Perícia Forense Computacional – Ferramentas Periciais

Perícia Forense Computacional – Ferramentas Periciais

A tecnologia dos computadores está envolvida em um número crescente de atividades ilícitas, como por exemplo, a utilização de Internet para enviar uma ameaça anônima ou somente na tentativa de disseminar um vírus para captação de dados ou não, contra uma rede de computadores vulnerável.

Os computadores podem conter evidências relacionadas a qualquer tipo de atividade ilícita, incluindo homicídio, estupro, armazenagem de uma operação de lavagem de dinheiro e registros financeiros falsos.

Mas para trabalhar com forense computacional é bom ter, não somente, uma visão superficial e sim uma visão mais profunda das armas reais e das armas hipotéticas possíveis, permitindo supor o que pode ter acontecido, estar acontecendo ou vir a acontecer. Pode-se ter um melhor entendimento do poder do agressor se puder comparar e entender o que ele fez com uma determinada arma e o que ele poderia ter feito, principalmente se for necessário saber como ele age, como pode agir, como ele é, quem ele é, onde ele está e, mais ainda, como pegá-lo.

Os estudos de casos reais dão uma visão real do lado prático e excitante da ação em si. É extensa a gama de aplicações das técnicas de forense computacional na resposta a incidentes na Internet. Essas técnicas são componentes que estão em constante mutação. Sendo assim, as informações aqui apresentadas são baseadas em bibliografia recente apresentada como defesa de teses, além de fontes de informações diversas.

1 FERRAMENTAS

Com o advento e desenvolvimento da tecnologia nos últimos anos, as infrações, invasões, busca, venda e roubo de informações privilegiadas, pirataria, envio de e-mails falsos, tentativas de acessos indevidos a organizações ou até mesmo a pessoas comuns vêm se sofisticando e com isso há a necessidade do auxílio de ferramentas mais modernas, mais incrementadas para a busca destes infratores, além da necessidade de se padronizar esta busca e apresentar evidências mais consistentes.

Com este grande avanço os peritos forenses computacionais necessitam de uma metodologia de padronização, desde a obtenção de evidências, passando pela padronização de laudos até a apresentação das mesmas perante a justiça, por isso serão apresentadas e exemplificadas, com demonstrações neste capítulo, cinco tipos de ferramentas:

caller IP: monitora a entrada, saída e invasão de IPs;

recoverMyFiles: recupera dados deletados ou formatados;

smartWhois: verifica o endereço IP e de domínio;

e-mailTracker: fornece o local de origem do e-mail, sua rota e a empresa responsável;

enCase: padronização de laudos, recuperação de dados, banco de dados de evidências, analisa hardwares, analisa logs, permite a perícia das evidências sem alterá-las, dentre outras funcionalidades.

Por obterem interface amigável, algumas ferramentas, como estas apresentadas, vêm auxiliando muito, não somente o perito forense, mas também alguns profissionais da área de Informática como administradores de redes, auditores de TI, técnicos em Segurança, dentre outros.

Hoje em dia no Brasil, as ferramentas e metodologias de padronização propostas pela IOCE (Organização Internacional de Evidência Digital) não estão sendo colocadas em prática por parte dos peritos forenses computacionais, que utilizam procedimentos laboratoriais para obtenção de evidências, no entanto somente os auditores de TI de organizações bancárias estão utilizando muito essas metodologias principalmente a ferramenta EnCase para auditorias em relação a fraudes bancárias, roubo de informações, invasão de contas bancárias, quebra indevidas de sigilos bancários, dentre outras coisas mais, por isso será apresentado algumas outras ferramentas específicas.

1.1 CallerIp

A ferramenta CallerIp auxilia na indicação de entradas, saídas e invasões de IP na máquina em questão, informando qual o IP que está conectado ou tentando se conectar, apresentando no mapa mundi a sua localização com endereço, telefone e responsável por aquele IP. Na Figura 1,1, a ferramenta CallerIp foi utilizada para verificar quais IPs estavam tentando acessar o sistema operacional e por quais programas estavam tentando fazer as conexões, sendo apresentado do lado direito da Figura 1.1, os IPs que estavam em maior evidência e acima quando clicados são apresentados ao lado do mapa mundi as principais informações do mesmo.

Figura 1.1: Tela Principal da Ferramenta CallerIp

Exemplo: há informações de que certos funcionários estão utilizando aplicações que facilitam o acesso à rede interna de computadores, tornandoa vulnerável. No caso utilizase a ferramenta para monitorar a entrada e saídas dos IPs do sistema operacional, informando qual a aplicação está sendo utilizada para tal ação.

1.2 RecoverMyFiles

A ferramenta RecoverMyFiles é um programa que permite recuperar facilmente arquivos apagados acidentalmente, ou não, do Windows. Para evitar que o arquivo apagado seja sobrescrito, essa ferramenta não requer a instalação funcionando diretamente de um disco flexível.

A Figura 1.2 está apresentando a tela da aplicação RecoverMyFiles recuperando os dados apagados de uma determinada partição de um HD, que foram deletados acidentalmente ou não de suas supostas pastas, sendo acionado anteriormente a opção de demonstrar somente as pastas deletadas à esquerda e à direita os arquivos destas pastas.

Além de disponibilizar uma seleção de quais extensões serão buscadas, pois o mesmo disponibiliza uma busca filtrando os arquivos por tipos de extensão e em qual partição será feito este tipo de busca, como qualquer outra ferramenta de recuperação, então com a informação de todos estes requisitos a ferramenta recupera todos os dados anteriormente perdidos.

Exemplo: um suposto infrator está sendo indiciado por pedofilia, o suspeito é julgado e espera a decisão judicial em liberdade, mas antes de ser detido e sua máquina seja examinada por um perito forense computacional da justiça, o mesmo formata todos os dados de todas as partições de seu HD, mas com esta ferramenta o perito consegue reaver todas as informações, imagens, documentos, logs que estavam contidos na máquina do suposto infrator.

Figura 1.2: Visualização de Pastas Deletadas na Ferramenta RecoverMyFiles

1.3 Smartwhois

A ferramenta SmartWhois auxilia na verificação de IPs e de domínios na Internet, sendo apenas necessária a indicação do IP ou domínio, apresentando na tela a localização destes, gerando endereço, telefone, responsável pelo IP ou pelo domínio em questão, em resumo, todos os dados referentes a uma determinada organização buscada.

Na Figura 1.3, foi adicionado um domínio, para verificação dos possíveis responsáveis. O domínio indicado foi o do Instituto Granbery. Ao indicar este IP ou um domínio a ferramenta retorna todos os dados da empresa responsável por este serviço como telefone, endereço, responsáveis pelo setor, data de criação, dentre outras.

Figura 1.3: Tela Principal da Ferramenta SmartWhois

Exemplo: foi recebido por uma vítima um e-mail chantageando-a, mas este e-mail não contém dados suficientes para informar o remetente, contém somente o IP de domínio do servidor de onde foi enviado este e-mail.

O perito pode então, com o auxílio desta ferramenta, verificar o IP de domínio em questão e entrar em contato com o responsável, para poder reaver, mediante pedido judicial a quebra de sigilo de e-mail do mesmo, para poder verificar quem foi que enviou esse e-mail, podendo dar um direcionamento à investigação.

1.4 EmailTracker

A ferramenta e-mailTracker fornece através de um entrada de um e-mail ou uma lista de e-mails o local de origem, onde fora criado, a rota entre empresas filiadas, ou não, a organização em questão e a mesma responsável pelo e-mail, sendo identificada com a apresentação de seu endereço, telefone, dentre outros dados.

Na Figura 1.4 está sendo apresentado à esquerda a rota do meu próprio e-mail por IPs e a rota do mesmo no mapa mundi, enquanto que à direita está sendo indicado a empresa responsável pelos serviços de e-mail.

Figura 1.4: Tela Principal da ferramenta E-mailTracker com rota de IPs

Exemplo: houve a informação de que o e-mail e informações confidenciais de uma suposta organização foram vendidos antes do mesmo chegar as mãos da empresa responsável por este serviço. Neste caso é utilizada esta ferramenta para fazer uma busca na rota por onde este e-mail passou, informando quando houve o desvio da informação confidencial.

1.5 EnCase

A ferramenta EnCase é uma das ferramentas mais completas no que se refere a perícia forense, pois além de auxiliar recuperação de arquivos deletados, padroniza laudos periciais, organiza um Banco de Dados com as evidências, faz o encryption (fornece senhas) e o decryption (quebra as senhas) dos arquivos, analisa hardwares, analisa logs, analisa formatos e tipos de e-mails e fornece uma opção de se manusear a evidência sem danificá-la, além de outras características mais avançadas.

Na Figura 1.5, foi feita uma verificação na caixa de entrada de e-mail de um suposto infrator, utilizando métodos de busca e investigação da ferramenta EnCase em e-mails e Internet.

Figura 1.5: Interface do EnCase E-mail e Internet (Tutorial)

Exemplo: foi recebido por uma suposta vítima um e-mail chantageandoa. Após ter sido verificada através de outras ferramentas a localização do infrator, houve uma apreensão do maquinário, mas o infrator formatou sua máquina e instalou um novo sistema operacional e novas aplicações. Nesta situação, a ferramenta pode auxiliar o perito na busca de dados nos setores não utilizados (apagados) do HD e logo após fazer uma busca em todos os e-mails enviados a esta suposta vítima, mesmo o HD tendo sido formatado, podendo com esta ferramenta recuperar os e-mails, que também foram formatados.

Outras aplicações que a ferramenta EnCase disponibiliza serão apresentadas nos próximos artigos, com um estudo de caso com o tema sobre crime de pedofilia na internet, detalhadamente explicado e exemplificado.

1.6 Conclusão

Hoje em dia, com o auxílio da tecnologia, existem softwares e hardwares que auxiliam na obtenção, na coleta, na apresentação, na armazenagem de dados. Em resumo, há uma gama de aplicações para todas as áreas necessárias. O próprio software EnCase é uma das aplicações mais utilizadas e completas na área de padronização de laudos, armazenamento de evidências, recuperação de dados e uma infinidade de outras utilidades para o auxílio no manuseio da evidência.

As ferramentas citadas na seção 1 poderão ser obtidas nos sites listados a seguir:

SmartWhoIs

Encase

CallepIP

RecoverMyFiles

EmailTracker

2 CONSIDERAÇÕES FINAIS

Foi apresentado algumas ferramentas de interface amigável e compatível ao sistema operacional windows, para facilitar o manuseio e o aprendizado. As qualidades e experiência do investigador são de extrema importância, mas as suas características devem estar acrescidas de boas ferramentas e com uma metodologia excelente. Para isso, todo o trabalho em forense computacional começa muito antes de se precisar dele, com muito estudo, planejamento e preparação efetiva.

A validade técnica e jurídica das metodologias para recuperar dados de computadores envolvidos em incidentes de segurança tem se tornado fundamental, pois os procedimentos têm que ser tecnologicamente robustos para garantir que toda a informação útil como prova seja obtida e também de uma forma a ser legalmente aceita de forma a garantir que nada na evidência original seja alterado, adicionado ou excluído.

Devido à globalização dos crimes digitais é de fundamental que sejam feitos, em cada país, esforços constantes a respeito de legislação local, nacional e internacional em conjunto com a padronização de procedimentos, criação e uso de manuais de boas práticas aceitas internacionalmente para a forense computacional.

A forense computacional lida com dados físicos, reais, mas numa realidade metafísica digital, onde os dados físicos são informações elétricas, eletrônicas, magnéticas, eletromagnética e em outras formas mais ou menos voláteis. Os dados mudam, as tecnologias mudam, os equipamentos mudam, os conhecimentos mudam, sempre.

Ao investigador que trabalha com forense computacional cabe a tarefa de se preparar cada dia mais. Afinal, sempre haverá trabalho duro a fazer, pois, não existe um ambiente totalmente seguro e não existe um crime que não deixe rastros, mas os criminosos e as vítimas continuam existindo, por isso a forense computacional e seus resultados positivos se fazem a cada dia mais necessário.

No próximo artigo esplanarei melhor a utilização do software EnCase, com um estudo de caso detalhado.

Fonte: http://imasters.uol.com.br/artigo/6485/forense/pericia_forense_computacional_-_ferramentas_periciais/

    • Fernando Teixeira
    • 21 abril, 2010

    Muito legal, importantissimo..

  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: