspeito que no condiga com os padres de protocolos, por exemplo, pacotes com flags, opes, fragmentao e tamanho invlidos; Trfego atravs do protocolo Transmission Control Protocol (TCP6) sem estabelecimento de uma conexo, sem flags ou com nmeros de sequncia invlidos; Trfego na rede muito intenso de pacotes e servios que deveriam estar desabilitados, por exemplo, Internet Control Message Protocol (ICMP7) utilizando a funo de echo request / reply, que envia mensagens para funes de teste e controle da rede; Pacote ICMP utilizando a funo echo reply sem o correspondente echo request; Pacotes ICMP utilizando a funo echo request / reply com um nmero de sequncia esttico ou no incremental; Pacotes que possuam em sua rea de dados, comandos de Linux e cdigos de NOPs;

6 7

Mais informaes sobre o protocolo, consultar a RFC 793. Mais informaes sobre o protocolo, consultar a RFC 792.

53

Trfego muito intenso de pacotes um determinado tipo de servio, a uma mquina cliente ou um servidor; Requisies HTTP suspeitas, que trazem em suas URLs referncias a comandos de Linux ou scripts suspeitos; Trfego de servios como File Transfer Protocol (FTP8) e TELNET atravs de portas incomuns (CASEY, 2002).

5.5.1 Captura e anlise do trfego de rede

Quando se trata de capturar trfego de rede, existem diversos programas que realizam essa funo, esses programas normalmente so chamados de sniffers. Os sniffers podem alm de capturar pacotes que trafegam na rede, decodific-los e exibi-los de uma forma que seja mais legvel, ou ainda executar operaes complicadas como reconstruo de sesso e recuperao de arquivos transferidos pela rede (CASEY, 2002). Segundo Casey (2002), entre os diversos programas existentes para esse tipo de servio, um dos mais conhecidos e utilizados o tcpdump, ele pode ser usado em duas situaes na percia forense, em uma anlise ao vivo, onde ele captura todo o trfego da rede, decodifica os pacotes e exibi-os de forma legvel medida que eles vo sendo coletados, ou armazenar os pacotes em um arquivo binrio para uma posterior anlise. Caso uma anlise ao vivo no seja necessria, a segunda opo a mais recomendada, pois o programa faz uma cpia exata das informaes que trafegam na rede. A seguir temos alguns exemplos de utilizao do tcpdump:

# tcpdump -1 -n -e -x -vv -s 1500 # tcpdump -w net.dump # tcpdump -n -e -x -vv -s 1500 -r net.dump

No primeiro comando, o tcpdump ser usado para capturar e exibir os pacotes conforme eles so coletados, esse comando mais utilizado na percia quando necessrio realizar uma anlise ao vivo. A funo de cada parmetro utilizado no primeiro comando a seguinte:

Mais informaes sobre o protocolo, consultar a RFC 959.

54

-l permite a visualizao imediata da sada conforme ela vai sendo produzida; -n bloqueia a converso de endereos IP em nomes; -e exibe o cabealho da camada de enlace; -x exibe o contedo dos pacotes no formato hexadecimal; -vv permite que seja visualizado informaes adicionais; -s essa opo determina o nmero de bytes dos dados que devem ser capturados de cada pacote, se no for determinado um nmero, automaticamente o nmero de bytes ser 68 por padro (CASEY, 2002).

No segundo comando, mais utilizado quando no se precisa realizar uma anlise ao vivo, o tcpdump usado para armazenar todo o trfego da rede em um arquivo binrio, atravs da opo w. Depois de gerado o arquivo binrio, ele poder ser processado posteriormente conforme no terceiro comando, atravs da opo r (CASEY, 2002). De acordo com Casey (2002), o tcpdump conta com um conjunto de filtros que podem ser utilizados na captura de dados, tais filtros permitem, por exemplo, capturar dados de um determinado host ou de uma determinada porta de comunicao, abaixo temos dois exemplos de utilizao de filtros:

# tcpdump -1 -n -e-x -vv -s 1500 host 192.168.1.13 # tcpdump -1 -n -e -x -vv -s 1500 dst port 21

No primeiro comando sero capturados os pacotes trafegados vindo apenas do host que possu o IP 192.168.1.13, j no segundo comando sero capturados apenas os pacotes que trafegam atravs da porta de comunicao 21. Para maiores informaes sobre regras e filtros do tcpdump, consultar o manual atravs da opo man tcpdump no terminal do Linux (CASEY, 2002). Na captura e anlise do trfego de rede, alm dos sniffers, podem ser usados tambm alguns sistemas de deteco de intruso, que permitem, por exemplo, inspecionar e armazenar apenas os dados que paream suspeitos. O Snort um desses sistemas capaz de realizar essas tarefas, ele pode ser utilizado tanto como um sniffer quanto um sistema de deteco de intruso, Com o Snort possvel inspecionar rea de dados de um pacote, decodificar as camadas do pacote, e realizar a comparao com uma lista de regras. O Snort permite configurar diversas regras, por

55

exemplo, configurar uma regra para detectar certos tipos de pacotes, inclusive aqueles relacionados a atividades adversas, como varredura de portas e ataques de buffer overflow. Outra capacidade do Snort a de remontar os pacotes fragmentados antes de comparar com as assinaturas de ataques conhecidos (CASEY, 2002). Ao se analisar um trfego de rede, o sniffer deve ser posicionado em um ponto da rede que permita o acesso ao trfego da mquina comprometida. Caso o criminoso tenha comprometido vrias mquinas da rede e a percia deseje verificar a extenso do problema, o sniffer dever ser posicionado em um ponto que permita a monitorao de todo o trfego da rede, levando em conta a topologia da rede e a configurao dos ns, como os roteadores, switches e hubs (CASEY, 2002).

56

6. ESTUDO DE CASO
O estudo de caso a seguir, demonstra um processo de percia forense em um notebook operando com o sistema operacional Ubuntu 12.10, esse notebook suspeito de armazenar contedos referentes pedofilia, vale ressaltar, que esse processo foi simulado em um ambiente de teste atravs de uma mquina virtual, o programa utilizado para construir a mquina virtual foi o Oracle VM Virtualbox verso 4.1.14 r77440, para a realizao da percia foi utilizado o sistema operacional FDTK rodando direto do CD e um HD porttil HP de 1 TB. O notebook composto pelas seguintes configuraes: Marca: Itautec; Modelo: Infoway Note N8645; Processador: Intel Core i3 370M 2.4GHZ; Memria RAM: 4GB; HD: 500GB.

Na primeira etapa, foi iniciado um processo de boot pelo CD-ROM do sistema operacional FDTK, aps esse processo, foi montada a partio do sistema a ser periciado, conforme mostrado na figura 15.

Figura 15: Montando a partio do sistema a ser periciado. Fonte: Elaborado pelo autor.

57

Na segunda etapa, foi criada uma cpia bitstream da partio /dev/sda1 do sistema suspeito e
gerado trs hashes (MD5, SHA1 e SHA512) da imagem criada. Para realizar a cpia, foi utilizada a ferramenta dcfldd, que criou uma imagem da partio juntamente com trs arquivos de hash na pasta Percia Forense dentro do HD externo, de acordo com as figuras 16 e 17.

Figura 16: Criando imagem do disco e arquivos de hash com a ferramenta dcfldd. Fonte: Elaborado pelo autor.

Figura 17: Imagem do disco e arquivos de hash gerado. Fonte: Elaborado pelo autor.

58

Depois de criada a imagem da partio e gerado os arquivos de hash, preenchemos o formulrio de cadeia de custdia, conforme mostrado na figura 18.

Figura 18: Formulrio de cadeia de custdia preenchido. Fonte: Elaborado pelo autor.

Na quarta etapa, foi criada a pasta /media/caso01, aps isso, a montagem da imagem do disco na pasta caso01, utilizou-se uma interface de loopback que permite o acesso (apenas leitura) aos arquivos como se fosse um disco, conforme mostrado abaixo nas figuras 19 e 20.

Figura 19: Montando a imagem em uma interface de loopback. Fonte: Elaborado pelo autor.

59

Figura 20: Exibio da imagem montada em uma interface de loopback. Fonte: Elaborado pelo autor.

Na quinta etapa, foi utilizado o comando find com alguns argumentos para procurar arquivos do tipo imagem, copia-los para a pasta criada dentro do disco rgido externo, gerar os valores hash e direcionar o resultado para um arquivo do tipo texto, conforme mostrado nas figuras 21, 22 e 23.

Figura 21: Procurando, copiando e gerando hash dos arquivos do tipo imagem. Fonte: Elaborado pelo autor.

60

Figura 22: Exibindo as imagens copiadas. Fonte: Elaborado pelo autor.

Figura 23: Hash e pasta de origem das imagens copiadas. Fonte: Elaborado pelo autor.

Conforme se pode visualizar na figura 22, foram copiadas diversas imagens com nomes suspeitos, depois de visualizadas as imagens confirmou-se que se trata de fotos de pedofilia. Na sexta etapa foi utilizado o mesmo principio da quinta etapa, porm, com mudana no argumento referente extenso dos arquivos procurados, j que o objetivo era

61

procurar arquivos do tipo vdeo. As figuras 24, 25 e 26 representam os resultados dos comandos utilizados.

Figura 24: Procurando, copiando e gerando hash dos arquivos do tipo vdeo. Fonte: Elaborado pelo autor.

Figura 25: Exibindo os vdeos copiados. Fonte: Elaborado pelo autor.

62

Figura 26: Hash e pasta de origem dos vdeos copiados. Fonte: Elaborado pelo autor.

De acordo com a figura 25, possvel verificar que foram encontrados tambm vdeos com nomes suspeitos, que posteriormente foram visualizados e confirmados como sendo vdeos que disseminam pornografia infantil. Na prxima etapa, foi utilizada a ferramenta foremost para realizar a extrao de dados (data carving) que foram apagados do sistema. Utilizou-se o parmetro -t para especificar os tipos de arquivos para recuperao, conforme figura 27.

Figura 27: Recuperao de dados utilizando o foremost. Fonte: Elaborado pelo autor.

63

As figuras 28 e 29 representam os arquivos recuperados atravs da ferramenta foremost, o programa conseguiu recuperar seiscentos e oitenta e quatro imagens e trs vdeos que poderiam ser utilizados como provas em um caso real.

Figura 28: Arquivos jpg recuperados usando o foremost. Fonte: Elaborado pelo autor.

Figura 29: Arquivos flv recuperados usando o foremost. Fonte: Elaborado pelo autor.

A penltima etapa foi gerado um arquivo contendo o MAC Time das evidncias, para verificar quando o contedo do arquivo foi alterado pela ltima vez e quando foi aberto para leitura pela ltima vez, conforme figuras 30 e 31.

64

Figura 30: Gerando o MAC Times das evidncias. Fonte: Elaborado pelo autor.

A figura 31 mostra claramente o exemplo de um arquivo, pode-se notar que o arquivo pedo01.jpg foi alterado pela ltima vez no dia 05/11/2012 s 16:19:04 (representado por m...) e foi aberto para leitura pela ltima vez no dia 05/11/2012 s 16:19:33 (representado por ..c.).

Figura 31: Arquivo contendo o MAC Time das evidncias. Fonte: Elaborado pelo autor.

65

Na primeira parte da ltima etapa, foi investigado no sistema alguns logs do diretrio /var/log que poderiam trazer informaes relevantes. Na pasta /var/log foi encontrado o diretrio proftpd, o que indicava que esse usurio mantinha um servidor FTP. Ao analisar o arquivo xferlog que se encontrava dentro do diretrio proftpd, foi possvel determinar que o usurio matinha o servidor para realizar transferncia de contedo de pedofilia, conforme figura 32. Para finalizar a percia, foi verificada a integridade da imagem do disco atravs da ferramenta PTK, averiguando se no houve modificaes das evidncias originais atravs dos hashes MD5 e SHA1, de acordo com a figura 33.

Figura 32: Verificando o contedo do arquivo xferlog. Fonte: Elaborado pelo autor.

Figura 33: Verificando a integridade da imagem do disco. Fonte: Elaborado pelo autor.

66

Durante esse estudo de caso, foram mostradas as etapas de uma percia forense computacional em busca de provas num caso que envolvia pedofilia, vale lembrar que cada caso diferente e que pode necessitar de outras metodologias para se realizar a percia.

67

7. METODOLOGIA
Para apresentar os conceitos e objetivos do tema proposto, foram realizadas pesquisas bibliogrficas em livros, monografias, teses, artigos e publicaes na Internet relacionada ao tema percia forense computacional em sistemas operacionais open source. Atravs dessas pesquisas bibliogrficas foi possvel desenvolver um trabalho contendo os fundamentos tericos, os procedimentos padres, as melhores prticas aplicadas na forense computacional, s evidncias digitais mais comuns encontradas nos sistemas operacionais que utilizam o ncleo do Linux, as ferramentas para preservao, aquisio, anlise e recuperao de evidncias que podem ser utilizadas como provas. Ao final do trabalho foi desenvolvido um estudo de caso envolvendo uma suspeita de armazenamento de contedos referentes pedofilia, a fim de reforar e demonstrar na prtica as tcnicas, procedimentos e ferramentas da percia forense computacional que foram abordadas durante o trabalho.

68

8. RESULTADOS
A percia forense computacional a rea que atua no combate e soluo de crimes virtuais, ela segue quatro procedimentos que so o seu ciclo de vida, que consiste na identificao, preservao, anlise e apresentao de evidncias. Para que esse ciclo seja completado com sucesso importante que o perito receba um treinamento de um programa de melhores prticas na percia forense, diminuindo o risco de possveis erros durante a investigao e garantindo a integridade das provas. Durante o desenvolvimento das quatro etapas da investigao, a percia trabalha com diversas ferramentas, utilizam tcnicas e conhecimentos gerais de computadores, que so aplicados na investigao para encontrar evidncias que sirvam como provas para a soluo de um crime digital. As evidncias so diversas e cada caso diferente, so vrios tipos de situaes, diferentes tipos de sistemas operacionais a serem investigados, servidores, anlise em redes de computadores, por isso importante que o perito forense sempre esteja atualizado e tenha um conhecimento amplo sobre computadores e outros dispositivos digitais.

69

9. CONCLUSES
Este trabalho apresentou uma explicao especfica sobre a percia forense aplicada a sistemas operacionais open source, os procedimentos, as melhores prticas, alguns tipos de evidncias que podem ser encontradas e algumas ferramentas. Ele inicia de forma terica para que se possam compreender as prticas, procedimentos e funcionamento da forense computacional, aps isso, foram demonstradas as evidncias mais comuns encontradas em sistemas operacionais que utilizem o ncleo Linux, algumas tcnicas, ferramentas e comandos que so utilizados pela percia, na tentativa de se encontrar evidncias em diversos dispositivos, cujo objetivo obter provas concretas. No final do trabalho foi apresentado um estudo de caso em um ambiente de teste que mostrou a realizao de uma percia em um caso envolvendo pedofilia. Ressaltou-se a importncia das melhores prticas aplicadas percia forense e como se deve atuar de forma correta na identificao, aquisio, anlise e preservao de evidncias. Apesar de a percia possuir ainda poucos pesquisadores, existem hoje diversas ferramentas e sistemas operacionais livres que permitem a execuo completa das quatro etapas mencionadas acima, esses sistemas e ferramentas esto disponveis na Internet para qualquer pessoa. As variedades de ferramentas abrem uma gama de possibilidades de se resolver um crime digital, seja ele realizado de qualquer computador que opere com qualquer tipo de sistema operacional. A percia forense computacional uma rea em crescimento no Brasil e no mundo. O mercado de trabalho precisar cada vez mais de peritos forenses bem treinados para atuarem no combate a crimes virtuais, seja em instituies estaduais, federais, privadas ou simplesmente na rea de pesquisa, desenvolvendo ou aperfeioando ferramentas j existentes, tendo em vista que a grande maioria de cdigo livre, o que permite que qualquer pessoa com conhecimento mais profundo em informtica atue nessa rea.

70

10. REFERNCIAS
BUCKEYE, B; LISTON, K. Recovering deleted files in Linux. Disponvel em: <

http://www.samag.com/documents/s=7033/sam0204g/sam0204g.htm>. Acesso em: 01 out. 2012.

BURDACH, Mariusz. Forensic Analysis of a Live Linux System. Disponvel em: < http://www.symantec.com/connect/articles/forensic-analysis-live-linux-system-pt-1>. Acesso em: 14 mai. 2012.

CARRIER, B. A hypothesis-based approach to digital forensic investigations. 2006. 169f. Dissertao (Doutorado em Filosofia) - Center for Education and Research in Information Assurance and Security, Purdue University, West Lafayette, 2006.

CARRIER,

B.

Splitting

the

disk

Part

1.

Disponvel

em:

<

http://www.sleuthkit.org/informer/sleuthkit-informer-2.html>. Acesso em: 26 set. 2012.

CASEY, E. Digital evidence and computer crime: Forensic Science, Computers and the Internet. San Diego: Academic Press, 2000.

CASEY, E. Digital evidence and computer crime: Forensic Science, Computers and the Internet. 3 ed. San Diego: Academic Press, 2011.

CASEY, E. Handbook of Computer Crime Investigation. San Diego: Academic Press, 2002.

CASEY, E. Handbook of Digital Forensics and Investigation. San Diego: Academic Press, 2010.

DANIEL, Larry; DANIEL, Lars. Digital Forensics for Legal Professionals: Understanding Digital Evidence from the Warrant to the Courtroom. Waltham: Elsevier, 2012.

71

ESPINDULA,

Alberi.

Funo

Percial

do

Estado.

Disponvel

em:

<

http://www.espindula.com.br/conteudo.php?id=7>. Acesso em: 10 mai. 2012. FARMER, Dan; VENEMA, Wietse. Percia Forense Computacional: Teoria e Prtica Aplicada. So Paulo: Pearson Prentice Hall, 2007.

FEDERAL BUREAU OF INVESTIGATION. Forensic Science Communications. Disponvel em: <http://www.fbi.gov/about-us/lab/forensic-science-

communications/fsc/april2000/swgde.htm>. Acesso em: 20 set. 2012.

FEDERAL

EVIDENCE.

Federal

rules

of

evidence

2012.

Disponvel

em:

<http://federalevidence.com/rules-of-evidence>. Acesso em: 11 mai. 2012.

FREITAS, Andrey Rodrigues de. Percia Forense Aplicada Informtica. Rio de Janeiro: Brasport, 2006.

INTERNATIONAL ORGANIZATION ON COMPUTER EVIDENCE. Guidelines for Best Practice in the Forensic Examination of Digital Technology. Disponvel em: < http://www.ioce.org/fileadmin/user_upload/2002/ioce_bp_exam_digit_tech.html>. em: 20 set. 2012. Acesso

KRUSE II, Warren G; HEISER, Jay G. Computer Forensics: Incident Response Essentials. Massachusetts: Addison-Wesley, 2002.

LERNER, Lee K; LERNER, Wilmoth B. World of Forensic Science. Farmington Hills: Thomson Gale, 2006.

MILAGRE, Jos. Anlise Forense Computacional de Logs em Sistemas Linux: as testemunhas da rede. Disponvel em: < http://imasters.com.br/artigo/10207/gerencia-deti/analise-forense-computacional-de-logs-em-sistemas-linux-as-testemunhas-da-rede>. Acesso em: 18 out. 2012.

NETHERLANDS

FORENSIC

INSTITUTE.

Disponvel

em:

<http://www.forensicinstitute.nl/research_development/research_programmes/cyber_crime>. Acesso em: 7 mai. 2012.

72

RABELO,

Luiz.

File

Slack

Space.

Disponvel

em:

<

http://forensics.luizrabelo.com.br/2011/04/file-slack-space.html>. Acesso em: 01 out. 2012.

REIS, Marcelo Abdalla dos. Forense computacional e sua aplicao em segurana imunolgica. 2003. 241f. Dissertao (Mestrado em Cincia da Computao) Universidade de Campinas, Campinas, 2003.