Análise Forense e Criptografia

Gleicilenio Holanda Oliveira Henrique Pereira de Souza
Faculdade Projeção Faculdade Projeção
Taguatinga – DF, Brasil Taguatinga – DF, Brasil
gleissongt@hotmail.com Henrique.souzabsb@hotmail.com

Resumo
Atualmente, com a popularização da tecnologia há um numero crescente de pessoas que utilizam
desta tecnologia para praticar atividades ilícitas, o que fez surgir técnicas para proteger informações e
auxiliar a justiça na busca de evidencias destes crimes nos meios digitais. Neste artigo abordamos sobre
análise forense e as técnicas que auxiliam na busca de evidências e sobre a criptografia e suas várias
técnicas de Encriptação de dados.

Abstract
Currently, with the popularization of technology for a growing number of people who use this
technology to practice illicit activities, leading to the rise techniques to protect information and help in
seeking justice for these crimes evidence in digital media. This paper discusses about forensic analysis
and techniques that help in the search for evidence and on the encryption and its various techniques of
data encryption.

Palavras chaves: Análise Forense, Arquivos, Recuperação de Dados, HD, Criptografia, Informação, chave
única, chave publica, chave privada, Assinatura Digital, SSL.

Key words: Analysis Forensic Files, Data Recovery, HD, encryption, information, unique key, public
key, private key, Digital Signature, SSL.

Introdução As ultimas décadas foram marcadas pela integração dos computadores no cotidiano das pessoas. Apresentar o resultado da análise. que exija o uso de recursos sofisticados para rastreamentos em dispositivos de armazenamento digital. criptografados e. Entretanto há um número crescente de criminosos que tentam esconder ou apagar dados provenientes de crimes. Este artigo irá tratar de técnicas de criptografia e os alguns métodos utilizados na análise forense. ou ate mesmo deletados. Preservar a evidência. Através de um conjunto de aplicações pode-se determinar se ele foi ou está sendo utilizado para fins ilegais. informação e entretenimento à sistemas de controle de tráfego aéreo. Recuperação de Dados A busca por evidências de crimes nos sistemas computacionais muitas vezes ocorrem de maneira não muito complexa.Análise Forense A Análise Forense em computadores compreende a aquisição. disseminação de pornografia infantil. A conectividade oferecida pela Internet também introduziu uma serie de novas facilidades no dia a dia das pessoas. mostrados a seguir: Arquivos Deletados Um arquivo deletado pode ser facilmente recuperado. restauração. Estas provas podem ser obtidas através da análise forense. entre outras possibilidades. analise e documentação de evidencias computacionais. Analisar a evidência. desde de um simples computador pessoal que é usado como fonte de educação. Por conta desses crimes. dessa forma . identificação. Identificar fontes de evidência aceitas pelo sistema legal. houve a necessidade de se criar métodos de segurança para proteger as informações. preservação. 2 . sendo a criptografia uma das mais utilizadas. Para estes. extração. 2. a criptografia dos dados. Hoje a informática está presente nos diferentes segmentos da sociedade.1 . permitindo o acesso anônimo aos mais variados tipos de informações e sistemas. contidos no ponteiro. existem métodos que conseguem recuperar dados escondidos. 3. Porem. quer sejam componentes físicos ou dados que foram processados eletronicamente. Basicamente uma Análise Forense consiste de quatro passos: 1. mas sim os dados do endereçamento que o remete. Os especialistas dessa área geralmente investigam os meios de armazenamento de dados. tentando conseguir alguma informação relevante. roubo de informações confidenciais). as comunicações. Isso ocorre porque o processo remoção do arquivo não consiste em remove-lo do dispositivo de armazenamento. hoje a tecnologia dos computadores é utilizada em um numero crescente de atividades ilícitas(invasão de sistemas bancários. Por outro lado também há a necessidade de se obter evidencias eletrônicas que provem a utilização dos computadores para consumação destes crimes. 4.

como 512 bytes.disponibilizando aquela área de memória para que outro dado possa ser armazenado. O dado pode ser escrito dentro deste espaço sem problemas. tornando possível algum investigador também poder descobrir o que o usuário tinha na memória volátil quando o arquivo foi escrito em disco. Geralmente essas evidências são abandonadas por usuários inexperientes. deixando assim. pois os programas fazem esses armazenamentos de forma não muito transparente. reavendo-os de forma integra ou não. Análise Física Esta análise consiste em fazer um mapeamento magnético do disco ou dispositivo em questão. Análises físicas podem ser feitas em qualquer mídia de armazenamento onde haja a remanescência de dados como HDs. porém quando o setor for sobrescrito a informação contida nele é perdida. vestígios dos dados pelo HD. Uma informação também pode ser escondida quando um arquivo é armazenado em um setor de tamanho maior que ele. e nenhuma linha tem a mesma circunferência que outra. Alguns sistemas operacionais utilizam função de preenchimento para completar os espaços que faltam em um setor baseados no estado da memória RAM. se nenhum arquivo já estiver sido alocado no mesmo endereço de memória. preferências. Este procedimento é possível porque o alinhamento vertical e horizontal das cabeças leitoras do disco não é exatamente o mesmo a cada processo de armazenamento de dados. este e um processo lento e caro. Essa reorganização (endereçamento) é feitos através de softwares que dêem suporte ao sistema de arquivos utilizado no dispositivo. ainda sim é possível fazer uma análise magnética para identificar o dado anteriormente armazenado naquele espaço de memória. Mesmo num HD destruído ou com arquivos sobrescritos. Dessa forma. Sua recuperação é feita através de uma reorganização dos dados espalhados pelo dispositivo. históricos da internet que podem ser facilmente recuperados. e é possível esconder dados nele. Dados Escondidos no HD Esse tipo de rastreamento de dados trabalha com as áreas do disco que são disperdiçadas durante uma formatação. Esse espaço desperdiçado é chamado de intervalo de setor. para um HD manter os dados armazenados em setores iguais para todas as linhas. Muitos programas possuem a função de armazenamento de dados para automatizar atividades rotineiras dos usuários. Evidências Esquecidas Esse tipo de investigação trabalha com o armazenamento automático de informações. Diferentemente do processo de recuperação em arquivos somente deletados. cartões de memória e pen drives. algum espaço é desperdiçado quando sobra uma fração de um setor em alguma linha. feito por especialistas com equipamentos desenvolvidos para este tipo de análise. Hard Disks armazenam as informações em linhas radiais. deixando um espaço sobrando nesse setor. Um setor do disco é uma unidade fixa de espaço. .

e sim na chave. que é convertida em um número. garantido que nem mesmo o autor do algoritmo seja capaz de decifrar uma mensagem sem o conhecimento da chave. é preciso garantir a segurança destes dados para que a rede não esteja sujeita a ações como roubo ou alterações de informações. bastava que o receptor da informação conhecesse esse algoritmo para poder extraí-la. incluindo informações sigilosas. Os primeiros métodos criptográficos existentes usavam apenas um algoritmo de codificação. No entanto. faz se necessário apenas estar conectado fisicamente por onde os dados estão sendo trafegados. utilizado pelos métodos de criptografia para codificar e decodificar mensagens. dos egípcios. claro que essa interceptação é ilegal. Com o uso de chaves. Os métodos de criptografia atuais são mais seguros e eficientes e baseiam-se no uso de uma ou mais chaves. Para isso é preciso saber qual o protocolo de comunicação utilizado e também como realizar a tarefa de decifrar/descriptografar a mensagem. Isto ocorre porque uma rede transmite uma grande quantidade de informações. se um intruso tivesse posse desse algoritmo.Criptografia Criptografia é o ato de codificar dados em informações aparentemente sem sentido. Basta que cada um receba uma chave diferente e caso um receptor perca ou exponha determinada chave. Alem da criptografia temos a criptoanálise. essa interceptação pode ocorrer de forma bem simples. de acordo com o tipo de chave utilizada: a criptografia de chave única e a criptografia de chave pública e privada. Atualmente. o que exige a autorização por meio de um mandato judicial. Da junção das duas ciências temos criptologia. É uma ciência utilizada desde a antigüidade. ondas de rádio vindas de um satélite ou antena.Interceptação de Dados na Rede Para se interceptar dados numa rede. A complicação desse tipo de investigação não está na aquisição da informação. no sistema de escrita hieroglífica. mas sim entender o que foi transmitido. ou a luz transmitida pela fibra óptica. não mais baseado em algoritmos de codificação e decodificação. os métodos criptográficos podem ser subdivididos em duas grandes categorias. um emissor pode usar o mesmo algoritmo para vários receptores. Numa rede de comunicação sem fio. poderia efetuar um processo de decifragem. basta apenas estar dentro do raio de alcance do sinal onde a informação esta sendo transmitida. para que somente aquele que enviou e aquele que recebeu a informação tenham acesso ao seu conteúdo. seja ela a eletricidade de um cabo de rede ethernet. é possível trocá-la. A chave é uma seqüência de caracteres. e vitais para as organizações. . dígitos e símbolos. 3 . estratégicas. sem conhecer a chave. a criptografia está relacionada com a segurança de sistemas. mantendo-se o mesmo algoritmo. desde proteger documentos secretos á ambientes que utilizam redes de computadores. que é a ciência de determinar a chave ou o conteúdo de mensagens cifradas. Hoje. caso capturasse os dados criptografados. que pode conter letras.

O RSA (Rivest-Shamir-Adleman) é o algoritmo que se tornou mais conhecido para este tipo de sistema. a chave privada no RSA são os números multiplicados e a chave pública é o valor obtido. não necessitando de um meio seguro para que chaves sejam combinadas antecipadamente.Criptografia de chave única ou simetrica: A criptografia de chave única utiliza a mesma chave tanto para codificar quanto para decodificar mensagens. pois é necessário usar uma grande quantidade de chaves quando há muitas pessoas ou entidades envolvidas e ainda o fato de que tanto o emissor quanto o receptor precisam conhecer a mesma chave. como o ElGamal. que faz uso de "logaritmo discreto" para se tornar seguro. consiste na criação de um código utilizando uma chave privada. que é um ciframento composto de blocos de 64 bits. que faz uso de chaves de 56 bits com mais 8 bits para paridade. esta só poderá ser decodificada pela chave privada e vice-versa. Criado em 1977 por Ron Rivest. Sua segurança é baseada na dificuldade de se fatorar um produto no caso de dois números primos extensos sejam usados na multiplicação. tornando essa tarefa inviável. será necessário um grande processamento para descobrí-los. Assinatura Digital A assinatura digital é um mecanismo eletrônico que faz uso de criptografia. DSA (Digital Signature Algorithm) e o Schnorr Diffie-Hellman. E outra privada. Adi Shamir e Len Adleman nos laboratórios do MIT (Massachusetts Institute of Technology). Utilizado freqüentemente em assinaturas digitais. que é mantida em segredo pelo seu proprietário. em blocos de 64 bits. uma das chaves é publicada e acessível aos usuários. Quando a chave pública é usada para codificar uma mensagem. O DES pode ser quebrado pelo método da “força bruta” tentando-se todas 256 combinações possíveis. quando comparado ao método de criptografia de chave única ele tem como principal vantagem a livre distribuição de chaves públicas. Apesar destes métodos serem bastante eficientes em relação ao tempo gasto para codificar e decodificar mensagens sua utilização não é recomendada em situações onde a informação é muito valiosa. Um algoritmo utilizado neste tipo de sistema é o DES (data encription standard) criado pela IBM em 1977. Apesar deste método ter o desempenho bem inferior em relação ao tempo de processamento. Nele. substituições dentre outras operações. Criptografia de chave Publica e Privada Neste método é utilizado pares de chaves onde cada usuário possui um par de chaves. o emissor tem de possuir um documento eletrônico e a chave pública do destinatário. existem outros algoritmos que implementa a criptografia de chave simétrica tais como IDEA (International Data Encryption Algorithm) que é um algoritmo que faz uso de chaves de 128 bits e que tem uma estrutura semelhante ao DES e o RC (Ron's Code ou Rivest Cipher) muito utilizado em e-mails e faz uso de chaves que vão de 8 a 1024 bits. Basicamente. Através de algoritmos como o . números primos são utilizados da seguinte forma: dois números primos são multiplicados para se obter um terceiro valor. denominada chave pública. o algoritmo realiza uma série de transposições. Existem ainda outros algoritmos. Para cifrar uma mensagem. correspondendo a 72 quatrilhões de combinações.

O site utiliza sua chave privada para decodificar a mensagem e identificar a chave única que será utilizada. Desta forma o browser do usuário e o site podem transmitir informações. SSL Um exemplo que combina a utilização dos métodos de criptografia de chave única e de chaves pública e privada são as conexões seguras. estabelecidas entre o browser de um usuário e um site. não é verdadeira. aumentando assim o nível de segurança. O fato de assinar uma mensagem não significa que ela será sigilosa. obtendo a chave pública do certificado da instituição que mantém o site. será preciso codificá-la com a chave pública do receptor e depois de assiná-la. implementado pelo protocolo SSL (Secure Socket Layer) e o browser do usuário informa ao site qual será a chave única utilizada na conexão segura. A chave única é trocada em intervalos de tempo. baixa músicas. A segurança deste método se baseia no fato de que a chave privada é conhecida apenas pelo seu dono. etc. Desta forma quem recebeu o documento eletrônico pode verificar se o mesmo foi emitido por uma determinada entidade ou pessoa. pois pensa que não será pego. Também falamos da vertente da investigação policial especializada neste tipo de crime chamada de Análise Forense que se utiliza de técnicas e equipamentos para extrair evidências dos meios digitais utilizados para este tipo de crime. . a pessoa deixa rastros e que esta idéia de que o computador passa de anonimato e impunidade. quando você acessa á internet.Conclusão Neste Trabalho concluímos que com a popularização dos computadores. ou seja. o receptor receberá um documento inválido. Elas utilizam o método de criptografia de chave única. o que trouxe um desenvolvimento de técnicas para proteger informações e buscar provas de crimes através de métodos de investigação digital. houve um aumento dos chamados Crimes Digitais. o documento é cifrado de acordo com a chave pública. se qualquer bit for alterado. Se o emissor da mensagem quer ter certeza de que apenas o receptor terá acesso a seu conteúdo. filmes. O receptor usará sua chave privada correspondente para decifrar o documento. mostrando que como em qualquer crime. Então. 4 . sem se preocupar se está infringindo algum direito autoral. contendo a chave única a ser utilizada na conexão segura. em transações comerciais ou bancárias via Web. ele utiliza esta chave para codificar e enviar uma mensagem. de forma sigilosa e segura.da função hashing. A criptografia apresentada neste artigo mostrou-se uma técnica eficiente para proteger e transferir informações sigilosas.

Disponível em: <http://www.br/artigos/667> Análise Forense de Intrusões em Sistemas Computacionais. Disponível em: <www. 2003.clubedohardware.com.Referências Livro: Andrew S.reis-forense.pdf> .las. P.infowester. Disponível em: <http://www..com/criptografia. Tanenbaum.tecnicas.procedimentos..unicamp. Redes de computadores.br/. 864-868./2002-Pericia-marcelo.php> Criptografia. Referencias da internet: Criptografia.ic. 4º edição. Elsevier Editora.

Quando qualquer um desses sites quiser enviar uma informação criptografada ao site da Eletric World deverá utilizar a chave pública deste. onde o aplicativo Ethereal se encarregou de decifrar a criptografia. Caso queira enviar uma informação criptografada a outro site. capturados com a ferramenta "Ethereal". . Eletric World. somente será possível extraí-la com o uso da chave privada. que só o ele possui.Estudo de caso Criptografia Um site de venda de dispositivos eletrônicos online. o protocolo TCP na camada de transporte e o protocolo MSNMS na camada de aplicação. criou uma chave pública e a enviou a vários outros sites. Desta forma foi possível se obter toda a ameaça feita pelo criminoso. um comunicador instantâneo da Microsoft. Pode-se perceber que a pessoa estava utilizando o protocolo IP na camada de redes. deverá obter uma chave pública fornecida pelo site da Eletric World. um software livre. utilizou-se da interceptação de dados na rede. Abaixo temos o fluxo dos dados criptografados: Estudo de caso Análise Forense Uma investigação de ameaças feita a partir do aplicativo MSN Messenger. O investigador desejava descobrir as mensagens que uma pessoa estava enviando. Quando o mesmo receber essa informação.