Prévia do material em texto
FORENSE COMPUTACIONAL FORENSE COMPUTACIONAL Forense Com putacional Holney Aparecido DeccoHolney Aparecido Decco GRUPO SER EDUCACIONAL gente criando o futuro A Forense Computacional tem como responsabilidade combater os crimes que migra- ram dos meios físicos para os virtuais, e assim como as outras ciências forenses, ela possui métodos e procedimentos cientí� cos especí� cos. Devido à alta dependência de tecnologia por parte das corporações nos dias de hoje, algumas práticas fraudulentas, antes especí� cas de áreas que envolviam pagamentos, investimentos, compras, � nan- ças e contabilidade, adequaram-se à nova realidade das grandes bases de dados inte- gradas, das falhas provenientes de sistemas difíceis de monitorar e, muitas vezes, da própria cultura da empresa, que não possui maturidade para gerir estes avanços. Apesar de, atualmente, a área de segurança da informação possuir várias ferramentas e metodologias para combater os incidentes gerados por ataques e outros tipos de des- vios que acontecem diariamente, não se pode subestimar a capacidade de adaptação do ser humano e suas tentativas de burlar as barreiras e obstáculos que são colocados como medidas de segurança. Por esse motivo, se fez necessária a criação de uma nova categoria da ciência forense, bem como a especialização de novos tipos de pro� ssionais de tecnologia da informação. SER_DIGISEC_FOREC_CAPA.indd 1,3 29/09/2020 13:26:12 © Ser Educacional 2020 Rua Treze de Maio, nº 254, Santo Amaro Recife-PE – CEP 50100-160 *Todos os gráficos, tabelas e esquemas são creditados à autoria, salvo quando indicada a referência. Informamos que é de inteira responsabilidade da autoria a emissão de conceitos. Nenhuma parte desta publicação poderá ser reproduzida por qualquer meio ou forma sem autorização. A violação dos direitos autorais é crime estabelecido pela Lei n.º 9.610/98 e punido pelo artigo 184 do Código Penal. Imagens de ícones/capa: © Shutterstock Presidente do Conselho de Administração Diretor-presidente Diretoria Executiva de Ensino Diretoria Executiva de Serviços Corporativos Diretoria de Ensino a Distância Autoria Projeto Gráfico e Capa Janguiê Diniz Jânyo Diniz Adriano Azevedo Joaldo Diniz Enzo Moreira Holney Aparecido Decco DP Content DADOS DO FORNECEDOR Análise de Qualidade, Edição de Texto, Design Instrucional, Edição de Arte, Diagramação, Design Gráfico e Revisão. SER_DIGISEC_FOREC_UNID1.indd 2 29/09/2020 13:14:32 Boxes ASSISTA Indicação de filmes, vídeos ou similares que trazem informações comple- mentares ou aprofundadas sobre o conteúdo estudado. CITANDO Dados essenciais e pertinentes sobre a vida de uma determinada pessoa relevante para o estudo do conteúdo abordado. CONTEXTUALIZANDO Dados que retratam onde e quando aconteceu determinado fato; demonstra-se a situação histórica do assunto. CURIOSIDADE Informação que revela algo desconhecido e interessante sobre o assunto tratado. DICA Um detalhe específico da informação, um breve conselho, um alerta, uma informação privilegiada sobre o conteúdo trabalhado. EXEMPLIFICANDO Informação que retrata de forma objetiva determinado assunto. EXPLICANDO Explicação, elucidação sobre uma palavra ou expressão específica da área de conhecimento trabalhada. SER_DIGISEC_FOREC_UNID1.indd 3 29/09/2020 13:14:33 Unidade 1 - Introdução à computação forense Objetivos da unidade ........................................................................................................... 12 A ciência forense aplicada à computação ..................................................................... 13 O profissional de computação forense ..................................................................... 14 A necessidade da perícia forense ............................................................................. 16 O caso BTK ..................................................................................................................... 17 A evolução da tecnologia ............................................................................................ 18 Novos meios de se cometer crimes ........................................................................... 19 Terminologia da computação forense .............................................................................. 24 Terminologia ................................................................................................................... 24 Técnicas de eliminação de evidências ..................................................................... 31 Evidências digitais ............................................................................................................... 32 Artefatos ......................................................................................................................... 33 Sintetizando ........................................................................................................................... 36 Referências bibliográficas ................................................................................................. 37 Sumário SER_DIGISEC_FOREC_UNID1.indd 4 29/09/2020 13:14:33 Sumário Unidade 2 - Padrões de exame em Computação Forense Objetivos da unidade ........................................................................................................... 39 Padrões de exame em Computação Forense .................................................................. 40 Fases dos exames em Computação Forense ........................................................... 40 Planejamento da investigação .................................................................................... 48 A preservação de evidências ............................................................................................ 50 Breve história da criptografia ..................................................................................... 51 Tipos de hash ................................................................................................................. 53 Objetos e tipos de exame.................................................................................................... 55 Mídias de prova e de destino ...................................................................................... 55 Tipos de exame .............................................................................................................. 57 Sintetizando ........................................................................................................................... 64 Referências bibliográficas ................................................................................................. 65 SER_DIGISEC_FOREC_UNID1.indd 5 29/09/2020 13:14:33 Sumário Unidade 3 - Coleta de evidências digitais Objetivos da unidade ........................................................................................................... 67 Coleta de evidências digitais ............................................................................................ 68 O conjunto de ferramentas .......................................................................................... 70 A documentação ........................................................................................................... 73 Duplicação forense em mídias .......................................................................................... 76 Duplicação forense em mídias locais ........................................................................ 78 O processo de duplicação ........................................................................................... 80 Duplicação forense em mídias remotas .................................................................... 83 Coleta de dados voláteis ..................................................................................................... 85 Tráfego de rede .............................................................................................................de forma incontestável. Na maioria dos casos, existem duas abordagens a serem aplicadas: quando o especialista conhece e quando ele desconhece o tipo de evidência que procura. Um bom exemplo da primeira abordagem, quando o especialista procura evidências conhecidas e do- mina seu ambiente, acontece quando o especialista entende que uma inva- são ocorreu. Seu conhecimento do ambiente norteará a procura de evi- dências que comprovem a invasão, en- tretanto, como ele desconhece a ma- neira que essa invasão ocorreu, sua busca será mais ampla; nesse caso, as análises englobam vírus do tipo back- door, vulnerabilidades sistêmicas, programas e logs apagados. O intuito é o de identificar o tipo, a localização (onde partiu o ataque) e, se possível, o atacante. • O PALADIN (Sumuri), que foi desenvolvido pelo sistema operacional de código aberto Ubuntu, é a mais completa plataforma da categoria. Ele conta, inclusive, com um decriptador de discos criptografados pelo sistema Bitlocker (Microsoft). Atualmente, é possível adquiri-la em esquema de doação. EXPLICANDO Boot é um termo técnico da língua inglesa que faz referência ao processo de inicialização ou arranque de um dispositivo computacional. O processo de boot acontece quando ligamos um dispositivo até o carregamento total do sistema operacional; a principal tarefa do boot é a de inicializar todos os arquivos necessários para o funcionamento de um sistema operacional. Uma outra tarefa que deve ser citada é o carregamento dos drivers que, grosso modo, são os programas que controlam os dispositivos periféricos (tais como mouse, teclado e monitor) e os recursos internos (hard disk, memória RAM, processador e demais memórias disponíveis). FORENSE COMPUTACIONAL 46 SER_DIGISEC_FOREC_UNID2.indd 46 29/09/2020 13:48:20 A segunda abordagem, em que o especialista desconhece o tipo de evidên- cia que deve procurar, é a mais comum. Embora ele possua total domínio do ambiente a ser analisado, o analista deverá cobrir a totalidade dos dados co- letados para buscá-las. Podemos utilizar como exemplo um caso de pedofilia: neste tipo de análise, todo e qualquer tipo de artefato que remeta a esse crime pode ser utilizado como evidência. Desde um arquivo de texto com uma lista de contatos, arquivos de multimídia, histórico de internet, arquivos protegidos por senha ou criptografados, caixas de correio eletrônico, acessos ao webmail, entre outros. As evidências identificadas na análise são utilizadas para fornecer enten- dimento e reconstruir eventos. Não é incomum que, para apenas um caso, as análises ocorram em diversas fontes de dados; neste caso, as evidências de- vem ser agregadas e correlacionadas. Não importa quantas fontes existem, as análises devem sempre ser executadas em uma cópia (resultado das coletas), mas nunca na mídia-alvo, para que ela seja preservada. Existe uma grande variedade de ferramentas disponíveis que podem ser utilizadas pelo especialista durante as análises. Para que uma ferramenta seja apropriada para essa função, ela deve ser confiável e possuir características que garantam que todo o conteúdo a ser analisado seja desvendado e se torne acessível, para que o especialista extraia ao máximo as informações da fonte de dados. Existem, ainda, outras ferramentas com fins específicos que podem ser utilizadas nas análises; entre elas, podemos citar as ferramentas de busca por palavra-chave e de recuperação de dados apagados. Quando a fase das análises é concluída, é a vez dos resultados serem apre- sentados: é a etapa de apresentação, conhecida também como “retorno de evidências”. Todas as evidências devem ser acompanhadas por uma descri- ção detalhada das etapas realizadas, bem como de um ponto ex- plicativo do que significam e qual sua relação com o caso. Uma apresentação de resultados, na forma de relatório ou laudo, deverá conter: • Informações das fases de aquisição e coleta: responsável técnico, fotos do equipamento, números de série, data e hora da coleta, softwares utilizados, hash number resultante da coleta etc.; FORENSE COMPUTACIONAL 47 SER_DIGISEC_FOREC_UNID2.indd 47 29/09/2020 13:48:20 • Informações pertinentes da fase de análise: identifi cação e demais da- dos relativos à mídia objeto de exame, softwares utilizados na análise e as téc- nicas empregadas; • Evidências encontradas: explicação do que foi encontrado e sua impor- tância para o caso, visando à correlação de um determinado ato a uma evidên- cia, comprovando que o fato aconteceu. O relatório ou laudo deve ser apresentado em linguagem acessível, ou seja, não são utilizados termos técnicos que exijam um determinado nível de expertise do juiz que analisará as evidências. Essa prática garante que não ha- verá qualquer tipo de má interpretação das evidências, não abrindo margem para questionamentos quanto à clareza ou ao que realmente ela (evidência) quer provar. Assim, algumas dicas úteis para a elaboração de um relatório ou laudo são: • Tenha conhecimento do caso como um todo. Isso ajuda tanto nas análises quanto ao reportar evidências que sejam relativas ao assunto, evitando falsos- -positivos; • Abstenha-se de emitir opiniões pessoais sobre o que foi levantado, bem como sobre punições a serem aplicadas aos culpados; • Reporte apenas o que pode ser comprovado, sem especulações; • Agrupe as evidências relativas ao mesmo ponto; • Não utilize linguagem complexa. Caso seja indispensável o uso de termos técnicos ou siglas, insira a sua defi nição e signifi cado no texto; • Enumere e relate as evidências de maneira clara e organizada. Planejamento da investigação Um crime ou uma fraude não têm data e hora marcada para acontecer. Por esse motivo, é essencial que o especialista possua um mapa de ações preestabelecido, que trará agilidade e asser- tividade às investigações. O planejamento deve oferecer fl exibilidade ao especialista, afi nal, cada caso é diferente do outro. O primeiro passo, antes de qualquer tipo de interação, é o levantamento de informações pertinentes. FORENSE COMPUTACIONAL 48 SER_DIGISEC_FOREC_UNID2.indd 48 29/09/2020 13:48:20 É necessário o conhecimento do contexto do caso, incluindo a identi- ficação clara de quem são os envolvidos e os fatos relevantes sobre o ato denunciado. O conhecimento sobre o ocorrido facilitará o trabalho do espe- cialista quando suas ações operacionais posteriores forem delineadas. Com esse entendimento, portanto, o especialista poderá prosseguir na elabora- ção do seu planejamento da investigação. O primeiro passo no planejamen- to visa à elaboração de um diagrama para a identificação dos envolvidos (incluindo, por exemplo, os alvos da investigação, as testemunhas, as ví- timas, os coautores, os chefes, os subordinados, entre outros). Geral- mente, também, é incluído nesse passo um levantamento de antece- dentes e mais informações relativas ao perpetrador do crime, além de sua rede de relacionamentos e se o especialista possui todas as infor- mações necessárias para efetuar a investigação. O escopo de trabalho da investigação visa à identificação de todas as fontes de dados passíveis de coleta, informações do crime dispostas em ordem cronológica, procedimentos previstos para a coleta e os resultados que se espera obter com as investigações. Existem, também, diversos impe- dimentos possíveis (por exemplo, o notebook do criminoso não ser encon- trado ou ter sofrido danos sérios). Por esse motivo, é nesse momento que o especialista faz a checagem da disponibilidade das fontes de dados. Se for o caso, o especialista deverá inteirar-se sobre o aspecto legal (necessidade de um mandato) aplicado na prática, para que seja possível a identificação das restrições legais relativas à sua atuação no caso. O especialista deve possuir uma percepção acurada ao determinar a quantidade de recursos que serão despendidos na investi- gação. Assim,os três itens mais importantes nesse passo são: FORENSE COMPUTACIONAL 49 SER_DIGISEC_FOREC_UNID2.indd 49 29/09/2020 13:48:21 • O tempo disponível para realizar os procedimentos: o alinhamento en- tre necessidade x expectativa x tempo deve ser considerado, pois, na maioria das vezes, os requisitantes não possuem capacidade técnica para avaliar a quantidade de trabalho. É primordial, portanto, que sejam trabalhadas metas factíveis; • Os equipamentos necessários para os melhores resultados: o uso de ferramentas que não sejam apropriadas resultará em uma investigação rasa e inefetiva. As limitações dos recursos devem ser consideradas e, se o melhor não for possível, o correto é declinar; • A mão de obra com conhecimento técnico para atuar no caso: o especia- lista, às vezes, depara-se com uma nova tecnologia, e assim se vê perante desa- fi os constantes. Não é incomum que uma determinada ferramenta (ou todas) não acompanhe a velocidade da evolução tecnológica e, nesse caso, o melhor a se fazer é aguardar as atualizações necessárias, salvaguardando a fonte ori- ginal para trabalhos posteriores. A preservação de evidências A área de atuação da Computação Forense abrange todos os tipos de cri- mes cometidos nos meios digitais, incluindo invasões, investigações de arte- fatos armazenados em qualquer tipo de mídia digital, fabricação de dados e até distribuição de material de conteúdo indevido. Uma das fases mais críti- cas em um processo de investigação nesses meios, sem dúvidas, é a coleta dos dados; é a primeira parte a ser contestada em um processo, porque é de conhecimento geral que dados digitais, quaisquer que sejam, são facilmente manipuláveis e fáceis de falsifi car. Toda essa volatilidade começou a ser questionada há alguns anos, pois era necessário que os investigadores apresentassem uma solução que pudesse garantir que uma evidência coletada fosse verifi cada na origem dos dados. A solução foi a aplicação de um algoritmo criptográfi co (hash number) que permite a comparação entre a origem dos dados e a coleta realizada. Essa simples comparação garante a in- tegridade dos dados, bem como provê autenticidade de origem para todas as evidências extraídas. FORENSE COMPUTACIONAL 50 VIDEOAULA Clique aqui SER_DIGISEC_FOREC_UNID2.indd 50 29/09/2020 13:48:21 Breve história da criptografia Apesar de se tratar de uma categoria altamente tecnológica, a criptografi a não é algo recente. A palavra é derivada da junção de duas palavras gregas, kryptós e gráphein, signifi cando “palavra escondida”. Assim, a criptografi a vem sendo utilizada desde que a humanidade percebeu a necessidade de esconder segredos. No início, a principal técnica era a conversão de mensagens a serem passadas de maneira ilegível com a utilização de fi guras, por exemplo. As técnicas de criptografi a mais antigas datam do início de nossa civilização, em regiões como Egito e Roma. Em 1900 a.C., os egípcios fi zeram uso de hie- róglifos (Figura 4), entalhados de uma maneira ilegível ou mesmo sem sentido com o intuito de difi cultar a leitura por aqueles que não conheciam o truque para desvendar o seu signifi cado. EXPLICANDO As funções de hash podem ser utilizadas de várias maneiras, incluindo sua função original de criptografar dados. Quando essa função é aplicada em uma fonte de dados, ela cria uma espécie de DNA digital no momento da coleta. Como a cópia efetuada de maneira forense é exatamente igual à origem, então, quando aplicada a mesma função na cópia, o “DNA” será o mesmo. Por esse motivo, qualquer manipulação de artefatos (ou conteúdo) pode ser detectada. Figura 4. Hieróglifos egípcios escritos a mão. Fonte: Adobe Stock. Acesso em: 17/07/2020. FORENSE COMPUTACIONAL 51 SER_DIGISEC_FOREC_UNID2.indd 51 29/09/2020 13:48:21 O tipo de criptografia utilizada pelos romanos chamava cifra de transposição de César (Figura 5) e se baseava na ideia de mover letras um número previamen- te combinado de vezes, escrevendo, assim, uma mensagem pelo deslocamen- to das letras. De posse da mensagem, o receptor a decodificava, retornando às posições conforme o número combinado e acessando, portanto, a mensagem. A B C A D B E C Figura 5. A cifra de transposição de César. Figura 6. Máquina de encriptação de mensagens Enigma. Fonte: Adobe Stock. Acesso em: 17/07/2020. O caso mais notório do uso de criptografia aconteceu durante a Segunda Guer- ra Mundial. Os alemães adaptaram, para uso militar, uma máquina inventada pelo engenheiro alemão Arthur Scherbius em 1918. O aparato, chamado Enigma (Figura 6), codificava as mensagens com o uso de roletes. O sistema era tão se- guro que praticamente todas as comunicações de rádio e telégrafos da Alema- nha, bem como dos demais países do Eixo, eram feitas por meio desse método, fazendo com que a quebra do código mudasse o destino da Guerra no Pacífico. FORENSE COMPUTACIONAL 52 SER_DIGISEC_FOREC_UNID2.indd 52 29/09/2020 13:48:22 Tipos de hash Existem inúmeros tipos de algoritmos de função hash. Na aplicação da Computação Forense, os mais utilizados são o MD5 (Message Digest 5) e os SHAs (Secure Hashing Algorithm) 1 e 2. Nesse sentido, primeiro devemos en- tender exatamente como o hash funciona, utilizando como exemplo uma frase curta e aplicando uma função de hash MD5. Para isso, consideremos a Figura 7, na qual a frase “Bons Estudos” é a fonte original de dados. ASSISTA O fi lme O jogo da imitação, de 2015, conta a história da quebra do código do Enigma por Alan Turing e uma equipe de especialistas alistados pelo governo britânico durante a Segunda Guerra Mundial. Figura 7. Hash A. Figura 8. Hash B. Your hash: 6db4263da037c70b38dd582600bf747c Your string: Bons Estudos Your hash: 15e1c5070d2d44d2ac83cc27706b01a0 Your string: Bons estudos Em seguida, obtemos a mesma função de hash (MD5), porém alteramos o “E” maiúsculo por um “e” minúsculo. Isso feito, obtemos o resultado ilustrado na Figura 8. Perceba que, com a mudança de apenas uma letra, o resultado da função criptográfi ca mudou completamente, de 6db4263da037c70b38dd582600b- f747c (hash A) para 15e1c5070d2d44d2ac83cc27706b01a0 (hash B). Esse exemplo torna claro que, se qualquer modifi cação for efetuada na origem dos dados, quando comparado com o resultado da coleta, existirá discrepância. Desse modo, a função MD5 (Figura 9) é a mais utilizada, porque o número de hash obtido após a aplicação de sua função resulta em números menores e de fácil armazenamento. FORENSE COMPUTACIONAL 53 SER_DIGISEC_FOREC_UNID2.indd 53 29/09/2020 13:48:23 Apesar de ter sido criada para uma função de criptografia, ela é amplamen- te utilizada para a verificação de valores originais de maneira unidirecional, ou seja, ela gera um número na fonte da origem dos dados que depois pode ser comparado com fontes coletadas que, pressupõe-se, são idênticas. Sua cria- ção se deu no sistema operacional Unix, para o armazenamento de senhas de usuários em formato criptografado de 128 bits. Atentemos à expressão que gerou o hash, utilizada na Figura 9, “Computação Forense”. A cadeia de números gerada é o resultado da aplicação do hash crip- tográfico, ou seja, essa função transformou os caracteres (letras) em uma cadeia de números. Em criptografia, não importa qual a função criptográfica aplicada, um texto claro sempre será convertido em uma sequência de números. O SHA é uma função de hash que está integrada aos vários aplicativos e protocolos de segurança, tais como o SSL, o SSH e o IPsec. Sua disseminação se deu basicamente após a adoção do governo dos Estados Unidos, que utiliza as funções SHA-1 (Figura 10) e SHA-2 para determinados aplicativos e protocolos de segurança voltados para a proteção de dados e informações confidenciais. Figura 9. Exemplo de hash MD5. Figura 10. Exemplo de hash SHA-1. Figura 11. Exemplo de hash SHA-2. Your hash: ec3ba888a752de4096182361557f4da2 Your string: ComputaçãoForense SHA-1 hash of your string: Computação Forense 60BC02978001AA613A3501A96E433C1BE4E0F9E7 Computação Forense D23c76e7e45671aec1b1b413b6851811f9fda254d6382b5f4ab22c90e899 3f43 Atualmente, a função SHA-1 está progressivamente deixando de ser utilizada pelo governo dos Estados Unidos, que prefere utilizar o SHA-2 (Figura 11) aliado a outras funções criptográficas (MD5, por exemplo) e protocolos de segurança mais avançados. Embora o uso do SHA-1 esteja em queda no governo, no mundo cor- porativo ele ainda é amplamente utilizado para verificação de assinaturas digitais. FORENSE COMPUTACIONAL 54 SER_DIGISEC_FOREC_UNID2.indd 54 29/09/2020 13:48:23 Objetos e tipos de exame As evidências com maior grau de aceitabilidade pela corte serão sempre as evidências obtidas de maneira correta, oriundas de uma fonte original e com a garantia de integridade acima de qualquer suspeita. Para que isso ocorra, é necessário que se efetue a coleta de dados, em alguns casos, mais de uma vez. Os cuidados com a mídia destino, dessa forma, devem ser os mesmos que os despendidos com a mídia de prova (origem dos dados). São comuns acidentes durante uma coleta (por exemplo, um hard disk ori- ginal com problemas físicos ou lógicos que impedem a coleta dos dados) e, posteriormente, durante as análises (por exemplo, a não utilização de um blo- queador de escrita ou qualquer tipo de pane na mídia de destino). O sucesso de uma investigação se resume à maneira como o especialista manuseia a mídia de prova e a mídia de destino. Mídias de prova e de destino São consideradas mídias de prova os equipamentos que foram utilizados como meio para um crime (e, portanto, contêm registros de uma ação crimi- nosa) e quaisquer tipos de mídia ou de dispositivo de armazenamento digital que contenham as evidências de uma ação criminosa. Antes de iniciar a coleta de uma mídia de prova (como o conteúdo de um hard disk), uma ótima prática é registrar as informações sobre a mídia (tipo, marca, modelo e capacidade), bem como informações sobre o sistema operacional instalado. Se possível, de- ve-se tirar fotos da mídia coletada. Uma etiqueta (Quadro 1) deve ser elaborada para essa mídia, contendo as informações coletadas anteriormente, agregadas às informações de data e hora do início/término da coleta, qual software foi utilizado e o resultado da função de hash. Deve-se, também, “ensacar” ou “envelopar” a mídia de prova e lacrá-la; em seguida, elaboramos o documento da cadeia de custódia. Ao término da coleta, a cadeia de custódia deve conter os dados pertinentes ao caso e à coleta, aliados aos dados do respon- sável pela salvaguarda (o custodiante, a quem a mídia será entregue) da mídia de prova. FORENSE COMPUTACIONAL 55 SER_DIGISEC_FOREC_UNID2.indd 55 29/09/2020 13:48:23 São consideradas mídias de destino quaisquer tipos de mídia de armaze- namento digital que receba o resultado de uma coleta, efetuada, como men- cionado, de acordo com os padrões e procedimentos da computação forense. Antes de iniciar a coleta de uma mídia, devemos verificar se a mídia de destino está sanitizada, ou seja, se ela contém algum dado que possa poluir a cópia. Quando uma mídia de destino não é sanitizada (caso exista a necessidade de uma recuperação de dados, por exemplo), evidências de coletas passadas po- dem ressurgir. QUADRO 1. EXEMPLOS DE ETIQUETA PARA MÍDIA DE PROVA E MÍDIA DE DESTINO Mídia de prova Mídia de destino Número de evidência ___________ Número de evidência ___________ Marca _________________________ Marca _________________________ Modelo ________________________ Modelo ________________________ Número de série ______________ Número de série ______________ Método/software ______________ Método/software ______________ Início coleta ____________________ Início coleta ____________________ Término coleta ________________ Término coleta ________________ Hash number Hash number EXPLICANDO Os dados contidos em um hard disk, ou qualquer outro tipo de mídia de armazenamento, não desaparecem quando apagados ou, de maneira mais radical, quando são formatados. Para que os dados sejam excluídos de maneira segura, a forma correta é a sanitização pelo uso de uma ferra- menta de wipe. Este tipo de ferramenta é gratuita e funciona preenchendo todos os espaços com um bit de valor 1, efetuando repasses que preen- chem os espaços sucessivamente com bits de outros valores (que não necessariamente serão apenas números). FORENSE COMPUTACIONAL 56 SER_DIGISEC_FOREC_UNID2.indd 56 29/09/2020 13:48:23 É imperativo, também, o registro de informações sobre a mídia e fotos da mídia que receberá o resultado da coleta. Uma etiqueta também deve ser ela- borada para essa mídia, contendo as informações relativas ao caso, seguindo as mesmas diretrizes da etiqueta para a mídia de prova, ensacando e lacrando a mídia de destino, que será aberta somente em um ambiente seguro, como o laboratório em que as análises ocorrerão. Da mesma forma, um documento de custódia deve ser elaborado, contendo os dados pertinentes ao caso e à coleta, além dos dados do responsável pela análise (o especialista que realizará os procedimentos em laboratório) da mídia de destino. Tipos de exame Os exames em computação forense podem ser feitos de duas maneiras: ao vivo, em que a origem dos dados permanece ligada ao sistema operacional ope- rante; ou off -line, quando é efetuada para uma mídia de armazenamento e ela é levada para um laboratório de exames. Independentemente do caminho seguido, o especialista deve ter em mente que os procedimentos relativos à computação forense devem ser respeitados e cumpridos à risca. É na fase dos exames que o especialista demonstra todo seu conhecimento técnico, utilizando-o para “desconstruir” sistemas operacionais e dados. São re- queridos conhecimentos técnicos avançados para entender, por exemplo, como funcionam os bastidores de um sistema operacional e como os dados são grava- dos, excluídos e armazenados em um sistema de arquivos. Vale lembrar que as ferramentas forenses não se operam sozinhas e não possuem interfaces amigá- veis aos usuários sem treinamento. Entretanto, se bem operadas em um laboratório, essas ferramentas podem ser poderosas. Para a obtenção dos melhores resultados nas pesquisas e inves- tigações, os desenvolvedores criaram recursos para o ramo da Computação Fo- rense. Os departamentos de polícia e as agências de investigação selecionam as ferramentas que utilizam com base em vários fatores, incluindo orçamento e es- pecialistas disponíveis na equipe. Algumas dessas ferramentas têm seu uso difundido globalmente, fi gurando como o “estado da arte” no ramo. A seguir, veremos algumas delas, lembrando, é claro, que o intuito é conhecê-las, sem o propósito de infl uenciar escolhas futuras. FORENSE COMPUTACIONAL 57 SER_DIGISEC_FOREC_UNID2.indd 57 29/09/2020 13:48:23 • Encase Forensic: o Encase Forensic da Guidance Software é provavel- mente a mais conhecida e amplamente utilizada ferramenta de computação forense. Concentra uma grande variedade de diferentes funções, desde a aquisição de dados (imagens) e preservação, até pesquisa de palavras-chave e recuperação básica de dados para análise de um disco rígido no nível do byte, possibilitando uma visão de “raio-X” da mídia analisada; • FTK Forensic Toolkit: o Forensic Toolkit (FTK) da AccessData também é uma ferramenta de computação forense conhecida e utilizada. Além das fun- cionalidades de seu concorrente direto (Encase), possui interface intuitiva, ou seja, de fácil manuseio para usuários menos experientes; • dtSearch: o dtSearch, da dtSearch Corp., é um software que possibilita a indexação de grandes volumes de dados para a realização de buscas por palavras-chave – vale lembrar que o Encase e o FTK são deficitários nesse quesito. O dtSearch possibilita a escolha dos dados a serem indexados, por exemplo, apenas arquivosde e-mail (PST). A análise ao vivo é realizada em dispositivos em que seus sistemas ope- racionais estão funcionando. Apesar de não ser comum, essa prática visa à coleta de informações armazenadas em partes específicas e de natureza volátil que compõem um dispositivo. Diferentemente das análises off-line, o foco da análise ao vivo é a captura de evidências de um crime cometido em tempo real. Esse procedimento requer cuidado, pois toda essa volatilidade pode se virar contra o especialista. Não é incomum que, durante uma análise, o dispo- sitivo congele (trave) devido ao uso de ferramentas de coletas de dados. Feito de maneira correta, podemos conseguir dados que as análises off-line não conseguiriam. Entre os mais procurados, durante o procedimento, estão as chaves de registro de sistemas, contas de usuários, qualquer tipo de conexão ou acesso ainda em execução e os dados (objetos) dentro da memória RAM. O essencial para o sucesso desse tipo de procedimento é o conhecimento da cadeia de volatilidade, que define quais tipos de dados devem ser coleta- dos pelo tempo em que estão disponíveis nos sistemas durante as análises. Existem determinados tipos de dados que possuem alta volatilidade e tempo de vida curto; por esse motivo, o especialista deve ter conhecimento da ca- deia de volatilidade para capturá-los primeiro. São eles (por tipo): FORENSE COMPUTACIONAL 58 SER_DIGISEC_FOREC_UNID2.indd 58 29/09/2020 13:48:23 • Registros de sistemas e caches diversos; • Tráfego de rede e seu estado (incluindo as tabelas de roteamento); • Processos que estão sendo executados; • Dados estatísticos dos módulos de controle (kernel) dos sistemas ope- racionais; • Conteúdo de memória RAM (recebe o nome de dump, “despejo”, dos dados da RAM para uma mídia de destino específica); • Arquivos temporários localizados em áreas controladas pelo sistema operacional. A análise off-line é realizada em um ambiente de laboratório em que o especialista poderá efetuar a análise com maior amplitude (por possuir mais ferramentas disponíveis) e maior segurança. Uma vez em laboratório, existem vários procedimentos que podem ser executados em mídias de destino com o intuito de buscar evidências que comprovem que um crime ocorreu: a recupe- ração de dados, a quebra de senha, a pesquisa por strings e palavras-chave, a análise de cabeçalho de arquivos e a análise da linha do tempo. Ademais, a recuperação de dados é um procedimento que visa restaurar dados excluídos, propositalmente ou não (excluídos ou sobrescritos pelo pró- prio sistema operacional). Esse tipo de ação é executado na grande maioria dos exames de computação forense, porque o suposto criminoso tende a apagar seus rastros. Quando efetuado de maneira correta, é possível recuperar arqui- vos na íntegra e porções de arquivos sobrescritos, como mostrado na Figura 12. Figura 12. Arquivo sobrescrito. FORENSE COMPUTACIONAL 59 SER_DIGISEC_FOREC_UNID2.indd 59 29/09/2020 13:48:24 No caso de arquivos sobrescritos, desde que as porções recuperadas conte- nham informações relativas ao crime cometido, podem ser utilizadas como evidên- cia. Quando um arquivo é sobrescrito, a cadeia lógica (que compõe os dados de um arquivo) apresenta caracteres especiais nos bits que deveriam possuir dados do arquivo original. Os fragmentos de dados podem ser utilizados como evidência, contanto que apresentem uma porção aceitável de um evento que comprove a au- toria ou um fato ocorrido. A quebra de senha é o procedimento que visa o acesso a arquivos protegidos por senha. Como criminosos buscam maneiras de dificultar as investigações, a pro- teção de arquivos com senha é a mais comum delas. Existem vários tipos de softwa- res que podem ser utilizados para esse fim, e o sucesso de seu uso está diretamen- te ligado ao tipo de sistema ou criptografia utilizado para gerar a senha. No geral, esses softwares utilizam um processo chamado “força bruta”, que tentará quebrar a senha, forçando todas as combinações possíveis; na maioria dos casos, esse pro- cedimento consome muito tempo e, por isso, não é indicado para exames ao vivo. A pesquisa por strings e palavras-chave é um procedimento que visa a dimi- nuição do tempo de exame, bem como maior assertividade na busca por evidên- cias. Se o especialista detém conhecimento sobre os dados que está examinando, ele pode indexar uma determinada parte desses dados. Geralmente, a escolha da porção de dados se baseia em conjuntos de dados, como acessos à internet, logs sistêmicos, números de telefone e cartão de crédito, entre outros, que contêm infor- mações específicas sobre o caso. É primordial que, ao efetuar esse procedimento, o especialista escolha palavras- -chave ou sequências de caracteres que sejam assertivos. Um bom exemplo disso é não utilizar, por exemplo, palavras do tipo “windows” ou “internet”, pois esse tipo de palavra trará como resultado muitos arquivos irrelevantes para o caso. A análise de cabeçalho de arquivos possibilita que o especialista obte- nha dados importantes sobre a autoria, a data de criação, a data de modificação etc. Muitas vezes, um caso se re- sume a identificar que determinado usuário realizou de- terminadas mudanças ou acessou um arquivo. Por mais simples que possa parecer, esse procedimento é muito útil e pode reduzir o tempo gasto nos exames (a depender do caso) drasticamente. FORENSE COMPUTACIONAL 60 SER_DIGISEC_FOREC_UNID2.indd 60 29/09/2020 13:48:24 Por fim, a análise da linha do tempo parte do pressuposto de que ter infor- mações sobre o caso investigado possibilita que o especialista consiga resumir, de maneira considerável, o universo de suas análises, poupando-lhe tempo. A intenção desse procedimento é o de limitar as buscas por evidências, delimi- tando-as apenas a um determinado período (janela) de tempo. Exames em dispositivos celulares A comunidade da computação forense enfrenta o desafio constante de se manter a par dos últimos avanços tecnológicos em todas as áreas. Os dispo- sitivos celulares, sem dúvidas, figuram atualmente como o maior de todos os desafios enfrentados pelos profissionais da área: esses dispositivos sofrem modificações e evoluem rapidamente, variam em design, em sistemas opera- cionais, em capacidade de armazenamento e processamento para acomodar mais funções e aplicativos que evoluem na mesma velocidade. Esse fato acaba por transformar os dispositivos celulares em um grande de- safio. Tomemos como exemplo o software mais utilizado para análises desse tipo de dispositivo: o UFED da Cellebrite, o qual a versão atual está pelo menos duas gerações atrasadas dos dispositivos atuais. Quando um dispositivo móvel é parte de uma investigação, muitas questões (e dúvidas) podem emergir: • Qual é o melhor método para efetuar a cópia deste tipo de dispositivo? • Como extrair evidências? • Quais são os dados potencialmente relevantes e onde buscá-los? A dificuldade começa na hora da aquisição. Nos computadores, a aquisição bit a bit proporciona acesso a todos os dados constantes (não importando se são arquivos de sistema ou se estão protegidos). Nos dispositivos celulares, por sua vez, para se ter acesso aos arquivos pro- tegidos de sistemas e aplicativos antes da cópia é necessário efetuar um pro- cedimento considerado instável (se aplicado de maneira errada, pode apagar todos os dados em vez de dar acesso a eles), chamado rooting. Esse procedi- mento consiste em permitir que usuários de smartphones, tablets e outros dis- positivos, que executam os sistemas operacionais mais comuns nesses equipa- mentos, obtenham controle privilegiado semelhante aos administradores do sistema operacional Windows. Cabe ao especialista decidir entre a cópia par- cial do dispositivo (sem efetuar o rooting) ou correr o risco de efetuar o rooting e copiar o dispositivo na sua totalidade. FORENSE COMPUTACIONAL 61 SER_DIGISEC_FOREC_UNID2.indd61 29/09/2020 13:48:24 Outro problema é o acesso às conversas efetuadas no aplicativo de men- sagem WhatsApp, que possui criptografia de ponta a ponta. Sem o rooting é impossível efetuar a cópia de vídeos, documentos, fotos e áudios que trami- tam nesse meio; com o rooting, é possível até mesmo recuperar os backups de conversas efetuadas e a chave criptográfica para abri-los. Uma maneira para burlar essa dificuldade é a de, antes da cópia, o especialista enviar todas as mensagens para um endereço de e-mail (uma das funcionalidades do próprio aplicativo). Para os dispositivos celulares que utilizam o sistema operacional iOS (iPhone) também existe um tipo de rooting dedicado apenas aos dispositivos Apple, chamado de jailbreak, igualmente instável e com as mesmas dificulda- des dos outros sistemas operacionais. Exames em mídias sociais Os exames em mídias sociais se tornaram cada vez mais comuns em qual- quer investigação. Os especialistas utilizam rotineiramente as mídias sociais para coletar provas e construir casos. Graças à riqueza de informações pes- soais on-line, os exames em mídias sociais podem ser usados para verificar o caráter de alguém, verificar se há comportamento ilegal ou inadequado, en- contrar alguém e provar (ou refutar) um álibi. As investigações de mídia social são incrivelmente poderosas, porque a aderência e a utilização em massa das mídias sociais são quase uma garantia de sucesso de encontrar, além do alvo, informações relevantes. Em segundo lugar, as configurações de privacidade complicadas e as regras de sites como o Facebook, aliadas à baixa maturidade de segurança de dados da maioria da população, fazem com que os usuários desses meios não percebam a facilidade de acesso às informações que diariamente são publicadas on-line. Então, quais são os tipos de evidência tipicamente coletadas nas mídias sociais? • Declarações relevantes ou comentários; • Metadados de postagens que estabelecem tempo e localização de postagem; • Postagens relacionadas às atividades ilegais perpetradas no passado; • Fotos; • Conteúdos que estabeleçam o caráter (por exemplo, opiniões contrárias à lei e a seus agentes, polícia, juízes etc.); • Conteúdo racista ou sexista, entre outros. FORENSE COMPUTACIONAL 62 SER_DIGISEC_FOREC_UNID2.indd 62 29/09/2020 13:48:24 As mídias sociais, atualmente, são utilizadas por empresas de recrutamento e pelo departamento de RH de empresas que buscam profissionais no mercado. As verificações de antecedentes e as verificações de referências são tão impor- tantes quanto os testes de conhecimento aplicados para potenciais candidatos. As investigações de mídia social são uma ótima maneira de estabelecer o caráter, a experiência de trabalho e a educação de um potencial candidato. Nas mídias sociais podem ser encontradas evidências para apoiar ou desacreditar informações sobre educação e empregos anteriores e avaliar se a conduta do candidato condiz com o esperado pela empresa contratante. Evidentemente, apesar das facilidades que as mídias sociais proporcionam, é preciso cuidado ao efetuar uma pesquisa nesse tipo de ambiente e ao coletar evidências para serem utilizadas em tribunais ou algum outro processo legal. Lembre-se sempre que os padrões de coleta e exame da computação forense se aplicam a todo e qualquer tipo de investigação, o que inclui as mídias sociais. As evidências devem ser coletadas metodicamente com metadados apropria- dos e outras informações de validação intactas; nesse caso, uma das formas de validação mais difundidas é a ata notarial, que consiste no acesso à página da evidência e no registro do conteúdo da referida página. Esse documento, por ser oficial, possui força e é amplamente aceito em tribunais. FORENSE COMPUTACIONAL 63 SER_DIGISEC_FOREC_UNID2.indd 63 29/09/2020 13:48:24 Sintetizando Nessa unidade, conhecemos os padrões e os tipos de exames que são rea- lizados em uma investigação de computação forense. Vimos todas as fases do processo de exame (apreensão, coleta, análise e apresentação) em vários tipos de elementos (discos rígidos, dispositivos celulares e mídias sociais) e percebe- mos que a qualidade deve estar presente em cada uma dessas fases. Entende- mos que um bom planejamento com foco em resultados é primordial, fazendo parte das funções do especialista da área buscar o máximo de informações disponíveis, para antever e otimizar as análises que serão realizadas depois. Além disso, entendemos como a função de hash criptográfico é utilizada para garantir a integridade de todos os dados coletados e conhecemos um pouco mais sobre cada um deles. Descobrimos, também, um pouco mais sobre a história da criptografia. Conhecemos os objetos dos exames em buscas de evidências, bem como entendemos os conceitos de mídia de prova e mídia de destino e quais são os procedimentos que devem ser efetuados ao tratarmos de cada uma delas. Por fim, discorremos sobre os tipos de exame e sobre as técnicas para realizá-los. FORENSE COMPUTACIONAL 64 VIDEOAULA Clique aqui SER_DIGISEC_FOREC_UNID2.indd 64 29/09/2020 13:48:24 Referências bibliográficas LAMBOY, C. K. Manual de compliance. São Paulo: Via Ética, 2018. O JOGO da imitação. Direção de Monten Tyldum. Estados Unidos: Black Bear Pictures, 2014. (114 min.), son., color. SWGDE – SCIENTIFIC WORKING GROUP ON DIGITAL EVIDENCE. SWGDE Mo- del Standard Operation Procedures for Computer Forensics. [s.l.], v. 3, 2012. Disponível em: . Acesso em: 24 jul. 2020. VELHO, J. A. Tratado de computação forense. São Paulo: Millenium, 2012. FORENSE COMPUTACIONAL 65 SER_DIGISEC_FOREC_UNID2.indd 65 29/09/2020 13:48:24 COLETA DE EVIDÊNCIAS DIGITAIS 3 UNIDADE SER_DIGISEC_FOREC_UNID3.indd 66 29/09/2020 14:06:49 Objetivos da unidade Tópicos de estudo Entender o conceito de coleta de dados digitais, bem como as características e propriedades para a sua realização; Compreender os procedimentos necessários ao se executar uma coleta local e uma coleta remota; Conhecer os métodos científicos relacionados à coleta de dados voláteis de elementos em rede e memória. Coleta de evidências digitais O conjunto de ferramentas A documentação Duplicação forense em mídias Duplicação forense em mídias locais O processo de duplicação Duplicação forense em mídias remotas Coleta de dados voláteis Tráfego de rede Memória FORENSE COMPUTACIONAL 67 SER_DIGISEC_FOREC_UNID3.indd 67 29/09/2020 14:06:49 Coleta de evidências digitais Ao manusear qualquer mídia alvo, é imperativo que o especialista em Computação Forense não execu- te nenhum procedimento que venha a alterar as evidências nela contidas. O procedimento de coleta (também conhecido como preservação), então, consiste no isolamento e na proteção da mídia alvo, mantendo-a intacta e inalterada, assim como qualquer cena de crime. Para que isso seja possível, dada a volatilidade já conhecida dos dados digitais, é efetuada uma cópia (duplicação) bit a bit (exata) da mídia alvo. Essa duplicação irá permitir que o especialista efetue as análises na cópia, manten- do o conteúdo da mídia alvo em segurança. Desse modo, um crime ou uma fraude, quando cometidos nos meios digitais ou com o auxílio de qualquer meio digital, são eventos em que a lei e as políticas de segurança e de conduta são quebradas e violadas em seus termos. No campo da tecnologia da informação, de modo geral, todos os esforços se movimentaram em busca do aperfeiçoamento de dispositivos. Nos dispo- sitivos de armazenamento, por exemplo, o aumento da capacidade e da velo- cidade no acesso às informações é constante. Essa característica torna o pro- cesso de coleta uma parte importante, senão a mais importante, em casos de investigaçãono ramo da Computação Forense. Por isso, é necessário que, ao realizar uma coleta, o especialista se atente para os princípios e procedimentos que a prática exige, que são: • Aderir totalmente às leis relativas ao local onde a coleta será realizada, ao dispositivo a ser coletado e ao envolvimento de especialistas adequados para o cumprimento da coleta; • Coletar as evidências de maneira precisa, não importando o dispositivo a ser coletado (celulares, computadores, tablets, notebooks, servidores etc.); FORENSE COMPUTACIONAL 68 SER_DIGISEC_FOREC_UNID3.indd 68 29/09/2020 14:06:51 • Manter notas precisas em relação aos procedimentos executados, incluin- do datas e horários. O importante é criar um guia que detalhe todas as interações do especialista com o dispositivo que será coletado; • Observar, antes da coleta, se existe falta de sincronismo entre a data e hora do sistema operacional e o UTC (tempo universal coordenado, o ho- rário base em que todos os fusos horários são calculados). Podem haver discrepâncias entre a data e o horário do sistema e da BIOS da placa-mãe. O timestamp (o registro de data e hora de toda ação em um sistema) deve estar coordenado e sincronizado; • Estar sempre preparado para testemunhar em um tribunal de justiça, caso seja necessário. Para isso, as notas que o especialista produzirá darão suporte, para comprovar que os procedimentos realizados foram corretos e estão em sintonia com as melhores práticas; • Evitar qualquer tipo de alteração nos dados é primordial, o que não se limi- ta apenas ao conteúdo dos dados, mas também a outros fatores, tais como data de acesso, data de criação, data de modificação etc.; • Optar, em determinadas situações, por coletar o dispositivo alvo para aná- lise posterior (análise off-line) ou analisá-lo diretamente (análise on-line), coletando os dados voláteis relativos ao caso. A rapidez no julgamento e na decisão sobre qual caminho seguir determinará o fator de sucesso de uma coleta. É necessário preparação e conhecimento técnico para tomar essa decisão, bem como conhecimento do caso em questão, para que se escolha a melhor abordagem; • Tomar todo o cuidado, ao optar pela retirada de um disco rígido para co- leta, pois estes dispositivos podem apresentar problemas físicos, se mal manuseados; • Testar, antes de iniciar seus trabalhos, vários softwares e hardwares de coleta, tendo eles à mão para cada caso. É primordial que se es- teja preparado para efetuar uma coleta, independentemente do tipo de dispositivo a ser coletado; e • Sob hipótese nenhuma o especialista coletará infor- mações de um dispositivo sem as devidas autoriza- ções. É importante sempre contar com subsídios le- gais e o apoio de outras instâncias para efetuar a coleta. FORENSE COMPUTACIONAL 69 SER_DIGISEC_FOREC_UNID3.indd 69 29/09/2020 14:06:51 A automação é a principal característica de softwares e hardwares de cole- ta. Quanto mais automático é o sistema, mais rápido e preciso, além de preci- sar de menos interação do especialista. Portanto, menores serão os riscos de erro humano. Nunca se deve confi ar em sistemas do sistema operacional a ser coletado, devendo o especialista sempre utilizar seus próprios recursos. Desse modo, a coleta de dados pode se tornar, em determinadas situações, um processo muito mais desafi ador do que a análise dos dados em busca de evidências. É bom lembrar sempre que o sucesso dessa tarefa depende da combinação das ferramentas certas, da realização das documentações de ma- neira precisa, do conhecimento técnico e da aplicação dos procedimentos. O conjunto de ferramentas Ao realizar uma coleta, primeiramente, devemos nos concentrar no con- junto de ferramentas necessárias, que podem ser adquiridas de forma gratui- ta ou, dependendo das funcionalidades que oferecem, serem pagas. Quando falamos sobre ferramentas, inclui-se também as não tecnológicas, tais como um bom jogo de chaves de fenda, uma pulseira antiestática e uma embala- gem apropriada para transporte das mídias resultantes da coleta. Durante o procedimento de coleta, podem ocorrer várias situações, que nada têm a ver com alta tecnologia. Por exemplo, ao abrir um determinado desktop, o especialista percebe que os parafusos que prendem o disco rígido ao engate estão enferrujados e podem romper, ou o gabinete está empena- do, difi cultando sua abertura. Abrir um notebook para retirar um disco rígido ou um cartão de memória SSD também não é uma tarefa das mais fáceis. A mais comum dessas situações analógicas são computa- dores com lacre de garantia. Nesse caso, o especialista deve- rá comunicar que o lacre será rompido, portanto o disposi- tivo perderá a garantia (se ainda vigente) ou optar pela coleta via software. Para prevenir esses e outros problemas que podem surgir, o ideal é que o especialista tenha uma coleção de fer- ramentas satisfatória, que, preferencialmen- te, deverá conter: FORENSE COMPUTACIONAL 70 SER_DIGISEC_FOREC_UNID3.indd 70 29/09/2020 14:06:51 DICA Confeccione um checklist e verifique que ele foi cumprido, antes de se dirigir ao local da coleta. Em determinados casos, a rapidez e agilidade necessárias para coletar dados pode ser uma armadilha, fazendo com que o especialista esqueça ferramentas importantes para a execução do trabalho. Manter uma maleta ou mochila com as ferramentas também é uma boa prática. Checar, antecipadamente, se todas as ferramentas indispensáveis estão disponíveis (pois elas também podem se perder ou sofrer acidentes) dará tempo ao especialista de repô-las ou, se for o caso, efetuar as atualizações necessárias. • Uma câmera digital, que é uma ferramenta excelente, tanto para registrar os números de série e demais características do dispositivo a ser coletado, quanto para provar que o dispositivo está intacto e em boas condições ou que foi alterado e/ou apresenta algum tipo de avaria que possa explicar, pos- teriormente, as decisões do especialista sobre a forma de coleta escolhida; • Uma caixa de ferramentas, contendo chaves de fenda, que podem ser substituídas por parafusadeiras elétricas, por exemplo, de diversos diâme- tros e formas (estrela, sextavada, Philips, reta e Allen), alicates de corte e de bico, parafusos extras (é muito comum que essa pequena peça quebre ou tenha a cabeça danificada) e canetas esferográficas e hidrocor (para preen- cher as documentações e as etiquetas de coleta); • Uma lanterna, pois é normal que os dispositivos estejam em lugares to- talmente fechados, armazenados esperando um especialista para coletar dados. É uma ferramenta importante também por ocasião do sigilo que uma investigação deve ter. A maioria das coletas no âmbito corporativo é efetuada à noite; • Para ter acesso a um disco rígido, o especialista poderá se deparar com vários cabos, presos por cintas plásticas de fixação, que têm a função de evitar que eles fiquem soltos dentro do gabinete do dispositivo. Se não hou- ver alternativa, o especialista deverá romper essas cintas e, ao término da coleta, refazer e organizar os cabos da maneira que estavam anteriormen- te. Esse procedimento é seguro e comum, pois o conteúdo que será coleta- do estará salvo dentro da mídia de armazenamento; • Se a coleta for efetuada via hardware, é mais fácil e rápido retirar apenas a mí- dia de armazenamento e deixar os cabos originais conectados na placa-mãe do FORENSE COMPUTACIONAL 71 SER_DIGISEC_FOREC_UNID3.indd 71 29/09/2020 14:06:51 dispositivo. Por esse motivo, o espe- cialista deverá possuir cabos de for- ça e de dados sobressalentes, para conectar a mídia alvo ao dispositivo duplicador que irá efetuar o trabalho de coleta. Vale lembrar que existem vários tipos de mídias de armazena- mento com encaixes distintos, entre eles o SCSI, o IDE e os atuais SATA; • Existem vários tipos de embalagens de transporte, que vão desde enve- lopes antiestáticos até caixas apropriadas,com compartimentos que deixa- rão a mídia de destino segura. O importante a ser considerado é a proteção, tanto antiestática quanto para eventuais acidentes ou quedas que podem ocorrer durante o transporte até o laboratório, para a realização das análises. • Os discos rígidos podem ser internos, externos ou SSD. De preferência, um especialista deverá levantar as informações relativas ao tamanho do dispositivo a ser coletado, mas isso nem sempre é possível. Por esse mo- tivo, é melhor estar preparado, tendo uma quantidade de discos rígidos de diversos tamanhos (comumente de 500 gigabytes e 1 terabyte) que proporcione a certeza de que são suficientes para realizar a coleta. Vale lembrar que esses discos rígidos devem passar pelo processo de saniti- zação antes de serem utilizados entre um trabalho e outro; • Existe uma infinidade de hardwares de coleta, os duplicadores, disponí- veis no mercado. Antes de efetuar uma coleta, o especialista deverá verificar se o dispositivo possui todos os cabos necessários para seu funcionamento e checar se será necessário algum tipo de adaptador, para que seja plugado na tomada disponível no local da coleta. Uma boa dica é checar também se a atualização do firmware (uma classe de softwares desenvolvidos especi- ficamente para o controle de dispositivos de hardware) está atualizado. Se estiver desatualizado e a mídia alvo for de um modelo recente, o especialis- ta poderá ter problemas durante a coleta, tais como o não reconhecimento e a não leitura da mídia; e • Assim como os hardwares, existe uma infinidade de softwares de coleta. Se a escolha for por softwares gratuitos ou de código aberto, o especialista FORENSE COMPUTACIONAL 72 SER_DIGISEC_FOREC_UNID3.indd 72 29/09/2020 14:06:52 deverá se certifi car de que são apropriados e cumprem com as especifi - cações necessárias. Se forem softwares pagos, a licença não poderá estar expirada, pois as informações do software utilizado fi gurarão nas docu- mentações da coleta. Imagine um especialista que utiliza, por exemplo, um software pirata para realizar uma coleta. Esse fato invalidaria qualquer evidência oriunda de uma coleta. Em ambos os casos, tanto em softwares gratuitos quanto pagos, é necessário verifi car se a versão utilizada é a mais atual, pois os problemas que podem ocorrer são os mesmos de um fi rmwa- re desatualizado. A documentação Os métodos de coleta devem possuir, acima de tudo, transparência em relação às interações do especialista com o dispositivo a ser coletado. A docu- mentação feita antes, durante e depois da coleta irá comprovar, de maneira inequívoca, que os procedimentos foram seguidos, que as ferramentas cor- retas foram utilizadas e que o especialista mitigou qualquer risco em suas ações, que podem colocar em dúvida as evidências extraídas a partir da co- leta. Assim, devemos conhecer, mais a fundo e de maneira cronológica, as documentações relativas ao processo de coleta, que são: • Formulário de aprovação; • Formulário de notas da coleta; • Formulário de informações de dispositivos; • Formulário de evidências; • As etiquetas de mídia; e • Formulário de cadeia de custódia; O formulário de aprovação deve conter informações e aprovações relati- vas à cadeia de aprovação do especialista a determinado dispositivo (no meio corporativo). Quando no meio criminal ou cível, será necessário um mandado de busca e apreensão do dispositivo em questão. O formulário de notas da coleta é onde o especialista em Computação Forense insere informações relevantes sobre sua interação com o local da coleta, se existem testemunhas (nomear quem acompanhou o processo), o motivo e as funções que irá executar. Por exemplo: FORENSE COMPUTACIONAL 73 SER_DIGISEC_FOREC_UNID3.indd 73 29/09/2020 14:06:52 • No dia XX/XX/XX, este perito (nome do perito ou especialista) comparece em visita a XXXXXXXXX (nome da empresa ou local), situada no endereço (rua ou avenida) XXXXXXXXXXX número XXXX, andar XX (se houver), para efetuar a coleta de dados (cópia forense) do dispositivo XXXXXX (compu- tador ou aparelho celular, de uso privado ou particular), conforme enten- dimentos e autorizações prévias (no caso de possuir um mandado, deve constar “...conforme mandado expedido na data de XX/XX/XX, número XXXXX”). Os trabalhos serão acompanhados por XXXXXXXXXXXXXXXXXXX (nome e cargo no caso de empresa). Data/hora de chegada: XX/XX/XX às XX:XX horas. Data/hora de saída: XX/XX/XX às XX:XX horas. O formulário de informações de dispositivos deve conter o máximo de in- formações possíveis de serem reunidas antes da coleta. A ideia principal desse for- mulário é tornar o dispositivo a ser coletado identificável e, por meio de uma cole- ção de numerais únicos (números de série do dispositivo e do sistema operacional, do disco rígido, da placa-mãe etc.), mitigar dúvidas relativas à sua origem. Também serão coletados os dados relativos à marca, modelo, tipo, geometria e capacidade do disco rígido (Figura 1), que constam na etiqueta de fábrica desse tipo de mídia. Fabricante Tipo de interface/Quantidade de cache/Modelo Capacidade (em Giga ou Terabytes) Informações técnicas e de fabricação Número de série/Modelo/Versão Nome da linha a que o modelo pertence Figura 1. Dados possíveis de serem coletados em um disco rígido. FORENSE COMPUTACIONAL 74 SER_DIGISEC_FOREC_UNID3.indd 74 29/09/2020 14:06:54 O formulário de evidências trará informações únicas a serem inseridas pelo especialista e identificadores sobre a coleta e o caso a ser analisado. As- sim, temos como exemplo: • Número do caso – XXX. Nome do caso – XXXXXXXX (fraude financeira, pornografia etc.). Conteúdo – dados constantes em XXXX (disco rígido, aparelho celular etc.), de capacidade XXX, que conta com XXX de espaço utilizado e XXX de espaço livre. Coletado por – XXXXXXXXXXXX (nome do especialista). Data – XX/XX/XXXX. As etiquetas de mídia (que devem ser numeradas conforme o número de dispositivos a serem coletados) devem possuir informações relativas à coleta, tais como: • Número do caso – XXX Nome do caso – XXXXXXXX (fraude financeira, pornografia etc.). Número da evidência – X de X (1 de 1, 1 de 2 etc.). Coletado por – XXXXXXXXXXXX (nome do especialista). Data/hora de início – XX/XX/XX às XX:XX horas. Data/hora de término – XX/XX/XX às XX:XX horas. Número de hash – (MD5 ou SHA XXXXXXXXXXXXXXXXXXX). O formulário de cadeia de custódia deverá conter as mesmas informa- ções da etiqueta de mídia, com o adendo de informações que identificarão a sequência de custodiantes da mídia que receberá a coleta, sendo elas: • Nome do custodiante (o primeiro custodiante normalmente é o próprio es- pecialista, que transportará a mídia coletada para análises em laboratório). • Data – XX/XX/XXXX. • Motivo – (neste campo deverá ser exposto o motivo da custódia, no caso do especialista. Por exemplo: “mídia retirada para análises em laboratório locali- zado no endereço XXXXXXXXXXX”). Após as análises, a mídia coletada é entregue às autoridades ou aos advo- gados das partes. Nesse caso, o texto no campo “nome do custo- diante” será o nome de quem retirou a mídia, e o campo “motivo” deverá informar o motivo da retirada (por exemplo “mídia retirada para perícia, conforme solicitado pelo Exmo. Juiz XXXXXXXXXXX). FORENSE COMPUTACIONAL 75 SER_DIGISEC_FOREC_UNID3.indd 75 29/09/2020 14:06:54 Duplicação forense em mídias A coleta de dados digitais, sob qualquer aspecto, teve seu primeiro impulso a partir do ano de 1985. Antes disso, as perícias não eram focadas exclusiva- mente em dados e, por isso, não existem muitos documentos que atestem as chamadas atividades mistas, consideradas assim pois se baseavam em rela- tórios impressos, gerados por sistemas e programas de diversas funções. Nessa época, os computadores eram considerados apenas máquinas de porte e funções industriais, operados, em sua maioria, por grandes corpora-ções, agências do governo e universidades. A estrutura de espaço físico e con- dições de funcionamento necessárias para acomodar os “monstros” da época (que chegavam a ocupar uma sala inteira) incluíam sistemas de energia e ar- -condicionado dedicados apenas a eles. A mão de obra também precisava ser altamente qualifi cada, incluindo engenheiros eletrônicos, programadores e en- genheiros elétricos, pois os aparelhos apresentavam defeitos constantemente. Longe de serem as estações multimídia portáteis que conhecemos atual- mente, essas máquinas apenas processavam dados. O armazenamento era fei- to em fi tas de backup ou em fi tas de dados, e tanto a gravação quanto a leitura dos dados armazenados poderiam demorar dias. Vale lembrar que as redes eram apenas locais, com terminais sendo conectados ao computador central (mainframe), sem nenhuma conexão com ambientes externos. Para mover dados de um local para outro, era necessário transpor- tar os dados fi sicamente, em fi tas de backup, cassete ou de dados (Figura 2), para as localidades de destino. Essa era uma prática comum, pois os dados eram digitados em um lugar, para serem processados em outro. Na época, já existiam as auditorias de sistema, mas seu foco era voltado na precisão dos dados, ou seja, no re- sultado dos dados inseridos versus o resultado já processado. Figura 2. Computador com leitor de cassete. Fonte: Adobe Stock. Acesso em: 08/08/2020. FORENSE COMPUTACIONAL 76 SER_DIGISEC_FOREC_UNID3.indd 76 29/09/2020 14:06:55 Foi a prática deste tipo de auditoria (mesmo que limitada), contudo, por meio da coleta de dados a serem analisados em seu estado bruto, que desper- tou o interesse pelos dados digitais. Foi notado que, nesses dados, além das informações processadas, havia também informações sobre acesso, data de criação e outros tipos de informações que poderiam ser utilizadas em um con- texto maior, como, por exemplo, a investigação de irregularidades. CURIOSIDADE A primeira suíte de soluções desenvolvida exclusivamente para Computa- ção Forense recebeu o nome de the coroner’s toolkit (TCT). Essa solução foi desenvolvida por Wietse Venema e Dan Farmer, e servia para coletar e analisar dados digitais. Essa suíte foi desenvolvida para o sistema Unix, possuindo dois grupos distintos de ferramentas, as de coleta e as de análise. Uma das suas funções mais celebradas era poder coletar dados de informações de rede, tais como endereços IP e tabelas de roteamento. Além disso, o coroner’s kit também podia registrar processos em execu- ção e efetuar cópia de dados armazenados em memórias voláteis. Esse fato também não passou despercebido pelas agências policiais e de controle. No início do uso dessa prática, o FBI (Federal Bureau of Investigation, ou Departamento Federal de Investigações, em português) e o Serviço da Re- ceita Federal ofereciam treinamentos em mainframe e de rotinas de coleta, de forma rudimentar, para voluntários (agentes internos) que detinham conheci- mento avançado em programação, pois, nessa fase, ainda não existiam ferra- mentas, procedimentos ou qualquer metodologia de coleta. Assim, ferramentas e utilitários do sistema operacional foram utilizados, jun- tamente com abordagens científicas e investigativas tradicionais de resolução de problemas, em um processo científico artesanal, onde cada elemento envolvi- do desenvolvia suas próprias ferramentas. Com o desenvolvimento tecnológico dando grandes saltos, no fim da década de 1980, os primeiros computadores pessoais começaram a aparecer, inicialmente de maneira tímida e depois com mais presença de mercado, bem como variações de marcas e modelos. Com eles, uma nova tendência entre os amantes da ciência começou a surgir. Os chamados hobbistas eram entusiastas que vislumbravam a utilização dos computadores e softwares para outras esferas, que não apenas o uso pro- fissional. Os computadores nessa época, ainda que poderosos, se comparados FORENSE COMPUTACIONAL 77 SER_DIGISEC_FOREC_UNID3.indd 77 29/09/2020 14:06:55 aos seus antecessores, continham poucas ferramentas e eram muito difíceis de usar. Seus aplicativos eram limitados e sua interface não era amigável, contan- do com poucos elementos gráfi cos e necessitando de longas linhas de coman- do para tarefas simples, como abrir um aplicativo ou salvar um documento. Entretanto, nem tudo era difi culdade para quem tentava coletar dados nesses tempos. Se, por um lado, os computadores e softwares eram proble- máticos, os sistemas operacionais eram bem mais permissivos. Os hobbistas da época focaram em escrever códigos de programação, para acessassem os níveis internos dos sistemas operacionais e do hardware. Essa foi a deixa que serviu para pavimentar o caminho das futuras gerações de especialistas em Computação Forense, por meio da compreensão de que os computadores se- riam ótimas ferramentas de investigação. Os esforços feitos por esses pioneiros, apesar de parecerem básicos e anti- quados, se comparados à atual prática de Computação Forense, formaram sua base científi ca e analítica. Vale lembrar, também, que o entendimento sobre recuperação de dados teve início nessa época. Desde então, a Computação Forense vem crescendo em amplitude, contando, atualmente, com milhares de praticantes e entusiastas, que diariamente executam exames em mídias digi- tais e porções de dados de vários tamanhos, obtendo como resultado porções cada vez maiores de evidências. Duplicação forense em mídias locais Uma coleta de dados em elementos locais (discos rígidos, aparelhos celu- lares etc.), que possuem mídia de armazenamento interna, é feita pela cópia exata de todos os bits constantes nessas mídias. Por esse motivo, é comum a utilização do termo duplicação bit a bit. Um bit (abreviação de dígito binário) é considerado a menor unidade de medida a ser utilizada para quantifi car da- dos digitais. Um bit equivale a um único valor binário, que pode ser (no caso de linguagem de computador) 1 ou 0. Fora das linhas de programação de um software, onde um bit pode signifi car um valor “verdadeiro” ou “falso”, um bit único tem pouca ou nenhuma utilidade. Por ques- tões de sistema de leitura de arquivos no sistema opera- FORENSE COMPUTACIONAL 78 SER_DIGISEC_FOREC_UNID3.indd 78 29/09/2020 14:06:55 cional, no armazenamento do computador, os bits têm que estar agrupados em grupos de oito, para que possam ser considerados. Esse agrupamento de oito bits recebe o nome de byte (Figura 3). Cada byte contém oito bits, que, por sua vez, possuem dois valores possíveis, sendo: 28 = 256 valores diferentes possíveis em um byte. Byte Bit 0 1 0 0 1 0 1 1 Figura 3. Exemplo de cadeia de bits. Em tecnologia da informação, todos os parâmetros que determinam ta- manho, velocidade e capacidade utilizam uma tabela chamada medidas de dados. Por exemplo, se você for medir a velocidade da sua internet, a taxa de transferência e de downloads será caracterizada em Mbps (megabits por segundo), que é equivalente a 1.000.000 bits, ou seja, são recebidos ou envia- dos X Mbps por segundo. Assim, medimos a capacidade de armazenamento de uma mídia de ar- mazenamento em gigabytes. Esse número já foi medido em bytes, kilobytes e megabytes, antes de chegarmos nos atuais gigabytes. Para entendermos os valores de cada uma dessas unidades de medida de dados, observe- mos o Quadro 1. Temos, então, que 1 TB equivale a 1.024 GB, 1.048.576 MB, 1.073.741.824 kB, ou 1.099.511.627.776 bytes. QUADRO 1. MEDIDAS DE DADOS Medida Valor Equivalência Kilobyte 1024 bytes 1 kilobyte equivale a 1024 bytes Megabyte 1024 kilobytes 1 megabyte equivale a 1024 kilobytes Gigabyte 1024 megabytes 1 gigabyte equivale a 1024 megabytes Terabyte 1024 gigabytes 1 terabyte equivale a 1024 gigabytes FORENSE COMPUTACIONAL 79 SER_DIGISEC_FOREC_UNID3.indd 79 29/09/2020 14:06:55 Petabyte 1024 terabytes 1 petabyte equivale a 1024 terabyteExabyte 1024 petabytes 1 exabyte equivale a 1024 petabyte Zetabyte 1024 exabytes Um zetabyte equivale a 1024 exabyte Yotabyte 1024 zetabytes 1 yotabyte equivale a 1024 zetabytes Para saber o número exato de bytes de uma determinada fonte de dados (embora os softwares de coleta já façam este serviço), basta multiplicar o nú- mero nominal do tamanho da fonte de dados por 1024. Dessa forma, no caso de um disco rígido de 500 gigabytes, por exemplo, temos: 500 . 1024 = 512.000 megabytes 512000 . 1024 = 524.288.000 kilobytes 524.288.000 . 1024 = 536.870.912.000 bytes O processo de duplicação Uma duplicação forense é uma cópia exata, que lê e grava todos os bits de um disco rígido. Ou seja, cada bit (não importando se o valor é 1 ou 0) é copiado da mídia alvo para uma mídia limpa, como, por exemplo, outro disco rígido. A duplicação de uma mídia local pode ser bastante demorada. O tem- po gasto nesse processo dependerá do tamanho da mídia a ser duplicada e das técnicas e equipamentos utilizados. DICA O maior pesadelo que um especialista pode enfrentar ao duplicar dados é um disco rígido com defeito. Pelo uso contínuo, uma vez que se trata de uma máquina, discos são passíveis de apresentar problemas. Entre os problemas que podem ocorrer, podemos esbarrar com setores defeituosos do disco e, às vezes, com unidades completamente danifi cadas. Nesse caso, o especialista nunca deve tentar fazer a reparação do disco, mesmo que tenha conhecimento técnico para tal, pois, se algo der errado nesse processo, todos os dados poderão ser perdidos. No âmbito criminal, a duplicação de uma mídia local geralmente é efe- tuada em laboratório, sendo um ambiente mais estável e seguro, já que é possível o requerimento de um pedido de busca e apreensão mediante uma justificativa plausível. Para que um computador ou qualquer outro FORENSE COMPUTACIONAL 80 SER_DIGISEC_FOREC_UNID3.indd 80 29/09/2020 14:06:56 tipo de dispositivo seja retirado de um determinado local, é necessário aprovação. Quando se trata de duplicar uma mídia no âmbito corporativo, o pro- cesso muda totalmente. Na maioria dos casos, as evidências estão em computadores corporativos, que são utilizados diariamente pela empresa. Retirar esse dispositivo para levar para um laboratório é inviável, na maio- ria das vezes, já que um computador corporativo retirado para duplicação não gerará nenhuma receita, sem contar com os gastos extras de reposi- ção para substituir o computador que foi retirado. Em um projeto de investigações que envolve a coleta de dados, os to- madores de decisão corporativos não irão pagar mais do que o necessário para ter o trabalho feito. Por esse motivo, a duplicação forense será feita localmente, da maneira mais rápida possível, para que esse dispositivo esteja livre e operante novamente. Assim, a mídia a ser duplicada (mídia alvo), quando a ferramenta de duplicação é um dispositivo de hardware (Figura 4), é removida do computador para ser conectada a ele e, em se- guida, o dispositivo é conectado via cabo ao dispositivo de clonagem ou a outro computador. Figura 4. Hardware de duplicação de disco rígido. Fonte: Shutterstock. Acesso em: 08/08/2020. É imperativo que o especialista utilize, nesse caso, algum tipo de bloquea- dor de escrita, antes de iniciar o processo. Esse dispositivo é uma peça crucial e pode ser um hardware ou um software (já está incluído no software de du- FORENSE COMPUTACIONAL 81 SER_DIGISEC_FOREC_UNID3.indd 81 29/09/2020 14:06:57 plicação ou podendo ser separado), que irá proteger a mídia alvo durante o processo de duplicação (Figura 5). Mídia alvo Bloqueador de escrita Duplicador hardware Mídia destino Figura 5. Esquema de duplicador de hardware com bloqueador de escrita. Quando todos os elementos estão conectados, o processo poderá ser ini- ciado após alguns cliques. Uma das decisões que o especialista deverá tomar é em relação ao formato da imagem resultante da duplicação. Existem três tipos conhecidos (aceitos e seguros) de formato de imagem, sendo eles: • O formato E01 é proprietário e oriundo do software Encase Forensic, que é o software de coleta e análise de dados mais utilizado por especialistas e peritos de Computação Forense. Sua estrutura é baseada no conceito de bit stream (fluxo de bits, em português), onde os dados serão gravados de maneira contínua, por meio de um fluxo de dados. No próprio arquivo que é gerado, são incluídas informações relacionadas à imagem que está sendo feita, em um cabeçalho de dados similar ao que é encontrado em arquivos do pacote Office, por exemplo. Além disso, esse formato possui compres- são de dados (assim como arquivos zip e rar) já embutida e à disposição do especialista, caso ele tenha que diminuir o tamanho de uma imagem; • O formato RAW DD é oriundo do antigo sistema Unix. Antigamente, era conhecido como “destruidor de discos”, pois era acionado por uma linha de comando, na plataforma Unix. Se, durante a digitação da linha de coman- do, algum caractere fosse inserido por acidente, havia o perigo real do DD destruir todos os dados do disco rígido. Atualmente, é bem seguro, sendo FORENSE COMPUTACIONAL 82 SER_DIGISEC_FOREC_UNID3.indd 82 29/09/2020 14:06:58 incluído nos softwares de fonte aberta baseados na linguagem Linux. É par- te integrante das suítes de soluções forenses de boot; e • O formato AD1 é proprietário e oriundo do software de coleta Forensic Toolkit Imager (que pode ser baixado gratuitamente), concorrente direto do Encase Forensic. O AD1 possui as mesmas características do E01, inclusive permite compressão de dados. Uma característica especial desse formato é que, por padrão, ele particiona a imagem em várias partes, caso o especia- lista desatento não o confi gure para um arquivo único. Por exemplo, se você for duplicar um disco rígido de 10 GB, sem confi gurá-lo, você obterá como resultado 10 arquivos de 1 GB cada. Agora, imagine se a duplicação for de um disco rígido de 1 TB de capacidade. Ao término da duplicação, caso seja bem-sucedida, um relatório com data e hora de início e término do processo, bem como os valores de hash number para a validação, será gerado. Por fi m, uma outra maneira de efetuar uma du- plicação é pelo uso de suítes de soluções forenses com opção de boot. Nesse caso, o dispositivo que tem a mídia alvo iniciará um sistema operacional alter- nativo, no qual o especialista acionará as ferramentas de duplicação, sendo a imagem gerada para um disco rígido externo. O disco rígido que receberá a imagem deverá estar sanitizado, por meio do método wipe disk. Duplicação forense em mídias remotas A duplicação forense em mídias remotas é uma técnica de coleta de dados de maneira forense (bit a bit, com hash number e possibilitando a recupe- ração de dados, por exemplo) em dispositivos digitais localizados geografi ca- mente à parte ou dentro de uma mesma rede, no mesmo local, porém sem que o especialista necessite ter acesso físico ao dispositivo em questão. As razões principais para que um especialista escolha ou, dependendo do caso, seja forçado a proceder com esse tipo de duplicação forense são: EXPLICANDO Em duplicações de mídia de maneira remota, já que o dispositivo conti- nuará sendo utilizado após o término da duplicação, o hash number se encontra no que chamamos de uma “característica incômoda”, não sendo FORENSE COMPUTACIONAL 83 SER_DIGISEC_FOREC_UNID3.indd 83 29/09/2020 14:06:59 esse um cenário ideal. Nesse caso, o hash number da imagem não poderá ser comparado com o do dispositivo alvo, não deixando, contudo, de ser um hash number. Se a imagem gerada for preservada, o seu hash number pode ser verificado. Assim, esse fato, aliado aos demais documentos que podem comprovar a origem e o estado da mídia alvo na hora da coleta, bem como os procedimentos utilizados e a razão pela qual a coleta foi fei- ta dessa maneira, compõe elementos que podem diminuirdúvidas quanto à integridade da imagem. • Devido às características das empresas modernas, a conectividade propi- ciada pela internet tornou os ambientes de tecnologia da informação mais complexos, com mais amplitude de alcance e distribuição, e com operações dispersas em várias localidades; • Por questões de praticidade e economia, os analistas de suporte cada vez mais executam atendimentos para a solução de problemas e gerenciam os recursos de maneira remota, sem perder a qualidade e eficiência; • O andamento das operações diárias em uma empresa não pode sofrer interrupções. Em determinados casos (servidores de e-mail, por exemplo), o dispositivo a ser duplicado é classificado como de alta disponibilidade, ou seja, deve sempre estar disponível, pois é crucial para os negócios; e • Toda investigação deve ocorrer sob o mais alto grau de sigilosidade. A preocupação com a sensibilidade dos envolvidos torna a aquisição de ima- gens de forma remota mais atrativa. Como esse tipo de duplicação forense requer acesso lógico ao dispositivo alvo, será necessário que, durante a preparação para o início do processo, o especialista em Computação Forense tenha acesso à rede em que o dispositi- vo está conectado, o que pode dificultar a duplicação. As redes de computadores possuem, atualmente, níveis de segurança por usuário de forma hierárquica. Por exemplo, existe uma determinada camada de usuários que não consegue mudar o pano de fundo de seu desktop, mas, por outro lado, usuários de uma outra camada conseguem efetuar esta mudança sem problemas. Esse tipo de gerenciamento de usuários é visto principalmente em redes estruturadas em sistemas ope- racionais Windows Server. Ao fazer uso desse tipo de estrutura, os admi- nistradores de rede conseguem adicionar contas de usuário, computado- res e serviço a grupos, possibilitando a aplicação de políticas diferentes para grupos diferentes. FORENSE COMPUTACIONAL 84 SER_DIGISEC_FOREC_UNID3.indd 84 29/09/2020 14:06:59 O segundo passo é a instalação de um agente no dispositivo remoto, que é parte integrante do software utilizado para efetuar a duplicação. O papel do agente é criar uma porta dos fundos (backdoor), que permitirá que o es- pecialista consiga acessar o dispositivo remotamente, para efetuar a dupli- cação. Além dessa função, o agente também gerencia o fl uxo e o acesso aos dados que serão coletados, criando uma espécie de camada lógica que irá “esconder” as interações do especialista com o dispositivo, sem que o usuário perceba que uma duplicação está sendo executada. Por fi m, é necessário paciência. A velocidade de uma duplicação com aces- so físico ao dispositivo pode ser demorada devido a vários fatores, como o ta- manho do disco rígido, por exemplo. Em uma cópia remota, junta-se a isso o fator velocidade da rede. Uma duplicação remota pode durar dias e, depen- dendo do software utilizado, se o usuário desligar o dispositivo, a duplicação voltará à estaca zero, tendo que ser refeita. Mesmo com todos esses problemas, existem soluções que executam esse tipo de duplicação com segurança, pois foram desenvolvidas para prever, por exemplo, o desligamento do dispositivo. Uma ótima funcionalidade é o salva- mento de pontos de segurança. A cada quantidade X de dados duplicados, a ferramenta cria um ponto de recuperação do processo de duplicação. Ao detectar um shutdown (desligamento), rapidamente é criado um ponto de re- cuperação que permite à duplicação retornar do ponto onde tinha parado, ao ser ligada novamente. Existem soluções que possibilitam o acesso remoto a dispositivos, conec- tados a uma rede ou até mesmo pela internet. Porém, essas soluções fazem parte de uma zona cinza de softwares que beiram o hackerismo e a invasão, o que, em Computação Forense, são crimes imperdoáveis. Coleta de dados voláteis Todos sabemos que dispositivos digitais são excelentes fontes de informa- ções. Contudo, cada tipo de dispositivo digital possui características próprias em relação ao quão fundo um especialista em Computação Forense deve “ca- var” e o quão rápido ele deve agir para conseguir os dados que necessita. Em FORENSE COMPUTACIONAL 85 SER_DIGISEC_FOREC_UNID3.indd 85 29/09/2020 14:06:59 geral, discos rígidos e memórias RAM são os alvos mais óbvios para se coletar dados, mas não existem alvos óbvios em uma investigação. O que existe é uma determinada porção de dados a serem coletados, devendo toda fonte possível ser considerada. Tomados os devidos cuidados e contanto que se tenha acesso ao dispositi- vo, a taxa de sucesso na coleta de dados em memórias RAM é alta, apesar de sua volatilidade e da instabilidade sempre presente nesse processo. Em casos como esse, o que conta a favor do especialista é que ele, de certa maneira, de- tém o controle sobre o dispositivo, em um ambiente limitado a uma porção de dados, localizado em um determinado espaço que, com as ferramentas certas, é de fácil localização e acesso. O problema reside justamente na enorme quantidade de locais e disposi- tivos em que os dados digitais podem se esconder, trafegar ou serem armaze- nados. Existem vários outros elementos que devem ser considerados em uma coleta de dados. Os roteadores, por exemplo, possuem listas de acesso, lista de endereços de IP e suas rotas (de tráfegos por acessos de interno para exter- no, e vice-versa). Ao assumir o controle de um roteador, um atacante assume o controle da rede em que ele se localiza. Isso inclui acesso a todas as informações contidas em todos os dispositivos conectados a ele (todos os e-mails e todos os documen- tos de todos os funcionários, bem como as aplicações e os bancos de dados). É possível, por exemplo, que um atacante, utilizando um roteador como porta de entrada, consiga acessar um dispositivo e instalar softwares maliciosos que capturam informações sem que o usuário perceba que isso está acontecendo. Tráfego de rede A coleta do tráfego de uma rede consiste no registro e análise de pacotes que trafegam por ela, para determinar a origem de ataques contra a sua se- gurança. Entre os casos mais comuns a serem investigados, podemos citar: • O roubo de propriedade intelectual – pela análise dos pacotes de rede, é possível determinar que houve transferência de dados entre dois agentes, um interno (um usuário) e outro externo (um serviço de armazenamento na nuvem, por exemplo); FORENSE COMPUTACIONAL 86 SER_DIGISEC_FOREC_UNID3.indd 86 29/09/2020 14:06:59 • O uso de recursos da rede da empresa para cometer crimes – é quando um colaborador (usuário) utiliza os recursos da empresa para acessar sites de conteúdo criminoso (com conteúdo que fomenta intolerância religiosa, racial e de gênero), sites de organizações ligadas a redes de terrorismo in- ternacional, redes de pedofilia etc.; e • A tentativa de exploração (invasão) – consiste em um colaborador, que possui um determinado acesso à rede de computadores, tentando acessar áreas às quais não possui permissão de acesso. A coleta de dados nesse ambiente pode ser feita de duas maneiras: pela coleta de todos os pacotes que trafegam em uma rede, sem nenhum filtro apli- cado; ou pela captura de dados filtrados do tráfego de rede (sendo essa mais utilizada). O primeiro método pode estender a coleta por muito tempo e re- quer um espaço considerável de armazenamento. Devido à grande quantidade de dados coletados, a análise posterior também é mais difícil. No segundo mé- todo, por outro lado, com base no conhecimento técnico e do caso a ser anali- sado, o especialista filtra apenas pacotes de rede que contêm as informações que ele acredita serem possíveis fontes de evidências. Embora esse método possa exigir muito poder de processamento, o espaço de armazenamento ne- cessário é relativamente pequeno. EXPLICANDO Imagine a seguinte situação: um determinado usuário, que está sendo investigado por fraude, tem seu modus operandi86 Memória .......................................................................................................................... 88 Sintetizando ........................................................................................................................... 91 Referências bibliográficas ................................................................................................. 92 SER_DIGISEC_FOREC_UNID1.indd 6 29/09/2020 13:14:33 Sumário Unidade 4 - Análise de evidências digitais Objetivos da unidade ........................................................................................................... 94 Análises de evidências digitais ........................................................................................ 95 Conhecendo o inimigo .................................................................................................. 99 Sistemas de apoio ....................................................................................................... 102 A legislação aplicada ................................................................................................. 106 Extração de dados .............................................................................................................. 108 Recuperação de arquivos apagados ....................................................................... 111 Data carving em memória e tráfego de redes ............................................................... 113 Data carving em memórias ........................................................................................ 115 Data carving em tráfego de redes ............................................................................ 117 Sintetizando ......................................................................................................................... 119 Referências bibliográficas ............................................................................................... 120 SER_DIGISEC_FOREC_UNID1.indd 7 29/09/2020 13:14:33 FORENSE COMPUTACIONAL 8 SER_DIGISEC_FOREC_UNID1.indd 8 29/09/2020 13:14:33 A Forense Computacional tem como responsabilidade combater os crimes que migraram dos meios físicos para os meios virtuais, e assim como as outras ciências forenses, ela possui métodos e procedimentos científi cos específi cos. Devido à alta dependência de tecnologia por parte das corporações nos dias de hoje, algumas práticas fraudulentas, antes específi cas de áreas que envolviam pagamentos, investimentos, compras, fi nanças e contabilidade, adequaram-se à nova realidade das grandes bases de dados integradas, das falhas provenien- tes de sistemas difíceis de monitorar e, muitas vezes, da própria cultura da empresa, que não possui maturidade para gerir estes avanços. Apesar de, atualmente, a área de segurança da informação possuir vá- rias ferramentas e metodologias para combater os incidentes gerados por ataques e outros tipos de desvios que acontecem diariamente, não se pode subestimar a capacidade de adaptação do ser humano e suas tentativas de burlar as barreiras e obstáculos que são colocados como medidas de segu- rança. Por esse motivo, se fez necessária a criação de uma nova categoria da ciência forense, bem como a especialização de novos tipos de profi ssionais de tecnologia da informação. FORENSE COMPUTACIONAL 9 Apresentação SER_DIGISEC_FOREC_UNID1.indd 9 29/09/2020 13:14:33 Dedico esta obra à minha família, aos mestres e pares que enriqueceram e ainda enriquecem minha jornada profi ssional, assim como à DP Content, pela iniciativa e suporte. Por fi m, dedico a você, aluno, na esperança de contribuir para seu aprendizado. O professor Holney Aparecido Decco é especialista em Comunicação Institu- cional e Corporativa (2009), graduado em Gestão de Sistemas de Informação (2008), pela Universidade Paulista (Unip), e possui Curso de Extensão Universitária em Segurança de Redes de Computado- res pela ESAB (2008). Currículo Lattes: http://lattes.cnpq.br/2935542895713722 FORENSE COMPUTACIONAL 10 O autor SER_DIGISEC_FOREC_UNID1.indd 10 29/09/2020 13:14:33 INTRODUÇÃO À COMPUTAÇÃO FORENSE 1 UNIDADE SER_DIGISEC_FOREC_UNID1.indd 11 29/09/2020 13:14:45 Objetivos da unidade Tópicos de estudo Entender o fenômeno da migração dos crimes em ambientes físicos para os ambientes virtuais; Compreender a necessidade da criação de uma nova modalidade de perícia para o cenário atual; Conhecer os métodos científicos relacionados a investigações e identificar as evidências coletadas nas esferas digitais. A ciência forense aplicada à computação O profissional de computação forense A necessidade da perícia forense O caso BTK A evolução da tecnologia Novos meios de se cometer crimes Terminologia da computação forense Terminologia Técnicas de eliminação de evidências Evidências digitais Artefatos FORENSE COMPUTACIONAL 12 SER_DIGISEC_FOREC_UNID1.indd 12 29/09/2020 13:14:45 A ciência forense aplicada à computação A computação forense consiste na aplicação de técnicas de investigação e aná- lise aliadas a ferramentas específi cas para coletar, reunir e preservar evidências de um determinado dispositivo cibernético de forma adequada e para sua apre- sentação em um tribunal de justiça. Ela é apenas uma das várias vertentes das ciências forenses existentes, tratando exclusivamente da aquisição e análise dos meios cibernéticos. Seu foco principal é a obtenção de evidências que buscam elu- cidar crimes e fraudes praticados nestes ambientes. A computação forense tem como principais objetivos: • Salvaguardar dados, por meio de técnicas e metodologias de coleta, preserva- ção e garantia de integridade dos dados coletados em uma investigação a serem apresentados em corte; • Determinar a materialidade, dinâmica e autoria de crimes cometidos em dis- positivos computacionais, como dispositivos de processamento de dados (Figura 1), computadores, notebooks, servidores, entre outros; • Determinar a materialidade, dinâmica e autoria de crimes cometidos em dis- positivos tecnológicos, como mídias sociais, celulares, roteadores, entre outros; • Apresentar os resultados de uma perícia em forma de laudo técnico para ser apreciada pelas partes envolvidas. Figura 1. Análise de disco rígido. Fonte: Adobe Stock. Acesso em: 30/06/2020. FORENSE COMPUTACIONAL 13 SER_DIGISEC_FOREC_UNID1.indd 13 29/09/2020 13:14:49 Assim, a computação forense é um tipo de ciência pericial e, como tal, deve seguir os mesmos padrões e metodologias estabelecidos para as outras ciências forenses. Em um processo, seja criminal ou cível, a perícia realizada é a primeira a ser contestada pela parte acusada, com vistas a invalidar as evidências adquiridas e apresentadas. Assim sendo, na esfera digital é notória a sensibilidade e a volatilidade dos dados que formam o universo das investigações. Então, isto significa que a Computação Forense se limita apenas a da- dos, dispositivos digitais e Internet? A resposta é não. Sua natureza alta- mente tecnológica e em constante evolução faz com que a Computação Forense auxilie outros tipos de ciências periciais, propiciando exames em dispositivos e situações antes imagináveis, como: • Análise de dispositivos médicos como marca-passos, que, por tratarem-se de dispositivos digitais, podem ter dados coletados e periciados; • Análises e reconhecimento de voz (que já podem ser criptografadas) atra- vés da utilização de softwares de Computação Forense, que fazem a análise de autoria através de ondas de frequência; • Perícia de acidentes de trânsito, que podem contar com o auxílio de ele- trônica embarcada. Atualmente, os veículos possuem várias placas de controle como freios ABS (Anti Blocking System), piloto automático e AutoCheck (tempera- tura, pressão do óleo e etc.). Por mais absurdo que possa parecer, uma central multimídia de um veículo podedescoberto. Ao acessar um determinado recurso de internet para roubar informações, ele faz uso de um software de antiforense para limpar seus rastros de navegação. Além de coletar os dados de tráfego de rede desse usuário, existe uma outra ferramenta que poderá ser utilizada, chamada de monitoramento de atividades, que consiste em tirar fotos da tela do usuário a cada determi- nados X segundos, enviando para um repositório na rede. Além de tirar fotos, esses softwares de monitoramento contam também com keyloggers (que capturam tudo o que o usuário digitou, incluindo senhas). A ferramenta mais conhecida e utilizada para a captura de pacotes, o Wireshark (Figura 6), é a ferramenta mais indicada para o primeiro tipo de cole- ta de tráfego de redes. Apesar do alto nível técnico que envolve os conceitos de leitura de tráfego de redes, o Wireshark é bem fácil e amigável de ser usado. Ele FORENSE COMPUTACIONAL 87 SER_DIGISEC_FOREC_UNID3.indd 87 29/09/2020 14:06:59 pode ser instalado em um computador conectado à rede e, de imediato, come- ça a coletar os pacotes que estão trafegando nela. O especialista pode interagir com os dados em tempo real ou analisar os pacotes coletados posteriormente. Figura 6. Tela do Wireshark. Fonte: Wikimedia Commons. Acesso em: 21/08/2020. As ferramentas mais utilizadas para o segundo método são chamadas de sniff ers, que são softwares, conectados à rede, que monitoram e analisam seu tráfego, capturando pacotes de dados com base em fi ltros pré-estabelecidos. Existem vários tipos de sniff ers para o monitoramento e coleta de pacotes de vários tipos de redes, como, por exemplo, de pacotes de redes wi-fi , redes IP, de roteadores e fi rewalls. Os sniff ers são instalados em um computador conecta- do à rede que será monitorada. Memória A coleta dos dados contidos em memória permitirá que o especialista em Computação Forense consiga identifi car, em análises posteriores, determina- dos tipos de atividades cujos processos possuem ciclo de vida curto. Por esse motivo, são armazenados em locais transitórios de dados. Entre os dados que podemos encontrar em memórias, podemos citar: FORENSE COMPUTACIONAL 88 SER_DIGISEC_FOREC_UNID3.indd 88 29/09/2020 14:07:00 • Os processos em execução – se referem ao armazenamento de dados das chamadas de softwares em execução, incluindo o armazenamento de porções de dados recebidos desses softwares, como imagens oriundas de navegação na internet, por exemplo; • Os arquivos em execução – são os arquivos que estão sendo executa- dos no momento da coleta (tais como filmes, áudio, vídeo, planilhas etc.); • As portas abertas, os endereços IP e outras informações de rede – as memórias armazenam dados relativos ao tráfego recente de dados em rede (assim como no Wireshark), com a diferença de o tráfego capturado se limitar apenas ao computador em questão; e • Os usuários que estão logados no sistema – se, no momento da captu- ra, algum usuário estiver logado ou conectado no computador alvo inde- vidamente, essas informações serão adquiridas nas memórias. A coleta de dados das memórias geralmente é obtida por meio de softwares que, ao serem executados, passam por um processo chamado dumping (des- pejo) dos dados contidos nas memórias. Entre uma infinidade de ferramentas disponíveis, podemos citar: • O suite volatility – possui código aberto para captura e análise de RAM e tem suporte para os sistemas operacionais Windows, Linux e Mac; • O rekall – apresenta ferramentas de aquisição e análise, mas é proprie- tário (não possui código aberto); e • O helix – é uma suíte com boot que possui, além de ferramentas de cap- tura e análise de dados adquiridos em memórias, outras funcionalidades para análises de discos rígidos. Como a captura desse tipo de mídia é executada com o sistema operacional em pleno funcionamento, o especialista pode optar por efetuar a análise dos dados coletados no mesmo dispositivo em que efetuou a coleta. O foco prin- cipal desse tipo de coleta são sempre os dados de tráfego de internet. Todos os dados que são baixados (downloads ou simplesmente dados gráficos de páginas visitadas) sempre passarão pelas memórias RAM. Dependendo do caso, a análise desse tipo de informação pode ser decisiva em uma investigação. Na memória RAM, é possível coletar dados relativos a acessos e e-mails do Gmail ou Yahoo, conversas realizadas no aplicativo Skype, FORENSE COMPUTACIONAL 89 SER_DIGISEC_FOREC_UNID3.indd 89 29/09/2020 14:07:00 elementos gráficos, tais como fotos e vídeos, de sites acessados, entre outros. Esses são dados bem valiosos, que seriam impossíveis de serem adquiridos em coletas off-line, devido à sua volatilidade. FORENSE COMPUTACIONAL 90 SER_DIGISEC_FOREC_UNID3.indd 90 29/09/2020 14:07:00 Sintetizando Nesta unidade, exploramos as características de diferentes métodos de co- leta de evidências digitais. Como qualquer prática científica aplicada à perícia, essas possuem procedimentos que devem ser seguidos, em consenso com a sua principal característica, a de não poluir nenhuma cena de crime. O conjunto correto de ferramentas, aliado à documentação apropriada, são os princípios básicos para se obter sucesso em uma coleta de dados digitais. Conhecemos um pouco mais sobre a evolução da prática de Computação Forense na história, por meio do desenvolvimento de ferramentas de coleta e análise, e como esses processos eram realizados nos primórdios da prática. Vimos que existem dois tipos de coleta, a local e a remota, bem como enten- demos o uso de medidas de dados, que nomeiam porções de dados pelo seu tamanho. Foram, também, apresentados os tipos de formato de imagem (RAW DD, E01 e AD1), com suas características e peculiaridades. Por fim, conhecemos a prática de coleta de dados de tráfego de rede, que consiste na captura e análise de todos os pacotes que tramitam dentro de um contexto de computadores conectados, que utilizam, como identificador único, o protocolo de transporte TCP-IP. FORENSE COMPUTACIONAL 91 SER_DIGISEC_FOREC_UNID3.indd 91 29/09/2020 14:07:00 Referências bibliográficas ANSON, S.; BUNTING, S.; PEARSON, S. Mastering Windows network forensics and investigation. Indianapolis: Sybex, 2007. FARMER, D.; VENEMA, W. Forensic discovery. New Jersey: Addison-Wesley, 2005. FREITAS, A. R. Perícia forense aplicada à informática: ambiente Microsoft. Rio de Janeiro: Brasport, 2006. LAMBOY, C. K. (Org.). Manual de compliance. São Paulo: Via Ética, 2018. VELHO, J. A. (Org.). Tratado de Computação Forense. São Paulo: Millenium, 2012. FORENSE COMPUTACIONAL 92 SER_DIGISEC_FOREC_UNID3.indd 92 29/09/2020 14:07:01 ANÁLISE DE EVIDÊNCIAS DIGITAIS 4 UNIDADE SER_DIGISEC_FOREC_UNID4.indd 93 29/09/2020 15:45:43 Objetivos da unidade Tópicos de estudo Compreender o procedimento de análise de evidências digitais e quais são os principais pontos de atenção ao analisar dados; Entender a fase de extração de dados e seus procedimentos; Conhecer as técnicas de data carving quando aplicadas a dados voláteis e tráfego de redes. Análises de evidências digitais Conhecendo o inimigo Sistemas de apoio A legislação aplicada Extração de dados Recuperação de arquivos apagados Data carving em memória e tráfego de redes Data carving em memórias Data carving em tráfego de redes FORENSE COMPUTACIONAL 94 SER_DIGISEC_FOREC_UNID4.indd 94 29/09/2020 15:45:43 Análises de evidências digitais A análise de evidências digitais é o processo em que o especialista em compu- tação forense irá buscar elementos probatórios que conectem todos os pontos que contêm uma determinada história ou provem que um fato realmente ocorreu. Ao fi nal da análise de cada item do conteúdo de um dispositivo digital, o espe- cialista deve conseguir, se houver evidências, responder a perguntas do tipo: • Quem? A resposta deve indicar o responsável pela ação, quem causou dolo,quem interagiu etc.; • O quê? Aponta para o ato, qual foi o crime cometido, qual foi o resultado; • Quando? Em que ano, mês, dia e hora o fato ocorreu. Em arquivos digitais, es- tabelecer uma linha do tempo baseada em dados de criação, acesso, modifi cação, recebimento, envio, visualização, exclusão e início; • Como? Qual foi o modus operandi, como o fato ocorreu e quais meios foram utilizados; • Onde? Onde as evidências que comprovam o fato ocorrido foram encontra- das, lembrando que elas devem ser confi áveis e comprovadamente fi éis. Toda investigação (e posterior análise) começa na demanda, ou seja, na comu- nicação de que determinado fato ocorreu. Quando um ilícito ou fraude interna acontece, nem sempre as informações chegam diretamente aos agentes de polícia ou à diretoria corporativa para que se possa dar a resposta de maneira rápida. Aliado a isso, no caso de fraudes corporativas, existem ainda problemas re- lativos às maneiras e prováveis motivações de uma denúncia, que, muitas vezes, possuem informações incompletas ou inexatas. Este tipo de problema irá impactar as análises porque, quanto mais vaga for a denúncia ou comunicação de crime, maior será a amplitude da investigação. Quando falamos de conteúdo de arquivos digitais, estamos falando de milhões de arquivos que devem ser analisados como potenciais fontes de evidência. Um disco rígido, por exemplo, além dos arquivos visíveis, ainda con- tém milhares de arquivos que são recuperados, revelados de esconderijos entre outras tantas situações que podem ocorrer. O tamanho médio de capacidade de armazena- mento destes dispositivos é de 1 terabyte de dados, en- fi m, é uma área enorme para ser coberta. FORENSE COMPUTACIONAL 95 SER_DIGISEC_FOREC_UNID4.indd 95 29/09/2020 15:45:43 Um segundo ponto, igualmente importante, é o tempo em que o fato ocorre e a sua comunicação para o tratamento nas investigações. Cenas de crime perdem suas características de rastreabilidade quando a resposta não é rápida o suficien- te, potenciais evidências podem simplesmente sumir devido a técnicas antiforen- ses que dificultam, ainda mais, um trabalho já difícil. É primordial que as fontes de informação sejam documentadas, recolhidas e analisadas o mais rápido possível. O próximo passo é saber se há informações suficientes para prosseguir com as análises. Esse processo visa garantir que a qualidade e quantidade dos dados é suficiente para que as análises obtenham os resultados esperados. Nessa etapa, também é executado o teste de validação de todo o hardware e software que será utilizado nas análises, para garantir que funcionem corretamente e que não cau- sem qualquer tipo de problema na mídia de destino ou em qualquer informação que ela contenha. Existe uma discussão entre os especialistas em computação forense relativa à frequência com que o software e o hardware a serem utilizados devem passar por testes de funcionamento. Em sua grande maioria, o entendimento é que antes de cada análise, pelo me- nos, os equipamentos a serem utilizados devem ser testados. Isso ocorre porque, assim como qualquer outro dispositivo digital ou software, as ferramentas foren- ses também costumam necessitar de atualizações periódicas, que devem ser che- cadas sempre, para manter o equipamento sempre atualizado. A computação forense necessita, durante uma investigação, de uma grande variedade de ferramentas de software e hardware durante as análises. A partir de agora, vamos conhecer algumas delas e entender para que servem. Bloqueadores de escrita Tableau T35U é um hardware bloqueador de escrita em que os discos rígi- dos que contêm os dados a serem analisados são conectados. Este modelo de bloqueador de escrita possui slots para discos rígidos de interfaces nos padrões IDE e SATA (caso o disco rígido possua outro padrão de interface, é permitido o uso de adaptadores e também permite conectar discos rígidos com outras in- terfaces). Além de bloquear a escrita, protegendo a mídia a ser analisada contra gravações, este bloqueador de escrita possui o recurso de emular operações de leitura e gravação, o que é bem útil quando a mídia a ser analisada possui algum software malicioso. FORENSE COMPUTACIONAL 96 SER_DIGISEC_FOREC_UNID4.indd 96 29/09/2020 15:45:43 Wiebitech Forensic UltraDock v5 é um bloqueador de gravação de escrita que possui funcionalidades parecidas as do Tableau T35U. A grande vantagem deste dispositivo é possuir uma grande quantidade de interfaces que podem ser conectadas (além de USB, SATA e IDE, podem ser conectadas mídias de in- terface eSATA e FireWire). Além disso, quando uma mídia digital possui uma área oculta, ela é iden- tificada e desbloqueada automaticamente para que o analista consiga extrair dados desta área. Softwares de análises de dados Há quinze anos, pelo menos, os softwares mais utilizados para análises forenses eram o Encase Forensics e o AccessData FTK (Forensic Toolkit). Porém, atualmente, Encase Forensics já não consegue atender de maneira totalmente satisfatória a demandas que necessitem o exame de dispositi- vos que utilizem o sistema operacional Windows. Embora seu uso ainda seja relevante para as análises executadas em sistemas operacionais Mac OS ou Linux OS, ou se a análise possuir determinados tipos raros de formatos de ar- quivos, existem no mercado, ferramentas mais completas e modernas para este fim, com mais funcionalidades e tecnologias mais recentes. O AccessData FTK, por outro lado, oferece uma boa quantidade de ferra- mentas para análise do sistema operacional Windows, mas o tempo necessário de indexação e processamento do conteúdo das mídias a serem analisadas são muito extensos, o que prejudica significativamente o tempo em que um espe- cialista pode gastar nas análises. Mas ainda há utilidade para estas ferramentas, pois, tanto o Encase Foren- sics quanto o AccessData FTK são hábeis em processar grandes quantidades de dados (cerca de centenas de terabytes). Entre suas funcionalidades podemos destacar: • Pesquisa de palavras-chave de alto nível, indexando todo o conteúdo da mídia, incluindo arquivos deletados; FORENSE COMPUTACIONAL 97 SER_DIGISEC_FOREC_UNID4.indd 97 29/09/2020 15:45:54 • Ambos permitem a análise de vários casos concorrentemente, permitindo que o especialista faça correlações entre eles; • Opções de personalização de análises, permitindo a indexação e a criação de casos no nível de pastas ao invés de todo o conteúdo da mídia; • Ambos suportam tipos de arquivos de softwares que não são mais utilizados ou estão obsoletos, entre estes, podemos citar os bancos de dados do software de e-mail Lotus Notes. As ferramentas mais eficientes são aquelas que permitem ao especialista reali- zar análises em vários tipos de dispositivos digitais. A mobilidade e a grande seara de facilidades oferecida pelos dispositivos móveis os tornaram uma fonte de da- dos em potencial em qualquer investigação. Por isso, é natural que as ferramentas consideradas melhores ofereçam funcionalidades voltadas para este fim. O Magnet Axiom é uma destas ferramentas que, além de se desenvolver gra- dualmente, inclui módulos inteiros voltados para a investigação de dispositivos móveis. Além disso, ele é um dos poucos que possui funcionalidades de extração de dados de armazenamentos em nuvem. O concorrente atual do Magnet Axiom se chama Belkasoft Evidence Center. Ele conta também com módulos específicos para analisar dados de dispositivos móveis e armazenamentos em nuvem. Importantes funcionalidade destas ferramentas são a detecção e a extração de arquivos criptografados por algoritmos conhecidos. Ambos possuem updates que mantêm a base de algoritmos atualizada. Extração de dados de navegadores de internet, incluindo conversas realizadas em chats, serviços em nuvem, dados de geolocalização, e-mails, dados de redes sociais, extração automática de arqui-vos e logs sistêmicos e de sistemas de arquivos. Figura 1. Softwares de análise de dados. FORENSE COMPUTACIONAL 98 SER_DIGISEC_FOREC_UNID4.indd 98 29/09/2020 15:45:56 DICA Um especialista em computação forense deve possuir uma quantidade de conhecimentos relativos a conceitos, tecnologias, metodologias e, acima de tudo, estar antenado com a sociedade em que vive. Uma das habilida- des essenciais é conseguir se inteirar sobre os acontecimentos da socie- dade que o rodeia. É preciso ser hábil para sintetizar as múltiplas fontes de dados e rastrear notícias, eventos e tendências. É preciso estimular pensamentos estruturados e críticos, que tornarão o especialista capaz de diferenciar situações e tomar decisões relativas a ideias, hipóteses e o que é, de fato, uma evidência. Nas análises, é desejável que o especialista seja capaz de identifi car padrões, quantidades e estatísticas básicas para que sempre possa fazer as perguntas certas. Conhecendo o inimigo Um especialista em computação forense, pela natureza do seu trabalho, está sempre a par do modus operandi mais conhecido e dos tipos de crimes mais cometidos. Apesar da alta tecnologia envolvida, este tipo de profi ssional estará antenado com o fator humano dos envolvidos. Em outras palavras, um especialista sabe que máquinas não cometem cri- mes, pois são apenas um instrumento usado pelos indivíduos que os come- tem. Entender o perfi l do criminoso em uma análise, ajudará o especialista a compreender o crime cometido e ampliará sua visão relativa ao escopo do que deverá perseguir para conseguir as evidências necessárias. Os criminosos que geralmente fi guram nas esferas policiais são mais pro- pensos a cometerem seus crimes, tais como furto, roubo, assassinato, entre outros, totalmente à parte das esferas digitais, embora existam obviamente, criminosos que utilizam os meios tecnológicos para empreenderem esses ti- pos de crimes. Existem também, os considerados crimes cibernéticos, que são próprios dos meios digitais, sendo investigados por agentes policiais. São alguns exemplos: • Difamação, calúnia e injúria; • Pedofi lia e pornografi a infantil; • Divulgação de conteúdo sem autorização; • Crimes de ódio (racismo, homofobia etc.). FORENSE COMPUTACIONAL 99 SER_DIGISEC_FOREC_UNID4.indd 99 29/09/2020 15:45:56 A questão é que os grandes criminosos, que, na maioria das vezes, utilizam os meios digitais como ferramenta para co- meter crimes, estão no ambiente corpo- rativo. Não são chamados de criminosos devido a uma postura legislativa das leis do País para puni-los e os crimes que cometem, chamados de crimes de cola- rinho branco, não são violentos e pos- suem apenas uma motivação: valores financeiros. Os criminosos corporativos, em sua grande maioria (sobretudo quando se tra- tam de criminosos predadores, aqueles que já têm a intenção de cometer uma frau- de antes de iniciar suas atividades na empresa), são observadores perspicazes. Eles buscam e sabem perfeitamente como se aproveitar de fraquezas e características comuns nas operações internas de uma corporação, o que também envolve seus colaboradores e a maneira como eles se relacionam com essas pessoas. Obviamente, cada crime tem peculiaridades, mas é um dever do especialista conhecer o convívio social corporativo deste criminoso ao se realizar uma análise digital. O criminoso corporativo sempre buscará um bom convívio com todos, na tentativa de ganhar a confiança de seus superiores e pares. Este comportamento demonstra a tendência à dissimulação, que é a base para qualquer ato criminoso. Para cometer um crime, o criminoso tentará disfarçar, ocultar ou alterar em tudo ou em parte, os atos que resultaram no crime ou o caracterizaram. Pelo bom conví- vio, ele tentará desacreditar os envolvidos na investigação, o que, muitas vezes, por mais impressionante que seja, se dá de maneira bem-sucedida. Para realizar qualquer tipo de crime, os criminosos corporativos fazem uso de ferramentas sociais de alavancas e de técnicas psicológicas que fazem parte de uma seara de ferramentas operacionais específicas. Conhecê-las é uma vantagem para o especialista que poderá utilizar este conhecimento a favor da investigação. Engenharia social é a habilidade de conseguir acesso a informações confiden- ciais ou de áreas importantes de uma corporação por meio de habilidades de téc- nicas de neurolinguística e persuasão. Por mais incrível que pareça, o método mais eficaz e com maior chance de ter sucesso para obter informações confidenciais é o de simplesmente perguntar. FORENSE COMPUTACIONAL 100 SER_DIGISEC_FOREC_UNID4.indd 100 29/09/2020 15:46:05 Roubo ou criação de identidades caracteriza-se quando um criminoso pode, em muitas ocasiões, agir contra suas próprias convicções e até criar uma persona em detrimento da aproximação de um indivíduo-chave dentro de uma corporação para obter benefícios desta relação. Isso pode incluir a simulação de situações e fatos, e até uma representação teatral de apoio ao indivíduo-alvo. Uma grande porcentagem de crimes cometidos na internet utiliza esta técnica. Ameaças e medo são usados quando os criminosos são descobertos ou pegos em flagrante. Geralmente, são usados para intimidar os pares ou, mes- mo de maneira anônima, agir para atrapalhar uma investigação. É muito comum os criminosos serem indivíduos com capacidades de se- dução e persuasão muito desenvolvidas, com um bom nível (pelo menos apa- rente) de conhecimento e com uma excelente habilidade na representação teatral de papéis variados. Quanto mais ambiciosas e sofisticadas as fraudes, maior será o conheci- mento e a capacidade dos fraudadores de aproveitarem as ferramentas ope- racionais mencionadas e as alavancas tecnológicas que elas propiciam. O comportamento pós-crime também tem características que podem si- nalizar que algo errado aconteceu. Após um crime, um criminoso tentará ob- ter o maior período de tempo que conseguir antes de ser descoberto. Existem diversas razões para as quais os criminosos queiram ganhar tempo, dentre elas podemos citar que, quanto mais tempo o criminoso consegue, maior será a dificuldade das vítimas em conseguir provas e informações e, com isso, o criminoso consegue maiores chances de ocultar e fazer com que sejam irre- cuperáveis os resultados de seus crimes. Todo criminoso terá ainda um cuidado especial em relação à ocultação e disfar- ce do produto das fraudes praticadas. Ele usará todo tipo de artifício para que os benefícios obtidos através dos crimes (seja dinheiro, bens ou outros) não sejam identificáveis pelas vítimas, por agentes da lei ou por aqueles que tentarão recuperar os valores perdidos. FORENSE COMPUTACIONAL 101 SER_DIGISEC_FOREC_UNID4.indd 101 29/09/2020 15:46:05 Para obter sucesso em um crime, os criminosos utilizam os mesmos mé- todos que os trafi cantes, por exemplo, como o mecanismo da lavagem do dinheiro do crime. Porém, convém lembrar que os criminosos corporativos são geralmente motivados por ganhos fáceis para adquirirem benesses que, de certa forma, melhorem sua qualidade de vida ou que simplesmente lhes ofereçam a possibilidade de adquirirem objetos de desejo, tais como carros, viagens e idas a restaurantes caros etc. Por estas características, difi cilmente encontraremos criminosos corporativos que vivem de seus crimes ou que te- nham guardado os valores ou bens com o resultado de suas fraudes. Sistemas de apoio Atualmente, existem o que podemos chamar de especialistas em computação forense robôs. Basicamente, são programas e dispositivos computacionais que, ao invés de analisarem os dados pós-crime, atuam de maneira proativa, ou seja, rea- lizam monitoramento das transações de diversas fontes de dados para prevenir que um crime aconteça. Um sistema de detecção e prevenção de fraudes (crimes de colarinho branco) torna-se um forte aliado de qualquer estratégiade gerenciamento e prevenção de riscos de fraude. As equipes escolhem ferramentas tecnológicas que contam com funcionalidades baseadas no fl uxo de trabalho e nas necessidades de seus negócios. Um especialista em computação forense sabe que a cultura dos negócios, independente qual seja o ramo de atividade, também deverá ser levada em conta ao efetuar uma análise. Estes sistemas de detecção de fraude podem auxiliá-lo a entender quais são os tipos de crime mais propícios a acontecer, com base nos comportamentos e ações que a corporação tenta impedir. Além dos dados que esses sistemas contêm (logs, red fl ags apontados, tentativas de cometer uma fraude que foram impedidas etc.). Como estes sistemas funcionam? Para tornar uma estratégia antifraude efi cien- te, as corporações devem garantir que seus sistemas estejam alinhados com seu ne- gócio. No caso de empresas que prestam ou oferecem seus serviços para compras online, a estratégia de mitigar os riscos à fraude começa no momento das transa- ções, quando os sistemas utilizados efetuam buscas por anomalias, minimizando o risco de perdas. A detecção de anomalias é uma das abordagens mais comuns nos sistemas de dados internos. FORENSE COMPUTACIONAL 102 SER_DIGISEC_FOREC_UNID4.indd 102 29/09/2020 15:46:06 Estes sistemas fazem usos de algoritmos previamente desenvolvidos que se baseiam na classificação de todas as transações que se desviam dos padrões normais e podem ser consideradas potencialmente fraudulentas. As variáveis nos dados que podem ser usadas para detecção de fraude são inúmeras e va- riam de detalhes de transação a imagens e textos não estruturados. A análise desses parâmetros conta com os algoritmos de detecção de anomalias para responder às seguintes perguntas: • Os clientes acessam os serviços da maneira esperada? • Os canais de ofertas de produtos e serviços disponíveis para aquisição fo- ram utilizados sem nenhum tipo de atalho ou by-pass no processo de transação? • As ações do usuário são normais? Nesse caso, o sistema identifica anomalias no comportamento do usuário ao efetuar a transação. Por exemplo, se ele tentou efetuar a mesma compra com vários números de cartão de crédito, se utiliza cartões que não estão em seu nome ou se ele vai tentando efetivar a compra até o momento em que en- contrar um cartão que seja aceito. Um outro exemplo é a detecção de anomalias nas informações. Por exem- plo, um usuário que fornece um endereço com um telefone em outro estado ou discrepâncias em dados relativos à idade, endereços etc. Se as transações já são típicas, ou seja, se o mesmo usuário efetua a compra de produtos várias vezes com cartões diferentes, ou se o número de aquisições por transação úni- ca é normal. Quando os criminosos possuem um meio de pagamento roubado ou frau- dado (cartão de crédito, por exemplo) é comum fazerem uso deste de maneira a obter o máximo de vantagens de maneira rápida, antes que as devidas provi- dências sejam tomadas e esta fonte se extinga. Existem inconsistências nas informações fornecidas pelos usuários? Basica- mente, estes sistemas de detecção de fraudes con- tam com cruzamento de informações de outras bases de dados, podendo vir das próprias em- presas em cadastros já realizados ou consultas de outras bases online (também de cadastros, mas, nesse caso, de empresas especializadas neste serviço, tal como Serasa e SPC). FORENSE COMPUTACIONAL 103 SER_DIGISEC_FOREC_UNID4.indd 103 29/09/2020 15:46:06 Por exemplo, o cadastro nas empresas sempre irá atrelar informações-cha- ve, tais como endereço, bairro, CEP, estado, cidade, idade, entre outros. Se um usuário tenta efetuar uma compra com um endereço X que no cadastro consta em nome de um outro usuário, a chance dessa transação ser barrada é grande. A abordagem de detecção de anomalias é a mais utilizada, pois além de ser a mais direta, fornece respostas de maneira rápida a perguntas binárias simples. Isso pode ser útil na análise dos logs em alguns casos, inclusive pela adoção de outros métodos, que ao invés de barrar a transação em definitivo, propiciam adquirir mais informações. Por exemplo, se a transação parecer sus- peita, o sistema pode solicitar que o usuário faça várias etapas adicionais de verificação, o que aumenta o escopo da análise e fornece mais elementos para detectar se a transação em questão é criminosa. Esses tipos de sistemas são simples e conseguem rapidamente interromper uma transação fraudulenta, mitigando as perdas; por outro lado, por vezes, co- locam em dúvidas transações legítimas, apesar de supostos red flags e anoma- lias. Mas existem sistemas mais avançados que combinam vários algoritmos de análises para reduzir as incertezas geradas pelas anomalias. Eles podem ser implementados usando vários estilos de aprendizado de máquina e modelos matemáticos subjacentes. Os sistemas avançados não se limitam apenas a encontrar anomalias, mas, em muitos casos, podem reconhe- cer padrões existentes que sinalizam cenários de fraude específicos. Existem dois tipos de abordagens de aprendizado de máquina que são co- mumente usadas em sistemas antifraude: aprendizado de máquina não super- visionado e supervisionado. • Aprendizado supervisionado: envolve o treinamento de um algoritmo usando dados históricos de fraudes e comportamentos fraudulentos já iden- tificados. Nesse caso, os conjuntos de dados existentes já possuem variáveis marcadas e o objetivo do treinamento é fazer com que o sistema preveja essas variáveis em dados futuros; • Aprendizado não supervisionado: processam dados não rotulados e os classificam em diferentes grupos que podem ser para cruzamentos de bases de dados e cadastro até localização geográfica, detectando relações ocultas entre todas as variáveis nos itens de dados imputados pelos usuários no mo- mento da transação. FORENSE COMPUTACIONAL 104 SER_DIGISEC_FOREC_UNID4.indd 104 29/09/2020 15:46:06 Eles podem ser usados independentemente ou combinados para criar algo- ritmos de detecção de anomalias mais sofisticados. Então, como os estilos su- pervisionado e não supervisionado se combinam para criar sistemas robustos de detecção de fraudes? Rotulando dados Embora a rotulagem de dados possa ser feita manualmente, é difícil para os seres humanos classificarem novas e sofisticadas tentativas de fraude por suas semelhanças implícitas. É por isso que os cientistas de dados aplicam modelos de aprendizado não supervisionado para segmentar itens de dados em por- ções, responsáveis por todas as correlações ocultas. Isso torna a rotulagem de dados mais precisa: o conjunto de dados não ape- nas rotula itens de fraude/não fraude, mas também identifica novos e diferen- tes tipos de atividades fraudulentas. Depois que os dados são rotulados, a próxima interação é aplicar esse novo conjunto de dados rotulado para treinar modelos supervisionados que detec- tarão transações fraudulentas no uso da produção. A montagem de vários modelos diferentes é uma abordagem comum na ciência de dados. Embora você pos- sa criar um modelo único, ele sempre terá seus pontos fortes e fracos, pois reconhecerá alguns padrões, mas sen- tirá falta dos outros. Para fazer previsões de dados mais precisos, os cientistas de dados geral- mente criam vários modelos usando o mesmo método ou combinam méto- dos totalmente diferentes. Assim, todos os modelos do conjunto analisam a mesma transação e depois identificam qual a melhor decisão a ser tomada. O uso de conjuntos requer uma grande capacidade de processamento de um enorme volume de dados em pouquíssimo tempo de análise para que a decisão de barrar uma transação possa ser tomada. Verificar todas as transa- ções online poderá prejudicar a experiência do usuário. É por isso que uma boa prática é fazer a verificação em duas etapas. FORENSE COMPUTACIONAL 105 SER_DIGISEC_FOREC_UNID4.indd 105 29/09/2020 15:46:09A legislação aplicada Vivemos em um mundo onde a tecnologia por meio da conexão possibi- litada pelo advento da internet trouxe inúmeros benefícios. Porém, essa tec- nologia trouxe a reboque vários tipos de crimes que migraram do mundo real para o mundo virtual. Existe uma falsa sensação de que o anonimato garante impunidade a um determinado grupo de internautas que efetuam crimes de ódio, racismo e outros tantos com- portamentos nocivos para milhares de pessoas, famosas ou não. Existem também os criminosos que roubam senhas, sequestram servidores, in- vadem páginas e muitos outros tipos de crimes. Todos os usuários vítimas destes criminosos podem sempre recorrer à Justiça para garantir o direito à reparação. Cabe ao especialista em computação forense, ao analisar um caso, conhe- cer qual a legislação a ser aplicada para que possa, de maneira correta, ende- reçar suas evidências. Vale lembrar que os crimes mais comuns cometidos na internet já eram cobertos pela lei. O fato de serem cometidos nos meios digitais é considerado apenas como uma circunstância adicional. Além disso, o especialista deve ter cuidado para não acabar por cometer os mesmos crimes que está investigando. A verifi cação expressa implica uma simples detecção de anomalia ou ou- tro método direto para dividir todas as transações em transações regulares e suspeitas. Como as transações regulares não exigem verifi cação adicional, o sistema as aprova. Aquelas para que parecem suspeitas são enviadas para verifi cação posterior. Este método é utilizado, por exemplo, em companhias aéreas, quando a passagem pode até ser marcada, porém o usuário é chamado para esclarecer dúvidas no momento do embarque. FORENSE COMPUTACIONAL 106 SER_DIGISEC_FOREC_UNID4.indd 106 29/09/2020 15:46:15 Existem dois tipos de legislação consideradas em investigações digitais. A primeira é baseada no entendimento das leis não específicas que, ao serem aplicadas à esfera digital, devem ser acompanhadas de entendimento para que determinado crime possa ser tipificado. Como exemplo, imagine uma correspondência sendo aberta por alguém que não é o seu remetente. As leis não específicas tipificam esse ato como invasão de privacidade. Quando um e-mail (que nada mais é do que uma carta eletrônica) é invadido ou interceptado por alguém que não possui acesso efeti- vo a ele, a lei a ser aplicada será a mesma, só transportando o alvo da invasão de privacidade de algo físico para algo virtual. Por outro lado, com toda essa evolução da tecnologia, existem algumas normas que são chamadas de leis específicas, que foram desenvolvidas para tipificar os crimes cometidos nos meios eletrônicos. Duas leis relacionadas aos crimes na internet foram sancionadas em 2012, alterando o Código Penal e instituindo penas para crimes específicos nesta es- fera, sendo: A primeira delas é a Lei dos Crimes Cibernéticos (Lei 12.737/2012), conhecida como Lei Carolina Dieckmann, que tipifica atos como invadir computadores (hacking), roubar se- nhas, violar dados de usuários e divulgar informações privadas (como fotos, mensagens etc.) (BRASIL, 2012). Os crimes previstos na Lei de Crimes Cibernéticos e inclusos no Código Pe- nal (artigo 154-A e art. 298) são: Violar sistema de segurança (senhas, travas, sistemas de cripto- grafia etc.) para invadir computador, rede, celular ou dispositivo similar sem autorização (independentemente de estar ou não conectado à internet) para obter, adulterar ou destruir dados ou informações ou, ainda, para instalar vírus ou vulnerabilidades no dispositivo. A pena pode variar de três meses a um ano de prisão além do pagamento de multa (BRASIL, 2012). Ao efetuar uma análise, um especialista deve seguir sempre a lei, não importando qual seja o caso. Há situações em que uma evidência a ser coletada simplesmente aparece como uma oportunidade única. A questão é que, não importando FORENSE COMPUTACIONAL 107 SER_DIGISEC_FOREC_UNID4.indd 107 29/09/2020 15:46:15 qual seja, nenhuma evidência deverá ser coletada sem as devidas auto- rizações. Já houve casos no passado em que o especialista foi punido por incorrer em crimes de quebra de sigilo telefônico, bancário e fi scal. Tenha sempre em mente estas dicas: • O especialista deve sempre atentar para o fato de que, não importando qual seja a sua opinião sobre a pessoa, ele só poderá atribuir culpa a ela se houver realmente evidências que comprovem que ela cometeu um crime; • O especialista não deve se envolver com as partes. Ele nunca opina, mas apenas comprova, por meio de fatos e evidências, que um crime ocor- reu. Ele nunca julga ou professa sua opinião que não seja o seu conhecimen- to técnico em um tribunal, mesmo assim, se lhe for perguntado; • Um especialista em computação forense não deixa envolver as suas convicções pessoais quando está analisando um caso; • O especialista sempre trabalha dentro da lei. Ele nunca tentará arrumar artifícios ao arrepio das leis vigentes para tentar conseguir evidências de maneira ilegal; • Existe a falsa impressão de que um especialista em computação fo- rense atua como um hacker, invadindo sistemas e quebrando senhas para conseguir acesso a sistemas e outros tipos de elementos assegurados por este recurso. O especialista analisa apenas ao que tem acesso, nunca deve- rá tentar, de maneira ilegal, obter acesso a informações que não lhe foram disponibilizadas. Extração de dados O passo seguinte à verifi cação da integridade dos dados coletados a serem analisados chama-se extração de dados. Novas tecnologias propiciam um aumen- to considerável do volume de dados a serem analisados em uma investigação di- gital. Esse fato torna cada vez mais difícil a análise em busca de evidências. Com a pressão por agilidade nos resultados, o processo de extração deve ser conduzido sempre de maneira inteligente e focada no que o especialista em computação forense deve- rá evidenciar. FORENSE COMPUTACIONAL 108 SER_DIGISEC_FOREC_UNID4.indd 108 29/09/2020 15:46:15 Como os especialistas de um modo geral possuem uma ideia clara do que de- vem buscar para comprovar que determinado crime ocorreu, a extração de dados permite que seja feita uma sintonia fina, extraindo tipos de dados determinados, facilitando a análise (Figura 2). Se o solicitante da demanda informa que o crime a ser investigado aconteceu na internet, o especialista irá extrair todos os dados pertinentes a registros, histó- ricos e demais artefatos que se correlacionam a esta esfera. Isso diminui consideravelmente o tempo de análises, pois a quantidade filtra- da de dados a serem analisados é bem menor. Con- vém lembrar que dispositivos digitais contam com milhões de arquivos e cada filtro que se possa utilizar para minimizar a quantidade de dados a serem analisados é sempre bem-vindo. Indepen- dente de qual seja o tipo de dispositivo ou o caso a ser analisado, o especialista pode aplicar filtros para identificar os arquivos que contêm: • Informações gerais do investigado; • Lista de contatos do investigado para correlação de dados; • Informações sobre os aplicativos instalados e logs gerados por eles; • Histórico de ligações realizadas, recebidas e perdidas; • Arquivos sistêmicos de registro de utilização e mensagens de erro que pos- sam conter; • Notas, calendários e demais informações de atividades do investigado; • Registros de senhas e códigos de acesso, informações sobre as credenciais de conta de login de usuário; • Conteúdo de mensagens e arquivos multimídia de aplicativos de mensagens; • Arquivos de imagens, de vídeo e áudio; • Bancos de dados de correio eletrônico e mensagens; • Documentos de texto, planilhas, apresentações, outros tipos de arquivos cria- dos pelo investigado; • Histórico de navegação na internet, histórico de pesquisa, recuperação de cookies e demais interações; • Informações de geolocalização; • Informaçõesde conexão em redes LAN e Wi-Fi. FORENSE COMPUTACIONAL 109 SER_DIGISEC_FOREC_UNID4.indd 109 29/09/2020 15:46:15 Figura 2. Extração de dados: páginas da Web. Figura 3. Disco rígido protegido por criptografia. Durante a extração de dados, é uma situação comum o especialista se deparar com arquivos ou com o próprio disco rígido criptografado e protegidos por senha. No caso do disco rígido, cabe ao especialista refazer a coleta, mediante a retirada da criptografia da fonte de dados (Figura 3). No caso dos arquivos, após sua extração e identificação ou após a detecção de senha, o trabalho de quebra ou recuperação de senhas tem início. Dependendo do tipo de arquivo e do sistema de proteção de senhas que ele possui, existem algumas ferramentas que já identificam e abrem o arquivo de ma- neira automática, porém, se a senha for protegida por criptografia, por exemplo, a situação muda, pois o especialista terá que aplicar determinadas ferramentas para quebrar estas senhas. Vale lembrar que as melhores ferramentas para esta situação são aquelas contidas em suítes de Linux, tais como o Kali, Helix, CAINE, entre outros. FORENSE COMPUTACIONAL 110 SER_DIGISEC_FOREC_UNID4.indd 110 29/09/2020 15:46:17 Recuperação de arquivos apagados O que é um sistema de arquivos? Recebe o nome de sistema de arquivos o controlador do conjunto de estruturas lógicas e de rotinas de leitura e grava- ção que tem a função de permitir que um determinado sistema operacional controle o acesso aos arquivos em mídias de armazenamento. Cada sistema operacional conta com um sistema de arquivos que efetua esse gerenciamento de maneira diferente. O sistema de arquivos é responsável, por exemplo, pela organização dos arquivos em pastas, tipos, nome de arquivos e controle de espaço utilizado e livre de armazenamento (Diagrama 1), permitindo que, para um usuário, esta organização seja clara, de fácil controle e efi ciente, permitindo a criação e, se for o desejo do usuário, a exclusão de arquivos. Um outro tipo de arquivo, que fi gura como a proteção mais comum adotada pelos usuários regulares, é feito por meio da compactação de arquivos, com prote- ção por senha. São vários os softwares disponíveis que efetuam esta tarefa, sendo os mais conhecidos o ZIP e o WINRAR. Neste quesito, os arquivos de extensão RAR possuem o algoritmo mais forte de criptografi a (padrão AES-128 - criptografi a de 128 bits). DIAGRAMA 1. EXEMPLO DE ESTRUTURA DE DADOS Windows System 32 C:\ Drivers Personal Users FORENSE COMPUTACIONAL 111 SER_DIGISEC_FOREC_UNID4.indd 111 29/09/2020 15:46:17 Nem sempre o especialista em computação forense deverá recuperar ar- quivos que foram apagados de propósito, como por exemplo, no caso de usuá- rio que tentou encobrir seus rastros apagando determinados arquivos que contêm informações que possam prejudicá-lo. Existem outras situações que acontecem de maneira involuntária, causadas particularmente pelos sistemas operacionais, falhas e erros de gravação de sis- temas de arquivos ou defeitos de hardware, que causam problemas de leitura e gravação, tais como: • Exclusão acidental de arquivos ou pastas: cada sistema de arquivos pode atuar de maneira diferente quando a ação do usuário é a de apagar um arquivo. No sistema operacional Windows, por exemplo, o sistema de arquivos NTFS ou FAT apenas marca um determinado espaço que era utilizado por um arquivo que foi apagado como uma área não utilizada. Nestes casos, o princi- pal motivo da exclusão de uma porção de arquivos é a de liberar espaço. Vale lembrar que um usuário regular, recebe informações do sistema operacional sobre a quantidade de espaço de armazenamento que há disponível. Quando o espaço está perto de atingir 100% de utilização, o sistema operacional começa a apresentar inúmeros problemas de desempenho que podem acarretar trava- mentos e até erros fatais que culminam com a necessidade de reinstalação do dispositivo. Ao perceber isso, o usuário tende a apagar dados para liberar es- paço e não é incomum que uma porção de dados seja apagada acidentalmente; • Formatação do sistema de arquivos: quando um problema em um dis- positivo ocorre, em nome da agilidade, muitos usuários preferem efetuar um backup de seus arquivos pessoais e formatar o dispositivo, reinstalando poste- riormente o seu sistema operacional. O procedimento de formatação consiste na recriação das estruturas do sistema de arquivos, sobrescrevendo informa- ções logo após o seu restabelecimento. Para um especialista, a recuperação dos arquivos após uma formatação não é uma tarefa difícil pois, mesmo que sobrescritos (desde que não totalmente sobrescritos) é possível a recuperação de dados em larga escala; • Dano lógico de um sistema de arquivos: este tipo de problema ocorre devido a problemas causados por falhas de software. Atualmente, os sistemas de arquivos oferecem uma proteção extra contra danos lógicos. Porém, quan- do ocorrem, a recuperação destes dados pode ser um desafio ao especialista. FORENSE COMPUTACIONAL 112 SER_DIGISEC_FOREC_UNID4.indd 112 29/09/2020 15:46:17 O procedimento correto a ser efetuado neste caso é a recuperação total do sistema de arquivo, que permitirá a reconstrução das estruturas de arquivos; • Perda de informações sobre uma partição: este tipo de falha geralmen- te causa uma mensagem de erro informando que o disco rígido não possui um sistema de arquivo de dados reconhecido. Também é uma falha lógica e pode ser recuperada de maneira total. A probabilidade de uma recuperação íntegra e bem-sucedida depende mui- to da situação específi ca que ocasionou a perda dos dados. Por esse motivo, o especialista deverá ter o conhecimento necessário para identifi car a causa para utilizar os procedimentos e as ferramentas certas para recuperação. Vale lembrar que a recuperação de dados toma um longo tempo para ser con- cluída e isso deve ser levado em consideração antes de executar esse processo. Arquivos apagados e não sobrescritos Danos lógicos / Perda de informações de partições Arquivos apagados sobrescritos Figura 4. Tipos de arquivos deletados. Data carving em memórias e tráfego de redes Apesar de existirem vários tipos de sistemas de arquivos, uma peculiari- dade encontrada em todos eles é o que chamamos de metadados, ou seja, o conjunto de informações de um arquivo, como autoria, data e local de criação, conteúdo, formato, tamanho, dentre outros. FORENSE COMPUTACIONAL 113 SER_DIGISEC_FOREC_UNID4.indd 113 29/09/2020 15:46:18 Este conjunto de dados é utilizado pelo sistema de arquivos para, além de identificar o arquivo, organizá-lo e posicioná-lo na estrutura dos dados, regis- trar as localidades físicas no dispositivo em que cada arquivo está armazenado. Lembrando que, um arquivo sempre é particionado em pequenas porções e espalhado entre os vários agrupamentos de dados livres, incorrendo em vá- rios locais diferentes para um mesmo arquivo. CURIOSIDADE Pelo uso de técnicas de leitura de metadados é possível que um especialista consiga efetuar uma análise de um determinado arquivo de imagem. Embora não seja possível aos usuários regulares terem acesso total às informações dos metadados, existem softwares (como o AnalogExif, por exemplo) que conseguem colher informações que geralmente ficam escondidas. Entre elas, podemos citar qual foi o dispositivo que tirou a foto, dados técnicos relativos a pixels, formato, densidade etc., bem como data e hora (incluindo segundos) em que a foto foi tirada. O data carving é um procedimento utilizado em computação forense que visa à extração de dados de um dispositivo de armazenamento sem qualquer tipo de auxílio do sistema de arquivos que gerencia os dados. A grande van- tagem desse mecanismo é recuperar dados de espaços não alocados, não importando se o arquivo está completo ou se foi sobrescrito, ou seja, o data carving irá ler o conteúdo sem que nenhumainformação de arquivo seja ne- cessária (metadados). O alvo desse mecanismo é o espaço não alocado, que se refere à uma área do dispositivo de armazenamento que, em geral, já não contém informações do arquivo, pois se ele foi excluído, o sistema de arquivos o ignora. Quando um dispositivo de armazena- mento apresenta falhas, danos ou ausência na estrutura de sistemas de arquivos, o data carving buscará dados na totalidade do dis- positivo de armazenamento, uma vez que este processo irá entender que todo o espaço, que não contém uma estrutura de dados, é um espaço não alocado. FORENSE COMPUTACIONAL 114 SER_DIGISEC_FOREC_UNID4.indd 114 29/09/2020 15:46:18 Data carving em memórias As análises realizadas em qualquer tipo de memória (que é um dispositivo de armazenamento temporário e volátil) quando são coletadas por um espe- cialista em computação forense, têm por característica a falta de estrutura dos seus dados. Os discos rígidos, por exemplo, por conta do sistema de arquivos contêm uma estrutura predefi nida e de fácil visualização e compreensão, o que facilita o trabalho do especialista em uma análise. Memórias voláteis, ao contrário, ao invés de manterem os dados, alocam e desalocam os dados que recebem em áreas diferentes conforme as porções fi cam livres. Com isso, é difícil prever onde uma determinada informação estará aloca- da, pois ao sofrer refresh, automaticamente um espaço receberá novos dados, sendo que este processo se repete milhares de vezes e de maneira contínua. Existem procedimentos e ferramentas para recuperar dados de memórias vo- láteis na mesma velocidade em que elas são modifi cadas. Obviamente os especialistas devem tomar os devidos cuidados ao coletar estes dados, pois praticamente toda a interação do usuário com o dispositivo modifi cará os dados das memórias, o que pode fazer com que o processo de coleta fi nalize com resultados imprevisíveis. Porém, uma das soluções encontra-se na técnica de coleta de dados de me- mórias voláteis que é efetuada por meio de um processo de dumping (despejo) e é realizada com o dispositivo-alvo ligado. Para que a recuperação de dados deste tipo de mídia volátil seja possível, o especialista irá coletar dados de uma outra área, conhecida como área de swap. A área de swap (ou arquivo de swap) é um local do disco rígido reservado pelo sistema operacional como uma área de troca rápida. Neste local, estão armazenados (temporariamente de maneira menos volátil que uma memória volátil) todos os dados que, em algum momento, passaram pela memória física do dispositivo e que, por questão de otimização do uso das memórias, foram armazenados nele. No sistema operacional Windows, o arquivo que recebe estes dados chama-se pagefi le.sys. Vale lembrar que a estrutura do arquivo de dumping, coletado com o dispositivo ligado, é idêntica à do arquivo pagefi le.sys (área de swap). FORENSE COMPUTACIONAL 115 SER_DIGISEC_FOREC_UNID4.indd 115 29/09/2020 15:46:18 Como recuperar este arquivo? Basicamente, com o uso de ferramentas de co- leta de dados. O FTK Imager possui a funcionalidade de capturar dados de memó- rias voláteis com a opção de coletar também os dados do arquivo pagefile.sys. Acompanhe o processo: 1) Primeiramente, como mostra a Figura 5, abra o FTK Imager e clique no ícone de coleta de memória; Figura 5. Processo de captura de dados de memória. Figura 6. Opções de captura de memória. 2) Em seguida (Figura 6), marque a opção Include pagefile e clique em Capture memory; FORENSE COMPUTACIONAL 116 SER_DIGISEC_FOREC_UNID4.indd 116 29/09/2020 15:46:20 Data carving em tráfego de redes Em uma investigação, as informações sobre as redes nas quais um determina- do dispositivo foi conectado fornecem aos especialistas em computação forense uma infi nidade de dados relevantes. O mesmo ocorre quando se sabe quais foram os padrões de interação desse dispositivo com a rede. Podemos citar, por exemplo, um conjunto de endereços de protocolo de inter- net (TCP-IP) de destino que se correlaciona com o endereço de TCP-IP de origem, nos quais este dispositivo navegou (na Web) ou acessou via P2P (em inglês, peer to peer), Torrent, entre outros. O foco do processo de data carving em elementos de uma rede é o de buscar resíduos de conexões e acessos. O processo de coleta de dados de tráfego de rede se assemelha muito ao que é efetuado nas memórias voláteis, uma vez que os dados de tráfego de rede também são considerados voláteis. 3) Conforme indica a Figura 7, o processo terá início. Figura 7. Copiando memória. Ao término da coleta, serão criados dois arquivos. O primeiro é o mem- dump.mem (arquivo de dumping), o segundo é o pagefi le.sys (arquivo da área de swap). A maioria das ferramentas de análise forense possui a funcionalidade de visualização destes arquivos. Para executar o processo de data carving nestes arquivos, basta copiá-los para uma suíte de boot do sistema operacional Linux e executar um programa chamado Foremost (exclusivo para Linux apenas). A interface é amigável, bas- tando apenas apontar para os arquivos e iniciar o data carving. FORENSE COMPUTACIONAL 117 SER_DIGISEC_FOREC_UNID4.indd 117 29/09/2020 15:46:21 O primeiro passo é o de coletar as informações na forma de dumping (com um pendrive de flash boot que irá reiniciar o roteador e efetuar o dumping) ou se houver disco rígido no roteador, coletá-lo normalmente. De posse dos dados, a ferramenta que deverá ser utilizada contém as mesmas características do Foremost (utilizado para memórias voláteis de dispositivos) e se chama Tcpxtract. Ela também pode ser utilizada na coleta de dados de tráfego de rede e também só está disponível para o sistema operacional Linux. EXPLICANDO O protocolo TCP-IP é o responsável pelo envio e recebimento de pacotes em um contexto de redes de computadores e internet. Trocando em mi- údos, este protocolo é um tipo de linguagem de programa que tem como principal função a troca de informação entre dois dispositivos. Com a internet, o protocolo TCP-IP ganhou uma função extra: gerenciar pacotes enviados e recebidos pela Web. Atualmente, conta com 4 camadas: a de aplicação, que recebe e envia informações entre programas; as camadas de transporte e rede, que recebem os dados; e a camada de interface, que recebe e envia pacotes pela rede. FORENSE COMPUTACIONAL 118 SER_DIGISEC_FOREC_UNID4.indd 118 29/09/2020 15:46:21 Sintetizando Nessa unidade, abordamos as características e os conhecimentos neces- sários para que um especialista em computação forense consiga efetuar uma análise forense computacional. Observamos as leis que, além de permearem os investigados, também se aplicam aos especialistas que efetuam as inves- tigações. Conhecemos os investigados sob uma ótica das corporações que, atualmente, figuram como as maiores vítimas dos criminosos que utilizam os meios digitais para cometerem os crimes. Destacamos a importância de uma nova fonte de dados (sistemas de prevenção à fraude) que oferece ao especia- lista informações preciosas sobre as tentativas de fraudes que uma corporação sofre todos os dias. Quanto à extração de dados, entendemos a importância deste procedimen- to que auxilia os especialistas a conseguirem focar suas investigações com base na extração e análise de dados que apenas possuem informações relevantes ao caso que está sendo investigado. Vimos também como é possível a recu- peração de dados, por meio do entendimento do sistema que controla toda a estrutura de dados de uma mídia de armazenamento (sistema de arquivos). Além disso, descobrimos um novo processo de recuperação de dados cha- mado data carving, que busca dados a serem recuperados em áreas de espa- ço não alocado. Por fim, entendemos que o processo de data carving também pode ser efetuado em memórias voláteis e em tráfego de redes. FORENSE COMPUTACIONAL 119 SER_DIGISEC_FOREC_UNID4.indd 11929/09/2020 15:46:21 Referências bibliográficas BRASIL. Lei n° 12.737, de 30 de novembro de 2012. Dispõe sobre a tipificação criminal de delitos informáticos; altera o Decreto-Lei nº 2.848, de 7 de dezem- bro de 1940 - Código Penal; e dá outras providências. Diário Oficial da União, Brasília, DF, Poder Executivo, 03 dez. 2012. Disponível em: . Acesso em: 02 set. 2020. FREITAS, A. R. Perícia forense aplicada à informática: ambiente Microsoft. Rio de Janeiro: Brasport, 2006. SWGDE. SWGDE model standard operation procedures for computer forensics. Scientific Working Group on Digital Evidence, 3. ed., [s.l.], 13 set. 2012. VELHO, J. A. Tratado de computação forense. São Paulo: Millenium, 2016. FORENSE COMPUTACIONAL 120 SER_DIGISEC_FOREC_UNID4.indd 120 29/09/2020 15:46:21ser a porta de entrada para uma invasão de celular que esteja pareado a ela. O profissional de computação forense O profi ssional da área é responsável pela coleta, salvaguarda e análise, funções que fazem parte do processo de investigação. Durante as análises (a investigação em si), é primor- dial que este profi ssional possua conhecimentos téc- nicos de sistemas operacionais, tráfego de dados e a localização de logs e registros sistêmicos, para que possa realizar investigações com maior acuraci- dade e sabendo o que e onde buscar. FORENSE COMPUTACIONAL 14 SER_DIGISEC_FOREC_UNID1.indd 14 29/09/2020 13:14:49 DICA Dados digitais podem ser manipulados, alterados, deletados e terem infor- mações como autoria e datas modificadas facilmente. Por esse motivo, é primordial que o perito siga os procedimentos à risca, a fim de não correr o risco de perder meses de trabalho e, com isso, permitir que o culpado escape ileso. Vale lembrar que a Computação Forense é um método cien- tífico que busca evidenciar que determinado crime ocorreu, sem deixar margem para dúvidas. Na maioria das vezes, as evidências de uma investigação estão escondidas dos olhos de usuários comuns. Assim, além do conhecimento técnico, também é pre- ciso que o profissional possua conhecimentos em compliance, gerenciamento de risco, código de conduta e aspectos jurídicos de processos. Existem várias frentes de atuação nas quais esse profissional pode atuar, sendo elas: • O perito criminal para agências da lei (âmbitos federal e estadual) atua nas investigações que são conduzidas pelas polícias Federal e Civil. Para ingressar nesta posição, o profissional necessita de formação superior na área e aprova- ção em concurso público. Se nomeados, estes profissionais atuam apenas nas esferas criminais; • O perito judicial é nomeado em tribunais de justiça de 1ª e 2ª instância, tanto estaduais quanto federais. Sua atuação tem início após a nomeação de um juiz em um tribunal ao qual esteja cadastrado. Sua tarefa principal é a de responder quais- quer perguntas que sejam levantadas pelo juiz. Esta posição exige formação supe- rior (mesmo que não seja na área de TI, existem engenheiros de várias categorias atuando nestas posições) e cadastro vigente no tribunal em que atua. O perito só atua em casos de litígio, nunca desempenhando perícias na esfera penal; • O assistente técnico, ou especialista em computação forense, trabalha dire- tamente com as partes e seus advogados em um processo ou investigação inter- na, atuando como responsável técnico. Ele não possui poder de agente da lei e sua atuação se restringe ao setor privado, em casos de fraudes internas. As perícias realizadas na esfera privada são os objetos a serem periciados por peritos judiciais em casos de litígio, se houverem. Apesar de existir uma carência desse tipo de pro- fissional no mercado brasileiro, existem consultorias especializadas e empresas que possuem profissionais especializados em seus departamentos de compliance, auditoria interna e segurança da informação. FORENSE COMPUTACIONAL 15 SER_DIGISEC_FOREC_UNID1.indd 15 29/09/2020 13:14:49 A necessidade da perícia forense Durante os anos 1970 e 1980, o que viria a ser chamado de computação forense era praticado apenas por poucos agentes da lei, que viam os com- putadores e dispositivos de alta tecnologia como um hobby. Era um tempo analógico, em que os computadores não tinham a mesma importância que possuem nos dias de hoje. A consequência disso foi a demora para se criar uma categoria de perícia forense somente para este fi m. As primeiras ações com maior relevância começaram a tomar forma quan- do as bases de armazenamento de dados chamaram a atenção dos agentes da lei. Antes delas, era difícil para os agentes apreender, armazenar e clas- sifi car informações e documentos dos suspeitos, o que fazia com que as in- vestigações se arrastassem por muito tempo e gerassem pilhas e mais pilhas de papel. Um outro ponto importante foi o desenvolvimento das mídias de armazenamento removíveis, como os primeiros disquetes (Figura 2), que faci- litaram o transporte de dados. Figura 2. Antigos disquetes. Fonte: Adobe Stock. Acesso em: 30/06/2020. O passo inicial se deu no ano de 1984, quando o FBI deu início ao programa M.M.P (Magnet Media Program), que tinha como foco coletar e analisar apenas dados digitais. Ainda na década de 1980, os primeiros hackers surgiram, ge- FORENSE COMPUTACIONAL 16 SER_DIGISEC_FOREC_UNID1.indd 16 29/09/2020 13:14:54 rando a necessidade de se desenvolver técnicas de rastreamento e identifi - cação destes indivíduos. Porém, a computação forense assumiu o seu devido protagonismo no período entre o fi m da década de 1990 e meados de 2000. Nesse período, duas práticas criminosas começaram a utilizar os meios di- gitais para se perpetuarem: a propagação de pornografi a infantil e os ataques terroristas que sucederam as guerras no Afeganistão e no Iraque, com a fre- quente apreensão de computadores, notebooks e outros tipos de dispositivos de telecomunicação por soldados estadunidenses. Em 2006, já estabelecida como uma prática pericial necessária, a computação forense foi incluída na re- visão das regras de processo civil dos Estados Unidos, ofi cializando as práticas de investigações e descobertas digitais O caso BTK Um dos casos mais emblemáticos, solucionado com o auxílio da Computa- ção Forense, foi a descoberta da identidade do assassino em série conhecido como BTK (sigla para Blind, Torture, Kill - Cegar, Torturar, Matar). Sua carreira de crimes teve início em 1974 e perdurou até 1991, período em que a polícia não conseguiu identifi cá-lo e prendê-lo. Seu modus operandi consistia em, pri- meiramente, espionar a vítima e depois, utilizando uma máscara, invadir sua residência enquanto ela estava dormindo, torturando-a e matando-a e dei- xando o corpo amarrado para ser encontrado depois. Ele também costumava coletar souvenires das suas vítimas. A virada se deu no ano de 2005, quando um jornal da cidade de Wichita (Wichita Eagle) nos Estados Unidos recebeu uma carta de reclamação por não ter atribuído a BTK a responsabilidade do crime de uma de suas vítimas. Para provar seu ponto, ele enviou fotos do local do crime bem como uma cópia da carteira de motorista da vítima. Após esse primeiro contato, e com a certeza de não ser pego ou rastreado, BTK começou a enviar cartas a emissoras de tele- visão, onde descrevia seus crimes e enviava fotos dos souvenires que recolhia. Em uma destas cartas enviada à imprensa, BTK perguntou se era possível rastrear disquetes, pois pretendia enviar um conteúdo utilizando esta mídia. A resposta a ele foi a de que não era possível e ele então enviou um disquete com textos e fotos. FORENSE COMPUTACIONAL 17 SER_DIGISEC_FOREC_UNID1.indd 17 29/09/2020 13:14:54 De posse do disquete, os peritos da polícia puderam identifi car pelas pro- priedades dos arquivos de texto (origem, autores, quem havia salvado) que o disquete fora criado em um computador da Igreja Luterana de Cristo em Wichita, e que as pastas haviam sido criadas por um usuário de nome “Den- nis”. A partir dessas informações, foi possível chegar até um homem chamado Dennis Rader. Os policiais conseguiram material biológico da fi lha de Rader e compararam com material biológico coletado nas vítimas, conseguindo com- provar que Rader era mesmo BTK. Ao ser pego, ele se limitou a dizer “vocês me pegaram”. Ele foi condenado a sentença de 10 prisões perpétuas. A evolução da tecnologia A tecnologia avançou com os anos, causando impacto direto na forma que vivemos, compramos pro- dutos, nos comunicamos, viajamos e aprendemos, entre tantas outras mudanças que foram provocadas por avanços tecnológicos contí- nuos. Hoje em dia, fazemos parte de uma sociedade totalmente dependen- te de tecnologias, que propiciam aos usuários a capacidade de execuçãode tarefas complexas (em outros tempos, dispendiosas de recursos e tempo) com um simples click do mouse. No mundo corporativo, os avanços tecnológicos ajudaram empresas e or- ganizações a economizar tempo e custos de produção, o que tem sido uma vantagem para todos os tipos de negócios. Convém lembrar que, no mundo corporativo, a utilização da tecnologia de maneira correta e assertiva resulta em larga vantagem competitiva. Para se ter uma ideia clara da rapidez e agilidade de absorção dessa evolu- ção: não mais que 30 anos atrás, eram apenas as grandes empresas que pos- suíam computadores capazes de executar tarefas e processar grandes porções de dados. Além de excessivamente caros, tais computadores eram inefi cazes, se comparados com os atuais, lentos, imprecisos e exigiam um acondiciona- mento em lugares próprios e preparados para seu funcionamento. FORENSE COMPUTACIONAL 18 SER_DIGISEC_FOREC_UNID1.indd 18 29/09/2020 13:14:54 Atualmente, um smartwatch tem mais capacidade de processamento do que os computadores que levaram o homem à lua, na missão Apolo XI, e po- demos levar todo esse poder no pulso, para qualquer lugar. Além de toda essa mobilidade, temos também a conectividade. O IoT, ou Internet of Things (internet das coisas), é um conceito que discorre sobre como interagimos com elementos ao nosso redor por meio da atribuição de endereços lógicos (ende- reços de IP, ou Internet Protocol), possibilitando sua conectividade. É possível acessar a internet utilizando uma Smart TV, assistir fi lmes por serviços de streaming no console de vídeo game e apagar uma luz ou desligar o ar condicionado de casa remotamente, mesmo que você esteja a milhares de quilômetros dali. Obviamente, os avanços tecnológicos desempenharam um papel importante na melhoria da condição humana. Sua praticidade e co- nectividade encurtou distâncias e trouxe mobilidade e agilidade sobre todos os aspectos. Nos negócios, as engrenagens que fazem o mundo girar, em uma época na qual a tecnologia derrubava postos de trabalho, ela trouxe novas formas e conceitos de se fazer negócio. Novos meios de se cometer crimes Todos esses avanços, porém, trouxeram consigo um ônus bem desagradável. Por conta desta mi- gração de atos criminosos pratica- dos no mundo físico para o mundo digital, uma nova classe de investi- gadores, peritos e auditores viram- -se obrigados a evoluir também (Fi- gura 3). Falamos de uma área que, até não muito tempo atrás, lidava com bancos de dados de impres- sões digitais incompletos, análises físicas de cenas de crime, testes de DNA imprecisos e sem aceitação em julgamentos, relatórios em papel, livros caixa e revisões de fitas de VHS, por exemplo. FORENSE COMPUTACIONAL 19 SER_DIGISEC_FOREC_UNID1.indd 19 29/09/2020 13:14:55 Anos 80 Impressões digitais Análise da cena do crime Anos 90 Fitas VHS DOS forense DNA não confiável Small data Atualmente Hard disks DNA Cloud Redes sociais Rastros WhatsApp Big data! Figura 3. A evolução dos meios de perícia. Anos 80 - Nesta época, as cenas de crimes eram inspecionadas e catalo- gadas através de fotos e sem análises mais profundas, graças à tecnologia disponível para tal. As perícias papiloscópicas, por exemplo (ciência forense que estuda a identificação de um ser humano por suas digitais), não conta- vam com bancos de dados digitalizados. Se um indivíduo cometia um crime em uma localidade distante de sua residência, como em outro Estado, a verificação poderia demorar meses. Atualmente, existem bancos de dados digitalizados e integrados para este fim e ferramentas como as fontes de luz que, além de identificarem digitais, também identificam resquícios de pele, pegadas, fios de cabelo e vestígios de sangue, mesmo que a superfície tenha sido lavada ou sanitiza- da para ocultar tais vestígios. Uma outra curiosidade desta época eram as análises balísticas, a ciência forense que estuda armas de fogo, munições e a trajetória dos disparos. Era possível identificar o calibre da arma, qual seu tipo (pistola, revólver, carabi- na, entre outros) e qual a recenticidade do disparo (ou seja, quando a muni- ção foi disparada) sem grandes problemas. Porém, para identificar a trajetória do disparo eram utilizados barbantes direcionados pelo ângulo de entrada do projétil. Essa técnica era eficaz se o disparo tivesse sido executado a partir de uma pequena distância; todavia, se o disparo fosse longo, o pêndulo balístico (curva de trajetória do projétil até atingir o alvo) traria resultados inconclusivos. FORENSE COMPUTACIONAL 20 SER_DIGISEC_FOREC_UNID1.indd 20 29/09/2020 13:14:55 Atualmente existem bancos de dados que contêm informações cadastrais sobre armas de fogo, o uso de metalografia (que visa identificar números de sé- rie raspados em armas de fogo) e o uso de microscópios comparadores de alta resolução que podem identificar de qual arma de fogo determinado disparo foi efetuado pelas marcas (ranhuras únicas de cada arma de fogo produzida) que o cano deixa nos projéteis. Anos 90 - Neste período, a moda eram as câmeras de segurança, que pas- saram a ser um elemento importante na elucidação de autoria de um crime. O grande problema residia no fato de que a tecnologia das câmeras da época era ruim. Ou seja, haviam gravações, porém as imagens tinham uma péssima definição. Uma questão importante é que em determinado momento, as se- guradoras só aceitavam assegurar determinadas propriedades privadas ou residências se estas tivessem pelo menos uma câmera de segurança instalada. Como a tecnologia era cara, consequentemente também era sua manuten- ção; lembrando que além da câmera, era necessário um dispositivo de gravação (um vídeo cassete no caso) e uma mídia (fita VHS) reutilizada com frequência, uma vez que sua capacidade de armazenamento era pequena. A reutilização destas mídias causava a deterioração das imagens a cada regravação. Vale citar que esta época teve um avanço tecnológico considerável, mas não muito aceito, pela margem de erro que propiciava. Estamos falando das análi- ses de DNA, que tiveram sua fase forense iniciada a partir de dois pontos dis- tintos. O primeiro foi a conclusão dos estudos relacionados a regiões variáveis do DNA, que literalmente são capazes de individualizar uma pessoa por essa análise. O segundo ponto foi o desenvolvimento do exame de reação de cadeia de polimerase, que tornou capaz a análise (com alta sensibilidade) de DNA mes- mo a partir de pouco material biológico, como com um bastonete com saliva, por exemplo, retratado na Figura 4. Os primeiros exames aceitos desta categoria foram os exames que determi- navam paternidade, tornando-se uma prática comum aos juízes requisitarem esta ciência. Porém, quando utilizados como evidência, os métodos de coleta e análise disponíveis propiciavam uma margem de erro inaceitável de admissi- bilidade de uma evidência, principalmente pelo fato de as superfícies de coleta serem não estéreis, expostas a luz solar, fungos, bactérias e conterem traços de elementos químicos como solventes. FORENSE COMPUTACIONAL 21 SER_DIGISEC_FOREC_UNID1.indd 21 29/09/2020 13:14:56 Figura 4. Teste de DNA a partir de saliva. Fonte: Adobe Stock. Acesso em: 04/07/2020. Por fim, no small data, a quantidade de dados e fontes digitais disponí- veis para as coletas e análises era muito reduzida. Os computadores pessoais ainda não eram conectados à internet e não havia a facilidade de produção e disseminação de materiais como textos, fotos e vídeos de maneira tão ampla como atualmente. Atualmente - Os avanços tecnológicos propiciaram o desenvolvimento de ferramentas e recursos nas áreas das ciências periciais que são confiáveis com relação aos resultados que apresentam. Assim, as fontes de dados se multiplicaram e as formas de coleta se tornaram mais seguras e amplamente aceitas em cortes ao redor do mundo. Na áreade Computação Forense por exemplo, podemos citar as análises de big data (grandes bases de dados), em que existem ferramentas capazes de processar e analisar quantidades enor- mes de dados gerados e armazenados em diversas fontes de maneira mais simples e padronizada. O big data tornou-se um problema a partir da proliferação da produção de dados e dos diversos espaços de armazenamento disponíveis. Imagine a quantidade de dados que você produz diariamente através do uso de ferra- mentas de mensagens (como o WhatsApp ou Telegram, que possuem a ca- pacidade de envio de arquivos multimídia e mensagens), mídias sociais (com- partilhando fotos, por exemplo), nos dados que você armazena na nuvem (ou cloud) tais como Webmail, Google Drive, YouTube entre outros, seja em seu computador pessoal ou no computador da sua empresa. FORENSE COMPUTACIONAL 22 SER_DIGISEC_FOREC_UNID1.indd 22 29/09/2020 13:14:59 Além da quantidade dos dados, perceba que você utilizou várias plataformas que são distintas, causando uma pulverização dos dados produzidos e espalhados por vários lugares. Isto se dá a nível individual, mas para termos uma ideia clara do tamanho do problema, é necessário multiplicar esse número pelos milhões de usuários destas plataformas. Ou seja, através dos tempos, pilhas e mais pilhas de papel se transformaram em planilhas, bancos de dados, imagens digitais de alta resolução, biometria e outras tantas formas de arquivos de dados que cabem na palma da mão e que, com o ad- vento da internet, atravessam o mundo em questão de segundos. Durante toda a história humana, os métodos científicos buscaram evoluir, na medida do possível, para fazerem frente a uma classe de criminosos que também evoluiu. Por isso, os procedimentos científicos de perícia tiveram que se modernizar. CURIOSIDADE O nascimento do que chamamos de internet ocorreu exatamente às 22h30min. do dia 29 de outubro de 1969, em uma pequena sala na Universidade da Califór- nia (UCLA), em Los Angeles. Foi nesse dia que um grupo de professores, alunos e pesquisadores conseguiu enviar com sucesso uma mensagem entre dois computadores localizados a 600 quilômetros de distância um do outro. Conside- rando sua motivação inicial, que era apenas compartilhar dados entre universi- dades, ela não foi projetada para ser o que é nos dias de hoje. Por esse motivo, ela é considerada por alguns como uma “terra sem lei”, em que criminosos utilizam o anonimato que ela proporciona para cometerem crimes. Embora os meios de se cometer crimes tenham evoluído, o mesmo não vale para os crimes em si. Não existem novos crimes, e sim novas maneiras de se cometer crimes. Por exemplo, se alguém invade um com- putador com o intuito de ler as mensagens em um e-mail pessoal, esse crime seria o equivalente a alguém que abre uma correspondência endereçada a você, ou seja: é um cri- me de invasão de privacidade da mesma maneira. Atualmente, graças à natureza altamente tecnológica da computação forense, o universo dos dispositivos e recursos possíveis de serem investigados se expandiu consideravelmente. Com o uso de suas ferramentas, é possível, por exemplo, efe- tuar perícias em um marca-passos ou em um veículo que possui qualquer tipo de tecnologia embarcada, como uma central multimídia. FORENSE COMPUTACIONAL 23 SER_DIGISEC_FOREC_UNID1.indd 23 29/09/2020 13:14:59 Terminologia da computação forense Por se tratar de uma ciência, a computação forense possui terminologia própria e procedimentos padronizados, desenvolvidos para fortalecer a cul- tura de investigações nos meios digitais. Estes procedimentos visam também a garantia da integridade dos dados a serem analisados. O ponto mais rele- vante desta padronização de procedimentos se deve ao fato de que, nos dias de hoje, fazemos parte de um mundo conectado. Os crimes cibernéticos, e suas características, não são próprios deste ou daquele continente. Pelo contrário, existem relatos de crimes sendo cometi- dos a milhares de quilômetros de distância de seus alvos. Com a padroniza- ção de procedimentos, é possível que a polícia de um determinado país pos- sa efetuar uma investigação e seus resultados possam ser aceitos e utilizados por cortes judiciais ao redor do mundo. Graças à conectividade disponível atualmente, não é incomum que agências federais e empresas privadas de outros países compartilhem informações e realizem investigações corren- tes ao redor do mundo. EXEMPLIFICANDO Vamos utilizar, como exemplo, a investigação interna de uma multina- cional. A matriz desta multinacional na Alemanha requisita que a fi lial na Inglaterra efetue a coleta de dados do equipamento computacional de um colaborador naquela localidade. Se a coleta for feita seguindo os padrões e metodologias corretamente, as evidências coletadas poderão ser apre- sentadas pela matriz, em seu país de origem, não importando que o cola- borador esteja em outra localidade. Terminologia O que se busca com essa padronização é a mitigação dos riscos e o estabele- cimento das melhores práticas na execução de investigações conduzidas por pro- fi ssionais de computação forense ao redor do mundo. Para que uma norma seja validada, primeiro é necessário que ela seja verifi cada e certifi cada por um órgão de renome e aceitação na comunidade científi ca. No Brasil, quanto à aderência e à vali- dação destas regras, Velho , em sua obra Tratado de computação forense, afi rma que: FORENSE COMPUTACIONAL 24 SER_DIGISEC_FOREC_UNID1.indd 24 29/09/2020 13:14:59 No nível nacional, as normas são editadas e emitidas pelo or- ganismo nacional de normalização, que deve ter legitimidade para editar e publicar normas, e ainda, reconhecimento e con- senso das instituições e da comunidade científica. No Brasil, podemos citar a Associação Brasileira de Normas Técnicas (ABNT), que foi responsável pela tradução da norma ISO/IEC 27037/2012 (2012, p. 8). A norma ISO/IEC 27037/2012, após tradução e revisão pela Associação Brasileira de Normas Técnicas (ABNT), recebeu o nome de NBR ISSO/IEC 27037:2013. Essa regra contempla os direcionamentos para identificar, cole- tar e preservar evidências nos meios digitais. Assim, é necessário conhecer os termos utilizados na computação forense para descrever os diferentes tipos de análise, mídia e procedimentos. A análise forense é realizada em qualquer tipo de dispositivo computacio- nal ou tecnológico, visando à obtenção de evidências que possam comprovar autoria e materialidade e estabelecer a dinâmica dos acontecimentos que ge- raram a investigação. De todos os procedimentos que envolvem a Computação Forense, as análises são as que dispendem mais tempo em sua execução. A condução de uma análise vai depender do tipo de caso e o que se procu- ra. Existem casos fáceis, como um acesso indevido, por exemplo, em que um simples log de sistema pode comprovar que o acesso indevido realmente se concretizou. Porém, existem casos complexos, que envolvem diversas varian- tes e que podem perdurar por meses. Uma boa tática para garantir a acuraci- dade das análises é a de manter sempre o foco no caso e delimitar o escopo de artefatos a serem analisados, com base no que se procura. Vale lembrar que um hard disk possui milhões de arquivos; logo, se todos forem analisados, o dispêndio de tempo será enorme. A análise live (também conhecida como análise viva, a quente ou on-line) é realizada diretamente no dispositivo que contém os dados, que deve estar ligado, com os aplicativos (muitas vezes os alvos das investigações) e o sistema operacional em funcionamento. Ela é utilizada quando se faz necessária a aná- lise e a aquisição de dispositivos com dados em tempo real de execução, como um lançamento indevido em um sistema web based ou um acesso a sites de teor pornográfico ou de pedofilia, por exemplo. FORENSE COMPUTACIONAL 25 SER_DIGISEC_FOREC_UNID1.indd 25 29/09/2020 13:14:59 Em geral, a análiselive é feita de maneira emergencial, sendo o aplicativo Problem Steps Recorder, ou PSR (Figura 5), utilizado com frequência. Este é dis- ponível de fábrica no sistema operacional Windows e não possui necessidade de instalação ou acesso por outra mídia removível. Este aplicativo registra to- das as interações do usuário com o computador, servindo como um guia de passos executados pelo especialista na busca e coleta da evidência, registran- do cada clique executado. Figura 5. Exemplo de tela do PSR – o gravador de passos. O PSR (Problem Steps Recorder) é um programa desenvolvido originalmente para auxiliar o usuário a enviar um determinado erro ao responsável técnico por solucioná-lo. Em suma, com o PSR é possível gravar todas as interações do usuário com o ambiente e com isso, quando o erro aparece, o responsável técnico poderá efetuar uma análise do uso do equipamento para poder resolvê-lo. Para acessar o PSR, o usuário deve clicar no box “Digite aqui para pes- quisar” na barra do Windows e digitar “PSR”. Quando o ícone do programa aparecer, deve-se clicar nele para abrir o programa. Após abrir o programa, é só clicar em iniciar gravação e interagir com o ambiente normalmente. Vale lembrar que o PSR não é uma ferramenta de monitoramento, ou seja, ele tem um limite de gravação que é relativa- mente curto. FORENSE COMPUTACIONAL 26 SER_DIGISEC_FOREC_UNID1.indd 26 29/09/2020 13:15:01 Esse tipo de análise raramente é utilizada pois expõe a evidência, aumen- tando os riscos de modificação e contaminação da cena do crime como um todo. Todavia, é a mais indicada quando o local a ser investigado tem natureza volátil, como arquivos alocados em memória RAM, por exemplo. Em contra- partida à tal volatilidade, e para garantir a integridade de toda a interação do especialista com o dispositivo, deve-se documentar todos os procedimentos realizados, desde o início. A análise dead (também conhecida como análise post mortem, morta, a frio, off-line ou com o elemento alvo desligado) é o tipo mais comum. É sempre rea- lizada com o dispositivo que contém os dados desligados. Os riscos de modifi- cação e contaminação da cena do crime são menores, pois, com o dispositivo desligado, a coleta dos dados pode ser efetuada sem riscos de contaminação para posteriormente ser levada para um laboratório e analisada. É a análise mais recomendada para quando não há necessidade de aquisição de dados de natureza volátil. Dentre os tipos de mídia, a mídia não volátil refere-se a qualquer tipo de mídia que tenha a capacidade de armazenar e manter dados, mesmo não pos- suindo uma fonte de energia. Em geral, são dispositivos que possuem cabeças de gravação e leitura ou memórias SSD (Solid State Drive ou disco de estado sólido). As memórias SSD são encontradas em pen drives e, atualmente, em cartões de memória interna de grande capacidade. Os SSD são reconhecidamente mais rápidos que os HD (ou hard disks), que possuem cabeças de gravação e leitura que utilizam meios magnéticos para armazenar e ler os dados contidos em seus discos, pois o acesso aos dados é feito diretamente na memória, enquanto os HD dependem da velocidade das rotações do disco. A mídia volátil refere-se a qualquer tipo de mídia que, para manter seus dados, necessite de uma fonte de energia. Ou seja, após um corte de energia abrupto, ela não consegue manter as informações que armazenou. Um bom exemplo disso são as memórias RAM (Random Access Memory ou memória de acesso randômico), gerenciadas e utilizadas pelo sistema operacional para re- ceber dados transitórios, oriundos das funções do processador. A mídia removível compreende mídias e repositórios de dados cujo acesso é feito via USB ou cabo. Sua natureza permite que este tipo de mídia seja re- FORENSE COMPUTACIONAL 27 SER_DIGISEC_FOREC_UNID1.indd 27 29/09/2020 13:15:01 conhecido por vários tipos de sistemas operacionais e, na maioria das vezes, é utilizada para transportar dados. Pen drives, CDs, DVDs e hard disks externos são exemplos de mídias removíveis. A mídia alvo (também conhecida como mídia original ou dispositivo alvo das investigações) é a cena do crime. Basicamente, é o elemento ou a fonte de informações que contém os dados a serem coletados e analisados. Por outro lado, a mídia de destino (também conhecida como cópia ou dispositivo que re- ceberá os dados da mídia alvo) é a mídia ou o dispositivo que armazena a coleta dos dados (Figura 6). É nessa mídia que os trabalhos de análise são executados para preservar a integridade dos dados da mídia alvo, podendo ser um hard disk, um pen drive, um DVD ou qualquer outro tipo de mídia removível. Figura 6. Mídia e copiável. Fonte: Adobe Stock. Acesso em: 30/06/2020. Quanto aos procedimentos, na duplicação pericial (ou cópia, espelha- mento, aquisição ou duplicação forense), é realizada a cópia de um disposi- tivo ou de determinada fonte de informações. A duplicação pericial propicia uma cópia idêntica da mídia alvo. Existem vários softwares e hardwares dis- poníveis para este fim. O resultado (gerado pela cópia) pode ser feito de duas maneiras dependendo da praticidade no momento da coleta, sendo eles a mídia aberta e a imagem. FORENSE COMPUTACIONAL 28 SER_DIGISEC_FOREC_UNID1.indd 28 29/09/2020 13:15:05 Na mídia aberta é feito um espelhamento da mídia alvo, de maneira que todos seus dados constantes possam ser vi- sualizados sem qualquer tipo de software específico para este fim. Ou seja, quando a cópia é acessada por uma estação de trabalho, os dados são mostrados da mes- ma maneira que o usuário regular os vê na mídia alvo. Neste tipo de cópia, não é possível comprimir os dados. Na imagem, os dados constantes na mídia alvo são encapsulados em um arquivo de contêiner, como um arquivo zipado, por exemplo. Neste tipo de cópia, é possível a compressão de dados, ou seja, pode-se ge- rar uma imagem de uma mídia alvo de 500 gigabytes que, comprimida, terá 200 gigabytes. Para o acesso aos dados constantes nesse arquivo, é necessária a utilização de softwares específicos. Podem ser adquiridos dados de praticamente qualquer tipo de mídia de computador, incluindo discos rígidos, fitas de backup, CD-ROM e disquetes. O correto é que duas cópias da mídia alvo sejam efetuadas, lacradas e salvaguardadas por questões de hash e preservação dos dados. Por outro lado, no mundo corporativo, é comum que apenas uma cópia seja efetuada (que servirá para as análises), e a mídia alvo é devolvida para o computador do usuário investigado, invalidando o hash da cópia. A ques- tão é entender e prever os desdobramentos do caso, para saber qual a melhor maneira de efetuar a duplicação dos dados a serem analisados. Na função de hash criptográfico (ou hash number), o ambiente deste tipo de ciência forense é extremamente volátil e suscetível a modificações que podem alterar o resultado de uma análise. Uma função de hash criptográfico (Figura 7) é unidirecional, aplicada sobre um determinado arquivo ou elemento um algorit- mo criptográfico, obtendo como retorno um valor de tamanho fixo, chamado de valor de hash. Por exemplo, quando essa fun- ção é aplicada em um arquivo de imagem (de extensão .jpg), o valor de hash resul- tante seria efetivamente uma impressão di- gital desse arquivo. FORENSE COMPUTACIONAL 29 SER_DIGISEC_FOREC_UNID1.indd 29 29/09/2020 13:15:05 Mídia alvo Função hash Retorno: 8840e1a5065410deb546e5619c81896d Retorno: 8840e1a5065410deb546e5619c81896d Cópia bit a bit Mídia destino Figura 7. Função de hash criptográfi co. As funções hash são de suma importância no campo da computação forense. Um valor de hash é utilizado para garantir que a integridade de um elemento ou arquivo está mantida e sem qualquer adulteração. Se aplicarmos o algoritmo da função de hash em uma mídia de destino resultante de uma duplicação pericial, por exemplo, teremos como retorno ovalor “8840e1a5065410deb546e5619c81896d” e, se aplicarmos a mes- ma função na mídia alvo, o retorno deverá ter o mesmo valor. Isso permite que um especialista demonstre que a evidência original não foi adulterada. Por fi m, a cadeia de custódia (Figura 8) é um documento a ser confeccionado pelo especialista para documentar detalhadamente todos os passos, pessoas, ambientes, mídias e informações, direta ou indiretamente relacionadas à perícia. Nela, constam in- formações sobre data e hora do início e fi m da duplicação forense, o responsável pela cópia, quais os modelos e números de série da mídia alvo e da mídia de destino, qual ferramenta utilizada para a cópia e um histórico de quem manuseou a cópia e o motivo. Figura 8. Cadeia de custódia. FORENSE COMPUTACIONAL 30 SER_DIGISEC_FOREC_UNID1.indd 30 29/09/2020 13:15:07 Técnicas de eliminação de evidências As investigações forenses são sempre reativas, não existindo investiga- ção proativa, a menos que haja algum motivo para estabelecer estes fatos em primeiro lugar. Mas, nesse momento, o crime já aconteceu e o que resta é encontrar indícios dos fatos ocorridos para conseguir comprovar autoria, modus operandi, entre outros. Com os avanços da computação forense, os criminosos passaram a ter uma preocupação extra: a de ocultar seus dados ou apagar suas pegadas digitais para encobrir suas ações. ASSISTA O documentário Deep Web, de 2015, dirigido por Alex Winter, conta a história de William Ross Ulbricht, empresá- rio que fomentou o mercado negro virtual de drogas, sob o pseudônimo “Dread Pirate Roberts”. Assim, o termo antiforense foi criado e refere-se, essencialmente, a qual- quer técnica, dispositivo ou software projetado para difi cultar uma investiga- ção efetuada nos meios e mídias digitais. Existem dezenas de maneiras pelas quais os usuários podem ocultar informações. Alguns programas podem enga- nar os computadores, alterando os cabeçalhos dos arquivos, tal como data de criação e acesso, por exemplo. Normalmente, um cabeçalho de arquivo (ou atributos de arquivos) não é visível para os usuários regulares embora seja extremamente importante, pois informa ao computador qual é o tipo de arquivo, quem é o autor e quando ele foi criado, modifi cado, salvo, entre outros. Se um arquivo .mp3 for renomeado para ter uma extensão .gif, por exemplo, o computador ainda saberá que o arquivo é realmente um .mp3 devido às informações no cabeçalho. Por isso, alguns programas permitem alterar as informações no cabeçalho, para que o computador pense que é um tipo diferente de arquivo. Uma outra maneira de difi cultar o acesso às informações é pelo uso de se- nhas de acesso e pela encriptação de arquivos. Com relação às senhas, é relati- vamente fácil para um especialista descobrí-las, pois vários softwares forenses possuem módulos para esse fi m, entre suas funcionalidades. Além disso, há FORENSE COMPUTACIONAL 31 SER_DIGISEC_FOREC_UNID1.indd 31 29/09/2020 13:15:07 várias outras ferramentas específi cas, disponíveis no mercado, com a única funcionalidade de quebrar senhas. Porém, quando lidamos com dados cripto- grafados, a difi culdade aumenta consideravelmente. As ferramentas de criptografi a de dados criam um espaço (volume) crip- tografado no hard disk do usuário, que pode utilizá-lo para salvar o que desejar. Tudo o que for salvo dentro desta bolha será criptografado. Ou seja, o usuário consegue esconder arquivos e conta com a proteção de uma criptografi a forte para isso. Com base nisso, um usuário que detenha um pouco mais de co- nhecimento pode tomar várias medidas (ou contrame- didas) para limpar seus rastros, esconder provas e dele- tar acessos à internet. Evidências digitais Em computação forense, as evidências são um conjunto de dados, ar- quivos, informações e documentos utilizados para corroborar ou refutar determinada tese ou teoria. Uma evidência, para que seja considerada como tal, deve possuir 100% de clareza em seu conteúdo e ser irrefutável em relação ao que deve ser provado. É muito comum que se confunda evidência com indício. Assim: • Uma evidência deve ser inequívoca em relação a determinado ponto a ser exposto; • Um indício é uma pequena parcela de um fato, que pode ser consi- derado em júri por meio de indução (ou presunção) de que determinado fato ocorreu. Um hard disk, graças ao seu sistema de dados, é um ce- mitério de arquivos de infinitos tipos. As evi- dências são pinceladas entre milhões de ar- quivos, constantes em uma fonte de dados analisados. Enquanto um determinado arquivo não é classificado como evidên- cia neste amontoado de dados, ele recebe o nome de artefato. FORENSE COMPUTACIONAL 32 SER_DIGISEC_FOREC_UNID1.indd 32 29/09/2020 13:15:07 Artefatos Artefatos são arquivos que contêm informações com alto potencial de se transformarem em evidências. Em geral, são logs, arquivos sistêmicos e em formatos conhecidos, tais como os oriundos do pacote Offi ce, arquivos de caixas de e-mail eletrônico, histórico de internet e registros de acesso USB, para citar alguns. Os artefatos são separados por tipo, de acordo com a sua origem, sendo eles: • Artefatos criados pelo usuário; • Artefatos sistêmicos; • Artefatos oriundos de outras áreas de dados. Os arquivos criados pelo usuário são gerados mediante uma ação di- reta do usuário com o sistema operacional e seus aplicativos. Diariamente, são criadas planilhas, documentos de textos, apresentações, e-mails, fotos, fi lmes, arquivos de áudio e outros tipos de arquivos que são conhecidos e relativamente fáceis de serem identifi cados e localizados. Existem também outros tipos de arquivos nesta categoria, menos óbvios do que os demais, porém mais importantes. Eles são chamados de arquivos de registros e logs de interação. Estes arquivos são registros gerados a par- tir das ações do usuário em suas interações com os aplicativos e sistemas. Dentre esses tipos de arquivos, podemos citar o histórico de navegação de internet, mas existem muitos outros. Se o usuário pluga um pen drive e transfere arquivos para ele, o sistema operacional criará um log dessa ação. Estes arquivos, especifi camente, são identifi cados por sua extensão (.LNK) e podem ser encontrados em abun- dância em uma duplicação pericial. Da mesma forma, quando um usuário acessa um site, de qualquer conteúdo, as páginas em uma versão menos gráfi ca (sem os elementos móveis, tais como banners de propaganda) e o histórico de acessos também podem ser encontrados em arquivos, pela sua extensão (.HTM ou .HTML). Os arquivos sistêmicos são arquivos criados pelo sistema operacional ou qualquer outro aplicativo que interaja com este meio. Eles são a fonte prin- cipal de informação em caso de tentativas de invasões, acessos indevidos e aplicações maliciosas. Estes arquivos recebem o nome de logs e podem ser: FORENSE COMPUTACIONAL 33 SER_DIGISEC_FOREC_UNID1.indd 33 29/09/2020 13:15:07 DICA O sistema operacional Windows gerencia e fornece uma avaliação dos arquivos de log com a ajuda do event viewer, que armazena logs sobre aplicativos e mensagens do sistema, erros, mensagens informativas e avisos. Para executar o visualizador de eventos do Windows, digite eventvwr.msc na caixa Executar. • Logs de interação, que são uma fonte importante de evidências, geralmente conectando eventos a pontos no tempo e, partindo da pre- missa de que um usuário efetuou determinada ação, tornando possível identificar seu autor. Os dados do arquivo de log podem também ser usados para investigar anomalias de rede devido a ameaças internas, vazamentos de dados e uso indevido de ativos de TI; • Logs de acesso, que são uma boa fonte de evidência em casos de vazamentos de informação. Muitas vezes, esse tipo de ilícito é executa- do pelo simples mapeamento do hard disk do usuário (que pode ser até um funcionário de alto escalão), que detém informações confidenciais.Quando um usuário obtém acesso a uma determinada fonte de dados, o sistema operacional cria um registro deste acesso; • Logs de eventos, que servem como uma ótima fonte de evidência, pois contêm todos os registros das atividades do sistema operacional. Por fim, temos os arquivos oriundos de outras fontes de dados. O acesso a este tipo de arquivo é feito apenas por meio de ferramentas específicas de computação forense, uma vez que este tipo de ferramenta dá acesso a áreas de dados protegidos pelo sistema operacional. Basica- mente, o próprio sistema operacional cria e administra áreas às quais o usuário não tem acesso para serem utilizadas em diversas funções. Quando um usuário envia um arquivo para a lixeira do sis- tema operacional Windows, por exemplo, o mapa do sistema de arquivos não o exclui como faria com um arquivo apaga- do. Em vez disso, ele envia este arquivo para uma área administrada pelo sistema operacional chamada bin. Este arquivo fica dentro desta área, à disposição do usuário, que pode recuperá-lo ou excluí-lo de vez, quando esvazia a lixeira. FORENSE COMPUTACIONAL 34 SER_DIGISEC_FOREC_UNID1.indd 34 29/09/2020 13:15:07 Arquivos apagados diretamente pelo usuário (sem pas- sar pela lixeira) também fazem parte desta categoria. Para a recuperação deste tipo de arquivo, é necessária a utili- zação de um software específico, que faz varreduras em espaços não alocados (identificados com status livre pelo mapa do sistema de dados) para recuperá-los. FORENSE COMPUTACIONAL 35 SER_DIGISEC_FOREC_UNID1.indd 35 29/09/2020 13:15:07 Sintetizando Nesta unidade, conhecemos as características de uma das muitas especiali- dades de perícia científica existentes, a computação forense. Entendemos que, assim como todas as modalidades de perícia científica, a computação forense possui suas regras e procedimentos, que, com o advento da internet e toda a conectividade que ela propicia, tiveram que se adaptar ao mundo globalizado. A internet, aliada a outros avanços tecnológicos, trouxe a reboque alguns problemas: as novas maneiras de se cometer crimes. Com o mundo atual pas- sando por uma virtualização de tarefas, documentos e funções, alguns dos cri- mes que eram praticados nos ambientes físicos (roubos, desvios, vazamentos de informações etc.) migraram para os ambientes virtuais. Consequentemen- te, uma nova safra de especialistas em investigações surgiu para acompanhar essa tendência. Como as cenas do crime agora podem ser um dispositivo celular que você carrega em seu bolso, se fez necessária a criação de métodos, procedimentos e terminologias próprias para essas esferas. Conhecemos os termos mais utili- zados nesta categoria de ciência pericial com destaque para os tipos de análise, tipos de mídias, validadores (função de hash criptográfico) e formas de coleta. Por fim, conhecemos as evidências e os artefatos coletados em dispositivos tecnológicos, e obtivemos algumas dicas sobre como localizar artefatos que geralmente não são visíveis aos olhos dos usuários regulares. FORENSE COMPUTACIONAL 36 SER_DIGISEC_FOREC_UNID1.indd 36 29/09/2020 13:15:07 Referências bibliográficas DOCUMENTÁRIO DEEP Web legendado. Postado por Terminal Hacker. (1h. 26 min. 22s.) cor. leg. son. Disponível em: . Acesso em: 02 jul. 2020. FREITAS, A. R. Perícia Forense aplicada a informática - Ambiente Microsoft. Rio de Janeiro: Brasport, 2006. LAMBOY, C. K. (Org.) Manual de compliance. São Paulo: Via Ética, 2018. VELHO, J. A. (Org.) Tratado de computação forense. São Paulo: Millenium, 2012. FORENSE COMPUTACIONAL 37 SER_DIGISEC_FOREC_UNID1.indd 37 29/09/2020 13:15:07 PADRÕES DE EXAME EM COMPUTAÇÃO FORENSE 2 UNIDADE SER_DIGISEC_FOREC_UNID2.indd 38 29/09/2020 13:48:15 Objetivos da unidade Tópicos de estudo Compreender os padrões científicos para exames em Computação Forense; Entender a metodologia de planejamento de uma investigação; Conhecer os princípios de algoritmos criptográficos e sua utilização; Identificar quais são os tipos de objetos de exame em Computação Forense. Padrões de exame em Compu- tação Forense Fases dos exames em Compu- tação Forense Planejamento da investigação A preservação de evidências Breve história da criptografia Tipos de hash Objetos e tipos de exame Mídias de prova e de destino Tipos de exame FORENSE COMPUTACIONAL 39 VIDEOAULA Clique aqui SER_DIGISEC_FOREC_UNID2.indd 39 29/09/2020 13:48:15 Padrões de exame em Computação Forense A ciência da Computação Forense é considerada a disciplina mais recente na área das Ciências Forenses. Assim como outras disciplinas, a Computação Forense passou por várias mudanças atreladas aos aspectos dos avanços tec- nológicos que acontecem em uma velocidade impressionante. Por esse moti- vo, essa transição de metodologias e procedimentos busca atualizar sua base, criando um conjunto padronizado de técnicas e melhores práticas que podem ser defi nidas, também, como padrões. Devido à complexidade tecnológica existente nos alvos dos exames, essa porção de tarefas é a que mais recebe parte das atualizações procedimentais. Essas atualizações, que recebem o nome de padrões de exame em Com- putação Forense, são um conjunto de procedimentos para investigações nos meios digitais; seu maior propósito é a garantia da integridade e da qualidade dos passos a serem seguidos, desde a coleta dos dados até a sua salvaguarda e posterior apresentação de resultados. Esses padrões são mais do que simples- mente uma bússola a ser seguida pelos profi ssionais da área: eles signifi cam, acima de tudo, que as evidências resultantes dos exames serão amplamente aceitas, comprovando materialidade, sem deixar dúvidas relativas à autoria de um crime. Fases dos exames em Computação Forense Um exame de computação forense deve priorizar pela qualidade da in- vestigação, que é equivalente à aderência e à atenção do especialista ao se- guir os procedimentos, metodologias, técnicas e as leis defi nidas. O controle de qualidade, nesse sentido, deve ser efi caz e seguir desde a apreensão até a apresentação dos resul- tados. Quando todos os procedimentos são seguidos à risca, a garantia que o resultado do trabalho será admitido em corte é certo. Assim, deve-se seguir as fases de: apreensão, coleta, análise e apre- sentação (SWGDE, 2012). FORENSE COMPUTACIONAL 40 VIDEOAULA Clique aqui SER_DIGISEC_FOREC_UNID2.indd 40 29/09/2020 13:48:15 Seguindo a compreensão de que a Computação Forense é uma vertente de outras práticas periciais científicas, os especialistas da área devem se- guir os mesmos padrões de áreas correlatas. Assim, a etapa de apreensão, também conhecida como inspeção visual, trata da identificação dos dispo- sitivos que serão investigados, ou seja, a identificação das fontes de dados a serem analisadas, como nos exemplos da Figura 1. Figura 1. Exemplos de registro. Existe uma infinidade de fontes de dados possíveis, entretanto, indepen- dentemente de quais sejam, todas devem seguir o mesmo procedimento, contemplando o registro do ambiente, como fotografias do dispositivo e anotações de identificações (número de série do dispositivo, modelo, marca, capacidade, entre outras). Um bom exemplo dessa fase é a chegada de um perito em uma cena de crime, uma vez que, antes de qualquer interação, ele identificará todos os elementos do ambiente. A fase seguinte, também conhecida como duplicação forense, trata da coleta dos dados a serem analisados. Essa etapa deve ocorrer sem que qual- quer tipo de alteração ou dano seja causado à fonte dos dados. Para que isso seja possível, existem ferramentas chamadas bloqueadores de escrita, que impedem que qualquer dado seja gravado na mídia-alvo durante as coletas. Vale lembrar que uma coleta efetuada de maneira incorreta invalidará as evidências, impossibilitando sua admissibilidadeem julgamento. FORENSE COMPUTACIONAL 41 SER_DIGISEC_FOREC_UNID2.indd 41 29/09/2020 13:48:16 Os métodos de coleta devem seguir os padrões forenses, ou seja, devem ser efetuados com o uso de ferramentas consagradas. Não é uma prática admitida, por exemplo, o “recorte e cole”, porque essa ação não garante, por si só, a integridade e a origem dos dados em uma evidência. Os softwares e hardwares disponíveis para esse fim garantem que toda a coleta seja verifi- cável e, acima de tudo, adquirida de maneira a garantir sua fonte. Uma coleta, também chamada de clone forense, é uma cópia exata da mídia-alvo, que visa a obtenção de todos os dados, copiando de uma manei- ra conhecida como cópia bit por bit. O procedimento consiste na duplicação da mídia-alvo em uma mídia separada; no entanto, por que a coleta deve ser feita dessa maneira? Copiar e colar os arquivos não é a mesma coisa? Não: em primeiro lugar, copiar e colar arquivos disponibilizará apenas os dados que estão ativos, ou seja, os dados que existem e que estão acessíveis ao usuário. Nesse universo, esse tipo de cópia (recortar e colar) apenas coleta dados de pastas e arquivos. A coleta forense, por outro lado, adquire os da- dos de espaços não alocados, o que inclui os arquivos excluídos, sobrescritos e parcialmente substituídos, além de capturar dados do sistema de arquivos – o que não é possível com a cópia normal. O processo de clonagem de um disco rígido é, em teoria, um processo di- reto, ou seja, os dados de uma fonte são clonados para uma mídia de destino que receberá essas informações. A mídia de destino deverá ter pelo menos o mesmo tamanho (ou maior) que a mídia-alvo. Apesar de não ser sempre possível, uma vantagem é obter informações com antecedência sobre o ta- manho da fonte de dados a ser coletada. Nesse sentido, a fonte de dados que será clonada pode ser removida do computador ou não, e essa ação dependerá de como a coleta será feita. Se essa for a maneira escolhida, após a retirada do disco rígido, ele será co- nectado via cabo a um dispositivo específico de clonagem ou a um outro computador que possua softwares de clonagem. É importante ter algum tipo de bloqueador de escrita antes de conectar o disco rígido ao computador do especialista em computação forense: o bloqueador de escrita é colocado entre o dispositivo de clonagem (PC, laptop ou hardware autônomo) e a fonte de dados (no caso de um hardware) ou em um módulo adicional constante dos softwares de clonagem. FORENSE COMPUTACIONAL 42 SER_DIGISEC_FOREC_UNID2.indd 42 29/09/2020 13:48:16 Ademais, a unidade de destino deverá ser limpa via wipe disk antes da coleta dos dados; isso é necessário porque a maioria das ferramentas de exames forenses utilizadas em análises recupera arquivos. Para que arqui- vos de outras coletas anteriores não se misturem aos da coleta atual, a mídia de destino deve ser sanitizada antes. Quando a clonagem é concluída, um arquivo com informações sobre a coleta é gerado (Figura 2). Esse arquivo contém informações que indicam se a clonagem foi ou não bem-sucedida, qual foi o tempo gasto para executá-la, os horários de início e fim da coleta, qual a marca, modelo e capacidade das mídias-alvo e destino e os valores de hash. Figura 2. Exemplo de arquivo de log de clonagem. Desse modo, existem dois métodos possíveis para efetuar uma coleta, sendo ambas as situações dependentes de bloqueadores de escrita e fer- ramentas específicas que criarão logs de interação do especialista com a fonte de dados. Esses métodos são: • A coleta física, em que uma imagem completa (ou espelhada) da fonte de dados é gerada. É o método mais apropriado para análises off-line; • A coleta lógica, em que uma coleção de artefatos esparsos é adquirida. É o método mais apropriado para análises on-line. FORENSE COMPUTACIONAL 43 SER_DIGISEC_FOREC_UNID2.indd 43 29/09/2020 13:48:17 O maior risco durante o processo de coleta é o de registrar ou escrever da- dos na mídia-alvo; qualquer gravação na fonte de dados poderá comprometer a sua integridade e a sua admissibilidade. A coleta adequada é um processo que, se levarmos em consideração a tecnologia envolvida, é demorado. São muitos os possíveis problemas: setores defeituosos e unidades danificadas ou com mau fun- cionamento e setores de inicialização corrompidos são apenas alguns exemplos de complicações. A ata notarial (Figura 3) é um documento redigido em cartório que formalizará determinada ação de maneira fiel (com fé pública). Na computação forense, esse documento é redigido na hora da coleta, que é acompanhada por um cartorário (ou tabelião). Um registro de todas as ações do especialista com a mídia de prova é criado, incluindo informações pertinentes aos dispositivos a serem coletados, ao software ou hardware utilizado e à mídia destino. Esse documento também é muito utilizado para crimes de internet (ofensas, ameaças, divulgações indevidas, entre outros). Nesses casos, o cartorário entra no site em que o suposto crime foi cometido e efetua capturas de tela. Com isso, mes- mo que o criminoso tente apagar o que fez, a ata notarial servirá como evidência. Figura 3. Exemplo de ata notarial. FORENSE COMPUTACIONAL 44 SER_DIGISEC_FOREC_UNID2.indd 44 29/09/2020 13:48:18 Para que um bom trabalho seja feito, é necessário utilizar boas ferramen- tas. Um especialista em Computação Forense não pode ser pego de surpresa e deve sempre estar preparado para atender um chamado de coleta, ofe- recendo a primeira resposta a uma ocorrência de crime. Por esse motivo, ele conta com uma coleção de ferramentas, comumente chamada de kit de ferramentas de campo. Assim, o especialista precisa dominar todas as suas funções e operações. Em linhas gerais, esse kit deve “cobrir todas as bases” e garantir ao espe- cialista que seu trabalho seguirá os padrões necessários para tarefa. Ele é composto por softwares e hardwares de coleta, softwares de coleta e aná- lise on-line, dispositivos removíveis de armazenamento, invólucros para transporte seguro e, por último, mas não menos importante, uma pulseira antiestática, que impedirá que o dispositivo sofra danos pela descarga de eletricidade estática. Existem plataformas, desenvolvidas em sistema operacional Linux, que possuem várias soluções agregadas de coleta e análise. Esse tipo de solu- ção, desenvolvida em código aberto, recebe o nome de kit ou suite e pode ser baixado diretamente no site dos desenvolvedores, gratuitamente. Outra característica importante dessas soluções é que todas possuem um sistema operacional próprio, o que permite utilizá-las por meio de um pendrive, que carrega o sistema operacional e todas as ferramentas disponíveis. Para criar uma mídia com essas soluções, basta baixar a plataforma (ima- gem ISO) e, com o auxílio de uma ferramenta de criação de boot (inicializa- ção), expandir essa imagem para a mídia desejada. Como exemplos de plata- formas, elencamos: • O Helix é uma plataforma desenvolvida de maneira personalizada pelo sistema operacional de código aberto Ubuntu e conta com uma excelente co- leção de aplicativos focados na resposta aos incidentes forenses. Apesar de possuir boas ferramentas, sua versão gratuita, embora ainda disponível, foi descontinuada, isto é, não possui atualizações recentes; • O CAINE (Computer Aided Investigative Environment) é uma plataforma desenvolvida pelo sistema operacional de código aberto GNU/Linux e faz parte do kit de ferramentas de campo de várias agências ao redor do mundo (como a Polícia Federal Brasileira); FORENSE COMPUTACIONAL 45 SER_DIGISEC_FOREC_UNID2.indd 45 29/09/2020 13:48:18 A etapa de análise, ou exame de mídia, é a fase em que as evidências são obtidas e extraídas. Essa fase tem como base principal a interpretação de in- formações relativas ao caso, recebidas do solicitante e capazes de evidenciar se um crime ocorreu ou não,
Mais conteúdos dessa disciplina
Segurança e Desafios no E-Business- Mapa Mental - Medidas e Avaliações
- TIPOS DE PLANO em emergência Agropecuárias
- Mapa Mental - Segurança da Informação
- exe 1
- Palo Alto Networks Cloud Security Professional (CloudSec-Pro) PDF Dumps
- CheckPoint CCSA R82 156-215 82 PDF Dumps
- Uma das classificações dos impactos ambientais os define como permanentes e temporários. Entre as alternativas, marque aquela que apresenta um impacto
- Em que tipo de criptografia é utilizada a mesma senha para encriptar e para desencriptar? Pergunta 13Selecione uma opção: a. Criptografia de senha pri
- o que causa estouro de buffer?
- A LGPD apresenta uma definição clara e específica de transferência internacional de dados pessoais, enquanto o GDPR não distingue entre transferênc...
- A regulação sobre transferências internacionais de dados é desnecessária, pois as legislações nacionais são suficientes para proteger os dados pess...
- Segundo a LGPD, a transferência internacional de dados pode ser realizada mesmo sem garantias adequadas de proteção se houver consentimento explíci...
- Normas de segurança eletronica não são necessarias para apdronizar praticas na proteção de pessoas e propriedades
- A educação digital não se limita ao uso de tecnologias para transmitir conhecimento; ela implica uma mudança de paradigma onde o estudante ocupa um...
- O acesso a cursos online de instituições renomadas e o uso de AVAs (Ambientes Virtuais de Aprendizagem) representam uma revolução no modo como o co...
- O pne é publicado em 2001 é um documento que traça metas e objetivos para a educação brasileira se quiser fazer uma pesquisa em educação sobre a hi...
- A tecnologia blockchain desempenha um papel fundamental na criação e no funcionamento dos NFTs (Tokens Não Fungíveis). Sobre esses conceitos, anali...
- L’etica dei dati comprende: Domanda 13Risposta a. le regole per la raccolta e classificazione dei dati personali degli utenti b. gli obblighi morali r
- 111. O failover é um processo manual onde o administrador do sistema precisa identificar a falha de um servidor primário e manualmente ativar o servid
- Ameaças e vulnerabilidades à segurança da informação
- Solução Estruturada de Problemas
