C A S E S F O R E N S E D I G I T A LReunimos neste documento algumas histórias de

sucesso sobre a aplicação da tecnologia e do know-how

da TechBiz Forense Digital em diferentes contextos.

Temos casos que dizem respeito a tecnologias específi-

cas, a demandas por serviços e experiências envolvendo

alguns dos nossos clientes.

Por cliente

3 | Ministério Público do Rio de Janeiro

5 | Instituto de Criminalística da Bahia

7 | Instituto de Criminalística do Rio de Janeiro

9 | ANP

11 | Secretaria de Justiça e Segurança Pública do Mato Grosso

13 | IBP-Brasil

Por serviços profissionais

16 | Roubo de informações

17 | Violação de políticas internas

18 | Malware na rede

Por produto

20 | NetWitness NextGen

21 | UFED Cellebrite

22 | EnCase

23 | Image MASSter Solo 3

Por cliente- Ministério Público do Rio de Janeiro

- Instituto de Criminalística da Bahia

- Instituto de Criminalística do Rio de Janeiro

- ANP

- Secretaria de Justiça e Segurança Pública do Mato Grosso

- IBP-Brasil

Contexto

Seis grandes crimes – de improbidade administrativa a porno-grafia infantil – são investigados mensalmente no laboratório fornecido pela TechBiz Forense Digital ao Ministério Público do Rio de Janeiro. A tecnologia, antes utilizada para investi-gar e combater os crimes relacionados a cartéis, hoje atende a qualquer tipo de demanda do MPRJ, desde fraudes em licitações, passando por improbidade administrativa, pedo-filia até homicídios. “O laboratório deu muita celeridade às investigações do Ministério Público do Rio de Janeiro”, diz o perito João Bernardo Aversa, da Coordenadoria de Segurança e Inteligência, Divisão de Evidências Digitais (DEDIT) do MPRJ.

Ministério Público do Rio de Janeiro

3

Ministério Público do Rio de Janeiro

Aplicação

Em situações de busca e apreensão, equipamentos com o Solo 4 e o FRED tornaram-se fundamentais para os peritos realizarem a dupli-cação das mídias suspeitas, seja em campo ou no próprio laboratório. “Atuamos muito em sistemas críticos, seja em prefeituras ou empresas, em que o sistema não pode ficar muito tempo fora do ar. Nesses casos fazemos a duplicação no próprio local do incidente.”

Com as evidências prontas para serem analisadas, as funcionalidades das ferramentas forenses como o EnCase, que tratam arquivos deletados, recuperam dados e buscam por palavras-chaves, são fundamentais para os investigadores. “Muitas vezes precisamos fazer associações entre indivíduos e determinadas corporações e a busca por palavras-chaves agiliza muito o nosso trabalho”, diz.

Já o FTK permite a análise rápida de um grande volume de dados. “Recentemente, participamos de uma operação que demandou a análise de muitas informações e pelo processo de indexação e busca rapidamente obtivemos êxito.” Para atender a uma demanda cada vez maior, o UFED (Universal Forensics Extraction Device), da Cellebrite, agiliza a extração e análise de dados em dispositivos móveis.

Depoimento“Atualmente, qualquer tipo de crime envolve apreensões de computadores. Os profissionais da Divisão de Evidências Digitais e Tecnologia (DEDIT) tratam os materiais em meio magnético, cujo conteúdo é estático e inerte, e geram um relatório embasado cientificamente, o que permite uma melhor com-preensão do conteúdo e confere robustez às alegações do Ministério Público. O que apuramos aqui serve de indício para muitas outras coisas, abre muitas outras frentes de investigação”

João Bernardo Aversa, da Coordenadoria de Segurança e Inteligência, Divisão de Evidências Digitais (DEDIT) do MPRJ.

4

Contexto

Pioneiros na criação do Laboratório de Forense Computacional, o Instituto de Criminalística Afrânio Peixoto (ICAP), da Bahia, está sempre se atualizando com as novas tecnologias para análise e investigação dos crimes digitais. Atualmente, o ICAP conta com dois UFED para a análise de celulares, dois Image MASSter Solo 4, bloqueadores de escrita da Tableau, Encase Forensic e FRED, todos fornecidos pela TechBiz Forense Digital. Com uma média de 105 ocorrências trimestrais envolvendo perícia de computadores, algumas contendo lotes de 30 a 40 máquinas, a celeridade nas investigações é crucial. “A fila é grande, há uma deficiência de pessoal e não temos mais espaço para acomodar tantas máquinas”, diz o perito criminal Marcelo Sampaio, da coordenação de computação forense do Departa-mento da Polícia Técnica do ICAP.

Instituto de Criminalísticada Bahia

5

6

Aplicação

Em uma das investigações realizadas pelo IC da Bahia, envolvendo vazamento de dados, o EnCase foi fundamental para detectar uma tentativa de descaracterização das evidências. Com o intuito de enganar os investigadores, os autores do ilícito tentaram implantar provas falsas no material apurado nas máquinas da instituição vítima do vazamento de informações sigilosas.

“Eram pessoas que tinham conhecimento do processo da perícia e fizeram de tudo para descaracterizar a prova. Mesmo assim, consegui-mos descobrir os responsáveis pelo crime a partir de um exame detalhado de todo material apreendido, que nos revelou, inclusive, a adulteração da evidência”, diz Sampaio.

O EnCase realizou o trabalho de extração dos dados e a análise do material oriundo de correio eletrônico, salas de bate-papo, planilhas etc. A ferramenta é capaz de adquirir dados do disco ou da memória RAM, documentos, imagens, e-mail, webmail, artefatos de internet, histórico da web e cache, reconstruir páginas HTML, sessões de chat, arquivos comprimidos, arquivos de backup ou encriptados, RAIDs, estações de trabalho e servidores.

Instituto de Criminalística da Bahia

Depoimento“Existe uma tendência muito forte do uso de tecnologia não só nos crimes cometidos por meio de computadores, como também nos crimes do dia a dia, como homicídio e roubo a banco. Sempre tem um celular ou um computador no local do crime. As tecnologias de forense digital agilizam muito o nosso trabalho”

Marcelo Sampaio, perito criminal da coordenação de computação forensedo Departamento da Polícia Técnica do ICAP.

Contexto

Responsável por atender às demandas por perícia das 131 delegacias do Estado do Rio de Janeiro – além das delegacias especializadas, como a de Mulheres, Fazendária, Meio-ambiente e dos Postos de Perícia das regiões Norte, Serrana, Oceânica e Metropolitana – o Instituto de Criminalística Carlos Éboli (ICCE) tornou-se cliente da TechBiz Forense Digital em 2009. Na época, quatro peritos foram capacitados pela empresa para utilizarem os equipamentos do Labo-ratório de Forense Digital. A TechBiz também prestou consultoria à Polícia Civil e seguiu-se um período de operação assistida e suporte técnico.

Até a inauguração do laboratório, o instituto não contava com estrutura específica para a perícia digital e, para buscar informações relevantes, os peritos tinham que vasculhar os computadores manualmente, abrindo arquivo por arquivo. "Uma coisa simples às vezes levava 20 ou 30 dias", afirmou o chefe do serviço de perícia de engenharia do ICCE, Wellington Silva Filho.

Instituto de Criminalísticado Rio de Janeiro

7

8

Aplicação

Com tecnologia de ponta – as mesmas utilizadas pelas polícias federal do Brasil e do mundo -, os peritos conseguem, atualmente, proces-sar e analisar diversas máquinas simultaneamente em busca de informações específicas; fazer cópias de um disco rígido a uma velocidade média de 3 Gbytes por minuto; emitir, em poucos minutos, um laudo completo sobre um celular apreendido, recuperando até mesmo dados apagados; fazer varreduras em computadores atrás de imagens pornográficas; entre muitas outras funções.

Depoimento“É importante para a justiça que os laudos tenham consistência técnica. A varredura dos vestígios digitais deve ser completa. Feita de forma manual os resultados não são garantidos. Com esses equipamentos, os resultados são precisos e inquestionáveis juridicamente”

Sérgio da Costa Henriques, diretor do ICCE.

Instituto de Criminalística do Rio de Janeiro

Contexto

Centro de referência em dados e informações sobre a indústria do petróleo e gás natural, a Agência Nacional do Petróleo, Gás Natural e Biocombustíveis (ANP) sabe bem o valor das informações arma-zenadas em suas máquinas. Por isso, desde 2009, tornou-se usuária das soluções oferecidas pela TechBiz Forense Digital para sanitizar e duplicar discos rígidos.

Agência Nacional do Petróleo, Gás Natural e Biocombustíveis (ANP)

9

10

Aplicação

Com o Image MASSter IM4008i, da Intelligent Computer Solution, a agência é capaz de copiar simultaneamente até oito drives, a taxas de transferência que ultrapassam 1,8GB por minuto. Além disso, o hardware é equipado com a opção WipeOut que apaga de forma acurada todas as informações presentes no HD.

O IM4008i atendeu às necessidades da ANP ao permitir copiar de forma automática diferentes modelos e tamanhos de drives. O hardware copia e verifica dados entre hard drives IDE, EIDE e Ultra-DMA IDE. A unidade também suporta funcionalidades ATA-6, DCO1, HPA2 e endereçamento 48-bit.

“Duplicamos discos para preservar as informações ali presentes e precisamos garantir a sanitização em situações de descarte, ao entre-gar uma máquina nova para o usuário, ou ao usar equipamentos de terceiros, em Rodadas de Licitação, por exemplo, quando alugamos vários notebooks”, diz Roberto Caldeira, gestor do Escritório de Segurança da Informação da ANP.

Depoimento“Antes de utilizar a tecnologia oferecida pela TechBiz Forense Digital, o processo de saniti-zação era feito via software e apresentava falhas. Ao validar um procedimento feito via software vimos que a sanitização não tinha sido completa. Queríamos um processo mais garantido e que fosse quase automático, em que precisássemos apenas inserir os discos”

Roberto Caldeira, gestor do Escritório de Segurança da Informação da ANP.

Agência Nacional do Petróleo, Gás Natural e Biocombustíveis (ANP)

Contexto

Ao adotar as tecnologias de forense digital em suas investi-gações, a Perícia Oficial e Identificação Técnica da Secretaria de Justiça e Segurança Pública do Mato Grosso modificou seus processos internos, passou a armazenar uma cópia do material apreendido em suas unidades e, com isso, criou um melhor arquivo de provas. “Houve um incremento de qualidade no trabalho do perito, que quando feito manualmente arriscava-se a deixar passar desapercebida alguma evidência”, diz o perito Zuilton Braz Marcelino.

Secretaria de Justiça e Segurança Pública do Mato Grosso

11

12

Aplicação

Atualmente, a tecnologia fornecida pela TechBiz Forense Digital é utilizada em todos os exames feitos pela Secretaria de Justiça do Mato Grosso, desde casos de falsificação de papel moeda, passando por denúncias de ameaças, fraudes contra instituições públicas até pedofilia.

Em um caso de fraude contra a Receita Estadual, uma cópia exata de todo o ambiente de rede suspeito, composto por cinco máquinas, foi feita in loco. Todas as máquinas foram rapidamente investigadas e não apenas o servidor, o que foi fundamental, já que o programa que gerava a movimentação financeira fora do sistema de arrecadação – o que permitia a formação de um caixa dois – estava instalado no disco rígido do administrativo.

Secretaria de Justiça e Segurança Pública do Mato Grosso

Depoimento“A facilidade proporcionada pelas soluções de forense digital nos permitiu ir além e de forma rápida, sem descuidar dos detalhes, o que muitas vezes pode acontecer quando não se tem o ferramental adequado e existe a premência do tempo, de ter quefechar um inquérito em 30 dias”

Zuilton Braz Marcelino, perito criminal da Perícia Oficial e Identificação Técnica da Secretária de Justiça e Segurança Pública do Mato Grosso

Contexto

Crimes como sequestro de pessoas, fraudes financeiras, procedimentos indevidos ou mesmo furtos de dados praticados por funcionários de empresas fazem parte da rotina dos profis-sionais do Instituto Brasileiro de Peritos em Comércio Eletrônico e Telemática (IBP Brasil). Afinal, trata-se de um centro de referência na aplicação de metodologia forense computacional para a identificação de evidências e esclareci-mento de ilícitos praticados via meios digitais. A tecnologia utilizada pelo IBP, encomendada à TechBiz Forense Digital, tem sido decisiva na resolução dos casos.

IBP Brasil

13

14

Aplicação

O ferramental é útil desde as primeiras etapas do processo investigativo – que consiste em identificar os objetivos, planejar atividades, alocar recursos e estabelecer linha de custódia –, até a realização de tarefas mais complexas, como a busca em áreas específicas da estrutura de arquivos e áreas não alocadas. Com essa tecnologia é possível visualizar mensagens, textos e imagens que comprovam a realização dos ilícitos, mesmo que o suspeito tenha utilizado recursos sofisticados, como esteganografia (textos ocultos dentro de imagens) ou criptografia.

Com o ferramental o IBP já conseguiu desvendar mensagens que haviam sido trocadas entre membros da quadrilha de maneira cifrada; realizou exame de dados deletados ou perdidos, assim como exame das áreas não mais utilizadas do disco rígido.

Páginas de sites que tinham sido utilizadas no passado para cometer os ilícitos foram rapidamente localizadas e reconstruídas. Isso proporcionou um elevado valor probante, junto ao judiciário e aos administradores das empresas, devido à coleta de dados técnicos e à apresentação visual das mesmas telas que os fraudadores tinham à sua frente quando realizaram os atos indevidos. A cadeia de custódia avalizou os procedimentos realizados, pois os passos do investigador podiam ser reproduzidos caso existisse qualquer dúvida a respeito das provas periciais ou das conclusões obtidas.

IBP Brasil

Depoimento“O ferramental comercializado pela TechBiz Forense Digital permite que diversos peritos examinem em paralelo as mesmas evidências, característica muito relevante quando um incidente precisa ser investigado em prazos muito curtos ou por equipes multidisciplinares. A função de linha de tempo mostra graficamente as datas e horários em que houve criação, alteração ou mesmo eliminação de arquivos. Com isso é possível confrontar rapidamente a movimentação de milhares de arquivos com as datas e horas alegadas pelos suspeitos, nos permitindo confirmar se o que dizem é verdade”

Giuliano Giova, presidente do IBP Brasil.

Por serviços profissionais- Roubo de informações

- Violação de políticas internas

- Malware na rede

CasoSuspeita de apropriação indevida de dados e ativos corporativos por ex-sócios de uma importante empresa, cliente da TechBiz Forense Digital.

Demanda

ResultadoEm apenas duas semanas, foram levantados dados suficientes para ratificar as suspei-tas. O laudo fornecido pela TechBiz Forense Digital incluiu registros de e-mails e chats; a identificação do uso da ferramenta de sanitização SDelete; arquivos apagados que foram recuperados ou encontrados em áreas não alocadas; e uma linha do tempo com todos os indícios da fraude – do planejamento à execução.

Roubo de informações

16

Analisar HDs em busca de evidências eletrônicas que caracterizassem perdas e danos e concorrência desleal.

CasoDenúncia de vazamento de informações confidenciais de uma grande empresa foram relatadas no documento “Fraudes de Cartão de Crédito”, produzido pela área de Prevenção à Fraude Coorporativa.

Demanda

ResultadoA partir da análise do HD de um funcionário suspeito, os profissionais da TechBiz Forense Digital encontraram os indícios que caracterizaram o vazamento da infor-mação. Foram recuperados e-mails do funcionário contendo informações confiden-ciais. Todas as evidências foram entregues ao cliente.

Violação de políticas internas

17

Verificar a existência de irregularidades como desvio de conduta ou violação de políticas internas, bem como identificar o responsável e os envolvidos em tais práticas.

CasoGeração de tráfego incomum na rede de uma organi-zação, acarretando em sobrecarga de processamento do firewall.

Demanda

ResultadoDurante a investigação, não foi encontrado nenhum indício que justificasse a degra-dação da performance da rede. O tráfego foi capturado e eventos de NetFlow, Firewall e IPS foram monitorados. O malware IPZ.EXE foi encontrado e ações de reme-diação, providenciadas. Foram identificadas diversas tentativas de conexões de rede com origem de IPs internos diretamente ao Firewall.

Malware na rede

18

Consultoria para investigar a causa da sobrecarga, identificar os responsáveis e remediar as máquinas suspeitas.

Por produto- NetWitness NextGen

- UFED Cellebrite

- EnCase

- Image MASSter Solo 3

CasoAo utilizar o NetWitness NextGen por seis meses uma importante instituição financeira obteve redução de mais de US$ 6 milhões em fraudes bancárias on-line. A infraestrutura da solução, composta por Decoders e Concentrators, permitiu que o time de segurança do banco capturasse e indexasse o tráfego de rede dentro da área OLB (Online banking).

Simultaneamente, as informações do tráfego em tempo real foram associadas às múltiplas fontes dos feeds de inteligência contra ameaças do NetWitness Live. Essa abordagem permitiu descobrir imediata-mente a existência de proxies maliciosos conectados à OLB via SSL. As descobertas foram repassadas ao departamento antifraude para que as devidas ações de reação fossem providenciadas.

ResultadoFoi constatado pela equipe de fraudes que quase 80% das transações em questão eram fraudulentas e não foram descobertas anteriormente pelos controles de segurança pré-existentes. Para evitar que os trojans solicitassem do usuário campos adicio-nais ao tradicional username/password – como número de cartão de crédito, senhas, datas de expiração e códigos de segurança do cartão (CVV2) –, mais uma vez o NetWitness foi utilizado. Mais especificamente, a habilidade inerente da ferra-menta de realizar decriptação SSL para monitorar sessões OLB na camada da aplicação e procurar por esses possíveis campos adicionais.

Sites de phishing geralmente redirecionam os visitantes ao site legítimo do banco depois de coletar as credenciais que desejam. O NetWitness NextGen foi utilizado pelo cliente para minimizar o risco de exposição ao identificar referências HTTP em portais OLB e revelar atividades de phishing antes que o cliente as notificasse. A ferramenta foi crucial para oferecer indicações oportunas e alertas em contas comprometidas de clientes e atividades bancárias fraudulentas em geral.

NetWitness NextGen

20

CasoA prefeitura de Cali, na Colômbia, adotou o UFED Touch Ultimate, da Cellebrite, para extrair provas legais de praticamente todos os tipos de celulares, smartphones, tablets e demais equipamentos móveis, mesmo que os dados tenham sido previamente apagados antes de iniciada e investigação.

Com a utilização da solução, o órgão de investigação Seccional de Investigacíón Criminal de Cali (SIJIN), conseguiu incriminar – e prender – 24 suspeitos de crimes graves, contra os quais não havia outras evidências, exceto os vestígios digitais, relevados pela tecnologia Cellebrite em seus aparelhos móveis. Em uma operação antiterror, o UFED foi crucial para que a polícia colombiana, que já havia capturado um suspeito, provasse o seu envolvimento direto com a explosão de uma bomba defronte a chefatura de polícia de Cali, ocorrida em 2008.

ResultadoAtravés do UFED, a polícia conseguiu reconstituir uma grande quantidade de mensagens, informações e comandos de teclado que haviam sido empregados junto ao celular do suspeito e que já tinham sido deletados. Com isto, foi possível provar que aquele aparelho específico não só se comunicou com os de outros suspeitos, como foi usado – ele próprio – para detonar os explosivos a distância.

UFED Cellebrite

21

CasoUm cliente suspeitou que uma intrusão havia ocorrido em um servidor web localizado em sua rede DMZ. A princípio foi utilizado o EnCase Forensic para investigar a demanda, mas devido à sua natureza manual os investigadores focaram em apenas 30 dos 2.000 servidores da empresa.

ResultadoApós três semanas de trabalho, o EnCase Forensic não identificou a intrusão nas máquinas analisadas. Em duas semanas, o EnCase Enterprise, que analisou automaticamente todos os 2.000 servidores da empresa, permitiu entender como os hackers tiveram acesso à rede, o que eles fizeram e o número de máquinas comprometidas.

EnCase

22

CasoA partir da denúncia sobre lavagem de dinheiro, formação de quadrilha e crime contra a ordem tribu-tária, os peritos do Instituto de Criminalística Carlos Éboli (ICCE) do Rio de Janeiro apreenderam 23 das 47 máquinas encontradas no escritório de um estabelecimento comercial. Segundo as informações da Secretaria Estadual da Fazenda, o estabelecimento estaria operando em nome de outras empresas, com menor faturamento do que o esperado, em uma manobra para participar de um sistema de tributação mais vantajosa e pagar menos impostos.

ResultadoCom o Solo 3 em mãos – equipamento da Intelligent Computer Solutions, vendido no Brasil pela TechBiz Forense Digital – os peritos do ICCE fizeram duas cópias perfeitas dos 23 Discos Rígidos a serem investigados, encaminhando uma das duplicações ao advogado da parte acusada. Até dois HD foram “clonados” simultaneamente, a uma velocidade de até 3GB/min.

*O Image MASSter Solo 3 foi substituído pelo Image MASSter Solo 4

Image MASSter Solo 3

23

www.forensedigital.com.brBrasília | DF 61 3468-8600São Paulo | SP 11 3525-7568Rio de Janeiro | RJ 21 3436-7568Minas Gerais | MG 31 3211-1800