You are on page 1of 78

DIONISON JARDIM FRANÇA EMANUEL FILIPE DE SOUZA SILVA

FORENSE COMPUTACIONAL: ANTIANÁLISE FORENSE POR MEIO DA OCULTAÇÃO.

Belo Horizonte 2012

DIONISON JARDIM FRANÇA EMANUEL FILIPE DE SOUZA SILVA

FORENSE COMPUTACIONAL: ANTIANÁLISE FORENSE POR MEIO DA OCULTAÇÃO.

Trabalho de conclusão de curso apresentado à Faculdade de Belo Horizonte da Anhanguera Educacional, como requisito parcial à obtenção do grau de Bacharel em Sistemas de Informação.

Orientador: Lindenberg Naffah Ferreira

Belo Horizonte 2012

DIONISON JARDIM FRANÇA EMANUEL FILIPE DE SOUZA SILVA

FORENSE COMPUTACIONAL: ANTIANÁLISE FORENSE POR MEIO DA OCULTAÇÃO.

Trabalho de conclusão de curso apresentada à banca examinadora da Faculdade de Belo Horizonte da Anhanguera Educacional, como requisito parcial à obtenção do grau de Bacharel em Sistemas de Informação sob a orientação do professor Mestre Lindenberg Naffah Ferreira. Aprovada em 05 de julho de 2012

BANCA EXAMINADORA ___________________________________________ Profª. Flávia Rodrigues Cantagalli Faculdade Anhanguera. ___________________________________________ Profº. Rodrigo de Matos Vargas Faculdade Anhanguera ___________________________________________ Profº. Lindenberg Naffah Ferreira Faculdade Anhanguera

direta ou indiretamente. Aos professores Lindenberg Naffah Ferreira e Zilma Gusmão pela ajuda da concretização deste trabalho e aos nossos amigos pelo incentivo e a todos aqueles que colaboraram para a conclusão deste trabalho. .Dedicamos esse trabalho a nossas famílias pelo apoio que nos proporcionaram.

da Internet e do avanço da tecnologia da informação. Crimes Virtuais. O principal objetivo deste trabalho é apresentar as técnicas empregadas por aqueles que tentam evitar que seja realizada uma perícia forense. em boa parte. assim. sua popularização resultou no conhecimento de seus modus operandi por praticantes de crimes digitais. Perito Digital. face à disponibilidade de ferramentas e técnicas que viabilizaram sua utilização. procurando. . bem como acerca das ferramentas que utilizam para identificar os autores de crimes digitais. contrastando-os com as técnicas da Análise Forense tradicional. Essa disciplina tem se popularizado. que buscam uma maneira de burlar os peritos que recorrem à Forense Computacional. Palavras-chaves: Forense Computacional. pela disseminação das informações acerca dos métodos de trabalho dos peritos de forense computacional. empregando métodos denominados de “Antianálise Forense”. Esse conjunto de técnicas e ferramentas é conhecido como “Análise Forense”. Contudo. Análise Forense. os peritos da forense computacional encontram cada vez mais dificuldades para analisar e coletar informações. Isso ocorre.RESUMO Em virtude do grande aumento no uso dos computadores. Segurança da Informação. Esses criminosos procuram evitar que os vestígio de seus ataques possam ser identificados pelos peritos que empregam análise forense. impedir que sejam civil e/ou criminalmente responsabilizados por seus atos.

Keywords: Computer Forensics. These criminals make effort to avoid that the traces of his attacks can be identified by forensic experts. seeking a way to circumvent the experts who make use of Computer Forensics. Expert Digital. Forensic Analysis. The main objective of this paper is to present the techniques used by those trying to prevent forensic. the Internet and the advancement of information technology. . This discipline has become popular. as to prevent civil and/ or criminal liability for their acts. by virtue of the availability of tools and techniques that enabled its use. But its popularity has resulted in knowledge of their modus operandi by practitioners of digital crime. This is. in part. as a consequence of information dissemination about the working methods of computer forensics experts. computer forensics experts are facing increasing difficulties in analyzing and gathering information. analysis using methods called "AntiForensic Analysis". Virtual Crimes.ABSTRACT Because of the large increase in the use of computers. . as well as about the tools they use to identify the perpetrators of computer crime. Information Security. contrasting them with the techniques of traditional forensic analysis. as well.

........ 644 Figura 17 – Acessando a pasta criada ......................................................................................................................................Fita de Isolamento de perímetro ................ 39 Figura 5 – Sacola Especial para Evidências ...................................................................................................................................................................................................Quantitativo do uso das técnicas antiforense ............ 38 Figura 4 .............................. 27 Figura 2 ........................................................................................................................ 35 Figura 3 .................... 655 Figura 19 – Conteúdo do arquivo ads ..........................................................................txt ............................................................................ 68 ........................................................................................................................... 40 Figura 6 – Relatório de evidências ....... 67 Figura 23 – Formação do Slack Space .............................................................Ciclo de investigação forense .............LISTA DE FIGURAS Figura 1 – Terminologia dos programas Maliciosos ..... 600 Figura 14 – Exemplo de ocultação de uma mensagem usando esteganografia .................................. 48 Figura 12 – Cerberus ................................ 46 Figura 10 – EnCase ........................................... 49 Figura 13 – Escolha do tipo de criptografia no TrueCrypt .................................. 655 Figura 20 – Tamanho do arquivo ads ......... 666 Figura 22 – Conteúdo arquivo secreto ..................... 45 Figura 9 – HELIX .. 66 Figura 21 – Criação do arquivo secreto ......................................................................................FDTK-UbuntuBr .............................................................................................................................................................................................. 65 Figura 18 – Criação do arquivo ads................................Visualização da pasta criada ...................................................................................................................................... 44 Figura 8 ...................................... 47 Figura 11– FTK 4 ................... 63 Figura 16 .......... 42 Figura 7 – CallerIP ............................... 62 Figura 15 – Menu Invisible Secrets 4 ............

..................... 56 ........... 23 Tabela 2 – Tabela de Formas de Eliminação de Arquivos .....LISTA DE TABELAS Tabela 1 – Crimes Cibernéticos no Brasil e no Mundo .................................................

LISTA DE ABREVIATURAS E SIGLAS ADS BIT CEPLAN DDoS DRP DLL FAT FTDK FTK IP LKM MD5NTFS RAM SHA-1 SHA-2 USB VSITR Alternate Data Streams Binary Digit Centro Educacional do Planalto Norte Distribuited Denial of Service Disaster Recovery Plan Dynamic Link Library File Allocation Table Forense Digital Tookit Forense Toolkit Internet Protocol Loaded Kernel Modules Message-Digest Algorithm 5 New Technology File System Random Access Memory Secure Hash Algorithm 1 Secure Hash Algorithm 2 Universal Serial Bus Verschlusssachen-IT-Richtlinien .

.......... 37 2........................................................................................1 TÉCNICAS PERICIAIS.................................................................. 30 2.............................................................. 20 2.7.................................................4 CRIMES CIBERNÉTICOS (CYBERCRIME) .. 21 2................... 31 2.....1...................1 ATUAÇÃO DO PERITO DIGITAL NO CENÁRIO ATUAL....................................9..................................................9..7 ANÁLISE FORENSE ...................................................2 COMPARAÇÃO DE CRIMES CIBERNÉTICOS NO BRASIL COM O MUNDO...................4..................................1 AS PRAGAS MAIS COMUNS EXISTENTES ..........................................6 PENALIDADE PARA OS CRIMINOSOS ....................................................2 ALGUNS ARTIGOS DO CÓDIGO PENAL APLICADOS A CRIMES DE INFORMÁTICA ........1..6....1 LEI EDUARDO AZEREDO .......................................... 33 2...... 36 2................................... 19 2....... 29 2...4............... 37 2..............................6.....4 AMEAÇAS ..................................................................................................................................................2 CIÊNCIA FORENSE ........................ 15 2...9............................ 17 2...9....................................3.......................................................... 23 2..................................................................... 14 2...........................2 ANÁLISE FÍSICA .............................1.........................................1 SEGURANÇA DA INFORMAÇÃO ............................................................... 32 2.......... 23 2...................................... 14 2.....................................3 ANÁLISE LÓGICA ...............3 GARANTINDO A CONFIDENCIALIDADE DA INFORMAÇÃO ..................................................................................6...1 COLETA ..................... 35 2......3 ARTIGOS DO CÓDIGO DE PROCESSO PENAL ... 16 2....................................................... 38 .5............................................................................................. 11 2 REFERENCIAL TEÓRICO........ 18 2........................................7............ 20 2..... 31 2......................3 FORENSE COMPUTACIONAL ...........1..1.......................................2 GARANTINDO A INTEGRIDADE DA INFORMAÇÃO ..... 16 2.........1............................................................................8 A CIÊNCIA ANTIANÁLISE FORENSE...............3 CICLO DE UMA INVESTIGAÇÃO .................. 33 2..........................1 CRIMES ESPECIALIZADOS MAIS COMUNS...5 VULNERABILIDADES ....................2 FORMAÇÃO DO PERITO DIGITAL ... 22 2................................................................................ 26 2.....................SUMÁRIO 1 INTRODUÇÃO ...........7................................9 ANALISTA FORENSE OU PERITO DIGITAL ...............5 OS POTENCIAIS ATACANTES ..1 GARANTINDO A DISPONIBILIDADE DOS RECURSOS ............6 TIPOS DE ATAQUES ............................................. 29 2... 34 2.

........... 600 3...... 53 3.............3.. 42 3 ANTIANÁLISE FORENSE .........3 ALGORITMO DE BRUCE SCHNEIER ............9.................................................. 577 3...................................................................................................4 FALSIFICAÇÃO DE EVIDÊNCIAS.............................................................2 PADRÃO ALEMÃO BSI VERSCHLUSSSACHEN-IT-RICHTLINIEN (VSITR) .. 58 3...6 ROOTKITS .... 41 2.............5 SLACK SPACE .22-M ............. 633 3............1 PADRÃO DO DEPARTAMENTO DE DEFESA DOS ESTADOS UNIDOS 5220................................3..........................................2.......... 51 3..........................2 CLASSIFICAÇÃO DAS TÉCNICAS DA ANTIFORENSE COMPUTACIONAL ........................1 DESMAGNETIZAÇÃO .... 50 3................................................................3..... 677 3.. 72 5 REFERÊNCIAS BIBLIOGRÁFICAS ...................9.......................2 CADEIA DE CUSTÓDIA .3 TÉCNICAS DE OCULTAÇÃO DE DADOS ........................................................................................................2..........2 DESTRUIÇÃO FÍSICA ............................. 69 3.............. 70 4 CONSIDERAÇÕES FINAIS ................................3.....3..........................3 ESCONDENDO DADOS GENÉRICOS ............3...................................1........... 74 ......3.2......................................................... 63 3..........................2 ESTEGANOGRAFIA ....1 CRIPTOGRAFIA ............... 52 3....................................2..............................................................................................3.2........................3................1 FERRAMENTAS ANTIANÁLISE FORENSE ............2...........................2................................................................................................2 OCULTAÇÃO ............................................. 53 3..................... 52 3...2........ 50 3..........3 ELIMINAÇÃO DAS FONTES DE EVIDÊNCIAS ............................ 55 3.....4 FERRAMENTAS DE ANALISE FORENSE ................ 57 3............. 52 3..........................2........................................... 54 3...................4 TÉCNICAS DE INVASÃO ................................3...2...1 DESTRUIÇÃO DE EVIDÊNCIAS ....................................................................................2......................3.........................1.4 ALGORITMO DE PETER GUTMANN .......................................................... 544 3..................................4 ALTERNATE DATA STREAMS – ADS ........................................... 50 3.

alguns deles com conhecimentos de computação. assim. Esses crimes cibernéticos estão aumentando cada vez mais e é de fundamental importância que os peritos digitais obtenham mais conhecimentos. Alguns desses atacantes utilizam as técnicas antianálise forense para remover quaisquer indícios que possam levar até eles. Isso levanta dúvidas sobre se os peritos digitais estão preparados para lidar com casos em que possam ser encontrados indícios de antianálise forense."Ecos" da audiência publica + Novo artigo de Fernando Botelho. que são motivados pela falta de regulamentação das leis que punem os crimes cometidos no meio 1 computacional WirelessBR (apud PAIVA. segundo a polícia federal. 2009). Com isso. passando-se. rende mais dinheiro do que tráfico ilícito de entorpecentes. Crimes Digitais(8) . conhecidos como crackers. Esses potenciais criminosos estão cientes de que há muitos usuários leigos da Internet. WIRELESSBR. É constatado que o crime cibernético. a maioria das relações tornaram-se informatizadas. a realizar certas ações como pagamento de contas. em virtude das facilidades que ela oferece. cada dia mais as pessoas estão utilizando a rede mundial de computadores. Crimes esses cometidos através das redes de computadores totalizam um faturamento de mais de 105 bilhões de dólares. hoje em dia. declaração de imposto de renda e até mesmo consultas e transações financeiras pela Internet. empregando softwares mais sofisticados e inteligentes para assim intervirem nessas ações criminosas utilizando a análise forense. A inserção de um grande contingente de usuários na Internet levou ao surgimento de pessoas com intenções criminosas.1 INTRODUÇÃO Devido ao aumento exponencial da utilização de computadores e da Internet nos últimos anos. 2007 1 11 . que desconhecem a melhor forma de se comportar no mundo virtual e que acabam se tornando vitimas de golpes virtuais conhecidos como crimes cibernéticos.

a fim de despistar ou inviabilizar o trabalho do perito. “Essa nova modalidade de crimes cibernéticos é denominada como técnicas antiforense” (PAIVA. 12 . Em alguns casos.” Silva2 (apud PAIVA. 2009. “O objetivo desses criminosos é esconder dados. pode provocar um duro golpe na credibilidade e na reputação dessa empresa. 2003. p. informações de acesso às contas bancárias de seus clientes. eles passam a ser evidências de que um fato aconteceu. À medida em que a Forense Computacional aprimora suas ações de coleta e análise de dados. contendo. em qualquer momento e também em qualquer lugar. 2008). quando os mecanismos de segurança instalados na rede de uma organização falham. Se um cracker consegue ter acesso às bases de dados de uma empresa.A informação é considerada o bem mais importante para uma empresa. bem como discutir as principais técnicas antiforense e avaliar os seus impactos na análise forense. e se ele divulga ou utiliza indevidamente essas informações. p. fazendo uso de vestígios/evidências. informações e vestígios/evidências. sempre levando em conta o padrão de ação dos peritos forenses. o objetivo geral deste trabalho é apresentar os principais conceitos de forense computacional e análise-forense. a ter de interromper suas atividades. Anti-Analise Forense. os autores dos crimes cibernéticos melhoram as suas técnicas. Com a intensificação dos crimes digitais.15). 2009. por exemplo. Quando vestígios como objetos e/ou marcas se tornam importantes para provar a ocorrência de um crime. 2 SILVA. inclusive. Luís Miguel. A segurança da informação é onde se deve gastar mais para tornar aquele conhecimento cada vez mais seguro contra quaisquer tipos de ataques. que está contida em seu banco de dados. A ciência forense foi criada para ajudar a solucionar esse problema. auxiliada pela sensação de anonimato e pela facilidade de obtenção de programas mal intencionados. tornou-se necessária a criação de uma disciplina forense aplicada à informática. visando dar sentido às informações coletadas e avaliar se elas produzirão ou não um resultado confiável (CARDOSO.15). os peritos forenses são chamados para ajudar a investigar o ato ilícito que foi praticado. Assim. que pode levá-la.

Dentro desta ultima área. b) Identificar na literatura técnico-científica os problemas causados pelas técnicas antiforense à análise forense. também. será abordada.Os objetivos específicos são: a) Realizar pesquisa na literatura técnico-científica a fim de definir os conceitos técnicos relevantes para o entendimento das técnicas de análise-forense e antiforense. apresentar-se-á os principais conceitos de segurança da informação e da ciência forense. As principais ameaças à segurança dos sistemas computacionais também serão discutidas. Serão abordados. informando os tipos de ferramentas e pragas virtuais que utilizam para acessar e roubar informações. definindo-se quais são os potenciais invasores. discutindo-se o papel de um perito digital e a forma pela qual executa seu trabalho. os aspectos legais relacionados a crimes cibernéticos. No capítulo intitulado “Referencial Teórico”. Por fim. contém as considerações finais deste estudo. o último capítulo. em particular. Já no capítulo 3 (três). a análise forense. 13 . discute-se a antianálise forense propriamente dita. uma vez que a literatura sobre técnicas antiforense não tem sido objeto de grande divulgação.

Criar planos a fim de garantir que essas informações estejam protegidas contra invasões que tenham por objetivo seu roubo. as três principais propriedades a seguir. 14 . ampliou-se o compartilhamento e a disponibilidade das informações. Confidencialidade. Segundo Silva Junior (2009). é de responsabilidade dos gestores e analistas de segurança da informação das organizações. relacionadas à segurança da informação: • • • Disponibilidade. o que pode torná-las mais vulneráveis a violações e ataques.2 REFERENCIAL TEÓRICO Neste capítulo serão abordados os principais conceitos de Segurança da Informação. seja pela Internet. o ativo mais valioso para uma organização é a informação. AntiAnálise Forense. Análise Forense. bem como da Ciência Forense. esses ataques estão associados a ladrões virtuais que invadem e roubam informações. telefone ou por qualquer outro meio eletrônico. dentre outras. um sistema para ser seguro precisa garantir.1 Segurança da Informação Atualmente são realizadas muitas transações eletrônicas em todo o mundo. meios utilizados na AntiAnálise Forense e alguns outros conceitos importantes para o desenvolvimento do presente trabalho. além de Crimes Cibernéticos. Com o avanço tecnológico e como consequência do desenvolvimento de sistemas de informação. Para Silva Junior (2009). As informações compartilhadas necessitam a cada dia de mais segurança e proteção contra ameaças externas. 2. vazamento. Na maioria das vezes. Integridade. e eventualmente.

as principais características em um plano com vistas a ampliar a disponibilidade de recursos informacionais são: • Prevenção e detecção de ameaças à rede computacional. pode-se recorrer ao Gerenciamento de Riscos. • • • Ajuste fino de servidores e aplicações (Hardening). É preciso mapear quais são estes ativos principais – críticos – para o negócio e controlar as necessidades de atualizações de toda esta infraestrutura a fim de minimizar paradas no ambiente. aplicações. Estas paradas ainda podem ser causadas por variáveis não controláveis como falhas de hardware. Ao mitigar vulnerabilidades que apresentem riscos considerados inaceitáveis pela organização. Para estas devemos ter o cuidado de procurar desenvolver processos detalhados para suprir quaisquer problemas que a organização possa enfrentar quais os impactos de uma falha e quais as atitudes a serem tomadas no caso de indisponibilidade de um recurso. servidores. 2009).2. De acordo com Silva Junior (2009). bem como monitoração e controle da rede. • Desativação de recursos e serviços não necessários em servidores e aplicações. ataques a rede computacional. ausência de recursos humanos.1. é possível evitar falhas que possam provocar indisponibilidade das informações.” (LYRA. 15 . equipamentos de telecomunicações devem estar disponíveis à demanda e necessidade do negócio.1 Garantindo a disponibilidade dos recursos “Disponibilidade é a informação que deve estar disponível para todos que precisam dela para a realização dos objetivos empresariais. Nesse mesmo segmento encontra-se o Plano de Recuperação de Desastres ou DRP (Disaster Recovery Plan). entre outras. problemas de software. Recursos de informação como dados. Definição de um plano para aplicação de patches e atualizações no ambiente. Definição de um plano de contingência para os recursos e um plano para recuperação de desastres. (SILVA JUNIOR. 2008). • Definição de políticas e processos de uso de recursos de rede na organização. Com o objetivo de garantir a disponibilidade das informações.

1. SHA-1.” (STALLINGS. No que se refere à comunicação de dados. Os principais objetivos desta etapa são entender os métodos como processos de negócio são aprovados e repassados. Recursos como firewalls. “Integridade é quando a informação deve estar correta. ou seja. 2009). Para tanto. quem são seus proprietários/responsáveis e usuários e buscar ferramentas para monitorar e controlar estas alterações a fim de garantir a integridade. 2. criptografia.2 Garantindo a integridade da informação Garantir a integridade da informação é adotar medidas que assegurem que ela não sofreu alterações indevidas. o que se pretende é deixar que essa fique disponível para os usuários que estão autorizados a acessá-la na sua última versão válida. “A garantia de que os dados recebidos estão exatamente como foram enviados por uma entidade autorizada (ou seja. SHA-2 ou similares. “Confidencialidade é a 16 .2. tais como sistemas/aplicações agendados para executar de forma automática de tempos em tempos) autorizados. exclusão ou repetição). backup. que ela só foi modificada por usuários (ou outros recursos. que ela só tenha sofrido alterações realizadas por usuários autorizados. p. inserção. 2008. 2008). processos e outras ferramentas devem ser usados para garantir o bom funcionamento do ambiente (JUNIOR. ser verdadeira e não estar corrompida” (LYRA. a fim de ser possível assegurar-se de que todas as alterações efetuadas nas informações foram realizadas por pessoas autorizadas.3 Garantindo a confidencialidade da informação O objetivo da confidencialidade é evitar que a informação seja acessada por algum usuário que não dispõe de privilégios para tal. é comum a utilização de funções de hash não inversíveis como MD-5.1. antivírus. assinatura digital. a integridade da informação assegura que os dados originalmente transmitidos não sejam modificados até chegarem ao receptor. isto é. Para manter a integridade é fundamental a definição e execução de processos de auditoria (devidamente baseados em trilhas de auditoria definidas). Quando se trata de garantir a integridade da informação.9). não contêm modificação.

Sem esquecer as variáveis incontroláveis que também estão presentes aqui. As informações devem estar disponíveis apenas a pessoas e/ou outros recursos que tenham direito a elas. “Confidencialidade é a capacidade de um sistema de permitir que alguns usuários acessem determinadas informações ao mesmo tempo em que impede que outros. sendo de propósito ou não. seja por um software mal implementado ou mal testado. a vejam”. 2008. Para esse fim. 2. também acesso a informações de projetos e departamentos armazenadas em servidores por pessoas não autorizadas. não autorizados. 2008.4 Ameaças “É um ataque potencial a um ativo da informação. impressões. possíveis perdas ou furtos de dispositivos como notebooks.” (STALLINGS. Já as ameaças à informação que não sejam intencionais podem se referir ao próprio funcionamento do sistema. Com isso em mente podemos trabalhar para minimizar ataques à rede computacional da empresa. 17 . Segundo Souza (2009). cópias em dispositivos móveis. as ameaças à segurança da informação podem surgir de todas as partes.10). 2009). 2008. p. aproveitando-se da vulnerabilidade. p. tem-se em mente situações em que se tenha a finalidade de prejudicar o desempenho do sistema ou corromper. vazamento de dados através do envio de informações de negócio sem autorização por emails. modificar ou até mesmo roubar as informações nele contidas. 6). É um agente externo que. poderá quebrar um ou mais dos três princípios de segurança da informação. smartphones e pendrives que porventura possam conter informações confidenciais. (LYRA. Outro recurso empregado com frequência para evitar acesso indevido a determinadas informações é a criptografia. p. como por exemplo.proteção dos dados transmitidos contra ataques passivos. (JUNIOR.1. é comum que sejam utilizados mecanismos de autenticação dos usuários e de gerência de acesso (administração dos privilégios dos usuários em relação aos recursos). 03). Quando se fala de ameaças intencionais.” (LYRA. podendo partir de dentro ou de fora do ambiente computacional. inclusive de onde menos se espera.

• Processos: os processos envolvem o fluxo de informação.” (LYRA. isso poderia causar resultados do processo. à maneira como as informações podem vir a ser compartilhadas entre todos os setores da organização. A análise de vulnerabilidades tem como objetivo principal verificar a possível existência de falhas de segurança na rede das organizações.1. ou interpretada de forma errônea. Um exemplo de vulnerabilidade desse tipo de máquinas seriam os computadores sem antivírus instalados e atualizados. Segundo as definições elaboradas pela empresa Tracker – Segurança da Informação (2011). e geração da informação e de seu consumo. se a lista desta compra fosse passada de uma maneira descuidada para a pessoa a quem se destina. já que essas são suscetíveis a ataques 18 a indisponibilidade desse processo ou até mesmo a falta de integridade dos .” (LYRA. esquecida. • Pessoas: as pessoas são aquelas que executam os processos. “Essas vulnerabilidades poderão ser exploradas ou não. rádio e gravadores. intencionalmente ou não. as vulnerabilidades de um sistema podem ser classificadas como: • Tecnologias: softwares e hardwares que são utilizados em servidores. a quebra de confidencialidade ou integridade. Nesse processo. sistemas sem identificação ou autenticação. 2008). Estão relacionados. Uma situação que serviria de exemplo seria um processo de compra. Essa análise é uma ferramenta importante para a implementação de gerenciamento de segurança nas empresas. servidores sem sistemas de detecção de intrusão.5 Vulnerabilidades “Os ativos de informação possuem vulnerabilidades ou fraquezas que podem gerar. sendo possível que um ativo da informação apresente um ponto fraco que nunca será efetivamente explorado. como sistemas de telefonia. esta poderia ser apagada. também. computadores de estações de trabalho e outros equipamentos.2. 2008). podendo também analisar esses processos. a principal vulnerabilidade que as organizações possuem são as pessoas. Porém. a indisponibilidade. A vulnerabilidade de um ativo é o seu ponto fraco.

dependendo da lista de senhas do cracker. Monitoramento de Toques do Teclado: A CEPLAN constatou que esse é um método de ataque em que o cracker instala um programa sem o conhecimento do 3 CEPLAN .de engenharia social. esse método de ataque ocorre quando o cracker.Centro Educacional do Planalto Norte 19 . explicados adiante. ou pela manipulação.6 Tipos de Ataques Além das utilizações de vírus e ferramentas que têm como objetivo acessar e extrair dados.1. (NAKAMURA. de posse de um arquivo de senhas. p. a CEPLAN3. 2003). os crackers também possuem outros métodos e ferramentas para obter essas informações. A Engenharia Social é uma técnica que explora as fraquezas humanas e sociais em vez recorrer à tecnologia tendo como seu objetivo de enganar e ludibriar as pessoas assumindo uma falsa identidade de quem realmente é. É o local onde as pessoas trabalham e onde ficam instalados os componentes de tecnologia. A avaliação este item requer análise de áreas físicas da organização. e nem sempre utilizam as melhores práticas de segurança da informação. • Ambientes: o ambiente é o espaço físico onde são realizados os processos. a fim de que elas revelem senhas ou outras informações que possam vir a comprometer a segurança dessa organização. utiliza diversas palavras que serão testadas como senhas. Esse teste pode ser feito através de ferramentas específicas para esse tipo de tarefa. 2. 85) Ataque por Dicionário: Segundo a CEPLAN. 2003.” (MITNICK. podendo levar dias. definiu os seguintes como sendo principais: Engenharia Social: “A engenharia social usa a influência e a persuasão para enganar as pessoas e convencê-las de que o engenheiro social é alguém que na verdade ele não é. Dentre esses métodos. GEUS.

” (RIBEIRO. custodiar. assim. 2. é necessário compreender a sua origem. p. Login Falso: De acordo com a CEPLAN. Patologia/Biologia. Segundo Milagre (2009). Odontologia. Endocrinologia. como ocorreu e principalmente apontando quem foi o responsável por essa conduta criminosa ou deste crime eletrônico. assim. Toxicologia. Psiquiatria. que passa. Quando a pessoa entra com o seu usuário e senha. Computacional. 07). essas informações são armazenadas em um arquivo e enviadas para o cracker. O AAFS (American Academy of Forensic Sciences) possui os seguintes comitês: Criminalística.3 Forense Computacional “A Ciência Forense é a aplicação de uma vasta gama de métodos científicos para responder a investigações e questões de interesse legal. atuando junto ao time de resposta a incidentes. essa técnica consiste em tela de login falso criado pelo cracker. atua em conjunto com o investigador na busca pela verdade. é a ciência responsável por coletar.usuário e copia. convertendo todas essas informações para formato binário e gravando-as em um arquivo que pode ser recuperado por ele a qualquer momento. 2. a Forense Computacional também está interligada com a segurança da informação nas empresas. preservar e analisar os vestígios/evidências eletrônicos. Engenharia. a ter acesso ao sistema que foi por ele simulado. e qual foi o caminho da área forense até chegar ao objeto de pesquisa deste trabalho. assim respostas do que ocorreu. 2004. 2006). todos os seus toques no teclado. Antropologia (MENEGOTTO. A Ciência Forense é dividida em diversas disciplinas. ‘Forense’ é uma palavra em português que remete ao latim de ‘antes do fórum’. Jurisprudência. 20 .2 Ciência Forense Antes de apresentar a definição de forense computacional. que será idêntica à tela de login original do sistema. Com isso. buscando.

17).5). (PAIVA. Forense computacional compreende a aquisição. p. p. Com o advento do uso maciço de computadores. a computação forense ajuda a esclarecer fatos na ocorrência de um crime e outras questões referentes à computação. espionagem industrial. 2. a preservação a identificação. a sociedade faz uso dos computadores (BUSTAMANTE.Forense Computacional é uma série metódica de técnicas e procedimentos para coletar vestígios/evidências de um sistema computadorizado. pedofilia. “Este processo permite o rastreamento. empresarial. comunidades virtuais para fazer apologia ao uso de drogas. a extração. identificação e comprovação da autoria de ações não autorizadas como violações de normas internas e até mesmo crimes eletrônicos” (MENEGOTTO. 2009. disseminação de vírus de computador por e-mail. industrial ou acadêmico.4 Crimes Cibernéticos (Cybercrime) Os avanços da tecnologia na área da informática provocaram uma grande revolução e consequente mudança nas relações sociais. “O mundo esta cada vez mais dependente com relação às tecnologias de sistemas digitais e de redes de computadores que crescem aceleradamente para atender as evoluções tecnológicas em massa”. seja no ambiente residencial. que. 2009). Muito dessas tecnologias se assemelham as outras mudanças culturais que avançaram para modificar as nossas vidas. além dos crimes antigos como pornografia infantil. entre outros. 2004). a análise e a documentação de vestígios/evidências computacionais. Pode-se citar como exemplos crimes tais como a invasão de computadores. que podem ser apresentadas em um fórum de uma forma coerente e de formato inteligível (VIEIRA. A computação forense continua ascendendo tendo em vista que. a restauração. 2006). estelionato. cada vez mais. racismo. a tecnologia digital esta envolvida (PAIVA. de dispositivos de armazenamento ou de mídia digital. E seja qual for essas circunstancias do crime – fraude. pirataria ou de corrupção. 2011. 21 . As facilidades alcançadas pelo uso do computador e resultantes da popularização da Internet no Brasil e no mundo levaram ao surgimento de diversos crimes. e a disponibilidade dessa tecnologia digital conduz inevitavelmente para a utilização indevida por pratica ilegal do uso dos recursos digitais.

inclusive utilizando da informática. “O que antes era uma ferramenta para solução de problemas. Segundo pesquisa realizada pela Symantec4 (apud MOREIRA. A esses crimes realizados mediante uso e/ou com o auxílio do computador dá-se o nome de Crimes Cibernéticos. o computador em mãos erradas. A referida pesquisa mostra que 80% dos adultos online no Brasil já foram vitimas de algum tipo de crime digital – bem acima do índice global de 69%.com o uso da Internet e da tecnologia de informação. Quanto aos crimes impróprios. Os crimes próprios são aqueles que só podem ser cometidos por intermédio da informática. são aqueles que podem ser praticados de qualquer forma. hoje.com/security_response/whitepapers. mas não apenas por meio dela. 15).” (PAIVA. que deve denunciá-los e verificar se estão realmente sendo investigados. E o mesmos 69% dos brasileiros desse mesmo universo confessam que não mantêm um pacote de software de segurança atualizado. 2009. Os crimes cibernéticos podem ser classificados como próprios e impróprios.jsp 22 . O combate a esses crimes exige das autoridades uma ação conjunta com a sociedade. os números dos crimes cibernéticos estão de fato mais alarmantes. 2.1 Crimes especializados mais comuns • Envio de informações confidenciais por e-mail • Ataque por concorrentes ou de ex-funcionários • Fraude em sistemas financeiros (Internet banking) • Instalação de cavalos de tróia em estações de trabalho • Envio de ameaças por e-mail • Remoção ou alteração indevida de informações • Pedofilia 4 Fonte: http://www. ganharam maior ênfase e alcance.4.symantec. se torna uma arma mutável de acordo com o avanço tecnológico. 2011). p.

para identificar quem realiza um ataque em um sistema computacional. Os hackers são considerados exímios programadores que possuem um enorme conhecimento que envolve redes e computadores e não gostam de ser confundidos com crackers. não com o intuito de causar danos às vitimas.2. é comum referir-se a um atacante que pratica algum tipo de ilícito no mundo virtual como sendo um hacker. Existem vários perfis de potenciais atacantes. Vale dizer. 2011. que o termo hacker pode referir-se a muitas coisas. p.2 Comparação de crimes cibernéticos no Brasil com o Mundo BRASIL Vírus – 68% Invasão de redes sociais – 19% Phishing – 11% MUNDO Vírus – 54% Golpes online – 11% Phishing – 10% Tabela 1 – Crimes Cibernéticos no Brasil e no Mundo Fonte: Moreira.4. melhor ou com novos recursos e funções. mas sim como um desafio às suas habilidades. 23 . 2003).5 Os potenciais atacantes Na mídia não especializada. O termo hacker é utilizado. GEUS. Em computação pessoal.” (NAKAMURA. Nakamura e Geus (2003) realizaram uma classificação dos diversos tipos de hackers e suas definições: Hackers: “são aqueles que utilizam seus conhecimentos para invadir sistemas. pode significar também a pessoa que modifica o hardware e o software do seu próprio sistema para torná-lo mais rápido. 09 2. no entanto. pois os ataques realizados a sistemas podem apresentar objetivos diferentes e o seu sucesso depende do nível de segurança de seus alvos e do conjunto de habilidades do hacker em atacá-los. ainda.

sistemas de proteção de intrusão – IPS. adquirindo e instalando firewalls. pessoas disfarçadas que se infiltram nas organizações. 2003). Cyberpunks: Segundo Nakamura e Geus (2003). Eles possuem um alto nível de conhecimento e estão bastante atentos à questão da privacidade de seus dados fazendo com que eles sejam protegidos utilizando criptografia. que encontram vulnerabilidades em serviços. geralmente. e depois as utilizam sem entender o que realmente estão fazendo. particularmente por aquelas que não possuem uma política de segurança definida e implantada e em especial por aquelas que não realizam investimentos de infraestrutura em segurança da informação. 24 . Insiders: Nakamura e Geus (2003) definiram que insiders são responsáveis pela a maioria dos incidentes de segurança mais graves nas organizações porque uma boa parte de ataques ao sistema é feito internamente. Script kiddies: Conforme definido por Nakamura e Geus (2003). ex-funcionários. os script kiddies são considerados perigosos por algumas organizações. etc. O termo cracker também é uma denominação utilizada para aqueles que decifram códigos e destroem proteções de software. publicando as vulnerabilidades encontradas e fazendo. GEUS. Devido à facilidade que têm para obter essas ferramentas. script kiddies são indivíduos inexperientes que adquirem facilmente ferramentas de invasão a sistemas pela Internet. cyberpunks são aqueles que se dedicam às invasões de sistemas por diversão ou por mero desafio para colocar seus conhecimentos em prática.Crackers: “são elementos que invadem sistemas para roubar informações e causar danos às vítimas. que está relacionada a funcionários internos.” (NAKAMURA. sistemas de detecção de intrusão – IDS. concorrentes ou governos estrangeiros. São eles. Um dos ataques que causam maiores perdas financeiras é a que envolve roubo de propriedade intelectual. com isso. que a indústria de software corrija seus produtos. sistemas ou protocolos e avisam à comunidade técnica acerca delas.

Os black hats utilizam seus conhecimentos para invadir sistemas e roubar informações das organizações. GEUS. Os white hats também trabalham como profissionais legalmente contratados dentro das organizações.Coders: “são hackers que compartilham seus conhecimentos escrevendo livros ou realizando palestras. tentam vendê-las para a própria empresa de onde essas informações foram furtadas. que é a divulgação pública das informações roubadas. nos quais simulam ataques para poderem medir como está o nível de segurança da rede de comunicação de dados e dos computadores das organizações. Media whore: Nakamura e Geus (2003) definiram que Media Whore são os hackers que saem do anonimato para obter a atenção da mídia. White Hat: Nakamura e Geus (2003) explicam que os white hats também são conhecidos como “hackers do bem”. “hackers éticos” ou sneakers. o que pode resultar em novas versões de softwares. Black Hat: De acordo com Nakamura e Geus (2003). após estarem de posse de informações confidenciais. Os white hats são responsáveis por testes de invasão. 25 . Eles utilizam seus conhecimentos para descobrir vulnerabilidades em sistemas. passou a ser muito procurado para poder ministrar palestras sobre segurança de informação. ou outros tipos de contramedidas. Geralmente. 2003). Trata-se de hackers que querem buscar a fama pessoal. ou podem também ameaçar a organização com a divulgação das informações roubadas. o que pode trazer consequências negativas severas à vítima.” (NAKAMURA. aos quais são aplicadas as correções necessárias. sendo considerados traidores do movimento. seminários e até mesmo ministrando palestras sobre as suas experiências. Kevin Mitnick é um exemplo de coder. caso essa organização não pague o que foi exigido. Após cumprir a sua pena pelos crimes cibernéticos que cometeu. os black hats são conhecidos também como full fledged ou crackers. Essa prática a que recorrem é conhecida como chantagem ou blackmail. tais como ajustes em configurações de softwares ou equipamentos ou recomendações de investimentos em infraestrutura de segurança da informação.

no qual a vitima fica praticamente indefesa. esse é um termo utilizado para definir os hackers que escolhem cuidadosamente seus alvos para realizarem seus ataques com o objetivo de propagar mensagens políticas ou religiosas.Gray Hat: Segundo Nakamura e Geus (2003). Cyberterroristas: Conforme definido por Nakamura e Geus (2003). que são. praticamente. sem 5 26 . Isso resulta em um ataque extremamente eficiente. os gray hat são black hats fazendo papel de white hats para poderem trabalhar na área de segurança. as bombas lógicas e os backdoors.5. • • Ataques sofisticados de negação de serviços distribuídos DDoS5. fragmentos de Distribuited Denial of Service – DDoS: é uma modalidade que faz com que diversos hosts sejam atacados e coordenados pelo hacker. Como exemplos daqueles que dependem de um programa pode-se citar os vírus. a saber. sendo. é possível classificar os softwares maliciosos em duas categorias. Os meios para que isso seja alcançado são: • Ataque semântico. conhecidos como hacktivistas (expressão originada a partir da palavra inglesa hacktivism). podendo realizar a “pichação” de sites. independentes. 2. os que precisam de um programa hospedeiro e aqueles que não necessitam desse recurso. Invasões a sistemas com o objetivo de obterem informações confidenciais. portanto.1 As pragas mais comuns existentes Esta sessão discute as principais pragas virtuais existentes. modificação de uma página ou a propagação de informações falsas. Ainda segundo Stallings (2008). alguns incidentes já demonstram que o nível de confiança necessário para a realização de trabalhos tão cruciais não chega a ser alcançado por meio desse tipo de abordagem. Determinadas organizações chegam a contratá-los para realizarem análise de segurança. para a realização de ataques simultâneos aos alvos. Segundo Stallings (2008). Entretanto. os tipos mais comuns de ameaças a sistemas de computadores podem ser representados por programas que visam explorar as vulnerabilidades existentes.

116). p.programas que não funcionam sozinhos. Algumas das pragas virtuais mais frequentes foram citadas por Stallings (2008) e estão relacionadas abaixo: conseguir ao menos descobrir a origem dos ataques.428. 2008. que contém uma lista de vírus com suas descrições definidas. p. 27 . Como exemplos de softwares independentes pode-se citar os worms (vermes) e programas zumbis conforme pode ser visto na Figura 1. GEUS. pois eles procedem de hosts intermediários controlados pelo hacker (NAKAMURA. 2003. Figura 1 – Terminologia dos programas Maliciosos Fonte: STALLINGS.

” (STALLINGS. contendo código oculto que. Easter Egg: “uma mensagem. GEUS. que permite que alguém ciente da backdoor obtenha acesso sem passar pelos procedimentos normais de acesso de segurança.“ (STALLINGS. 2008). o verme pode ser ativado para replicar-se e propagar-se novamente. Bomba lógica: “um dos tipos mais antigos de ameaça. Verme: “um verme (worm) é um programa que pode se replicar e enviar cópias de um computador para outro através de conexões de rede.” (STALLINGS. Com os cardings a segurança das transações eletrônicas de cartões de crédito pode vir a ficar comprometida provocando prejuízos para consumidores e empresas envolvidas. Na chegada. 2008). 28 . 2003). é um ponto de entrada secreto para um programa. Complementado essa lista de ameaças virtuais. Nakamura e Geus (2003) relacionaram outras além daquelas que já foram citadas: Carding: Segundo Nakamura e Geus (2003). Cavalos-de-tróia: “é um programa ou procedimento de comando útil. como brincadeira. imagem ou som que o programador esconde em um software. 2008). 2008). A bomba lógica é o código embutido em algum programa legítimo configurado para “explodir” se for realizada certa condição.” (STALLINGS.” (STALLINGS.Backdoor: “também conhecida como trapdoor. 2008). Geralmente deve-se seguir procedimentos para ativar essa parte do código de software. carding é uma prática ilegal que envolve fraudes com cartões de crédito utilizados pelos hackers. criado antes mesmo de vírus e dos vermes. quando invocado.” (NAKAMURA. Zumbi: “um zumbi é um programa que controla secretamente outro computador conectado à Internet e depois usa esse computador para disparar ataques difíceis de rastrear até o criador do zumbi. realiza alguma função indesejada ou prejudicial.

trata-se de: 1. inutilização ou deterioração de coisa alheia ou dado eletrônico alheio. 84 1999 que está em tramitação no congresso desde 1999.6 Penalidade para os criminosos A falta de normas específicas faz com que se aplique a legislação existente.1 Lei Eduardo Azeredo Projeto de Lei Nº. porém possui a capacidade de auto-replicação. Obtenção. 2. São descritos abaixo algumas leis e projetos de lei relacionados aos crimes cibernéticos. 2. geralmente com o objetivo de fazer ligações gratuitas ou para espionar ligações alheias.” (NAKAMURA. o Código Penal. transferência ou fornecimento não autorizado de dado ou informação. 29 • . Porém devido ao fato de alguns delitos não se enquadrarem nos tipos penais existentes. War Dialer: “programa que varre números telefônicos em busca de modems ou aparelhos de fax.6. Inserção ou difusão de código malicioso em sistema informatizado. podendo se espalhar de uma rede para outra rapidamente. ou seja.Phreaking: “É o hacking de sistemas telefônicos. 2. GEUS. Destruição. 2003) Worm: Segundo Nakamura e Geus (2003) um worm é similar a um vírus. 4. 2003). 3. Acesso não autorizado a sistema informatizado. que são posteriormente utilizados como pontos de ataques. o Código de Processo Penal e algumas leis isoladas. pode ocorrer a impunidade do infrator.” (NAKAMURA. GEUS.

informático. para si ou para outrem. 2. § 3º Equipara-se à coisa móvel a energia elétrica ou qualquer outra que tenha valor econômico. imputando-lhe falsamente fato definido como crime. coisa alheia móvel.” Crimes contra a Honra artigos 138 a 140. ou sistema informatizado. ou nele inserir ou fazer inserir declaração falsa ou diversa da que deveria estar escrita. criar obrigação ou alterar verdade sobre fato juridicamente relevante. Pena: detenção de 6 meses a 2 anos. Pena: reclusão de 1 (um) a 4 (quatro) anos.2 Alguns artigos do Código Penal aplicados a crimes de informática Artigo 171 . “Artigo 138. vantagem ilícita. Pena: reclusão de 1 (um) a 5 (cinco) anos e multa” Artigo 299 – Falsidade ideológica “Omitir em documento publico ou particular. Difamar alguém. se documento publico e de 1 a 3 anos e multa se documento partícula. declaração que dele devia constar. e multa” 30 • • • • . ou multa.” Artigo 155 – Furto “Subtrair.6. telemático. Artigo 139. imputando-lhe fato ofensivo à sua reputação: Pena – detenção de 3 meses a 1 ano. Artigo 140. Caluniar alguém. mediante artifício. induzindo ou mantendo alguém em erro. em prejuízo alheio. telefônico. e multa. ardil. Injuriar alguém. Pena: reclusão de 1 (um) a 5 (cinco)anos e multa. ou qualquer outro meio fraudulento.Estelionato “obter para si ou para outrem. Interrupção ou perturbação de serviço telegráfico. e multa.5. com fim de prejudicar direito. ofendendo-lhe a dignidade ou o decoro: Pena: detenção de 1 (um) a 6 (seis) meses.

• 2. podendo valer-se de informações como o tempo de acesso aos arquivos (MAC times) (Guimarães et al. por que meios e em que época presumem ter sido o fato praticado. os peritos guardarão material suficiente para a eventualidade de nova perícia”. apreendidos. assinadas digitalmente ou com integridade garantida mediante aplicação de alguma função de hash não inversível (gera um resultado que é alterado sempre que o conteúdo do arquivo é modificado). relacionar os equipamentos e dispositivos computacionais investigados. também. além de descrever os vestígios. eventualmente." Na forense computacional. os peritos também devem procurar reconstituir a linha do tempo do incidente investigado. os peritos. ou por meio de escalada. 31 .3 Artigos do Código de Processo Penal Seguem abaixo alguns artigos do Código de Processo Penal que auxiliam e dão suporte ao perito no desempenho da investigação: • Artigo 170 – “Nas perícias de laboratório.6. indicarão com que instrumentos. preservando o vestígio/evidência coletado. Essa norma remete à necessidade de guardar cópias dos arquivos que estão sendo objeto de investigação na perícia. mediante identificação dos vestígios/evidências deixado(a)s por um ataque ou por alguma prática ilícita. Artigo 171 – “Nos crimes cometidos com destruição ou rompimento de obstáculo a subtração da coisa.. O perito deve utilizar as cópias para efetuar sua investigação.2. copiados e. 2001) É importante.7 Análise Forense A Análise Forense é um processo que visa determinar se recursos ligados à tecnologia da informação e comunicação foram ou estão sendo usados para fins ilegais.

7.1 Técnicas Periciais “A análise pericial é o processo usado pelo investigador para descobrir informações valiosas. A preservação da integridade dos dados que fazem parte do ciclo de investigação realizado pelos peritos digitais é de extrema importância. mais consistente fica a investigação e mais plausível fica a ocorrência de um fato. 32 . O processo de análise pericial pode ser dividido em duas camadas: análise física e análise lógica. A análise lógica consiste em analisar os arquivos das partições. Exame . percorrendo-se a árvore de diretórios do mesmo modo que se faz em um computador comum (FREITAS. 2. • Resultados / Documentação . identificar os envolvidos e estabelecer relações entre eventos e pessoas. Feito isso. 8). é importante salientar que um registro isoladamente não prova que um evento aconteceu e a ausência de um registro não prova que um fato não aconteceu (CARDOSO.criar um relatório completo sobre o crime e quais etapas da investigação que levará a resolução do caso. bem como efetuar a busca e extração de dados relevantes para uma investigação”. p. 2003). pois ao menor indício de que os dados possam ser inconsistentes. Cabe ao perito garantir que ninguém sem autorização faça uso do computador investigado.O que a análise forense faz é utilizar os dados disponíveis para tirar conclusões sobre o que realmente aconteceu em um incidente. dos arquivos normais às partes inacessíveis da mídia. a justiça não aceitará as evidências como provas da ocorrência do crime podendo até mesmo concluir que um(a) vestígio/evidência possa ter sido implantada pela equipe de peritos. 2003. A análise física é a pesquisa de sequências e a extração de dados de toda a imagem pericial. Quanto mais informações forem adquiridas. 2008).identificar quais vestígios/evidências é importante para a resolução do caso. a análise forense aplicada à computação segue quatro passos básicos: • • Coleta de vestígios/evidências. (FREITAS. Porém. O sistema de arquivos é investigado no formato nativo.reconstruir o crime. • Análise .

p. 2004) 2. se faz pesquisas de sequências para produzir listas de dados.“Este processo permite o rastreamento. Geralmente usa-se esse processo quando é necessário investigar o conteúdo de um disco rígido desconhecido ou até mesmo danificado. Depois que o software de criação de imagens tiver fixado as provas do sistema. (FREITAS.7-8) 2. O objetivo básico desse processo é a proteção do(a)s vestígios/evidências contra alterações que possam vir a ser realizadas. Com frequência. A fim de evitar isso o investigador deve estar ciente de todas as medidas de segurança a ser adotadas nesse processo de manipulação de vestígios/evidências.3 Análise Lógica Segundo Freitas (2003).7. • Todas as ocorrências de pesquisa de sequência com palavras sensíveis a caixa alta e baixa. essas listas são úteis nas fases posteriores da investigação. um processo de busca e extração e uma extração de espaço subaproveitado e livre de arquivos. 2003. Entre as listas geradas estão as seguintes: • Todos os URLs encontrados na mídia. Para isso é necessária a utilização de um sistema operacional que possa vir a entender o sistema de arquivos.7. identificação e comprovação da autoria de ações não autorizadas como violações de normas internas e até mesmo crimes eletrônicos”. 33 . os peritos em forense computacional efetuam a análise lógica do conteúdo da cada partição de uma mídia. durante a fase de processamento das informações. os dados podem ser analisados por três processos principais: uma pesquisa de sequência. Todas as operações são realizadas na imagem pericial ou na cópia restaurada das provas. (MENEGOTTO.2 Análise Física De acordo com Freitas (2003). a análise física é a etapa onde são investigados os dados brutos da mídia de armazenamento. Também é nessa fase do processo que ocorre a maioria dos erros de manipulação do(a)s vestígios/evidências. • Todos os endereços de e-mail encontrados na mídia.

Para que haja êxito em dificultar ou impossibilitar o trabalho dos peritos forenses.1). existem técnicas que permitem excluir dados permanentemente do sistema.” (BARRETO. 34 . no entanto. concentraram esforços em cima das normas e procedimentos da ciência forense e do sistema a ser atacado. a análise forense em um computador vem se tornando cada dia mais fácil. O exame exige que as evidências sejam confiáveis e rigorosas para garantir o resultado correto. A ciência forense se esforça para descobrir as fontes de informações deixadas bem como discernir o seu significado relacionando-o com o evento. A antiforense originou-se devido à demanda dos ambientes coorporativos precisarem da ciência forense como uma ferramenta de apoio a resolução dos crimes cibernéticos. logo. em virtude de seu uso intensivo. os criminosos podem utilizar de métodos antiforense para trabalhar contra o processo ou interferir na fidelidade das evidências (PAIVA. associadas ao anonimato. Essas ferramentas. 2009. eles são violados. “Com a popularidade de ferramentas e técnicas. à falta de leis específicas relacionadas aos crimes em informática e ao baixo custo para se cometer o “crime cibernético”. razão pela qual cresce a preocupação em se evitar a violação dos sistemas e o ataque de pessoas mal intencionadas. onde. mas tão somente que elas eram empregadas em pequena escala. fazem com que haja um grande aumento em ataques/crimes tecnológicos. A cada dia sistemas são criados e.2. ou simplesmente por questões de segurança. surgem também as ferramentas que são utilizadas para crimes. Isso não quer dizer que antes dessas datas as técnicas não tenham sido usadas. A forma mais simples de conseguir isso é preencher com zeros os setores da mídia não excluídos de fato. Na figura 2 é possível observar estatísticas que evidenciam a recente ampliação da percepção da antiforense. por mais seguros que pareçam. surgiu à necessidade dos atacantes consolidarem a intrusão serem percebidos. 2009). p.8 A Ciência AntiAnálise Forense Com a diversidade de ferramentas tecnológicas elaboradas a cada dia. 2009). mas. para que os vestígios sejam eliminados (PAIVA.

Porém. p. tem que garantir acesso posterior a esse mesmo sistema. A antianálise forense consiste em conseguir “navegar” livremente por um sistema sem ser detectado. o atacante recorre a várias técnicas. esteganografia.Figura 2 . Analisam os menores detalhes e conseguem chegar a conclusões extremamente precisas acerca do “crime”.Quantitativo do uso das técnicas antiforense Fonte: PAIVA. entre outros. tais como: esconder o rastro com criptografia. 2009. Um intruso. rootkits.9 Analista Forense ou Perito Digital Os especialistas forenses são os detetives dos nossos tempos. 2. com o emprego de várias técnicas para se chegar aos autores. 31). 2009. os peritos responsáveis pela investigação devem ir além e sempre procurar utilizar todos os meios necessários para se chegar ao criminoso. ADS (Alternate Data Streams). após invadir o sistema. esconder informação no “slack space”. e usar um maior grau de abstração para entender o verdadeiro problema” (PAIVA. “Com as técnicas antiforense. Para garantir isso.32. por sua vez. tenta localizar vestígios/evidências de ataques através dos rastros deixados pelos invasores. os peritos devem ir além do(a)s vestígios/evidências. Tal como o médico legista faz uma autópsia procurando padrões e 35 . p. A perícia forense. como os invasores utilizam das técnicas antiforense para ocultarem o ataque.

anomalias num cadáver. o especialista informático forense procura nos pequenos bits do disco informação deixada pelo atacante que possivelmente acabará por incriminá-lo. 36 . Silva6 (apud PAIVA. 2003. Além disso. comunicadores. Atua também na identificação e monitoramento de programas spywares. podendo apurar fraudes em notas fiscais eletrônicas. hoje um perito digital atua no rastreamento de contas bancárias ou de códigos maliciosos em redes de Internet. tráfego de rede. Luís Miguel. Esse laudo técnico é redigido e assinado pessoalmente pelo perito digital responsável pelo caso e passa assim a ser uma das peças (meio de prova) que compõem um processo judicial. Descobrem usuários anônimos de sites. recuperação de arquivos pornográficos ou de suposta pedofilia. leitura de memória. “Este detetive é capaz de vasculhar os mais obscuros cantos de um dispositivo físico à procura de provas”. o perito digital atualmente tem um grande campo de atuação no que se refere aos temas relacionados ao trabalho das receitas estaduais e federais. caixa dois digitalizado. em questões envolvendo pirataria de software e arquivos protegidos por direitos autorais. Pode atuar. O perito em informática é acionado pela justiça para oferecer laudos técnicos em processos judiciais. identifica casos de negação de serviços. os primeiros coletando informações sobre o uso do computador e os últimos coletando informações a partir do que foi digitado nos teclados por profissionais do setor financeiros das empresas ou de pessoas físicas. 2. também. jurídicas e até mesmo órgãos públicos. AntiAnálise Forense. 2009).9. keyloggers. Para Milagre (2009).1 Atuação do Perito Digital no cenário atual Segundo Milagre (2009). quebra arquivos criptografados ou com senhas cujo conteúdo pode 6 SILVA. identifica como se deu a invasão. bloggers. quem procedeu com a invasão. e recuperação científica de dados. quem foi o responsável por essa negação de serviço de um sistema informático. esse profissional atua efetuando coletas a partir da memória e dispositivos de armazenamento secundário de computadores investigados. Identifica a origem do atacante. onde podem estar envolvidas pessoas físicas.

Esses são os passos que devem ser tomados em um processo investigativo e quais são os insumos utilizados em cada um dos passos: 37 . 2. este profissional deve ter uma formação em tecnologia. nomeado pelo Juiz para responder questões específicas sobre determinado caso” (RODRIGUES. para assim poder catalogar todos os indícios e a sua localização que possam vir a se tornar evidências de um crime durante o processo de investigação.2 Formação do Perito Digital De acordo com Milagre (2009). A primeira coisa que se deve fazer é tirar uma foto em 360º graus. sendo desejável conhecimento jurídico também. conversando com as testemunhas dos crimes eletrônicos que são os computadores. conforme pode ser visto na figura 3 abaixo que demonstra o fluxo do ciclo de uma investigação. 2009). deve possuir experiência comprovada no assunto. as máquinas.9. há um ciclo de investigação que o perito digital deve seguir em uma cena onde ocorreu o crime.3 Ciclo de uma investigação Segundo Vieira (2011).servir em um processo digital ou até mesmo em um processo administrativo coorporativo.9. 2. “É o profissional com formação em 3º grau e em tecnologia. Deve estar apto a reconstruir o passado.

A figura 4 abaixo demonstra como é a fita que os peritos utilizam para isolar a cena do crime.br/forense/forense-computacional/processo-de- investigacao 38 .Ciclo de investigação forense 7 2.9.com/a/cristiantm. 7 Fonte: https://sites.google. Somente os peritos e os profissionais capacitados podem adentrar na cena do crime.com.1 Coleta Na fase de coleta os principais insumos para a forense computacional são as mídias: Isolar a área – O cenário do crime deve ser totalmente isolado e protegido para que pessoas não autorizadas não tenham acesso aos materiais encontrados e à área do crime.3.Figura 3 .

Isso decorre do fato de que se esses vestígios forem coletados fora do padrão isso pode vir a destruir ou anular a possibilidade de aproveitar determinado vestígio como evidência (VAZ. isto é.Fita de Isolamento de perímetro Fonte: RODRIGUES.23). uma rede metálica. Garantir a integridade – Nesse processo. por exemplo. Identificação de equipamentos e embalagem dos vestígios/evidências – Devese identificar cada um dos dispositivos apreendidos. que protege contra descargas eletromagnéticas. após análise. Deve-se etiquetar vestígios/evidências ligadas ao processo de investigação em questão.Figura 4 . podendo assim dar origem a uma prova judicial. por exemplo. No caso de um arquivo coletado como vestígio para servir de evidência. que após análise. 40 Coletar os vestígios com objetivo de gerar evidências – Evidências são todos os vestígios encontrados que. Evidências são peças chave para que a hipótese levantada seja considerada verdadeira ou falsa. deve-se levar em consideração a rigorosa observância de procedimentos com vistas a preservar os vestígios no momento de sua coleta. permitem avaliar as hipóteses formuladas para o crime investigado. o advogado da parte que foi indiciada a partir dessa indício/evidência pode alegar que ela foi implantado(a) na cena do crime para incriminar seu cliente. Esses equipamentos devem ser embalados em envelopes ou em sacos especiais que possuem um mecanismo. se houver no relatório da coleta um valor de hash (cálculo efetuado com base no conteúdo do arquivo) diferente daquele que é obtido ao recalcular-se o mesmo valor a partir do arquivo coletado. fabricante e características físicas. 2009. possa vir a ter seus dados apagados através desse meio. relacionando modelo. Somente os peritos podem fazer as coletas dos vestígios. p. para que possam ser aproveitados como evidências. O objetivo é evitar que um disco rígido. p. poderão dar origem às evidências. 2008. A 39 .

é preciso realizar as seguintes tarefas que se dão de acordo com a ordem cronológica do processo investigativo: 1) Isolamento do ambiente – O cenário onde aconteceu o crime deve ser isolado permitindo que somente os peritos adentrem essa área para iniciar a o processo de investigação. Figura 5 – Sacola Especial para Evidências Fonte: RODRIGUES. que poderão.” (MENEGOTTO.9-12). De acordo com esse autor. vir a ser considerados como evidências. sugere a utilização de uma metodologia um pouco diferente daquela apresentada anteriormente neste texto.figura 5 abaixo é um exemplo de uma embalagem específica para o armazenamento de mídias coletadas na cena do crime. 2004). p. As evidências são peças chave para avaliar as hipóteses formuladas para determinado incidente. Complementando as informações relacionadas ao processo investigativo. mas ainda sim válida e seguida por muitos peritos. 2) Análise do ambiente – Esta é a fase onde os peritos irão analisar o ambiente onde ocorreu o crime. Menegotto (2004. devem ter o objetivo de vir a auxiliar no processo investigativo do caso. permitindo 40 . 3) Identificação de hipóteses e evidências – “Analisar e avaliar as possibilidades de como o incidente pode ter ocorrido (hipóteses). 2009. após análise pericial. 40. 4) Coleta das evidências – Todos os vestígios encontrados na cena do crime. p.

2. Envolve a análise de elementos da rede. ou se esse processo não for bem documentado. o acusado pode acabar sendo liberado por causa dessa falta de atenção do perito em manusear os vestígios utilizados como evidências. tais como logs de aplicações. 8) Traceback – Essa atividade consiste na análise da origem dos dados. se for notada alguma violação no processo de coleta ou de transporte das evidências. históricos e qualquer outro tipo de artefatos identificados no ambiente onde ocorreu o ato ilícito.3. a cadeia de custódia é a parte mais importante de todo o processo. agrupando os aspectos avaliados e efetuando a conclusão do processo de investigação realizado pelo perito.2 Cadeia de Custódia Dentre todos os métodos que deve seguir ao analisar uma cena do crime. mostrando a correlação entre as evidências encontradas e as hipóteses levantadas.3. Isso se deve ao fato de ela estar ligada diretamente à integridade dos vestígios que poderão vir a ser utilizados como evidências. 5) Reconstrução do crime – Nesta fase o perito reconstrói a cena do crime a fim de chegar a um entendimento do que levou àquele ato ilícito. documentos. seguindo as melhores práticas periciais. Posteriormente é possível confirmá-las (ou descartá-las) mediante prova judicial. gateways e todo tipo de vulnerabilidade na rede que o autor do crime possa ter utilizado.9. 7) Análise Gerencial – Essa análise envolve a avaliação dos registros de segurança dos sistemas que possuam qualquer relação e/ou possam auxiliar no processo de investigação.9. Cadeia de Custódia é um termo jurídico que se refere à capacidade de manter a integridade de um vestígio que poderá ser usado como evidência desde o 41 .1. Se isso ocorrer. 6) Análise de ativos envolvidos – É a análise de todos os objetos encontrados e também dos registros. tais como endereços de IP.considerá-las como verdadeiras ou falsas. o juiz ou o advogado de defesa do réu poderá alegar que certo indício/evidência pode ter sido implantado(a) na cena do crime. Como foi dito no subitem 2. vídeos de segurança. 9) Relatórios – Ao final de toda a investigação é feito um relatório de todo o processo.

De acordo com Rodrigues (2009). quem teve acesso à evidência. mantendo assim esses registros sempre atualizados.momento de sua obtenção até o fim do processo investigativo. sendo conveniente. para manter as amostras coletadas de forma segura. essa técnica é muito utilizada pelos peritos forenses devido à sua grande importância na fase de investigação das evidências de um crime. como: quem a coletou. Sempre que haja algum acesso às evidências. das datas e dos horários em que a evidência foi levada e devolvida. com um formulário que contenha todas as informações daquela evidência. Deve-se preencher uma lista com anotações de cada pessoa que teve acesso à evidência. a data da coleta. esse acesso deve ser registrado mediante formulários.4 Ferramentas de Analise Forense Com o grande avanço tecnológico na área computacional nos últimos anos. uma boa prática é armazená-las em sacos plásticos ou envelopes selados. p. 2009. crimes como invasões. Consiste em guardar os vestígios/evidências de forma segura evitando que sejam modificado(a)s. 40 2. Esse registro deve conter as referências das pessoas. também. A figura 6 abaixo é um exemplo de como é um relatório onde se deve registrar todas as informações solicitadas sobre o indício coletado. Segundo Freitas (2011). que envolvem a busca ou o roubo de informações sigilosas 42 . O seu objetivo é provar ao tribunal a legitimidade das evidências que foram coletadas e apresentar os resultados da investigação.9. guardá-la em um cofre e adotar todas as medidas cabíveis destinadas a protegê-la. Figura 6 – Relatório de evidências Fonte: RODRIGUES.

Algumas dessas ferramentas são citadas a seguir: Honeypot – “Os honeypots são sistemas de armadilha. os honeypots foram projetados para: • • • Desviar um atacante do acesso a sistemas críticos. VARGAS.para fins ilícitos vêm sofrendo um grande aumento. Encorajar o atacante a permanecer no sistema por tempo suficiente para que os administradores possam responder ao ataque. registrar e rastrear o atacante sem expor seu sistema em produção. planejados para atrair um atacante em potencial para longe de seus sistemas críticos” (STALLINGS. CallerIp – Esta ferramenta monitora um computador desejado ajudando na identificação de entradas. 43 . informando a localização do dono do endereço IP que realizou a invasão. os atacantes que realizam esse tipo de crime. É capaz de indicar até mesmo a posição geográfica desse invasor. existe grande necessidade de se identificar esses infratores. 47-69) algumas das principais ferramentas de forense computacional são aquelas relacionadas abaixo. Segundo (QUEIROZ.415). Com isso. permitindo. potencialmente encontrar o possível responsável pela ação ocorrida. De acordo com Stallings (2008). Um sistema do tipo honeypot é equipado com monitores sensíveis e registradores de eventos que detectam acessos realizados ao sistema coletando informações sobre as atividades que o atacante estaria fazendo em sua rede e durante esse meio tempo os administradores conseguem tempo para mobilizar-se. para que a justiça possa vir a puni-los. Coletar informações sobre a atividade do atacante. 2008. saídas e invasões de IP. p. Para essa tarefa a perícia forense conta com diversas ferramentas que auxiliam na busca de evidências. compatível com o ritmo em que a tecnologia vem avançando. p. 2010. isto é.

Figura 7 – CallerIP8 FDTK-UbuntuBr (Forense Digital Toolkit) – É uma ferramenta Linux gratuita e criada no Brasil como parte do Trabalho de Conclusão de Curso de graduação tecnológica em segurança da informação por Paulo Neukamp. uma vez que qualquer alteração modificaria o valor dessa sequência.com/program/caller-ip. Fornece.indirjet. 8 Fonte: http://www.html 44 . oferece também em criar um código hash dos arquivos. Essa ferramenta permite capturar imagens de telas do computador analisado. permite também analisar máquinas com sistema operacional Microsoft Windows. identificação dos periféricos e hardware em geral do computador. uma função que gera uma sequência binária a partir dos arquivos originais para provar que os mesmos não foram alterados posteriormente. Apesar de ser uma ferramenta Linux. criar imagem idêntica dos dados contidos no computador. também.

br/linux-forense-em-portugues-brasil 45 . também. Trata-se de uma ferramenta que permite. Essa ferramenta está hoje disponível.FDTK-UbuntuBr 9 Helix – Ferramenta criada em 2005 baseada no Linux Ubuntu. ainda. disquetes e memórias. 9 Fonte: http://www. tornando possível.mundodoshackers.Figura 8 . criar cópias de discos rígidos. no ambiente Microsoft Windows. por permitir que os vestígios/evidências coletado(a)s sejam preservado(a)s. bem como informações detalhadas acerca de quando uma porta USB foi utilizada e por qual tipo de periférico. o que é extremamente útil em forense computacional. A referida ferramenta possibilita recuperar arquivos danificados ou excluídos. caso tenham sido salvas automaticamente.com. obter histórico de sites visitados. buscar senhas empregadas pelo usuário do computador em programas de mensagens instantâneas e sites. também.

fornece uma opção de para manusear evidências sem danificá-las. também. mediante realização de cópia do(a)s vestígios/evidências. a padronização de laudos periciais. webmail. Ela possibilita. bem como a partir de documentos.com. exibindo e salvando o resultado da 10 Fonte: http://forcomp.blogspot.br/2009/01/helix-20. correio eletrônico convencional. ainda.html 46 .Figura 9 – HELIX10 EnCase – Essa ferramenta foi desenvolvida pela empresa Guidance Software. histórico de utilização da Web e respectivo cachê. Pode ser utilizada. sessões de bate papo (chat). para quebrar senhas de arquivos criptografados mediante aquisição de um módulo adicional. Trata-se de uma ferramenta capaz de realizar muitas das funções disponíveis nas ferramentas Helix e FTK. arquivos comprimidos. entre outras opções. imagens. Além disso. Também permite organizar um o banco de dados de evidências. tais como permitir a aquisição de dados a partir de discos ou memória RAM.

Trata-se de uma ferramenta bastante utilizada em computação forense.html 47 .com. a fim de garantir sua integridade. ainda. soquetes de rede. Figura 10 – EnCase11 FTK – Forensic Toolkit (FTK) é uma ferramenta criada pela empresa AccessData.br/2010/11/como-reconstruyeron-los-mails-de- los. sendo também comercializada por ela. tais como pesquisa ou análise de certos tipos de documentos. customização mediante emprego de uma linguagem orientada a objetos denominada EnScript. que permite efetuar análise de memória. A ferramenta EnCase oferece. drivers carregados em memória.aplicação de uma função de hash MD5 sobre a imagem dos arquivos copiada.blogspot. informando processos em execução. Por meio dessa linguagem. 11 Fonte: http://desarrolloydefensa. lista de bibliotecas dinâmicas (DLLs). Permite. entre outras informações. é possível criar programas customizados que permitem automatizar tarefas de investigação trabalhosas.

48 . sendo possível empregá-la para a realização de buscas/pesquisas nesses arquivos. ainda. podendo ter seu desempenho melhorado nesse tipo de equipamento. além de análise de imagens. o que libera a análise de novas ameaças. a realização de quebras de senhas. a realização de pesquisa de sequências de caracteres (strings) em memória. permitindo a obtenção do código fonte do programa original a partir do módulo executável. cópias exatas de arquivos. Essa ferramenta possibilita a realização de engenharia reversa em módulos executáveis de programas suspeitos. ainda. executando as atividades de investigação com maior rapidez. que algumas vezes. a análise de informações provenientes de correio eletrônico. tais como antivírus. A ferramenta FTK tira proveito de processadores com suporte a múltiplos threads e múltiplos núcleos. Oferece.também. 2012 Cerberus – É uma tecnologia para avaliação de pragas virtuais que está disponível como um módulo adicional para a ferramenta FTK 4. Figura 11 – FTK 4 Fonte: AccessData. Essa ferramenta possibilita. isto é. não podem ser detectadas por ferramentas convencionais.

Figura 12 – Cerberus Fonte: AccessData. 2012 49 .

2 Classificação das Técnicas da AntiForense Computacional Diversos pesquisadores da área forense computacional têm proposto agrupar as técnicas antiforense em categorias. Discute. Assim. os criminosos passaram a utilizar métodos e ferramentas denominadas antiforense. cada autor defende um ponto de vista na divisão sobre essas técnicas. classificando-as e apresentando seus conceitos e sua forma de utilização. 3. os usuários da antiforense recorrem a certas técnicas que foram citadas no subitem 2. portanto. ocultação.8 acima. esses vestígios podem tornar-se (ou não) evidências de um crime. Sobre essa questão. 3. Com isso. possibilitando-lhes esconder.3 ANTIANÁLISE FORENSE Este capítulo apresenta as técnicas de antianálise forense. técnica como destruição. pode-se constatar que quando um perito digital é acionado para realizar uma apuração de um crime digital é possível que ocorram diversas dificuldades durante o processo de coleta e também na análise das informações que foram deixadas como vestígios no equipamento que foi utilizado para prática de ato ilícito. a fim de facilitar seu estudo e compreensão. Além disso. a quantidade de evidências que podem vir a ser deixadas nas máquinas é inversamente proporcional às habilidades que o criminoso possui. De fato. danificar ou excluir rastros digitais na cena do crime e também dificultando ou impossibilitando a realização de uma investigação dessas evidências. da mesma maneira que a Forense Computacional foi criada para a investigação de crimes cibernéticos. 50 . Para isso.1 Ferramentas AntiAnálise Forense De acordo com as definições sobre a AntiAnálise Forense apresentadas neste trabalho. demonstra ainda as principais formas de ocultação de evidências utilizadas e algumas ferramentas que podem ajudar nesse processo. eliminação das fontes e falsificação das evidências.

2009). p. 2006. se torna um pouco mais elaborado. pode também inviabilizar a perícia (PAIVA. seguindo o mesmo raciocínio de Harris (apud PAIVA. ataques contra os processos e ferramentas. Outras categorias são incluídas por Harris13 (apud PAIVA. efetuar o uso de ferramentas de wipe. evitando assim que possam ser encontradas. mas para uma destruição específica. 51 . Ryan. Para esse fim. Eliminação das fontes de evidências. manipular ou impedir a criação de provas que podem levar à sua descoberta. A destruição de dados é um dos métodos que os criminosos podem vir a recorrer para limpar os vestígios que um possível atacante poderia deixar na máquina que estava utilizando. 2009. Falsificação de evidências. 2006. Ocultação de evidências. Mas. podem ser realizadas as tarefas descritas a seguir. caso isso venha a acontecer. 13 HARRIS. Este tipo de técnica é bastante fácil quando aplicada a uma destruição total das informações. Arriving at an Anti-Forensics Consensus: Examining how to Define and Control the Anti-Forense Problem.Segundo Harris12 (apud PAIVA. podendo um atacante destruir. Os parágrafos abaixo contêm uma breve descrição das características dessas quatro técnicas antiforense. choques ou queima intencional de algum dispositivo semicondutor. 3.2. tanto em nível lógico como físico.34). 2009). as técnicas de antiforense dividem-se em quatro categorias. ocultar. A destruição física do disco através de elementos externos como campos magnéticos. 12 HARRIS. tais como esconder dados. ofuscação de informações. • • • • Destruição de evidências. 2000). Arriving at an Anti-Forensics Consensus: Examining how to Define and Control the Anti-Forense Problem. Ryan.1 Destruição de Evidências As evidências podem ser destruídas completamente ou parcialmente. terão pouca utilidade como prova forense.

exigindo que a perícia seja mais minuciosa” (PAIVA. ou. é necessário utilizar o desmagnetizador adequado para apagar um disco ou até mesmo uma fita. fazer uso de imãs. como existem diferentes tipos de mídias magnéticas. Se determinada mídia possui uma informação realmente sigilosa. os criminosos preferem utilizar esse método. Ácido: aplicação do ácido na superfície do disco. técnicas essas que podem ser facilmente utilizadas por estarem disponíveis para download programas de computador gratuitos que as implementam na Internet. 2009). 3.1.1. Incineração: queimar a mídia até ela ser totalmente reduzido as cinzas. existem certos tipos de mídias para as quais não resta outra opção a não ser a sua destruição física.3.2. Porém.2 Ocultação “A ocultação das evidências reduz as chances de um sucesso de investigação preliminar. 52 .2. uma maneira é aproximar o disco rígido de uma corrente elétrica. 3. Conseguir ocultar um arquivo em um sistema de arquivos é considerado também uma técnica antiforense.” (RIBEIRO.1 Desmagnetização “Uma forma de apagar definitivamente as informações remanescentes em um disco é criar um campo magnético muito forte capaz de reduzir o estado magnético da mídia a zero. para realizar esse processo. 2006). Ribeiro (2006) acrescentou que. assim como a utilização de ferramentas de criptografia e esteganografia. A sua destruição física pode ser realizada das seguintes maneiras: • • • Pulverização: quebrar a mídia até ela ser totalmente reduzida a pó. simplesmente.2 Destruição Física De acordo com Ribeiro (2006).2.

2006).3. existem métodos para apagar a existência de informações em uma mídia de disco que possa vir a incriminar um criminoso cibernético que é sobrescrevendo essa mídia.” (RIBEIRO. Ele utiliza de três etapas para sobrescrever as mídias. a falta de evidência pode ser questionada pelo perito digital como uma evidência de que o criminoso planejou cautelosamente o crime. Esses padrões são descritos nas subseções abaixo. Alguns softwares que implementam esse método.1 Padrão do Departamento de Defesa dos Estados Unidos 5220. Há também várias formas de sobrescrever os setores de um disco magnético. Arriving at an Anti-Forensics Consensus: Examining how to Define and Control the Anti-Forense Problem.3. 2009).3 Eliminação das fontes de evidências “É o simples fato da remoção ou da não utilização de métodos para que as evidências não sejam criadas” Harris14 (apud PAIVA. Ryan.2. 14 HARRIS. da suíte Ghost da empresa Symantec. 3. efetuam uma quarta etapa de verificação e repetem esse processo seis vezes15. Na primeira etapa. efetua-se a gravação de um caractere pseudoaleatório em todos os endereços.2. seguida da escrita do complemento desse caractere (por exemplo. 0011 0101. sendo que cada um desses padrões possui características únicas. Existem softwares que são capazes de gravar sequências de caracteres com o objetivo de sobrescrever arquivos de dados. seguido de 11001010). efetua-se a escrita de um caractere correspondente a determinado padrão binário em todos os endereços da mídia que se deseja sobrescrever. 15 Fonte: http://thestarman. Segundo Ribeiro (2006).22-M “Este padrão sobrescreve todos os setores de um disco magnético onde os dados sensíveis ficam alocados de forma a eliminar a remanescência causada pela variação da posição do cabeçote magnético de escrita em um setor.html 53 . 2006. tais como GDisk. Após a realização desses dois procedimentos de gravação. Com isso.pcministry.com/asm/5220/index.

3. Assim. recomendando o uso de incineração. ou até mesmo impossibilitando-a. Embora seja um método de apagamento mais seguro 16 Fonte: http://www. no entanto. Já na segunda etapa. tornando extremamente difícil a recuperação. O efeito é semelhante ao do padrão VSITR. Nas primeiras etapas. 3. que o Departamento de Defesa norteamericano não aprova mais o uso de ferramentas ou utilitários que sobrescrevem dados como uma alternativa para eliminar informações classificadas de mídias que serão descartadas. esta última realizada usando dispositivos aprovados pelo referido Departamento para tal16. esse padrão efetua a remoção das informações em um disco utilizando sete etapas.2. depois de repetir essas etapas por três vezes. cada gravação inverte o padrão de bits da gravação anterior. o derretimento. Esse especialista recomenda que se deve sobrescrever a mídia sete vezes. e nas próximas cinco etapas utiliza-se um padrão de bits escolhido aleatoriamente.gov/DAS/OP/docs/policy/state/107-009-005_exhibit_b. Na primeira etapa sobrescreve-se o disco com o padrão de bits “11”. a aplicação de substância abrasiva.2.É importante dizer.oregon.pdf?ga=t 54 . é utilizado o complemento do padrão de bits da primeira etapa para sobrescrever os mesmos setores. porém a natureza aleatória dos padrões de bits gravados nas cinco últimas etapas torna difícil a um invasor determinar como a sobrescrita afetou os dados anteriormente presentes no disco. utiliza-se o padrão de bits "010101" para realizar a sobrescrita.3.3.2 Padrão Alemão BSI Verschlusssachen-IT-Richtlinien (VSITR) De acordo com Ribeiro (2006). a destruição por meio do uso de produtos químicos ou a desmagnetização (degaussing). um desses padrões de bits é escolhido e os setores sensíveis são sobrescritos com ele. na segunda com “00”. Nas seis primeiras. este padrão foi criado pelo especialista em segurança Bruce Schneier.3 Algoritmo de Bruce Schneier Conforme definido pela CBL – Recuperação de Dados (2012).

este algoritmo realiza um total de trinta e cinco etapas de sobrescrita e é considerado o método mais moderno e eficiente para a destruição de dados. D ou M M ou N M A A ou C C A ou C C C ou G I I K I C C. o tempo necessário para criar padrões de bits aleatórios faz que este método seja significativamente mais lento.2. O custo deste padrão.Recuperação de Dados. Abaixo segue uma tabela que foi elaborada pelo Departamento de Defesa dos EUA sobre a forma de eliminação de arquivos mais recomendada para cada mídia: Tipo de Mídia Fitas Magnéticas Fita magnética Disco Magnético Disquetes HD’s fixos HD’s removíveis Discos óticos Somente Leitura Regravável Memória Dynamic Random Access Memory (DRAM) Electronically Alterable PROM (EAPROM) Electronically Erasable PROM (PROM) Erasable Programmable ROM (EPROM) Flash EPROM (FEPROM) Programmable ROM (PROM) Operação utilizada para apagar os dados Operação utilizada para remover completamente todos os vestígios dos dados A ou M M A.4 Algoritmo de Peter Gutmann Segundo Ribeiro (2006). é o tempo: a remoção das informações de um disco usando o algoritmo de Peter Gutmann pode levar até sete vezes mais tempo que a remoção do mesmo disco utilizando o algoritmo de Bruce Schneier e. G ou M J ou M H ou M L depois C. (CBL . provavelmente.que o VSITR.3. obviamente. 3. quinze vezes mais tempo do que quando é usado o padrão do Departamento de Defesa dos EUA. 2012). ou M M 55 . ou M C depois I. D ou M A.

G. P – alguns materiais de dentro da impressora devem ser destruídos.br/grad/06_2/alexandre/apagandodados.gta. ou M Q P depois G O depois G 17 Tabela 2 – Tabela de Formas de Eliminação de Arquivos Legenda: A – desmagnetizar. I – apagar o chip de acordo com o fabricante. seu complemento.html 56 . F – o dado sobrescrito deve permanecer alocado por um tempo maior que o dado a ser apagado. D ou M C e F. e mais uma vez com o valor um binário. H – reescrever todas as posições endereçáveis aleatoriamente. ou M M C. depois verificar.ufrj. K – apagar utilizando luz ultravioleta. pulverizar). G ou M M C e F. incinerar. caso haja alguma evidência.Magnetic Bubble Memory Magnetic Core Memory Magnetic Plated Wire Magnetic Resistive Memory Nonvolatile RAM (NOVRAM) Read Only Memory (ROM) Static Random Access Memory Equipamento Monitor CRT Impressoras Impacto Laser C C C C C C ou G C ou G G G G A. D – reescrever todas as posições endereçáveis com um caractere. C – reescrever todas as posições endereçáveis com um caractere. O – imprimir 5 páginas de texto comum. M – destruir fisicamente (desintegrar. depois com o valor zero binário. C ou M A. Q – verificar a superfície do tubo de raios catódicos. J – fazer o passo I. por 3 vezes. de acordo com o fabricante. incluindo a bateria. o monitor deve ser destruído. e outro caractere aleatório. 17 Fonte: http://www. depois o C. G – remover toda a alimentação elétrica.

3 Técnicas de Ocultação de dados Essas são as estratégias preferidas por atacantes. inerentes ao sistema de arquivos da mídia onde foram modificados ou acessados. 3.Como já mencionado acima. Pode. o Departamento de Defesa norte-americano não recomenda nenhuma técnica de sobre-escrita para remoção de informações classificadas a partir de mídias. Mudanças de strings em arquivos alteração dos MAC times19. sendo esses locais conhecidos como slack spaces. a fim de evitar que elas sejam descobertas. induzindo o perito ao erro. com o intuito de parecer qualquer outra coisa. conforme o caso e dependendo da habilidade e das ferramentas empregadas pelo perito. Arriving at an Anti-Forensics Consensus: Examining how to Define and Control the Anti-Forense Problem. acessado agrega informações de data e hora associadas à ação submetida. atualização de bad clusters20 falsos no sistema de arquivos. Ryan. 19 Este recurso é uma forma de garantir a integridade dos dados. são exemplos de possíveis falsificações (PAIVA. A falsificação pode comprometer desde apenas um bit até certa quantidade de bits contidos em um disco. 18 57 . 2006. dentre várias outras possibilidades permitidas pela criatividade do atacante. também. Existem HARRIS. é comum esconder certas informações em lugares não muito convencionais do sistema de arquivos. 2009). 3.4 Falsificação de evidências Esta é uma das categorias que possui maior complexidade e representa maior desafio para a análise forense. Esse recurso pode ser usado para incriminar inocentes.2. 2009). Todo arquivo ou registro digital ao ser modificado. ser utilizado para alterar informações legítimas. armazenar informações relacionadas ao ataque de maneira que elas fiquem ocultas para as vítimas ou possíveis investigadores. o que sugere que informações ocultadas mediante emprego dessas técnicas possam vir a ser recuperadas. bem como das características particulares do objeto da investigação. Para tal. a saber. exceto a evidência real Harris18 (apud PAIVA.

além de ser utilizada para tornar o envio de mensagens mais seguras. Hoje em dia. para garantir o tráfego seguro de mensagens. há várias técnicas de criptografia. Segundo Paiva (2009). 2008. 957).” (FOROUZAN. mesmo após a realização de perícia altamente sofisticada e minuciosa. a criptografia é considerada um dos métodos mais seguros para garantir a confidencialidade de uma informação. No entanto. realizar criptografia) de uma informação que passou por esteganografia e armazená-la em slack spaces. para que servem. podendo ser também considerada a melhor técnica antiforense para ocultação de evidências. tais como cifrar (isto é. geralmente. Essa técnica permite que os arquivos não sejam descobertos ou decifrados. garantindo sua confidencialidade. 58 . 3. que têm se tornando cada vez mais sofisticados. e esse setor torna-se inutilizável. Esse é um exemplo de um dos estados da arte antiforense e. fica muito difícil para os peritos digitais identificar esse tipo de prática.1 Criptografia É uma técnica utilizada para cifrar e decifrar mensagens para que apenas o destinatário consiga saber e interpretar o conteúdo. ou que poderiam constituir-se em evidência no trabalho de perícia desenvolvido por especialistas em forense computacional. Hoje. A dificuldade no acesso aos dados dependerá do algoritmo 20 Essa situação ocorre quando uma pequena quantidade de dados torna-se corrompida em um setor de um disco rígido. p. tornando-as imunes a ataques.casos em que várias estratégias de ocultação são usadas em conjunto. com o aprimoramento das técnicas de ataques. “Criptografia é a ciência e a arte de transformar mensagens para torná-las seguras e imunes a ataques. os invasores utilizam essa técnica para não serem descobertos. A criptografia utiliza algoritmos para restringir o acesso a arquivos. impedindo a identificação do seu real objetivo. essa técnica permite que invasores restrinjam o acesso a informações que poderiam ser identificadas por usuários como vestígios de seus ataques. essa técnica esta sendo utilizada para esconder arquivos que podem ser usados para um novo ataque. Como já foi dito essa técnica é utilizada.3. De acordo com Paiva (2009). ou seja.

2009. 59 . Ou seja. um arquivo criptografado pode ser facilmente detectado pela perícia. uma chave22 de decriptografia e o dado cifrado. p. já que. Por meio dessa ferramenta é possível criar-se uma partição oculta em um disco rígido. “A criptografia simétrica é uma forma de criptossistema em que a criptografia e a decriptografia são realizadas usando a mesma chave. Termo também utilizado para se referir a diferentes categorias de algoritmos em criptografia. que torna visível pelo 21 Cifras são os algoritmos de criptografia e decriptografia. 22 Chave é uma seqüência de bits utilizada por software criptográfico para cifrar mensagens ou arquivos ou para decifrá-los. Essa ferramenta é bastante utilizada. Um arquivo cifrado21 é um arquivo criptografado e para se decifrar esse arquivo é utilizado um algoritmo de decriptografia. Percebe-se que a criptografia é considerada uma das melhores técnicas de ocultação de evidências.17). A criptografia é considerada um dos métodos mais seguros. Ela também é conhecida como criptografia convencional” (STALLINGS. com essas característica. A chave assimétrica se divide em pública e privada. Com isso. por órgãos públicos. sendo a chave publica utilizada para criptografia e a chave privada para decriptografia. p. A chave simétrica é utilizada tanto pelo algoritmo de criptografia como pelo de decriptografia. uma vez que os algoritmos de criptografia utilizados atualmente requerem uma grande demanda de processamento. logo. esta pode ser também considerada a melhor técnica antiforense para a ocultação de evidências. 2008. pode-se levar muito tempo para descobrir a chave. mesmo que a perícia descubra que o dado foi criptografado. mas o tempo para decifrá-lo pode inviabilizar a perícia. 69) Há algumas ferramentas de proteção de dados disponíveis para download na Internet que são comumente usadas. dependem diretamente dos fatores tempo x processamento. a fim de garantir o sigilo das informações por ela protegidas. a quebra da criptografia pode se levar anos dependendo da chave. levando em conta o tipo de algoritmo de criptografia e a tecnologia de processamento utilizado. Há dois tipos de chaves: Simétrica e Assimétrica. Conforme Forouzan (2008) para se decriptografar um dado é preciso um algoritmo de decriptografia. Pois mesmo diante de uma perícia. algoritmo de criptografia e do poder computacional utilizado.utilizado para a criptografia. (PAIVA. gratuita. inclusive para fins ilícitos. que é uma ferramenta de código aberto (open source). podendo-se citar o TrueCrypt.

para troca de mensagens. Por intermédio dessa é possível definir o tamanho da partição. o tamanho da chave a ser utilizada e o tipo de criptografia que deve ser usado. Figura 13 – Escolha do tipo de criptografia no TrueCrypt23 Conclui-se que os recursos providos pela criptografia podem dificultar ou até mesmo inviabilizar qualquer tipo de trabalho pericial para o levantamento de evidências. Segundo Petri24 (apud PAIVA. 2004. 60 . originalmente. concebida. 2009).titansware.com. para ser usada para comunicação. 3. A figura 13 abaixo exibe uma lista de algoritmos que o TrueCrypt oferece para realizar a criptografia.2 Esteganografia A esteganografia é uma técnica que tem como objetivo esconder informações dentro de outras.Sistema Operacional somente após o fornecimento da senha do gerenciador do TrueCrypt. Marcelo.br/outros/truecrypt PETRI. ou seja. Esteganografia.3. esse recurso tem sido empregado com maior frequência por invasores que procuram esconder os seus ataques. Por esse motivo. a 23 24 Fonte: http://docs.

constata-se que não é possível perceber. em que isso pode ser percebido devido ao aumento de tamanho da capacidade do arquivo. sem o uso de ferramentas de software apropriadas. No primeiro nível. e evitaria. A mensagem que é utilizada para ocultar o que efetivamente se deseja transmitir é conhecida como “mensagem de cobertura”. Ambas as técnicas podem ser utilizadas em conjunto para se obter um maior grau de segurança da informação.esteganografia é a arte de esconder certas informações dentro de outras que funcionam como portadoras. Existem casos. esse objeto passa a ser chamado de “estego-objeto”.17). essa técnica pode ser utilizada para mascarar um software malicioso como se fosse. que é uma mensagem que contém secretamente uma mensagem de maior importância do que ela mesma. Analisando a figura abaixo (Figura 14). A origem da esteganografia vem do grego traduzido como “escrita coberta”. p. Essa técnica tem propósitos similares aos da criptografia. com o objetivo de transmitir em segredo determinadas informações. de modo que outros não possam discernir a presença ou o conteúdo da mensagem oculta.” (STALLING. porém. pode-se dizer que a esteganografia pode ser realizada em dois níveis. que os arquivos efetivamente transmitidos (ou armazenados) possam ter dados embutidos dentro de si. “A esteganografia é uma técnica para esconder uma mensagem secreta dentro de uma maior. conforme descrito a seguir. possibilitando assim o seu livre compartilhamento e tráfego pela rede de uma organização. a existência da informação (como uma mensagem oculta dentro de um arquivo de áudio em MP3). A diferença entre criptografia e a esteganografia é que a primeira esconde a informação e a segunda. Isso facilitaria o roubo de informações. Com isso. após o software malicioso ser inserido dentro de uma mensagem de cobertura. por exemplo. Segundo Carmona (2005). Outra possibilidade seria a transmissão de diversos documentos de textos escondidos em um arquivo de MP3. na verdade. ademais. Arquivos de imagem e áudio podem ser exemplos de portadores de informações. um arquivo de imagem. sua descoberta. 2008. 61 .

Por meio da criptografia. que é uma chave controladora de acesso à mensagem que está oculta no “estego-objeto”. Essa chave é utilizada quando se deseja saber o que está escondido em um falso arquivo ou até mesmo recuperar o arquivo. Uma dessas ferramentas de esteganografia disponível é o “Invisible Secrets 4” . Essa ferramenta possui dentre outras funções. Esta seria a “estego-chave”. O resultado final da Figura 14 representa um exemplo de aplicação da esteganografia de segundo nível conforme definida por Carmona (2005). abaixo. Para isso. a capacidade de cifrar arquivos. em virtude dos avanços tecnológicos da esteganografia. pode-se encontrar ferramentas gratuitas que permitem a aplicação do processo de esteganografia em arquivos. software cuja tela é mostrada na figura 15. TALITA. Hoje em dia. p. FOLTRAN JR. nem sempre essas ferramentas chegam a serem capazes de identificar uma mensagem oculta. utiliza-se a esteganografia com o auxílio da criptografia.4.Figura 14 – Exemplo de ocultação de uma mensagem usando esteganografia Fonte: RODRIGUES. além de realizar a esteganografia conforme explicado neste subitem. caso não se detenha a posse da chave de tradução do código. 2010. os peritos digitais possuem ferramentas que podem ajudar no trabalho de identificação de arquivos ocultados por meio da esteganografia. mas também evitar que algum usuário não autorizado tenha acesso a ela. fazendo com que não seja possível ler as informações armazenadas. é possível cifrar os dados. DIERONE. em que se pretende não apenas ocultar a existência da mensagem efetivamente transmitida. e que possui a uma versão de 15 (quinze) dias para teste. Porém.. 62 . Entretanto.

isto é. os dados também podem ser escondidos em locais que não sejam afetados ou que sejam ignorados pelas ferramentas de análiseforense atuais. 63 . em blocos marcados como defeituosos para leitura/escrita pelo sistema operacional.3 Escondendo Dados Genéricos Segundo Garfinkel (2007). FragFS – Esconde dados dentro de uma tabela de arquivos denominado NTFS Master. RuneFS (Grugq 2003) – armazena os dados em bad blocks.3.Figura 15 – Menu Invisible Secrets 3. Data Mule FS – armazena informações nas paginas não alocadas de arquivos do Microsoft Office. KY FS – armazena dados em diretórios. tem-se: Metasploit’s Slacker – essa ferramenta vai esconder informações dentro do espaço existente nos sistemas de arquivos FAT ou NTFS. Dentre essas ferramentas citadas por Garfinkel (2007).

3. estes streams são facilmente visíveis. Figura 16 . O ADS é utilizado como técnica antiforense para quem quer esconder um arquivo dentro de um outro sem alterar o arquivo base dificultando assim que ele seja encontrado. Posteriormente. a pasta criada foi denominada “DionisonPteste”. conforme se pode observar na figura 16. Segue um exemplo de comandos no “prompt de comando” para criação de um arquivo. (PAIVA. Os ADSs são invisíveis para as ferramentas de exploração convencionais.Visualização da pasta criada Fonte: Prompt de comando 64 . Cria-se.3. Mas através de softwares forenses ou específicos. por exemplo. não alterando o arquivo original. existindo comandos simples que permitem ativá-lo e ocultar um arquivo em outro. no entanto.txt com um outro arquivo oculto. p. faz-se acesso a esta pasta. uma pasta na unidade C. 2009. conforme Figura 17.4 Alternate Data Streams – ADS O Alternate Data Streams é originário do sistema de arquivos NTFS permitindo embutir um arquivo dentro de outro.71) A utilização e criação do ADS não requer um conhecimento muito avançado. exemplo. Esse recurso foi criado para ser compatível com sistemas de arquivos utilizado pela Machintosh o HFS (Hierarchical File System). esta é a grande motivação para esconder informações ou programas maliciosos como trojans que podem ser executados nos sistemas. Neste.

conteúdo normal.txt e colocam-se neste arquivo os dizeres “conteúdo normal” com o comando echo conteúdo normal>ads. ou seja. conforme pode-se observar na Figura 18.txt Fonte: Prompt de comando Figura 19 – Conteúdo do arquivo ads Fonte: Bloco de notas 65 . como se verifica na Figura 19. Figura 18 – Criação do arquivo ads.Figura 17 – Acessando a pasta criada Fonte: prompt de comando Cria-se um arquivo comum.txt. Agora abre-se o arquivo c:\dionisonpteste\ads.txt. por exemplo.txt por meio do utilitário bloco de notas através do comando start ads. ads. No bloco de notas será exibido o que foi escrito.

txt:secreto. Agora cria-se uma stream do arquivo ads que não aparecerá. Após a execução desse comando o arquivo ads. conforme Figura 21.txt possui uma stream denominada ‘secreto’ ligada a ele. novamente. Abre-se. Figura 21 – Criação do arquivo secreto Fonte: Prompt de comando 66 . tão somente. a expressão “conteudo normal”.No prompt de comando observa-se na Figura 20 que o arquivo ads possui 17 bytes. Figura 20 – Tamanho do arquivo ads Fonte: Prompt de comando Usa-se o comando echo conteudo oculto em ads > ads. ainda. Nesse caso. o arquivo no Bloco de Notas e será possível ver. Os dois pontos separam o nome do arquivo do nome da ADS. cria-se uma stream adicional com o nome de secreto.

2009. Porém. Este é um bom recurso para esconder alguns programas maliciosos. conforme Figura 22. “Partindo desta mesma filosofia.Ao digitar o comando dir verifica-se que o tamanho do arquivo ads é o mesmo. motivando assim sua utilização para esconder informações ou programas maliciosos. p.3. O comando more<ads. Figura 22 – Conteúdo arquivo secreto Fonte: Prompt de comando Para apagar o arquivo secreto deve-se apagar o arquivo original. 3. Observa-se que os ADSs são invisíveis para as ferramentas de exploração comuns. Os ADS podem conter arquivos simples como texto e até mesmo arquivos executáveis. No Windows Explorer não é possível ver o conteúdo do arquivo secreto e nem se o arquivo original possui alguma stream ligada a ele.txt:secreto permite ler o conteúdo secreto. conforme Figura 21. o mesmo pode ser executado.” (PAIVA.5 Slack Space Slack space é o espaço entre o final e o início de um bloco no disco rígido. é possível criar também uma stream com um arquivo executável relacionado com um arquivo TXT. e a partir daí.73). A grande maioria dos softwares forenses não procura informações que estão 67 . ADSs podem ser facilmente detectados através de ferramentas forenses ou específicas.

Contudo. isso não ocorre com frequência. 25 Fonte: http://forensics.br/2011/04/file-slack-space. mediante acréscimo de dados. Raramente o tamanho de um arquivo tem exatamente o tamanho de um bloco. permitindo que ele seja uma ótima opção para ocultar informações.luizrabelo.escondidas nesses locais. os blocos seriam usados em sua integralidade. O sistema operacional marca os blocos que contêm o slack space como utilizados. Esses somente serão empregados ou sobrescritos pelo sistema de arquivos caso a área ocupada seja expandida. Com isso. O slack space é o espaço que sobra e que não é utilizado no final de um arquivo. Essa técnica encontra paralelo na ADS no NTFS. discutida na seção anterior. pode ser facilmente identificada empregando ferramentas de análise forense. é comum que o ultimo bloco não seja utilizado totalmente. o bloco inteiro é reservado para o dado a ser gravado. no entanto. ocultar informações no slack space é a mais famosa entre as técnicas antiforense. permitindo assim que eles se tornem um local perfeito para esconder informações. A existência dessa técnica deve-se ao fato de que mesmo que os dados reais que estão sendo armazenados requeiram menos espaço do que o tamanho do bloco. fazendo com que o sistema operacional não possa enxergá-lo. o sistema de arquivos não o referencia.html 68 . conforme se pode observar abaixo: Figura 23 – Formação do Slack Space 25 Como o slack space é um espaço que não é utilizado. De acordo com Paiva (2009).com. Se assim acontecer. A ADS. que é também um local perfeito para o invasor esconder os seus dados maliciosos do usuário. pois não é facilmente visível para o perito.

” (SYMANTEC. M. além de ocultar arquivos e outras informações que possam acusar a presença de um invasor na rede.Para o armazenamento. Essas ferramentas são necessárias. 3. Uma das características dos rootkits é a de poder anular chamadas do sistema operacional (chamadas ao supervisor). S. os arquivos e as conexões utilizados pelo atacante. and NELSON. por exemplo. rootkits baseados em LKM: “Esses programas conseguem alterar dinamicamente os módulos do núcleo do sistema operacional porque são capazes de modificar as 26 KLAUS. 2010). Um invasor usa um rootkit para obter acesso em nível de administrador a um computador. Essas ferramentas. FOLTRAN Jr. é preciso utilizar ferramentas especializadas. 2011). também permitem que o atacante possa realizar novo acesso posteriormente. como. 69 . Métodos para detecção local de rootkits e módulos de kernel maliciosos em sistemas Unix.3. detecção e recuperação de informações em slack spaces. rootkits são programas que têm como objetivo ocultar os vestígios que o invasor possa vir a deixar ao realizar uma tentativa de invasão a um sistema. Os programas rootkits podem ser classificados em tradicionais ou baseados como Loaded Kernel Modules (LKM): rootkits tradicionais: “são aqueles que possuem versões de comandos do sistema alterados. o BMAP e o SLACKER. sendo que esses comandos servem para ocultar informações dos processos. “Um rootkit é semelhante a uma ferramenta de hacker. 2001.6 Rootkits De acordo com Cardoso (2008).” Klaus26 (apud RODRIGUES. pois o sistema operacional ignora as informações armazenadas em slack spaces.

as empresas criam grupos de permissões de acessos para seus sistemas que estão sob monitoramento dos administradores da rede. permitindo sua entrada no sistema. Para isso. NEUKAMP. As senhas e identificação desses usuários administradores devem estar sob proteção mais forte do que a dos demais.chamadas de sistema” Pereira27 (apud RODRIGUES. O que liga um usuário/senha a um grupo de acesso. 28 Fonte: http://www.htm 70 . FOLTRAN Jr. técnicas e ferramentas que facilitem a realização de invasões e o roubo ou comprometimento de informações. há um grande estímulo para que uma ampla gama de potenciais criminosos passem a criar métodos. Normalmente. Naturalmente. E. tecnologias e desafios atuais. P et al. o intruso tem como objetivo geral ter acesso a um sistema ou até mesmo obter certo nível de privilégios em relação a esse sistema. é um arquivo que o sistema mantém. ele busca ter acesso ao arquivo que vincula usuários e senhas.br/segurança/13163-crimes-virtuais-geram-mais-prejuizo-do-quetrafico-de-drogas. 2010). 2007. de resposta ou de incidentes.com. FAGUNDES. Burdach (2011) menciona a ferramenta Rootkits Advanced. Forense Computacional: fundamentos. Os rootkits baseados em LKM surgiram em 1997. O eventual acesso a esse arquivo permitiria que esse atacante viesse a obter uma lista com todas as senhas de todos os usuários do sistema. Conforme definido por Stallings (2008). Caso ele consiga efetuar esse tipo de acesso. que pode facilmente enganar as ferramentas dos peritos de coleta de evidências. Esse arquivo faz uma associação de cada senha a cada usuário. existem maneiras de se proteger 27 PEREIRA.4 Técnicas de Invasão Uma vez que os crimes cibernéticos são mais rentáveis que o tráfico de entorpecentes28. ele possuirá certas informações que deveriam estar muito bem protegidas.tecmundo. sendo programas maliciosos capazes de alterar a funcionalidade de um determinado sistema sem a necessidade de reinicialização. 3. L.

costuma ser utilizadas as seguintes técnicas: • • Tentativa de senhas-padrão com contas padrão. alguns indícios de senhas em fotos. Controle de Acesso: o acesso ao arquivo de senhas é limitado a somente uma ou poucas contas. números de documentos pessoais. livros ou no local de trabalho. mesmo que o atacante tenha acesso ao arquivo de senhas. que são implementadas na maioria dos sistemas operacionais modernos: Função unidirecional: o sistema não armazena a senha propriamente dita em um arquivo. nomes de conjugues e filhos. como senha de palavras relacionadas ao próprio usuário. • Tentativa de utilização. Segundo Stallings (2008). Realização de escuta clandestina na linha de comunicação entre um usuário remoto e um sistema host. a fim de permitir o acesso ao sistema. por exemplo) calculada a partir da senha digitada pelo usuário. números de sala. mas apenas o valor da função unidirecional calculada a partir da senha. tais como nomes completos. Tentativa de utilização em sequência de todas as senhas curtas possíveis (indo de um a três caracteres).essas informações contra invasores. mas sim o resultado de uma função unidirecional (uma função de hash com qualidade criptográfica. de números de placas de automóveis legítimos do estado. como senha. Dessa maneira. de números de telefones dos usuários. • Tentativa de utilização. como senha. • Tentativa de utilização. a partir de dados esses coletados previamente. A fim de obter esse resultado. para burlar esse método será necessário grande esforço por parte do intruso para ter acesso não autorizado ao sistema. 71 • • . • • Utilização de um cavalo de tróia para contornar a restrições de acesso. não conseguirá obter a senha do usuário a partir dele. • Tentativa de utilização de senhas de uma lista de senhas prováveis que ficam disponíveis em informativos para hackers.

4 CONSIDERAÇÕES FINAIS

Como discutido neste trabalho, a expansão da utilização da Internet tem resultado no aumento dos crimes cibernéticos. Esse aumento evidência a necessidade de existência de profissionais capazes de identificar os causadores desses ataques, a partir das evidências deixadas por eles. Esses profissionais são os peritos em forense computacional. Este estudo apresentou algumas das ferramentas utilizadas pelos peritos que facilitam e otimizam as tarefas executadas para a análise e coleta de indícios (que podem tornar-se evidências), podendo assim combater técnicas de antianálise forense, utilizadas por invasores ou criminosos29. Porém, há ferramentas e técnicas utilizadas pela antianálise, que existem especialmente para poder dificultar o trabalho dos peritos na busca de evidências de um crime cibernético. O estudo dessas técnicas, outrora discutidas, é importante para que seja possível aprender e entender como os criminosos cibernéticos agem e pensam. Desta forma, os peritos podem coletar vestígios/evidências mais significativas até mesmo em uma situação em que tenham sido tomadas providências para eliminá-lo(a)s. A antianálise forense busca estar sempre um passo à frente da forense computacional, a fim de dificultar e até mesmo inviabilizar as provas que os peritos procuram. Além da falta de leis que punem os criminosos "virtuais", a antianálise forense é uma técnica nova e que não é conhecida ainda nos meios profissionais, sendo essa uma de suas grandes vantagens. Pode-se observar que, nesse conflito a perícia pode não obter respostas, ou até mesmo, ser induzida a evidências falsas, o que dificultaria sobremaneira a apuração de ilícitos e provocar injustiças, levando um inocente a ser declarado culpado, por exemplo. Assim sendo, na busca constante do conhecimento e do aprimoramento, objetivo que deve ser permanentemente perseguido pelos peritos, a antianálise forense deve ser levada em consideração e, mais que isso, as suas técnicas devem ser sempre estudadas e testadas.

29

Naturalmente, técnicas de antianálise forense também podem ser usadas para fins legalmente aprovados, por razões de segurança, quando, por exemplo, um governo realiza investigações e quer manter o anonimato dessas investigações ou por questão de segurança nacional.

72

Diante do que foi discutido e apresentado neste trabalho, pode-se concluir que os analistas forenses dispõem de ferramentas que lhes permite combater os crimes eletrônicos, ainda que os criminosos recorram às técnicas e métodos da antianálise forense para praticá-los. Para isso, no entanto, esses profissionais devem procurar identificar falhas nos procedimentos utilizados por aqueles que praticam crimes eletrônicos, estudando o seu modus operandi, isto é a sua forma de atuação, a fim de estabelecer a melhor maneira de combatê-los. Essa busca por aprimoramento dos peritos forenses deve ser constante, uma vez que os criminosos também vêm atualizando permanentemente seu leque de técnicas de ataque, a fim de aperfeiçoá-las, procurando não deixar vestígios que sejam encontrados pelos peritos forenses.

73

5 REFERÊNCIAS BIBLIOGRÁFICAS

ACCESSDATA. Disponível em: <http://accessdata.com/products/computerforensics/ftk>. Acesso em: 14 abr. 2012. BORGES, Cássio Henrique; et. al. 2010. Disponível em: <http://informaticauniaraxa.blogspot.com/2010/11/ferramentas-mais-utilizadas-napericia.html> Acesso em: 27 mar. 2012. BUSTAMANTE, Leonardo. Introdução à computação forense. 2006. Disponível em: <http://www.imasters.com.br/artigo/4175/forense/introducao>. Acesso em: 24 mar. 2012. BURDACH, Mariusz. Finding Digital Evidence In Physcical Memory. 2011. Disponível em: <http://www.ise.gmu.edu/~astavrou/courses/ISA_785_F11/bh-fed-06burdach-up.pdf> . Acesso em: 2 jun. 2012. CASTRO, Carla Rodrigues Araújo de. Crimes de Informática e Seus Aspectos Processuais. 2003. Editora Lumen Juris. 2º Edição, Rio de Janeiro. CARDOSO, Thiago Xavier. Análise Forense. 2008. Disponível em: < http://www.gta.ufrj.br/grad/08_1/forense/Introduo.html>. Acesso em: 29 mar. 2012. CARMONA, Tadeu. Segredos da Espionagem Digital: Desvende o Submundo Hacker. Digerati Editorial, 2005. CBL – Recuperação de Dados. Destruição de Dados. 2012. Disponível em: < http://www.cbltech.com.br/destruicao-dados/ >. Acesso em: 02 jun. 2012 CEPLAN - Centro Educacional do Planalto Norte. Segurança da Informação. Disponível em: <http://antiga.ceplan.udesc.br/seguranca/ataque.html>. Acesso em: 14 abr. 2012. DRIEMEYER, Marco. GUIA DE UTILIZAÇÃO DO TRUECRYPT. 2011. Disponível em: <http://docs.titansware.com.br/outros/truecrypt> Acesso em: 08 abr. 2012. Forense Computacional. Processo de Investigação. Disponível <https://sites.google.com/a/cristiantm.com.br/forense/forensecomputacional/processo-de-investigacao> Acesso em: 01 abr. 2012. em:

74

l. Kevin D.109. Maurício Rocha. 2008. 2012. Acesso em: 20 abr.1. Acesso em: 2 jun.homelinux.ufrgs. 278 p. tradução Ariovaldo Griesi. Disponível em: < http://www. Célio Cardoso et al. William L. revisão técnica Jonas Santiago de Oliveira. LYRA. Aspectos Gerais de Forense Computacional – Unisinos.ist.br/2009/09/23/o-que-e-seguranca-dainformacao/>.com. Acesso em: 23 jun.uol. Fourozan com a colaboração de Sophia Chung Fegan. Acesso em: 08 abr.com.pdf >. IBPI 2003.br/info/general/andrey-freitas.: s. 2003. A. Ed. GUIMARÃES. FREITAS. A Arte de Enganar: Ataque de Hackers: Controlando o Fator Humano na Segurança da Informação. GARFINKEL. Simson. SIMON.org/ficpos/forense/apresentacao_crimes_na_internet.google. Detection and Countermeasures. 75 .br/gt/?p=128> Acesso em: 15 abr. 2004.edu%2Fviewdoc%2Fdownload%3Fd oi%3D10. 2008.com. São Paulo: MacGraw-Hill. Marcos Vinicius da Silva.com. 2007. FREITAS. 2012. 4. MENEGOTTO.. O que é Segurança Informação?.br/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CF QQFjAA&url=http%3A%2F%2Fciteseerx.1. 2012.br/ceseg/anais/2001/14.php> Acesso em: 14 abr. Disponível em <http://www. Disponível em: <http://labcom. MITNICK.pdf>.São Paulo: Pearson Education do Brasil. 2009.legaltech. Perícia Forense Aplicada à Informática. Disponível em:< http://lucaszc. Victor Hugo. 2012. MILAGRE.com. 06 p. 2012. Disponível em: <http://webinsider. Anti-Forensics: Techniques. Andrey Rodrigues de. José Antonio.guiatecnico. 2012.FOROUZAN. SILVA JUNIOR. Cadeia de Custódia.pdf> Acesso em: 06 jul..br/consultoria-periciasauditoria. Forense Computacional: Aspectos Legais e Padronização. Andrey Rodrigues de. 2011.5063%26rep%3Drep1%26type%3Dpdf&ei=J2TKT9K0For48wSOhI WMDw&usg=AFQjCNHgOjiW9JkGma3qpav7e8Vn3oERtA>.].n.inf. LegalTech – Consultoria em Perícias e Auditorias. Rio de Janeiro: Editora Ciência Moderna Ltda. 2012. São Leopoldo.linuxsecurity. 2001. Disponível em:< http://www.psu. Comunicação de dados e redes de computadores/Behrouz A. Disponível em: <http://www. 2009. Behrouz A. Segurança e Auditoria em Sistemas de Informação. [S.

1ª Ed. QUEIROZ. Disciplina presencial de Teoria Geral dos Sistemas do curso de Tecnologia em Análise e Desenvolvimento de Sistemas. NAKAMURA. Ernani E. São Paulo: Novatec Editora. 2012. Acesso em: 29 mar. Jadilson Alves de.pdf>. Maria Isabel. 2010.ispgaya. L. Análise Forense. Práticas Anti-Forense: Um Estudo de seus impactos na Forense Computacional. 2009.pdf>. Faculdade Anhanguera. Disponível em: <http://www. Ernani E. SOUZA. Belo Horizonte. VARGAS. 2009. RODRIGUES. Dierone César. 2010.br/profmarcio/obras/Jadilson%20-%20AntiForense. Revista de Engenharia e Tecnologia. Emilio T. FOLTRAN JR. RIBEIRO. D. Thalita Scharr. 2007. 2006.br:8080/riuepg/bitstream/handle/123456789/530/ARTIGO_AnaliseFerr amentasForenses. 2009. SOUZA. 94.9.html> Acesso em: 29 mar. João Pessoa . Monografia (Especialista em Segurança da Informação). 2009. Belo Horizonte.br/grad/06_2/alexandre/index.MOREIRA. Disponível em: < http://www. Disponível em: <http://www. 2012. p.ufrj.pdf?sequence=1>.pt/documentacao/anti-analise. ANÁLISE DE FERRAMENTAS FORENSES NA INVESTIGAÇÃO DIGITAL. Tony.eti.uepg. 2003. Alexandre de Oliveira. Rafael. Claudemir. Investigação e Perícia Forense Computacional. RODRIGUES. 2011. Acessado em: 29 mar. Revista InfoExame. Crimes Mais Frequentes.forense.nogueira. São Paulo. Segurança de Redes em Ambientes Cooperativos. PAIVA.Faculdade de Tecnologia IBRATEC. 76 . Rio de janeiro: Brasport.slideshare. 2012 SILVA. Luís Miguel. Disponível em: <http://ri. Ed. P. Introdução a Forense Computacional. 102 p. Acesso em: 25 mar. 2012. Disponível em: <http://lms.gta. Programação Segura.PB.net/tonyrodrigues/forensecomputacionalintroducao> Acesso em: 06 jul.. Faculdade Anhanguera. GEUS. 2012. Disciplina presencial de Segurança e Auditoria de Sistemas do curso de Sistemas de Informação. 139 p. 2012..

symantec. 2008. Metodologias de detecção de vestígios biológicos forenses. Forense Computacional com Software Livre. Criptografia e Segurança de Redes. VAZ.pt/bitstream/10773/798/1/2009000584.com/pt/br/security_response/glossary/define.br/2011/arquivos/palestras/Forense%20Computacion al%20com%20Software%20Livre. Rootkit. 77 .pdf>.2012 VIEIRA. Willian.jsp?letter=r&word =rootkit>. 135 f. Disponível em: <http://www.com. 2011. Luiz. Acesso em: 29 abr.ua. SYMANTEC. Disponível em: <http://www. Departamento de Biologia.trackerti. 2012. Acesso em: 20 jun. 2008. Universidade de Aveiro.pdf>.com/consult/view/name/analise-vulnerabilidades> Acesso em: 14 abr. Disponível em: <http://forumsoftwarelivre. Análise Vulnerabilidades. 2012 TRACER Segurança da Informação LTDA. Disponível em: <http://ria. Josiana.STALLINGS. Acesso em: 19 de maio de 2012. São Paulo: Pearson Prentice Hall. Dissertação de mestrado. 2008. Aveiro.