Embed Size (px)
DESCRIPTION
Computação forense recuperação de aquivos
Citation preview
FACULDADE DE JUAZEIRO DO NORTE CURSO DE SISTEMAS DE INFORMAÇÃO
MARCELO SANTANA SANTOS DE MELO
USO DE TÉCNICAS PARA TER EFICIÊCIA NO PROCESSO DE ANÁLISE EM COMPUTAÇÃO FORENSE COM MÍDIAS SSD
REMOVÍVEIS ULTILIZANDO FERRAMENTAS OPEN SOURCE
JUAZEIRO DO NORTE – CE
2014
FACULDADE DE JUAZEIRO DO NORTE CURSO DE SISTEMAS DE INFORMAÇÃO
MARCELO SANTANA SANTOS DE MELO
USO DE TÉCNICAS PARA TER EFICIÊNCIA NO PROCESSO DE ANÁLISE EM COMPUTAÇÃO FORENSE COM MÍDIAS SSD REMOVÍVEIS UTILIZANDO FERRAMENTAS OPEN SOURCE
Monografia apresentada ao curso de Sistema de Informação para a obtenção do Grau de Bacharel em Sistemas de Informação. Orientado por: Cicero Woshington S. Leite
JUAZEIRO DO NORTE 2014
FACULDADE DE JUAZEIR DO NORTE SISTEMAS DE INFORMAÇÃO
MARCELO SANTANA SANTOS DE MELO
USO DE TÉCNICAS PARA TER EFICIÊNCIA NO PROCESSO DE
ANÁLISE EM COMPUTAÇÃO FORENSE COM MÍDIAS SSD
REMOVÍVEIS, UTILIZANDO FERRAMENTAS OPEN SOURCE
Esta Monografia foi julgada adequada para a obtenção do Grau de bacharelado, e aprovada na sua forma final pela Faculdade de Juazeiro do Norte
Data: ____/____/____ Nota: _____________
________________________________________________
Prof.ª Cicero Woshington S. Leite Orientadoror – FJN
__________________________________________________ Profª
Avaliador - FJN
__________________________________________________ Profª.
Avaliador - FJN
JUAZEIRO DO NORTE - CE 2014
Autorização para Publicação Eletrônica de Trabalhos Acadêmicos
Na qualidade de titular dos direitos autorais do trabalho citado, em consonância com a
Lei nº 9610/98, autorizo a Faculdade de Juazeiro do norte disponibilizar gratuitamente em sua
Biblioteca Digital, e por meios eletrônicos, em particular pela Internet, extrair cópia sem
ressarcimento dos direitos autorais, o referido documento de minha autoria, para leitura,
impressão e/ou download, conforme permissão concedida.
AGRADECIMENTOS
A Deus primeiramente, e a minha família que me deram apoio em todo o decorrer do
curso, deste o primeiro semestre até este momento.
Ao orientador professor Cicero Woshington S. Leite, que teve muita paciência nas
correções dos erros de ortografia e concordância, também ajudou a chegar no devido objetivo,
assim conseguindo atingir o termino do trabalho.
Quero agradecer a minha esposa Elaine Avelino Sato de Melo que teve muita
paciência comigo, no decorrer do curso, me apoiando nos momentos difíceis, ajudando no
desenvolvimento do trabalho lendo o mesmo e vendo os erros.
E por último aos professores do curso de sistema de informação que me ajudaram a
adquirir o conhecimento necessário para a elaboração do trabalho e vida profissional.
RESUMO
USO DE TÉCNICAS PARA TER EFICIÊNCIA NO PROCESSO DE ANÁLISE EM
COMPUTAÇÃO FORENSE COM MÍDIAS SSD REMOVÍVEIS ULTILIZANDO
FERRAMENTAS OPEN SOURCE
Autor: Marcelo Santana Santos de Melo
Orientador: Prof.ª Cicero Woshington S. Leite
FJN – Faculdade de Juazeiro do Norte - Ceará
Nos últimos anos foi grande o crescimento da população brasileira que passou a ter acesso aos
sistemas de informação. Dados do IBGE (Instituto Brasileiro de Geografia e Estatística) de
2011 expõem um aumento significativo de pessoas que passaram a ter acesso a tecnologia
como smartphone, tablet e dispositivos que possibilitam armazenamentos em SSD (sigla em
inglês solid-state-drive) removíveis ou não.
Assim com a demanda crescente, isto irá implicar no aumentar da quantidade de dispositivos
com forma de armazenamento SSD (SOLID-STATE DRIVE) para a análise forense. Fica
indispensável o uso de uma ou mais técnicas na resolução dos processos criminais na área da
computação forense, motivando o perito a chegar em a um resultado mais abrangente e
preciso.
O escopo deste trabalho consistem em analisar um conjunto de ferramentas e sistemas
operacionais nos quais todos sejam open source, e que no fim me tragam um resultado final
eficiente, de acordo a cada diferente etapa exigida na computação forense.
Palavras-Chaves: Análise; Forense; SSD; Ferramentas; Perito; Perícia.
Formatado: Recuo: Primeira linha: 0 cm
ABSTRACT
USE TO HAVE TECHNICAL EFFICIENCY IN THE PROCESS OF ANALYSIS IN
FORENSIC COMPUTER WITH MEDIA REMOVABLE SSD USING TOOLS OPEN
SOURCE
Author: Marcelo Santana Santos de Melo
Supervisor: Cicero Woshington S. Leite
FJN – Faculdade de Juazeiro do Norte – Ceará
In recent years has been large growth in the population who had access to information
systems. Data from the IBGE (Brazilian Institute of Geography and Statistics) 2011 expose a
significant increase in people who now have access to technology like smartphone, and tablet
devices that allow storage on SSD (abbreviation solid-state drive) removable or not.
So with the growing demand, this will result in increasing the amount of devices that
form storage SSD (SOLID-STATE DRIVE) for forensic analysis. It is necessary to use one or
more techniques in solving criminal cases in the area of computer forensics, prompting the
expert to arrive at a more comprehensive and accurate result.
The scope of this paper is to analyze a set of tools and operating systems on which all
are open source, and in the end bring me an effective end result, according to each different
step required in computer forensics.
Keywords: Analysis; Forensic; SSD; Tools; Expert; Expertise.
Formatado: Tabulações: 3,15 cm, À esquerda
SUMÁRIO 1. INTRODUÇÃO ................................................................................................. 5
1.1 ORGANIZAÇÃO DESTE DOCUMENTO ............................................................... 7
2. CONCEITOS SOBRE SISTEMAS COMPUTACIONAIS ..................................... 8
2.1 SISTEMAS OPERACIONAL ................................................................................... 8
2.2 SISTEMAS DE ARQUIVOS WINDOWS E LINUX................................................ 8
2.3 SEGURANÇA DE INFORMAÇÃO. ..................................................................... 109
3. CONCEITOS BASICOS SOBRE FORENSE E TÉCNICAS .............................. 119
3.1 FORENSE............................................................................................................... 119
3.2 COMPUTAÇÃO FORENSE. ................................................................................ 119
3.3 O PERITO DE COMPUTAÇÃO FORENSE. .................................................... 1110
3.4 TERMINOLOGIA PERICIAL E CONCEITOS BÁSICOS. ............................. 1311
3.5 PROCESSOS E TIPOS ANÁLISES EM COMPUTAÇÃO FORENSE. ........... 1311
3.6 O QUE ANALISAR. ............................................................................................ 1412
3.7 FERRAMENTAS E TÉCNICAS DE APOIO AO PERITO. ............................. 1412
3.7.1 SISTEMAS OPERACIONAIS FORENSE OPEN SOURCE ................... 1513
4. ESTUDO DE CASO ..................................................................................... 1714
4.1 OBTENÇÃO E COLETA DOS DADOS ............................................................. 1714
4.1.2 ESCOLHA DO SISTEMA OPERACIONAL FORENSE ....................... 1815
4.1.3 ANÁLISE DE FERRAMENTA GERAÇÃO DE IMAGEM .................... 2320
4.2 PRESERVAÇÃO E IDENTIFICAÇÃO ............................................................. 2723
4.3 ANÁLISE. ............................................................................................................. 2824
4.3.1 TÉCNICAS UTILIZADAS. ................................................................ 2824
4.3.2 ESCOLHA DA FERRAMENTA PARA ANÁLISE................................ 2925
4.4 APRESENTAÇÃO DOS DADOS........................................................................ 3733
CONCLUSÃO ................................................................................................. 3934
TRABALHOS FUTUROS. ............................................................................... 4035
REFERÊNCIAS BIBLIOGRÁFICAS ................................................................ 4137
APÊNDICE..................................................................................................... 4339
ANEXO .......................................................................................................... 4440
2
LISTA DE TABELAS.
Resultado sistemas operacionais (fonte: próprio autor). .................................................... 2219
Resultado ferramenta geração de imagem (fonte: próprio autor). ...................................... 2522 Resultado fase análise ...................................................................................................... 3632 Comentado [I1]: Só deve vir quando houve pelo menos 5
3
LISTA DE FIGURAS Caine Fonte (http://www.caine-live.net/) .......................................................................... 1816
DEFT (fonte: http://www.deftlinux.net/screenshot/). ........................................................ 2017 FDTK (fonte: http://fdtk.com.br/www/sobre/). ................................................................. 2118 resultado do DD (fonte: Proprio Autor) ............................................................................ 2320 Resultado DCFLDD (fonte: Próprio autor) ....................................................................... 2421 Uso do FLS para listar arquivos na mídia ......................................................................... 3127 FLS resultado na tela........................................................................................................ 3227 Usando a ferramenta Icat para recuperação de dados. ....................................................... 3228 Tela inicial do Autopsy. ................................................................................................... 3329 Pagina de analise Autopsy. ............................................................................................... 3430 DFF Tela inicial ............................................................................................................... 3531 Tela de dados DFF ........................................................................................................... 3632
4
LISTA DE SÍMBOLOS, ABREVEAÇÕES E NOMECLATURAS. ASCII ------- AMERICAN STANDARD CODE FOR INFORMATION INTERCHANGE
CAINE ----- COMPUTER AIDED INVESTIGATIVE ENVIRONMENT
CPP ---------- CÓDIGO DE PROCESSO PENAL
DCFLDD --- DEFENSE COMPUTER FORENSICS LAB DATA DUPLICATION
DD ----------- DATA DUPLICATION
DART-------- DIGITAL ADVANCED RESPONSE TOOLKIT
DEFT---------- DIGITAL EVIDENCE & FORENSIC TOOLKIT
DFF ---------- DIGITAL FORENSICS FRAMEWORK
FAT ---------- FILE ALLOCATION TABLE
HDD --------- HARD DISK DRIVE
MB ----------- MEGABYTE
NTFS -------- NEW TECHNPLOGY FIRME SYSTEM
PC ------------ PERSONAL COMPUTER
SSD ---------- SOLID-STATE DRIVE
TCC --------- TRABALHO DE COMCLUSÃO DE CURSO
UDF ---------- UNIVERSAL DISK FORMAT
5
1. INTRODUÇÃO
Nos últimos anos foi grande o crescimento da população brasileira que passou a ter
acesso aos sistemas de informação. Dados do IBGE (Instituto Brasileiro de Geografia e
Estatística) de 2011 expõem um aumento significativo de pessoas que passaram a ter acesso a
tecnologia como smartphone, tablet e dispositivos que possibilitam armazenamentos em SSD
(sigla em inglês solid-state-drive) removíveis ou não.
Isto é por conta da diminuição dos preços destes tipos de aparelhos. Informações do
site de um fabricante em equipamentos HDD (Hard Disk Driver) e SSD mostram
quantitativamente esta afirmação, em que a IDC (International Data Corporation) prevê um
crescimento nas vendas dos dispositivos SSD (SOLID-STATE DRIVE) em 51% entre os
anos de 2010 a 2015. Isto acontecerá por conta, do constante aumento da tecnologia e a
diminuição do preço como já foi dito.
A informática pode ser usada como ferramenta de trabalho, lazer ou também para
auxiliar crimes como pedofilia (ELEUTERIO, 2010). Ou seja, como vimos constantemente
em reportagens nos jornais, uma pessoa não precisa ter total conhecimento para usar esta
tecnologia para o bem ou mal
Assim com a demanda crescente, isto irá implicar no aumentar da quantidade de
dispositivos com forma de armazenamento SSD (SOLID-STATE DRIVE) para a análise
forense. Fica indispensável o uso de uma ou mais técnicas na resolução dos processos
criminais na área da computação forense, motivando o perito a chegar em a um resultado mais
abrangente e preciso.
Para efetuarmos um processo de investigação em computação forense devemos seguir
uma série de etapas nos quais segundo (MARTINELLI, VICTOR, 2013) são.
Obtenção e coleta de dados;
Preservação;
Identificação;
Análise;
Apresentação.
Comentado [I2]: Melhorar
Comentado [I3]: Melhorar
Comentado [I4]: Evitar
Comentado [I5]: Impessoalidade
Comentado [I6]: Termo forte. Evite
Comentado [I7]: Impessoalidade
Comentado [I8]: Idem
Comentado [I9]: Organizar dentro do parágrafo de forma textual
6
Todas as fases obrigatoriamente são seguidas uma após a outraem sequencia, e serão
documentados os resultados de cada umas das etapas, no qual as mesmas serão melhor
detalhada no decorrer do trabalho.
Cada etapa para um processo em análise forense computacional há tipos de
ferramentas específicas que ao fim dão um terminado resultado. As ferramentas existentes no
mercado são pouco flexíveis, não tendo como fazer perícias diferentes em várias etapas, assim
temos que ter uma escolha certa nas ferramentas utilizadas em cada uma delas. No entanto
não havendo êxito no resultado obtido, não terá tanta eficiência e se tornará um processo
falho.
O escopo objetivo deste trabalho consistem em analisar um conjunto de ferramentas e
sistemas operacionais nos quais todos sejam open source, e que no fim me tragam um
resultado final eficiente, de acordo a cada diferente etapa exigida na computação forense.
Os objetivos específicos consistem em obter ferramentas contidas nos sistemas
operacionais baseado na computação forense para suprir com cada uma das fases do exame
forense, tendo em foco a eficiência nos resultados. Será feito comparações entre as
ferramentas que melhor auxiliem na obtenção e coleta, preservação, identificação, análise dos
dados no fim tendo apresentação dos dados de forma quantitativa descritiva.
Com a obtenção dos resultados será feito um estudo de caso usando cada ferramenta.
Relacionando o tipo de crime e técnica utilizada para o exposição dos dados. Com o
recolhimento de referências bibliográficas teremos o estudo de técnicas diferentes para cada
um dos tipos de exames em computação forense. Tendo o estudo de cada ferramenta como
por exemplo: uma que faça a imagem de medias SSD (solid-state-drive) sendo ela DD (Data
Duplication) e á comparando com a DCFLDD (Defense Computer Forensics LAB Data
Duplication). Dando como resultado, qual ferramenta melhor faz à preservação dos dados e
menor tempo ou com resultados mais precisos.
Caracterizar melhor a metodologia.
Comentado [I10]: Melhorar
7
1.1 ORGANIZAÇÃO DESTE DOCUMENTO
A organização deste trabalho consiste da seguinte forma:
No Segundo e terceiro capítulos apresentam os referenciais teóricos sobre o conteúdo
destacado, onde o segundo mostra os conceitos básicos de sistemas computacionais e o
terceiro sobre os conceitos básicos de computação forense.
O quarto capítulo deste trabalho apresenta o desenvolvimento completo, juntamente
com os estudos de caso, fazendo os testes para resultar na solução do problema.
Por fim vem a conclusão do que foi feito em todo o trabalho, seguido dos trabalhos
futuros, referencias, apêndice e anexo.
8
2. CONCEITOS SOBRE SISTEMAS COMPUTACIONAIS
Neste capítulo veremos o referencial teórico sobre sistemas computacionais e todos os
seus componentes deste a parte física hardware ou lógica software. Sua estrutura de arquivos,
abordar a estrutura dos sistemas operacionais Linux e Windows.
2.1 SISTEMAS OPERACIONAL
Segundo Tanenbaum (2003) Sistema operacional, são programas que mantém o
controle entre o hardware e o software, gerenciando os componentes de entrada e saída como,
memória e discos, fazendo o gerenciamento da comunicação entre máquina e usuário.
Para Oliveira, Carissimi e Toscani (2010) o sistemas operacionais tem como objetivo
fazer que o computador seja mais eficaz e eficiente em buscar melhores resultados obtidos
pelo hardware.
De acordo com Tanenbaum (2003) a memória RAM (random acess memory) é o
segundo principal componente de qualquer computador, pois ela que é responsável por parte
da capacidade de processamento do dispositivo junto com o processador
2.2 SISTEMAS DE ARQUIVOS WINDOWS E LINUX
O Windows pode ler até quatro tipo de sistemas arquivos ele são, FAT, NTFS, UDF
CDFS para cada uns deles a organização é por diretório em que esta os arquivos, para a
nomenclatura da partição do disco (Divisão unidade de Disco) é a atribuído uma letra a partir
da consoante C (MACHADO, 2007).
Diretório é conjunto de referências para encontrar arquivos que são um conjunto de
dados, nele existem informações aonde algum usuário colocou por algum motivo
(OLIVEIRA, 2010).
No Linux os sistemas de arquivos é formado por blocos, diretórios e sub diretórios,
não a atribuição de letras para unidade de disco, mais sim caminho de diretórios,
exemplificado para o Linux o caminho /dev/sda equivale a uma unidade de disco
(NEMENTH, 2007).
Segundo Tanenbaum (2003) o inode representa o apontador de um bloco em um setor
no disco, serve para dar acesso ao determinado arquivos sendo representado por números.
9
Formatado: Justificado, Recuo: Primeira linha: 1,25 cm,Espaçamento entre linhas: 1,5 linhas, Não hifenizar, Nãopermitir pontuação deslocada, Não ajustar espaço entreo texto latino e asiático, Alinhamento da fonte: Linha debase
10
2.3 SEGURANÇA DE INFORMAÇÃO.
A informação dever conter confiabilidade, integridade e disponibilidade, aonde
confiabilidade esta quando ele só é acessível por autorização, integral quando não há erros e
disponível para quem tenha acesso a mesma. (COSTA, 2010).
Conforme Marcacini (2010) Hash Code são sequências de bits representados por um
algoritmo, no que retorna uma chave criptografada (Informação não legível), três exemplos de
Hash é MD4, MD5, e SHA-1.
De acordo Eleutério (2010) a função do Hash é garantir a legitimidade da informação,
pois ele é responsável para mostrar, a partir de algoritmos, se a imagem gerada de uma mídia
é igual a outra ou não.
Formatado: Recuo: Primeira linha: 1,25 cm
11
3. CONCEITOS BASICOS SOBRE FORENSE E TÉCNICAS
Para compreender o trabalho proposto no projeto, e a sua contribuição, um estudo em
todos os pré-requisitos é obrigatório, e quais as ferramentas utilizadas no trabalho. Neste
capítulo estaremos apresentando os conceitos básicos de forense, e quais áreas são utilizadas.
Dar uma abordagem em crime de informática, qual legislação é aplicada, sistemas
operacionais com ferramentas forense, tipos de análises técnicas relacionadas para cada caso
de investigação, e por fim os métodos usados.
3.1 FORENSE.
Segundo Chamello (2006) a ciência forense é atuante em várias disciplinas como,
química, biologia, matemática, computação, telefonia, entre algumas outras, para ter como
objetivo, a contribuição em análise civil e criminal.
Já Martinelli (apud SAFERTEIN 2001) em resumo, a forense está na aplicação das
áreas da ciência de acordo com a lei.
3.2 COMPUTAÇÃO FORENSE.
A computação forense analisa o homem no uso de equipamentos eletrônicos
computacionais, nos quais envolvam dados relativos ao seu crime, estes dados podem ser
utilizados no meio ou fim como prova judicial, assim se tornando um laudo técnico pericial
judicial (COSTA,2011).
Portanto, a computação forense tem como objetivo principal determinar a dinâmica, a
materialidade e autoria dos fatos ilícitos ligados à área de informática, tendo como questão
principal a identificação e o processamentos de evidências digitais, em provas científicas,
conferindo-lhe validade probatória em juízo (ELEUTÉRIO, 2010).
3.3 O PERITO DE COMPUTAÇÃO FORENSE.
Conforme Mota Filho (2014) para ser perito em forense deve ser paciente, detalhista,
ser especialista em sistemas operacionais e file systems (sistemas de arquivos), ser conhecedor
12
de várias ferramentas para análise pericial, estar em constante atualização e o imprescindível,
gostar de aprender.
Já Vargas e Queiroz (2010) o perito em computação forense tem que ser uma pessoa
especializada na área computacional, ter paciência, pois uma análise pode durar vários dias ou
meses, ser perceptivo e ter interesse em vários assuntos, ter boa escrita e estudar sobre a
legislação criminalista.
Para Martinelli, Victor (2013, p, 23):
Dentre as principais atribuições do perito computacional podemos citar: a
identificação de suspeitos e fontes que evidenciam os ilícitos, obtenção e preservação
das evidências digitais análise de tais evidências e a apresentação das mesmas em um
relatório com todas conclusões da análise - sempre por meio da utilização de
procedimentos padronizados e aceitos pela comunidade científica, com objetivo de
que todas as evidências sejam aceitas pelos tribunais, servindo como prova legalmente
válida
O perito no Brasil é atuante em cargo público como especialista em tecnologia da
informação, é nomeado pela polícia federal de acordo com artigo Lei Nº 7.270, 10 dezembro
1984 no código civil. Também pode atuar como técnico nos processos extra jurídicos.
(Martinelli, Victor, 2013).
13
3.4 TERMINOLOGIA PERICIAL E CONCEITOS BÁSICOS.
De acordo com Costa (2011), prova digital é a informação apresentada em binário
como prova do crime, mídia digital é o dispositivo original obtido na coleta e duplicação
pericial é a cópia precisa da mídia coletada para análise.
3.5 PROCESSOS E TIPOS ANÁLISES EM COMPUTAÇÃO FORENSE.
Para Eleutério (2010), os principais exames em informática são: exame feito no local
do crime, em dispositivos de armazenamento com HD e SSD, exames em telefonia e exames
feitos em sites de internet ou acesso nos mesmos.
A análise em dispositivo computacional deve ser feita por um perito especializado,
com certificação na área indicada, o caso citado refere-se ao perito em computação forense.
Dentre as atribuições exigidas na legislação brasileira podemos citar as seguintes:
(MARTINELLI, 2013).
Em todas as fases de um processo na computação forense, obrigatoriamente a
documentação de todas, também deve ser incluída nomes dos equipamentos recolhidos em
custódia pelo perito, forma de manuseio, conter as assinaturas das testemunhas e do perito
(QUEIROZ, CLAUDEMIR, 2010).
Para Freitas (2006, p, 2), a perícia forense possui quatro procedimentos básicos: todas
a evidências devem ser identificadas, preservadas, analisadas e apresentadas.
Já Eleutério (2010) apresenta as fases desta forma: preservação, extração análise e
formalização dos dados.
Martinelli (2013) cita a existência de dois tipos de exames, que são os seguintes: live
forensics e post-mortem forensics, onde a primeira se trata da análise ao vivo, ou seja, quando
o sistema se encontra ainda ligado no ato da apreensão, e a segunda sendo a coleta e análise
posteriormente.
Já Costa (2011), nomeia as análises como a quente ou on line, onde é feita a coleta dos
dados na memória RAM (Random Acess Memory), com o dispositivo ainda ligado, e a análise
a frio ou off line, onde faz a apreensão dos equipamentos e feita a extração dos dados em
laboratório.
14
3.6 O QUE ANALISAR.
Segundo Rosa (2005), para todas as análises de dados ou sistemas, deve ser seguido
uma ordem ou ciclo para o processamento das informações, tendo o devido cuidado para que
não seja feito ou deixe algum registro nos dados originais, isto deve ser feito com o auxílio de
ferramentas de apoio.
De Acordo com Micheloni, Marelli e Eshghi (2012)
Uma unidade de estado sólido (SSD) é um dispositivo de armazenamento que
incorpora memória de estado sólido e emula um disco rígido para armazenar dados.
Porque um SSD emula uma unidade de disco rígido HD, que normalmente utiliza
interfaces de disco rígido e protocolos, como Parallel ATA, Serial ATA, Serial
Attached SCSI e Fibre Channel e podem facilmente substituí-lo a maioria das
aplicações da ONU.
3.7 FERRAMENTAS E TÉCNICAS DE APOIO AO PERITO.
Sleuth Kit é um conjunto de ferramentas para análise forense computacional, criado e
mantido por Brian Carrier. Dentre as ferramentas estão as seguintes, ILS, BLKLS, FLS,
FSSTAT, FFIND, MACTIME, DISK, STAT e Autopsy, que é a interface gráfica das
ferramentas anteriores. (CARRIER, 2014).
Para MELLO e Sandro (2009), DD é uma ferramenta da distribuição Unix, que tem
como principal objetivo converter mídia em imagem.
DCFLDD (DEFENSE COMPUTER FORENSICS LAB) é uma versão melhorada do
DD, esta ferramenta tem como principais utilidades a geração de imagem em mídia e o
cálculo de hash da imagem junto com a mídia no processo, também mostra o progresso da
tarefa. (HARBOUR, 2006).
MAC TIME é a forma abreviada de três atributos referente a tempo de acesso em uma
arquivo que são: modificação, acesso e alteração de estados, onde o primeiro é a data de
modificação, o seguindo data de acesso e o terceiro data de alteração (MARTINELLI, 2013)
Metadados são dados de um arquivo aonde contem data e hora, sobre acesso e
modificação (COSTA, 2011).
Busca por palavra-chave é um tipo de técnica que utiliza código binário, fazendo
pesquisa por string com o padrão ASCII, tendo como vantagens fazer a varredura em todos os
sistemas de arquivos (NG, REYNALDO, 2007).
15
Indicio de arquivo apagados. Sistemas operacionais não apaga um arquivos, ele
apenas remove sua referência em um bloco, passando de ocupado para livre, esta técnica
consiste em localizar os arquivos deletados nessas referencias (QUEIROZ, 2010).
DFF (Digital Forensics Framework) um distribuição open source para analise em
computação forense em todas a fase de uma perícia. (FRATEPIETRO e ROSSETTI, 2012)
3.7.1 SISTEMAS OPERACIONAIS FORENSE OPEN SOURCE
Caine (Computer Aided INvestigative Environment) é uma distribuição italiana para
análise ao vivo. Atualmente está na versão 5.0 juntamente com a versão 12.04 do Sistema
operacional Ubuntu Linux, ele é gerenciado por Nanni Bassetti (LEHR, 2014).
DEFT (Digital Evidence & Forensic Toolkit) é uma distribuição usada para análise em
computação forense, baseado no GNU Linux. Atualmente está na versão 8.2, lançado em
agosto de 2014. (FRATEPIETRO e ROSSETTI, 2012)
FTDK O projeto FDTK-UbuntuBr
É uma distribuição Linux criada a partir da já consagrada distribuição Ubuntu, e reúne
mais de 100 ferramentas capazes de atender a todas as etapas de um investigação em
Forense Computacional, oferecendo a possiblidade de ser utilizada como Live CD e
também ser instalada em um equipamento transformando-o em uma estação Forense.
Essa distribuição está em constante desenvolvimento e caracteriza-se não apenas pela
quantidade de ferramentas, mas também por uma interface amigável, estruturada
conforme as etapas do processo de perícia e, ainda pela preocupação por ser
distribuída no idioma português. (Disponível em (http://fdtk.com.br/www/sobre/
acesso 17 setembro 2014).
3.5 CRIMES DE INFORMÁTICA
Segundo Mello (2007), o crime de informática é todo aquele procedimento que atenta
contra os dados, que faz na forma em que estejam armazenados, compilados, transmissíveis
ou em transmissão.
16
Para Eleutério (apud CROCE 2010) pedofilia é o “desvio sexual caracterizado pela
atração por crianças ou adolescentes sexualmente imaturos, com os quais os portadores dão
vazão ao erotismo pela prática de obscenidades ou de ato libidinosos”.
Conforme NG (2007), no Brasil não existem normas específicas para crimes virtuais.
Os aspectos legislativos estão em discussão desde 1995.
Um fator desafiador que apresenta é o próprio campo jurídico. Não existem normas especificas para enquadrar certos delitos que ocorrem neste grande mundo virtual, sem contar as ações realizadas em jurisdições internacionais, que dependem de acordos entre os países envolvidos’. (NG, 2007, p60).
Segundo Eleutério (2010, p.16), o código de processo penal (CPP) determina em seu
artigo 158 que: “Quando a infração deixar vestígios, será indispensável o exame de corpo de
delito, direto ou indireto, não podendo supri-lo a confissão do acusado”.
Os principais exames forenses em informáticas são: Exames e procedimentos em de crime de informática, Exames em dispositivos de armazenamentos computacional CD, DVD, PEN DRIVES E HD, exames em aparelhos de telefonia, exames em sites de internet e exames em mensagens eletrônicas (e-mails) (ELEUTÉRIO, 2010, p19).
17
4. ESTUDO DE CASO
Tendo como objetivo a escolha de ferramentas na qual melhor se adequa a terem
eficiência nos processos de análise em computação forense, cabe ser feita a divisão das
exposições dos dados para cada uma das fases. Este capítulo será divido de acordo com as
fases de uma perícia forense, baseado com o modelo exposto por (MARTINELLI, 2013).
O estudo de caso que está sendo abordado, tem como material evidenciado a extração
de dados em um dispositivo SSD, obtido a partir de um Tablet, e o crime relacionado para
esta perícia enquadrará pedofilia, lembrando que a mídia e os resultados obtidos não tem
nenhuma ligação com um caso real, os mesmos apenas são referências para fins acadêmicos,
assim os dados exposto na última fase não terá valor jurídico.
4.1 OBTENÇÃO E COLETA DOS DADOS
Nesta fase dá início a perícia digital, estando imprescindível a escolha das ferramentas
certas, para cada uma das etapas. De acordo com Eleutério (2010), o perito deve estar
acompanhado por duas testemunhas que até o fim da perícia fará parte de todas as etapas, e
tendo as assinaturas na documentação da evidência.
O estudo de caso que será proposto na perícia, estará sendo feito de modo post-mortem
forensics ou seja os materiais são apreendidos e feito a perícia em laboratório.
Agora está sendo feita uma análise na qual o sistema operacional forense open source,
contenha ferramentas básicas, que melhor se adéqua a análise digital em casos de pedofilia e,
em relação as técnicas utilizadas para a resolução deste tipo de caso.
A escolha dos sistemas operacionais serão realizadas das seguintes formas:
Qual sistema operacional é instalável, live CD e contém ferramentas para
análise live forensics e post-mortem forensics em todos os tipos de sistemas de
arquivos, e em cada fase da perícia, assim não sendo preciso a instalação de
pacotes adicionais;
Qual sistema operacional tem ferramenta para análise sobre linha do tempo e
recuperação de dados;
Qual sistema não faz montagem de unidade SDD de modo leitura e escrita
automaticamente, pois se for feito será prejudicado a segunda fase na qual se
dá a preservação dos dados;
18
Qual sistema está mais atualizado com o conjunto de ferramentas Sleuth Kit,
que são o conjunto de ferramentas básicas para perícia digital.
4.1.2 ESCOLHA DO SISTEMA OPERACIONAL FORENSE
Os sistemas operacionais foram escolhidos, a partir de matérias publicadas em fontes
da internet, onde são artigos publicados com amostras das utilidades de cada um dos sistemas.
Uma das fontes de pesquisa, foi de uma publicação no blog de Diego Macedo em 23 de
outubro de 2012, na qual faz um breve resumo dos sistemas operacionais Caine, DEFT e
FTDK. As outras fontes de pesquisa são os sites da distribuição dos sistemas operacionais
expostos. À partir disto, será feita uma relação do conjunto de ferramentas de cada sistema
operacional pré-instalado, juntamente com a comparação do requisitos expostos no capítulo
4.1.
Caine (Computer Aided Investigative Environment) é uma distribuição italiana mais
voltada para a análise ao vivo, ou seja, em dispositivos ainda ligados. Baseado no Ubuntu
12.04, sua última versão atualizada foi a 5.0.
Figura 1Caine Fonte (http://www.caine-live.net/)
O Caine tem um ambiente agradável e de fácil operabilidade, as principais
características deste sistema operacional forense são:
Ter ferramentas acessíveis para todas as quatro fases de uma perícia digital;
19
Montagem de mídia por padrão em modo só de leitura;
Possuir pacotes adicionais para análise on line como a ferramenta Win – Ufo
utilizada para análise em sistema operacional Windows.
Sendo feito um resumo sobre o sistema operacional Caine, ele é bastante eficiente para
análise on line, por conter ferramentas compatíveis para vários sistemas operacionais, sendo
eles em computador ou smartphone, exemplificando Windows, MAC e Linux para
computador e Android, IOS e Blackberry para smartphone. Mas no fator análise off line, a
instalação do mesmo em alguns modelos de hardware entra em incompatibilidade.
20
DEFT (Digital Evidence & Forensic Toolkit)
Figura 2 DEFT (fonte: http://www.deftlinux.net/screenshot/).
É um sistema operacional de origem italiana, ambiente gráfico de fácil usabilidade,
possui todas a ferramentas básicas para perícia em computação forense online e off-line, em
sistemas operacionais Windows, Linux, Android, e IOS, dentre as ferramentas estão as
seguintes:
Para análise em Windows o DART (Digital Advanced Response Toolkit), é um
conjunto de ferramenta para análise online, onde possui recursos como dump
de memória, aonde é feita a imagem da mesma, recuperação de dados,
antivírus e análise em rede;
No Linux dispõe ferramentas para todas as fases da perícia, entre as existentes,
o Autopsy é responsável por análise de arquivos onde podem serem utilizadas
técnicas como: Mac time; indícios de arquivos apagados, esta mesma
ferramenta tem suporte para utilização em Windows;
Para perícia em Smartphone o DEFT contém ferramentas que auxiliam no
dump de memória em Iphone, análise de banco de dados em Android e tráfico
de rede.
FDTK (Forense Digital ToolKit).
21
Figura 3 FDTK (fonte: http://fdtk.com.br/www/sobre/).
Sistema operacional criado por Paulo Neukamp para trabalhado de conclusão, o FDTK
se torna diferenciado em dois pontos. O primeiro é a relação das ferramentas instaladas no
sistema, elas são divididas de acordo com cada fase da perícia e o segundo ponto, consiste
implementação de um manual em português com o passo a passo de cada uma, assim
ajudando na utilização das técnicas por usuários iniciantes.
No Sistemas Operacional FDTK disponibiliza para a fase inicial, um modelo de
formulário cadeia e custódia em formato Excel. O ponto falho no sistema operacional é não
conter ferramentas para análise em Windows de modo online, e além disto, a versão
UBUNTU 9.04 não atualizada, assim quando a instalação do sistema operacional é em
computador mais atual, tende a ser incompatível com o sistema.
Tabela Quadro com os resultados dos requisitos obtidos pelos sistemas operacionais
CAINE DEFT FDTK Live CD e INSTALAVEL/FERRAMENTA LIVE FORENSICS E POST-MORTEM FORENSICS
Sim / Sim/para Windows Win – Ufo
SIM /SIM/ PARA WINDOWS /DFF
Sim/ Sim/Não
PACOTE SLEUTH KIT Sim/Sim Sim /Sim SIM/SIM Montagem SSD Automático/Leitura ou Manual/Escrita
Auto em leitura Não Automático Monta automático
MAC TIME MAC TIME Mac Time, FLS MAC TIMR, MACROUBER
Recupera dados PHOTO REC, PROTO REC, RECOVER
22
FORESMOST, FLS
RECOVER, FORESMOST, FLS
PROTO REC, FORESMOST, FLS
Data de atualização 17 janeiro 2014 10 agosto 2014 11 julho 2011 Sistema operacional UBUNTU 12.04 UBUNTU 12.04 UBUNTU 9.04 Tabela Quadro 1 Resultado sistemas operacionais (fonte: próprio autor).
Na tabela Quadro 1 expõe uma comparação entre os sistemas operacionais Caine,
DEFT e FDTK, aonde os resultados foram os seguinte: Todos os sistemas operacionais analisados tem opção de instalação e, rodam
por live cd. Já na questão ferramenta de análise em sistema operacional, sem
ser preciso ter da boot pelo live cd, o Caine contém o Win – Ufo, que é um
pacote de ferramentas para análise em Windows, caso o PC está ligado no ato
da apreensão. O DEFT disponibiliza o DART que contém várias ferramentas
voltada para iniciante em uma perícia Windows com o mesmo propósito do
Win -Ufo.
O FDTK não disponibiliza nenhuma ferramenta para este tipo de análise;
Caine, DEFT e FDTK contém instalado Autopsy juntamente Sleuth kit;
Montagem de modo automático dos três sistemas operacionais analisados, o
FDTK foi o único que faz montagem de modo leitura e escrita automático,
assim se for feita uma perícia em um dispositivo a partir da porta USB
(Universal Serial Bus) terá que ser configurado, pois não feito isto, prejudicará
a fase seguinte;
Mac Time: todos os sistemas operacionais analisados vem com ferramenta para
análise de linha do tempo, técnica para resolução de casos como pedofilia.
Recuperação de dados: todos tem várias ferramentas para recuperação de
dados.
Atualização do S.O.: o Caine e DEFT tem como Ubuntu distribuição GUI
12.04 e versões atualizadas deste ano da própria distribuição Caine 5.0 e DEFT
8.2. Já o FDTK está com Ubuntu 9.04 e sua última atualização foi no ano de
2011, com a versão 3.0.
Partindo dos resultados expostos, chega à conclusão que o DEFT é o sistema
operacional forense que será utilizado para as exposições na análise forense computacional,
pois ele é o que mais se enquadra nos requisitos definidos. A próxima seção mostra a
Comentado [I11]: Fechar
Comentado [I12]: Corrigir nos demais
23
comparação, que tem como objetivo definir a melhor ferramenta para obtenção e coleta dos
dados.
4.1.3 ANÁLISE DE FERRAMENTA GERAÇÃO DE IMAGEM
Levando em conta a eficiência como objetivo, as ferramentas analisadas fazem parte
do sistema operacional DEFT, deste modo não perdendo tempo na instalação de ferramentas
adicionais. Feito o levantamento das ferramentas contidas no sistema operacional DEFT para
a geração de imagem a partir do manual disponível no site http://www.deftlinux.net/doc/EN-
deft7.pdf. Foram extraídas duas ferramentas para os testes, resultando em uma que fará parte
do processo investigativo. As mesmas são DD e DCFLDD.
Seguindo o critério abaixo, teremos a escolha de uma das duas ferramentas citadas:
1. Ferramenta que tenha sua linha de comandos, simples e objetiva;
2. Tenha precisão na cópia da imagem;
3. Ferramenta com melhor desempenho;
4. Seja prática, ajudando em uma ou mais fases do processo.
Os testes feitos a seguir foram com um tablet, onde o armazenamento interno é SSD.
As imagens geradas a partir dele, serão utilizadas no decorrer do processo, lembrando que os
resultados adquiridos na análise do dispositivo, não tem nenhuma relação com caso real,
apenas estão sendo feito para fins acadêmicos. As configurações do dispositivo evidenciado e
também do computador usado para a extração dos dados estão nos apêndices A e B.
A figura abaixo mostra a linha de comando básica, juntamente com o resultado usando
a ferramenta DD para extração da imagem na mídia interna do dispositivo.
Figura 4 resultado do DD (fonte: Próprio Autor)
O comando time colocado antes do DD, apresenta o tempo utilizado na geração da
imagem que foi de 9 minutos e 21 segundos. Seguido do comando dd if=/dev/sdb onde o dd é
a ferramenta utilizada e if=/dev/sdb é o caminho que aponta para a mídia SSD, logo após
24
of=/dev/root/Desktop/evidence/caso01/ssd_imagem.img que será aonde armazenará a
imagem coletada.
Em seguida foi feita o processo com o DCFLDD e chegaram no seguinte resultado:
Figura 5 Resultado DCFLDD (fonte: Próprio autor)
Foi utilizado o mesmo dispositivo para a comparação com o DCFLDD, modificando
só o nome da imagem e acrescentando o comando hash=md5,sha1,shal512, resultando no
hash da mídia e imagem ssd_interno.img coletado.
25
Com isto a tabela quadro de comparação expõe os seguintes resultados:
Título do Quadro
FERRAMENTA CRITÉRIO 1 CRITÉRIO 2 CRITÉRIO 3 CRITÉRIO 4
DD SIM SIM BAIXO SÓ FAZ
IMAGEM
DCFLDD SIM SIM RAPIDA IMAGEM E
HASH
Tabela 2 Resultado ferramenta geração de imagem (Ffonte: próprio autor).
Os dados expostos na tabela 02, descrevem os critérios definidos para a escolha da
ferramenta de geração de imagem:
Critério 1 tanto DD como DCFLDD a linha de comando é simples e de fácil
aprendizagem;
Critério 2. Já neste caso a ferramenta DD não traz clareza para o perito na
geração da imagem, pois o processo é feito de modo oculto, não mostrando o
decorrer do mesmo, mais partindo do fato precisão o consta no DD pois o
método de cópia é bit a bit no entanto o DCFLDD faz uma geração de processo
da imagem, mostrando a etapa de 8 a 8 mega bytes até o término;
Critério 3. Nesta etapa foi medida a eficiência de cada ferramenta, fazendo
uma comparação de tempo levado para a geração da imagem. O DCFLDD teve
um desempenho bem mais efetivo com o tempo de 8 minutos e 46 segundos,
aonde além de coletar a imagem, fez o cálculo do Hash da mídia em md5, sha1
e shal512. Já na ferramenta DD o tempo foi de 9 minutos e 21 segundos para a
geração da imagem e não foi feito o cálculo do hash, pois o DD não dá suporte
para ser feito isto na mesma linha de comando;
Critério 4. Por também fazer o hash da mídia, o DCFLDD se sobressai nesta
fase, como já foi dito no critério 3.
Com o dados obtidos nos quatro critérios, foi chegado a conclusão entre as
ferramentas disponíveis para geração de imagem no DEFT, em que a mais eficiente é a
DCFLDD, pois ela além de fazer o básico e ter melhor desempenho com tempo de geração de
Comentado [I13]: Nomear critérios, facilita a leitura
26
imagem mais rápida, dar suporte para cálculo de hash podendo ser utilizada em outras fases
do processo.
27
4.2 PRESERVAÇÃO E IDENTIFICAÇÃO
Segundo Costa (2011), nesta fase é feita a identificação dos dados e cópia da mesma,
documentação de todos os processos, desde o hash gerado pela imagem, testemunha, perito,
os materiais apreendidos do suspeito e, por fim preenchimento do formulário de cadeia e
custódia contendo todos os dados expostos.
De acordo com Martinelli (2013), o formulário de cadeia e custódia não tem padrão
definido, ele deve conter os dados relacionados ao tipo de processo analisado.
Seguindo este conceito, foi feita uma modificação no modelo defendido por Costa
(2013), na qual foi usada uma planilha e o preenchimento da mesma, já com os dados obtidos
na fase anterior com os seguintes campos:
Caso Número: 001.
Pagina Nº: 1
DETALHES DO DISPOSITIVO E MÍDIA.
Número do Item:001.
Descrição: Tablet.
Fabricante: CCE.
Modelo: Motion.tab
Número de série:20080411413fc082
DETALHES SOBRE A IMAGEM DOS DADOS.
Data/ Hora: 16 de Setembro de 2014 às 22:41.
Criado por: Marcelo Santana S. de Melo.
Método Usado: Ferramenta DCFLDD com Hash md5, sha1, shal512.
Nome da imagem: ssd_imagem1.img.
Parte: 3 copias.
Driver: SSD 5.1 GB / 5117050880 Setores.
Hash:(md5):d5cbc40e7d4c99900816982fe1fd2a7f.
(sha1):6690ef413f4d998089fbb1a150fb6450a6dc0676.
(sha512):fd61446c2cfd92e511f6bdbf8cf9a4626189e95b3c2a744f3289e8fc211
e57300cc36d107b46abe59b68e38a51b0dbd4c7133d1f547e7843fbe7e106205e
1a19.
28
No formulário ainda existem os campos de cadeia e custódia, onde se colocam
detalhes como: destino do material apreendido, data e hora e os participantes do processo de
entrega das evidências. Os mesmos não foram preenchidos por não se tratar de um processo
investigativo real. O formulário completo está exposto no Anexo A.
4.3 ANÁLISE.
Na fase de análise o perito deve ter conhecimento de todas as outras fases anteriores,
assim estando apto a escolher qual técnica juntamente com a ferramenta adequada utilizará
para expor os dados, na fase seguinte à apresentação de dados.
4.3.1 TÉCNICAS UTILIZADAS.
Segundo Martinelli (2013), em um caso de pedofilia deve analisar acesso de internet,
imagens gravadas do disco e conexões compartilhadas.
As técnicas utilizadas nestas fases são definidas de acordo com cada perícia específica,
neste caso por se tratar de pedofilia e a análise ser de modo post-mortem forensics, em
imagem coletada de mídia SSD, seguiremos as técnicas expostas por NG (2007), o que cabe
ser analisado são: imagens e vídeos contido no dispositivo suspeito, utilizando as técnicas de
MAC TIME, indícios de arquivos apagados e busca binária tipo de pesquisa por palavra chave.
MAC TIME é técnica feita por busca de arquivos métadados de acordo com o sistema,
onde contém informações contidas do arquivo como: data, hora em que foi criado, aberto,
modificado e acessado, os nomes dados para cada tempo de acesso a um arquivos métadado
são respectivamente:
Mtime (modification time) hora em que o conteúdo sofre modificação, atime (access
time) última hora que arquivo foi aberto e ctime (Change time), mostra hora em que os
registos do arquivo foi modificado no caso permissões (COSTA, 2011). Este nomes são dados
para sistemas de arquivos Unix, no caso de Windows o ctime não e considerado como
alteração mais sim como uma criação de um arquivo.
Indício de arquivos apagados, consiste na técnica de busca em arquivos que foram
deletados, ao caso do suspeito já tenha deletados conteúdos que os considerem ilícitos.
Busca binária consiste em uma técnica utilizada com tipo de expressões regulares
(GREP), onde o perito tem uma experiência sobre o caso específico, para que saiba fazer a
escolha das palavras certas.
29
Por exemplo: em um caso de pedofilia, as palavras chaves tendem a serem extensões
de arquivos como imagem ou vídeos, só tendo uma problemática, se esta busca for feita em
uma unidade de um sistema operacional, aonde tem vários arquivos de sistemas com estas
extensões, o perito cabe a fazer duas listas de busca não por extensões e sim por nomes, uma
com palavras chaves com lista se adequando para o caso específico abordado e outras com
nomes de arquivos de sistemas onde as a lista são palavras do caso periciado e a outra
consistem em arquivos de sistemas, com isto o perito obtêm uma melhor precisão na busca.
4.3.2 ESCOLHA DA FERRAMENTA PARA ANÁLISE.
Seguindo as técnicas expostas no sub capítulo 4.3.1 na qual são utilizadas para perícia
computacional em casos como pedofilia, sonegação fiscal entre outros, agora cabe ser feita a
análise com a ferramenta que traga mais eficiência nesta etapa. Assim dados os requisitos
obrigatórios para a escolha da mesma, a partir das técnicas abordadas em que os requisitos
são:
Requisito 1: Ferramenta que tenha suporte para análise Mac Time;
Requisito 2: Ferramenta que possa fazer análise por busca binaria;
Requisito 3: Ferramenta que faça recuperação de indícios em arquivos
apagados;
Requisito 4: Ferramenta que tenha suporte para análise em vários sistemas
operacionais;
Requisito 5: Ferramenta que traga melhor eficiência para o perito em seu
ambiente, tendo a diminuição do tempo de análise para o mesmo.
Com base nestes requisitos e o manual do DEFT sistema operacional utilizado no
trabalho, foi escolhido ferramentas para as comparações dos dados, correlacionando as
técnicas utilizadas na perícia forense computacional, assim para que no término do estudo
chegue à escolha de uma ou mais ferramentas, e por fim trazendo um resultado eficiente. Os
resultados extraídos pela ferramentas escolhida contará na próxima fase apresentação de
dados.
30
As ferramentas escolhidas para o estudo de caso foram o Autopsy interface gráfica do
pacote sleuth kit e o DFF (DIGITAL FORENSICS FRAMEWORK). A escolha destas
ferramentas foi com base aos requisitos abordados, em que elas dão suporte para análise nos
sistemas operacionais Windows e Linux. A seguir se dará um resumo das funcionalidades de
cada ferramenta e suas utilidades, posteriormente caberá os teste juntamente com a
comparação detalhada de cada função correlacionando com os requisitos focados.
Autopsy - Módulo com interface gráfica do pacote digital forense sleuth kit, contém
todas as ferramentas do pacote para análise, juntamente com a opção de exportar o laudo em
qualquer etapa da perícia. A descrição de algumas ferramenta do sleuth kit junto com as
funções estão disponível em http://www.sleuthkit.org/sleuthkit/man, as mesmas são
executadas pelo Autopsy ou separadamente em modo texto.
Blkcalc – faz correção de dados binários em unidades com problema, ou seja:
ele corrige erros de uma unidade já com problema a partir de outra em perfeito
estado;
Blkcat – apresenta conteúdo em unidade;
Blkls – faz a listagem dos arquivos de uma unidade em disco ou imagem;
Blkstat – mostra detalhes como, setor e os sistemas de arquivos;
FCAT – faz busca de conteúdo por nome;
Ffind – faz uma verificação a partir do inode;
Fls – lista arquivo de uma unidade ou imagem, apagados ou não;
Icat – busca arquivo com base no inode, esta ferramenta pode de usada para
recuperação de dados;
Mactime – ferramenta para análise da linha do tempo.
DFF (Digital Forensics Framework), tem uma distribuição open source, em que
disponibiliza ferramentas para análise em Windows e Linux para todas as etapas da perícia, na
mesma constitui disponibilidade com versão gráfica ou por linha de comando. O ponto falho
nesta distribuição está em que, nem todas as ferramentas estão disponível na versão grátis,
pois o DFF, constitui de três versões, DFF, DFF pro e DFF live.
A seguir a lista dividida por modulo de ferramentas disponível na versão grátis do
DFF (Digital Forensics Framework).
Modulo builtins: cd, fg, link, find e history;
31
Modulo metacam: compoundfile, metaexif e time line;
Modulo hash: ferramenta Hash.
Na versão gratuita não disponibiliza o manual do produto, e no site a parte de suporte
com manuais consiste em manutenção na data pesquisada 20 de setembro 2014.
Para justificar a escolha do Autopsy e DFF como as ferramentas a serem utilizadas no
estudo de caso, estará a mostra um exemplo de recuperação de dados, utilizando parte do
pacote sleuth kit, está técnica faz parte do requisito 3, recuperação de indícios de arquivos
apagados.
Figura 6 Uso do FLS para listar arquivos na mídia (fonte próprio autor).
Na figura 6 mostra um exemplo feito com a ferramenta FLS, para listar arquivos da
mídia utilizada no processo como evidência, aonde os resultados obtidos estão gravados em
um arquivo com o nome evidencia_ssd_interno.txt. O comando time mostra o tempo real do
processo, que foi 1 minuto e 12 segundos, fls é a ferramenta utilizada juntamente com o
argumento – r no qual pede para mostrar todos os ficheiros existentes,
/root/Desktop/case01/ssd_interno.img determina o local da mídia armazenado seguido de >
/root/Desktop/case01/evidencia_ssd_interno.txt onde grava os dados obtidos do comando fls –
r. Nota-se que os resultados obtidos ficam expostos em um arquivo aparte, assim cabe ao
perito analisar os documento evidencia_ssd_interno.txt. Outro modo é ser feita a visualização
na tela, sem ter que direcionar o resultado para um documento externo.
32
Figura 7FLS resultado na tela (fonte: Próprio autor)
A figura 7 mostra o resultado do comando fls –r na tela, a seguir o resumo dos resultados obtidos em uma linha da exposta.
+ r/r é as permissões do arquivo;
* 263 descreve que o arquivo se encontra apagado e o inode do mesmo é 263;
Smdl2tmp1.asec consiste no arquivo.
Agora a fase de recuperação dos dados:
Figura 8 Usando a ferramenta Icat para recuperação de dados (fonte: próprio autor).
Icat é uma ferramenta em que faz busca por referência a um dado, na figura 8 mostra
uma busca pelo arquivo referenciado no inode 1621, depois salvo com o nome de
IMG_20140815_1807719.jpg.
Os exemplos expostos nas figuras 6, 7 e 8 mostram uma forma para recuperação de
arquivos apagados sobre linha de comando, o que se nota nestes exemplos, é a necessidade do
perito ter uma vasto conhecimento do caso especificado para se ter êxito na extração dos
dados. Neste caso por se tratar de uma busca cega no qual cabe uma análise detalhada. Este
fato tende a fazer o processo de investigação ficar cada vez mais demorada. Por isto que
imprescindível o uso de uma ferramenta em que tenha um ambiente flexível com mais várias
funções disponíveis. Com este exemplo se justifica a escolha do Autosy e DFF para o estudo
de caso, pois as duas tem os requisitos citados.
33
A seguir um detalhamento do processo de análise dos dados com a imagem gerada na
fase de obtenção e coleta dos dados pelo DCFLDD usando o Autopsy e posteriormente com
DFF, consequentemente se dará a comparação da análise por meio de tabela, e por fim o
resultado em forma descritiva chegado a escolha de uma das duas ferramentas.
A versão do Autopsy analisada é a 2.24, baseada em web ou seja, todo procedimento é
executado via navegador web. Na tela inicial o ambiente é bastante simples e objetivo,
apresentado as opções básicas para o início da perícia.
Figura 9 Tela inicial do Autopsy (fonte:http://www.sleuthkit.org.autopsy).
No caso abordado a opção desejada é new case (novo caso), na tela seguinte mostra um formulário simples com enumerado em:
1. Nome do caso: onde se preenche com nome e número;
2. Descrição do caso 3. Os investigadores do caso, aqui pode colocar o investigador e testemunha,
neste item divide-se em forma alfabética da vogal “a” até a consoante “J” assim pode ser, relacionada 10 pessoas relacionadas a perícia.
Na terceira tela mostra o caminho aonde está armazenado os dados da perícia e te
induz a selecionar o investigador e cadastrar o objeto periciado, ao clicar em add Host temos
uma página com outro formulário aonde a enumeração equivale da seguinte forma:
34
1. Nome do Host: preenchido com o objeto periciado;
2. Discriminação;
3. Time Zone: hora da localidade;
4. Timeskew adjustment: Fuso horário preenchido de forma numérica;
5. Alert Hash Database: opção para arquivos mãos no caso de pesquisa por
palavra chave
6. Ignore Hash Database: arquivos bons, caso de pesquisa por palavra chave.
Ao término desta etapa vem adicionar a imagem que em seguida é colocado o caminho
onde foi gravado a imagem gerada pelo DCFLDD, nesta tela consiste uma opção, bastante,
acessível, o cálculo de hash da imagem analisada. Com isto pode garantir mais confiabilidade
nesta etapa, pois a comparação do hash gerado na fase inicial com o desta fase é
extremamente importante. Ao término o software mostra um detalhadamente o resumo da
imagem juntamente com o Hash MD5 calculado.
Na fase de análise o Autopsy contém as opções file analise, pesquisa por palavra
chave.
Tipos de arquivos detalhe da imagem, Meta dados, Data Unit. A figura 10 mostra a análise da
imagem extraída do objeto periciado no caso, os campos que se apresentam na cor vermelha
consistem em arquivos já não alocados ou seja apagados, juntamente com o nome do arquivo
vem a descrição dos metadados, criação, modificação e último acesso, depois o número do
inode em aponta para o dado.
Figura 10 Pagina de analise Autopsy (fonte: próprio autor).
35
Com a descrição passo a passo de uma análise utilizando a ferramenta Autopsy,
percebe-se que esta ferramenta se enquadra em todos os requisitos determinados no estudo de
caso, por ser fácil a utilização e contém todas os conjuntos de ferramentas necessária para a
análise como pedofilia, com a utilização de técnicas como: pesquisa por palavra-chave;
indícios de arquivos apagados e Mac time.
DFF (Digital Forensics Framework), em sua versão analisada 1.3.0 para Linux, o
ambiente de trabalho é similar do Explorer do Windows. Para a utilização desta ferramenta
pelo perito em computação forense, deve-se contém um conhecimento da mesma a partir de
manuais, pois a ferramenta não passa usabilidade no seu ambiente. Ainda descrevendo o DFF
em seu ambiente inicial, há opções de análise local por unidade de disco, análise por imagem,
módulo root e Bookmaks que seriam os favoritos.
Figura 11DFF Tela inicial (fonte: próprio autor).
Agora está sendo feita a análise da imagem gerada pela unidade SSD do objeto de
pesquisa, para isto desse-se utilizar a opção open evidence – localizar o arquivo de mídia e
selecionar a opção logical file, abrindo em forma de árvore os diretórios em que constam os
arquivos da unidade selecionada.
36
Figura 12 Tela de dados DFF (fonte: próprio autor).
A figura 12 mostra detalhadamente de como se aloca os dados no ambiente DFF, em
que os as colunas com arquivos marcados na cor vermelho, são arquivos apagados e a coluna
da direita é os atributos dos dados metadados do mesmo, na parte superior, aparece um botão
para pesquisa por palavra-chave.
Com esta breve descrição observa-se que o DFF comparado com Autopsy contém as
mesma funcionalidade expostas para a escolha da ferramenta, mais existe uma simples
diferença nas duas, o fator em que o Autopsy ser indutivo assim trazendo melhor eficiência na
utilização da mesma, pois o passo a passo do Autopsy se sobressai. Assim o resultado da
tabela quadro de comparação complementar fica desta forma:
Requisito 1 Requisito 2 Requisito 3 Requisito 4 Requisito 5
AUTOPSY SIM SIM SIM SIM SIM
DFF SIM SIM SIM SIM NÃO
Tabela 3 Resultado fase análiseFonte: Dados da pesquisa
Comentado [I14]: Idem
Formatado: À esquerda
37
4.4 APRESENTAÇÃO DOS DADOS
Esta fase se constitui em expor os dados em uma perícia computacional de forma
descritiva, cada perito tem um modelo de apresentação, ou seja um laudo pericial igual não é
muito provável de um perito a outro (MELLO, 2009).
Pôr o objetivo deste trabalho ser: apresentar ferramenta em que tenha maior eficiência
nas etapas de uma perícia em computação forense. Esta fase se expõem o laudo da perícia,
aonde se tornam meramente um exemplo para fins acadêmicos neste caso, já que o objetos
análise não tem valor jurídico. Mesmo tendo em conta este fator, será apresentado os
resultados adquirido pelo objeto periciado de forma resumida, já com as ferramentas
escolhidas nos estudos de caso.
CASO 01 ANALISE DE UM TABLET SUSPEITO POR PEDOFILIA
Perito: Marcelo Santana S. de Melo;
Testemunha 1: Não houve testemunhas;
Data de início da perícia:17 de Agosto de 2014.
Data de apresentação dados: 28 de setembro de 2014
Tipo de análise: a frio feita em laboratório
Tipos de técnicas: Pesquisa por palavra-chave, indícios de arquivos apagados e
metadados;
Ferramenta utilizadas: DCFLDD para geração da imagem e Autopsy;
Mídia analisada :SSD 5.1 GB / 5117050880 Setores;
Hash da mídia: (md5):d5cbc40e7d4c99900816982fe1fd2a7f.
(sha1):6690ef413f4d998089fbb1a150fb6450a6dc0676(sha512):fd61446c2cfd92e511f
6bdbf8cf9a4626189e95b3c2a744f3289e8fc211e57300cc36d107b46abe59b68e38a51b
0dbd4c7133d1f547e7843fbe7e106205e1a19.
Na mídia foi extraída uma imagem para a preservação dos dados, aonde coube ser
feita duas cópias integral das mesma, com o nomeado de ssd_interno.img em diretórios
diferente, com a uma das três imagens, foi feita uma análise em toda a mídia, utilizando as
seguintes técnicas: pesquisa por palavra, indícios de arquivos apagados e o mactime em
quem consiste na análise das datas modificação, acesso e criação dos arquivos suspeitos.
38
Resultado: foi analisado todo o dispositivo sendo encontrado 2.1 Giga bytes em fotos e
1.2 Giga byte em vídeos o restante do conteúdo consta de arquivo de sistema, dentre este
3.3 Giga Bytes foi evidenciado a quantidade de 5 arquivos suspeitos com o conteúdo de
fotos, aonde o mesmas foram apagadas, sendo feita a recuperação delas com a ferramenta
Autopsy, não obteve nenhum indício de fator ilícitos no conteúdo, assim tendo a seguinte
resultado nesta mídia: não contém nenhuma prova que comprove indícios ilícitos no
mesmo.
Este laudo foi apenas um breve exemplo do conteúdo exposto na fase apresentação de
dados no caso de um laudo para fins criminais. O que consta no trabalho é o formulário de
cadeia e custódia disponível no Anexo A, os dados do dispositivo analisado disponível no
Apêndice A e B.
39
CONCLUSÃO
Este capítulo tem o como objetivo a apresentação dos resultados do estudo de caso
dentre as quatro fases abordadas no trabalho. Onde foi obtido o objetivo esperado, em que se
constam na obtenção de ferramentas que traga eficiência nos processos de uma perícia em
computação forense. A exposição dos dados é dividida por fases como tem sido feito no
trabalho em si, sendo comentados os resultados de cada ferramenta analisada, deste da
escolhida e a não utilizada.
Na fase de obtenção e coleta dos dados, chegou à conclusão que: a ferramenta
mais eficiente é DCFLDD, por ser fácil a utilização simples e objetiva em sua
linha de comando e principalmente por calcular o Hash de uma só vez no
processo de coleta. A outra ferramenta testada foi o DD, em que se teve
resultado não tão satisfatório só por não ter funções extras além de geração de
imagem em mídia SSD ou HDD, mesmo assim não se pode descartar a mesma
em um perícia computacional, pois o DD faz de forma objetiva o básico no que
se pede na sua função coleta de dados sem a perca de informação.
A segunda fase preservação, foi exposto um formulário já com os dados da
fase anterior, assim trazendo mais rapidez e consequentemente eficiência.
Terceira fase análise, coube ao analisador buscando em referências
bibliográficas a escolha das melhores técnicas, juntamente com uma
ferramenta que se enquadre em todos os requisitos anexando com as técnicas
utilizadas, com isto chega-se a Autopsy ferramenta de fácil utilização de que
pode ser feita análise em Windows e Linux, e o melhor desta ferramenta está
em poder exportar o resultado da análise em formato de texto, html ou
planilha, assim ajudando o perito na elaboração na apresentação dos dados que
consiste na últimas etapa. O DFF ferramenta não escolhida nesta fase os pontos
falhos se devem só modo da praticidade, em seu ambiente de trabalho, assim
obrigado ao perito ter maior familiaridade com o DFF.
Com os resultados obtidos no trabalho chegamos ao conjunto de 3 ferramenta para
uma análise em computação forense, envolvendo caso de pedofilia, DCFLDD para geração de
imagem, Autopsy como ferramenta para análise e um editor de texto para a elaboração do
laudo final.
As ferramentas juntamente com o sistema operacional escolhido no trabalho tem,
como objetivo suprir com as fase de uma perícia computacional, tendo como base a análise de
Comentado [I15]: Impessoalidade
40
dados. Assim podem ser utilizada não só em caso de pedofilia, mais também em outros
como: pirataria; violação de direitos autorais e sonegação fiscal. Estas ferramentas só tendem
a ser falhas em que se tratamos no processo da análise contendo conteúdo de internet online,
aonde se consta o computador ainda ligado. A mesma é adequada para análise em laboratório,
assim caberia o perito utilização de ferramentas apropriadas para obter resultados
satisfatórios.
Partindo deste resultado tende a perceber o seguinte fato: é primordial o uso da técnica
certa para a perícia em computação forense, e isto cabe ao perito escolher cada uma a ser
utilizada para ter eficiência em uma perícia.
Além das ferramentas apropriadas vem o imprescindível que consiste: o perito ser
qualificado e especializado no caso em que foi encarregado, pois não adianta estar com as
melhores ferramentas para uma perícia, se o perito não obtêm conhecimento bastante para
utilizá-las de forma mais eficiente.
TRABALHOS FUTUROS.
Na fase de desenvolvimento deste trabalho coube ser feita obtenção de ferramenta que
traga eficiência em análise de dados nas mídias SDD, com isto coube as possibilidades de
trabalhos futuros e oportunidades para aperfeiçoar na solução de novas propostas.
Análise em mídias MTP (MEDIA TRANSFER PROTOCOL). Consiste em formatos
de mídia utilizados por aparelhos como smartphones e máquinas digitais, aonde a
geração de uma imagem exige técnicas apropriadas e ferramentas específicas, pois o
DD, DFLDD, não dão suporte.
Utilização de ferramentas anti - forense para caso como pedofilia e sonegação fiscal
com o sistema operacional KALI, CAINE e DEFT, tendo como objetivo apagar
registros e dados, para que no ato de uma perícia não se ache rastros.
Estruture sua conclusão de forma diferente, em parágrafos sem tópicos. Senti falta também
das limitações percebidas no trabalho.
Comentado [I16]: Melhorar. Use termos menos fortes.
Comentado [I17]: Isto mesmo? Não seria possui?
41
REFERÊNCIAS BIBLIOGRÁFICAS
BURNETT, Steve; PAINE, Stephen. Criptografia e segurança: o guia oficial RSA. Rio de
Janeiro: Campus, 2002. 367 p. Tradução: Edson Fumankiewicz.
CARRIER, Brian Manual sleuthkit Disponível em: <Sistema operacional DEFT 8.2>
Acesso em13 set de 2014.
COSTA, Marcelo Antônio Sampaio Lemos. Computação Forense. 3. ed. Campinas, SP:
Millennium, 2011. 159 p.
ELEUTÉRIO, Pedro Monteiro da Silva. Desvendando a Computação Forense. São Paulo:
Novatec, 2010. 200 p.
FACHIN, Odília Fundamentos de Metodologia 5. Ed. São Paulo: Saraiva, 2006.
FRATEPIETRO, Stefano; ROSSETTI, Alessandro; CHECCO, Paolo dal. DEFT 7
MANUAL: Digital Evidence & Forensic Toolkit. 2012. Disponível em:
<http://www.deftlinux.net/doc/EN-deft7.pdf>. Acesso em: 28 ago. 2014.
FREITAS, Andrey Rodrigues de. Pericia Forense aplica à Informática: ambiente
Microsoft. Rio de Janeiro: Brasport, 2006. 216 p.
FDTK-UbuntuBr – Forense Digital ToolKit Disponível em < http://fdtk.com.br/www/sobre>
acesso 17 set 2014.
HARBOUR, Nicholas; RUBIN, Paul. Manual do DCFLDD. 2006. Disponível em: <Sistema
Operacional DEFT 8.2>. Acesso em: 29 set. 2014.
IBGE, 2011 Acesso à Internet e posse de telefone móvel celular para uso pessoal
Disponível em: <http://www.ibge.gov.br/home/estatistica/populacao/acessoainternet2011>
acesso 18 de ago 2014.
LEHR, John. Computer Aided Investigative Environment. Disponível em:
<http://www.caine-live.net>. Acesso em: 21 set. 2014.
MARTINELLI, Victor. Introdução à computação forense: Teoria e visão pratica. Rio de
Janeiro: Bookmaker, 2013. 109 p.
MACÊDO, Diego. Computação Forense com Software Livre. 2012. Disponível em:
<http://www.diegomacedo.com.br/computacao-forense-com-software-livre/>. Acesso em: 15
ago. 2014.
MACHADO, Francis B. Arquitetura de sistemas operacionais. 4. ed, Rio de Janeiro: LTC,
2007. 308 p.
MELO, Sandro. Computação forense com software livre: Conceitos, Técnicas, Ferramentas
e Estudos de Casos. São Paulo: Atlas, 2009. 168 p.
42
MICHELONI, Rino; MARELLI, Alessia; ESHGHI, Kam. . Inside Solid State Drives (SSDs):
Integrated divice tecnology Enterprise. Agrate Brianza, Italy: Springer, 2012. 399 p.
MOTA FILHO, João Eriberto. Perícia forense computacional. 2014. Disponível em:
<http://eriberto.pro.br/wiki/index.php?title=Perícia_forense_computacional>. Acesso em: 8
ago. 2014.
NEMETH, Evi Manual Completo do Linux. São Paulo: Pearson Prentice Hall, 2007.
Tradução Edson Furmankiewicz.
NG, Reynaldo. Forense Computacional Corporativa. Rio de Janeiro: Brasport, 2007. 158 p.
OLIVEIRA, Rômulo Silva de; CARISSIMI, Alexandre da Silva; TOSCANI, Simão Sirineo.
Sistemas Operacionais. 4. ed. Porto Alegre: Bookman, 2010. 374 p. (11).
ROSA, Fabrício. Crimes de Informática. 2. ed. França, SP: Bookseller, 2005. 142 p.
SEAGATE, A demanda por dispositivos de armazenamento em um mundo de dados
conectado Disponível em:<http://www.seagate.com/br/pt/tech-insights/demand-for-storage-
devices-in-connected-world-master-ti/> acesso 20 de ago de 2014.
TANENBAUM, Andrew S. Sistemas operacionais modernos. 2. ed. São Paulo: Prentice
Hall, 2003. 672 p. Tradução: Ronaldo A. L. Gonçalves.
VARGAS, Rafael; QUEIROZ, Claudemir. Investigação e pericia Forense Computacional:
certificações, leis processuais e estudo de caso. Rio de Janeiro: Brasport, 2010. 156 p.
43
APÊNDICE
A – EQUIPAMENTO ULTILIZADO NO PROCESSO
O equipamento utilizado foi um Netbook da marcada Asus, com as configurações de fábrica modifica para o experimento.
Tipo de computador portátil pessoal. Fabricante Asus. Sistema Operacional DEFT. Processador Intel Aton N550 Dual Core. Memória RAM 2GB DD3 10600. Disco Rígido Toshiba MK7559GSXF = 750GB (LBA 1465149168 SETORES)
LINUX. Monitor LED 10.1 Polegadas.
Foi utilizado um cabo USB 2.0 de marca Samsung para a conexão do dispositivo
periciado e o Netbook. B – EQUIPAMENTO ANALISADO. O equipamento recolhido para análise se encontra com as seguintes características:
Tipo de dispositivo: Tablet portátil. Fabricante: CCE. Sistema operacional: Android versão 4.0. Processador: single-core Cortex A8 de 1,2 GHz Memória RAM: 1GB Armazenamento interno: SSD 5.1GB.
44
ANEXO
A – FORMULARIO DE CADEIA E CUSTODIA O formulário usado para a apresentação dos dispositivos analisado foi baseado com o modelo exposto por (COSTA,2011).
Data Hora
partes Driver
Data:Hora:Data:Hora:
Data:Hora:Data:Hora:
Data:Hora:
Data:Hora:
CADEIA E CUSTÓDIA
DESTINO DATA/HORA SAIDA DATA/HO RA CHEGADA MOTIVO
Hash
numero de série
FOMULÁRIO DE CADEIA E CUSTODIA
IMAGEM DOS DADOSCriado por
Nome da imagem
Fabricante Modelo
CASO NUMERO.: NUMERO DE PAGINAS:
DETALHE DE EQUIPAMENTO E MÍDIANumero do item: Descrição
Metodo Usado
Assinatura Tetesmunha Assinatura Tetesmunha
Assinatura perito Assinatura Tetesmunha
Formulário cadeia e custodia 1 (fonte: COSTA, 2013).
