Forense Digital - Computação Forense
Resumo: Devido ao grande avanço tecnológico e a dependência de empresas e pessoas quanto aos equipamentos e sistemas informatizados, os crimes também evoluíram e tomaram esses equipamentos como ferramenta. Deste modo, o levantamento e análise de evidências digitais tanto para fins jurídicos ou comercias, requer um profissional capacitado para tal trabalho, sendo esse o Analista Forense, ou Perito Forense. O estudo a seguir demonstra alguns procedimentos presentes no ciclo da Perícia Forense Computacional, as práticas de preservação, coleta, análise e finalização são elucidadas ao longo do texto. Esclarecimentos acerca das responsabilidades do perito, bem como algumas dicas de investigação também são abordadas, assim como ferramentas gratuitas e alguns aspectos legais gerais que envolvem o assunto.
Palavras-chave: Forense. Análise. Evidência. Crimes. Digital.
1 INTRODUÇÃO
Devido ao grande avanço tecnológico e a dependência de empresas e pessoas quanto aos equipamentos e sistemas informatizados, sejam eles computadores, celulares, GPSs e afins, os crimes também evoluíram e tomaram esses equipamentos como ferramenta.
Deste modo, o levantamento e análise de evidências digitais tanto para fins jurídicos ou comercias, requer um profissional capacitado para tal trabalho, sendo esse o Analista Forense, ou Perito Forense.
A computação forense ainda é um ramo pouco explorado, por consequência existem poucos profissionais habilitados e muito trabalho para fazer. Existem vários fatores que implicam na análise ou coleta das evidências. Para Garfinkel (2010) um dos maiores complicadores da computação forense é o aumento da capacidade de armazenamento dos dispositivos digitais, isso sugere que o analista forense possua equipamentos com a mesma capacidade e ainda tenha um tempo maior para coleta e análise.
Afim de efetuar um procedimento correto de coleta e análise, visando a excelência na elaboração do laudo, é necessário seguir alguns passos de forma rigorosa e bem documentada, para isso deu-se a elaboração do presente artigo, onde durante a sua leitura será possível fazer a análise crítica acerca deste assunto, o objetivo deste estudo não é esgotar o assunto, pois ainda há muito a ser pesquisado.
2 REFERENCIAL TEÓRICO
2.1 O conceito de Perícia Forense Computacional
A Perícia Forense Computacional é definida como ciência multidisciplinar, ela por sua vez aplica técnicas investigativas para determinar e analisar evidências, diferentemente dos outros tipos de perícias forense conhecidos, a análise forense computacional produz resultados diretos e não interpretativos conforme os outros modelos, sendo por sua vez decisivos em um caso.
Baseado nas técnicas de recuperação de dados, surgiu a Perícia Forense Computacional ou Computação Forense, com mais de 40 anos de existência, sua finalidade é auxiliar na solução de casos onde são cometidos crimes com o auxílio de dispositivos computacionais.
De acordo com o Colégio Notarial do Brasil (CNB) em 2014, baseados nos registros de atas notariais, somente no estado de São Paulo, o total de atos em todo o Brasil chegou a 18.820 em 2012 e a 32.011 em 2013, um aumento de 70% no território nacional.
De acordo com o artigo 159, o Código de Processo Penal Brasileiro (CPP) impõe que “O exame de corpo de delito e outras perícias serão realizados por perito oficial, portador de diploma de curso superior”. Sendo assim, a Análise Forense Computacional deverá ser realizada por profissional devidamente habilitado, “destinada a determinar a dinâmica, a materialidade e autoria de ilícitos ligados à área de informática, tendo como questão principal a identificação e o processamento de evidências digitais em provas materiais de crimes, por meio de métodos técnico-científicos, conferindo-lhe validade probatória em juízo” (ELEUTÉRIO / MACHADO, 2011).
Ainda para o CPP segundo o artigo 158: “Quando a infração deixar vestígios, será indispensável o exame de corpo de delito, direto ou indireto, não podendo supri-lo a confissão do acusado”, desta forma firma-se a importância de um profissional devidamente capacitado, afim de que consiga avaliar as informações em meios digitais, esse profissional recebe o título de Perito Forense Computacional.
O perito deve conhecer profundamente o sistema operacional que está destinado a verificar, entender a legislação e o caso em que estiver trabalhando, bem como deve possuir profundo conhecimento em redes, programação e técnicas de coletas de dados, além é claro de ser dotado de bom caráter, ética e profissionalismo.
2.2 Procedimentos, técnicas e ferramentas
De acordo com Reis e Geus (2004) a Computação Forense tem como objetivo efetuar um processo de investigação, onde com a maior transparência possível objetiva-se provar o fato ou fatos ocorridos. É também de extrema importância que o perito responsável pela investigação tenha muito cuidado com o manuseio das evidências encontradas, preservando todos os dados obtidos.
“Na fase de planejamento, tem que se definir a melhor abordagem para a investigação, identificando as principais atividades que precisarão ser executadas, de acordo com as informações obtidas preliminarmente, de modo a aproveitar melhor a coleta de dados. Dar início a criação de uma cadeia de custódia, ou seja, um histórico dos passos tomados na investigação, reunindo informações sobre os procedimentos, pessoas envolvidas e evidências recolhidas”. (REIS e GEUS, 2004, p.54)
Antes de começar a investigar algumas das boas práticas que antecedem coletas de dados são: esterilização das mídias ou usar mídias novas em cada investigação; certificar- se de que todas as ferramentas que serão usadas estão licenciadas e prontas para utilização; deve se providenciar que nada seja alterado sem o consentimento do perito; filmar ou fotografar o local para registrar detalhes.
O correto armazenamento das informações é fundamental para garantir a integridade e veracidade das provas e o armazenamento deve ser feito em local seguro por pessoas extremamente éticas e profissionais, para que de forma alguma não caia em mãos erradas. Para iniciar a coleta de novos dados é preciso primeiramente, manter o estado do equipamento, se estiver ligado o mesmo não poderá ser desligado. Dessa forma não haverá modificações nas evidências.
Devido a necessidade de uma boa prática na execução dos procedimentos periciais, o perito pode basear-se em 4 etapas, que são elas: Coleta, Exame, Análise e Resultado.
Figura 1 – Ciclo de vida da Perícia Forense Computacional.
Fonte: https://sites.google.com/a/cristiantm.com.br/forense/forense-computacional/processo-de-investigacao. Acesso em 21 abr 2016.
Coleta – Nesta fase, o perito deve ater-se aos cuidados com o a integridade do material coletado, ou seja, as informações jamais deverão sofrer quaisquer alterações durante a investigação e processo. Deste modo recomenda-se que seja feita uma cópia conhecida como bit a bit ou espelhamento, que por sua vez fideliza a imagem coletada, além é claro de efetuar a extração de hashes de verificação como o MD 5 e/ou SH A1.
Para uma correta transferência de dados, o disco de destino deverá conter um espaço, entenda espaço por tamanho, exatamente igual o superior ao disco de origem, isso pode ser analisado verificando o LBA ou Logic Block Addressing onde constará o número exato de setores, utilizada nos discos rígidos atuais, que faz com que o computador enderece cada setor do disco sequencialmente, ao invés de usar localização física, como cilindro, cabeça e setor.
Antes de efetuar a transferência de dados é necessário sanitizar a mídia de destino, ou seja, conhecido como wipe, é o processo de efetuar uma limpeza profunda na mídia de destino com caractere específico (0x00) por exemplo, antes de gravar algo por cima. De acordo com o documento SP 800-88 publicado pelo NIST (National Institute of Standards and Technology) em 11 de setembro de 2006, “estudos têm mostrado que a maioria das mídias atuais podem ser efetivamente sanitizadas com apenas uma sobrescrita”.
Seguindo o processo de verificação da mídia de destino, é importante ressaltar a necessidade da análise por eventuais defeitos no disco, para não correr o risco de usar uma mídia defeituosa.
Para a cópia das informações podem ser utilizados duplicadores de disco ou softwares específicos para perícia. Dado o fato de que duplicadores de disco possuem um preço elevado no momento, sua utilização pode ser substituída por softwares gratuitos como Helix, Kali, Caine, que são distribuições Linux recomendadas para coleta. Utilizando-se das ferramentas corretas a evidência não será contaminada durante a cópia, mantendo a fidelidade. Ao finalizar a fase de coleta o dispositivo de armazenamento computacional deverá ser lacrado e guardado em local apropriado até que haja uma autorização por parte da justiça permitindo o seu descarte ou devolução.
É necessário manter a cadeia de custódia atualizada com todas as informações da mídia, como a marca, modelo, número de série do equipamento e seu disco rígido, bem como a identificação do responsável pela custódia do equipamento. Todos os procedimentos de manuseio da mídia original ou da imagem forense também devem ser registrados como, data, hora e pessoa que realizou determinada ação.
Exame – Nesta fase, o perito deve elaborar e executar um conjunto de procedimentos afim de recuperar e catalogar os dados contidos no dispositivo, esses procedimentos devem possuir embasamento científico inquestionável. Todo o processo de coleta de dados deve ser feito na imagem ou disco duplicado na fase de preservação, e jamais em hipótese alguma deverá ser feito no material original, deixando-o intacto e inviolável.
Assim como em todas as fases da perícia, é fundamental e indispensável a total atenção do perito, ainda é importante ressaltar que o mesmo deve possuir profundo conhecimento no sistema operacional investigado. O perito deve pensar fora da caixa, não deve analisar somente os arquivos convencionais, visto que o sistema operacional guarda muito mais informações do que as comumente dirigidas ao usuário comum.
Ainda na fase de exame o perito deve extrair o máximo de informações possíveis, bem como a utilização da técnica denominada Data Carving, técnica que favorece a recuperação de arquivos já eliminados do sistema.
“carving é feito em um disco quando o arquivo está em um espaço não alocado do sistema de arquivos, e ele não pode ser identificado devido à falta de informação sobre sua alocação, ou em capturas de rede onde os arquivos são extraídos do tráfego capturado utilizando-se as mesmas técnicas.” (Merola, 2008, p.4)
De acordo com NIST (2014, p. 3), carving é o processo de reconstrução de arquivos deletados, de um espaço de armazenamento não alocado ou extração de arquivos embutidos em um contêiner de arquivos, baseada no conteúdo do arquivo; metadados do sistema de arquivos devem ser considerados de forma secundária ou completamente ignorados.
“O ato de extrair, localizar e filtrar somente as informações que possam contribuir, de forma positiva, em uma investigação ocorre na segunda etapa, denominada “exame de evidências”. Considera-se esta, a etapa mais trabalhosa do processo de investigação criminal, principalmente pela quantidade de diferentes tipos de arquivos existentes (áudio, vídeo, imagem, arquivos criptografados, compactados, etc.) que facilitam o uso de esteganografia, o que exige que o perito esteja ainda mais atento e apto a identificar e recuperar esses dados” (Farmer, Venema, 2007, p.41)
Análise – Nesta fase, o perito examinará as informações coletadas no procedimento anterior, neste momento é feito a busca pelas evidências relacionada ao delito. Esta fase pode ser uma das mais demoradas no ciclo da perícia forense computacional.
Para Queiroz e Vargas (2010) a fase de análise objetiva-se em examinar as informações coletadas em busca de evidências, de modo que no final do processo seja possível a formulação da conclusão referente ao crime que originou a investigação. Todas as fontes de informação devem ser investigadas.
É necessário que haja uma definição clara e detalhada do que é preciso investigar, pois esse processo pode tornar-se muito demorado e até impraticável dependendo do número de arquivos existentes. O Instituto Nacional de Justiça (NIJ) do Departamento de Justiça dos Estados Unidos, em conjunto com o Instituto Nacional de Padrões e Tecnologia mantém um projeto chamado Biblioteca Nacional de Referência de Software.
Sua criação deu-se a partir da necessidade de facilitar com eficiência e eficácia as investigações de crimes cibernéticos. A biblioteca foi projetada para coletar programas de diversas fontes, criar um perfil para cada um deles e adicioná-lo às informações do Conjunto de Arquivos para Referência (RDS). O RDS consiste numa coleção de assinaturas digitais de arquivos conhecidos e rastreáveis até sua origem. Com o auxílio destes filtros é possível diminuir o número de arquivos a serem examinados.
A investigação de possíveis cópias ilegais de programas protegidos pode ser facilitada por meio da utilização destes filtros. Outras formas de pesquisa como a busca de palavras chaves também são aplicáveis neste processo, entretanto é necessário que haja, conforme comentado anteriormente, uma definição clara e detalhada do que é preciso investigar, assim possibilita uma maior assertividade e velocidade de resposta na pesquisa.
O perito deve estar atento ao fato de que os arquivos podem estar criptografados, se estiver, poderá até impossibilitar a perícia, não resultando em nenhuma informação relevante para o investigador. Para resolver esse problema, pode-se utilizar algum programa de quebra de senhas, ou ainda é possível verificar a memória RAM na busca por alguma senha digitada.
Resultado – Nesta fase, o perito elabora o laudo pericial, onde é apresentado as evidências encontradas para servir como prova na corte da lei.
De acordo com Reis e Geus (2004), a elaboração do laudo é o último passo da perícia, neste momento o perito tem a liberdade de descrever o incidente, sendo ele o único responsável pelo documento e todo o seu conteúdo. O perito deve estar atento as orientações para a criação do laudo, e redigi-lo com a maior clareza possível para facilitar a sua compreensão.
3 METODOLOGIA
O mesmo foi dividido em duas partes, o primeiro é a pesquisa bibliográfica para aprimorar o embasamento sobre o assunto, técnica que, segundo Gil (2008) constitui-se em ser desenvolvida com base em material já elaborado podendo ser encontrado em livros e artigos científicos. A etapa seguinte é desenvolvida com o auxílio da pesquisa qualitativa por meio de testes práticos de captura de pacotes de dados conforme abordado no conceito de sniffer analítico de rede.
3.1 Método (s) de pesquisa
Nesse estudo o método de pesquisa a ser utilizado é a pesquisa qualitativa que, dar-se-á por meio de técnicas de data carving. Para Godoy (1995) há um conjunto de características que são capazes de identificar uma pesquisa qualitativa, como:
a) O pesquisador como instrumento fundamental e o ambiente natural como fonte direta de dados;
b) O caráter descritivo;
c) Enfoque indutivo;
d) O significado das coisas e da vida conforme para as pessoas como preocupação do investigador.
3.2 Delimitação da população ou do objeto de estudo e/ou amostragem
A análise deu-se em uma máquina virtual, onde o objeto de estudo foi a imagem de um pendrive com 10MB de capacidade. Os dados foram disponibilizados por meio do site http://eriberto.pro.br/wiki/index.php?title=Forense_caso_02, bem como a ordem de investigação. O caso é fictício e foi elaborado por terceiro para fins educativos.
3.3 Técnicas de coletas dos dados
Os dados foram disponibilizados por meio do site http://eriberto.pro.br/wiki/index.php?title=Forense_caso_02, onde encontra-se a imagem de um pendrive com 10MB de tamanho, sob o hash MD5 a5118b4e11592b5fe183cb3abbaf18e2.
3.4 Técnicas de análise dos dados
Para a análise de dados foi necessário abordar a análise exploratória e sistemática dos dados, onde foi feito uma pesquisa de termos mais usados para identificar informações de usuários, data, hora, recuperação de arquivos, conforme a própria ferramenta FTK Imager da empresa AccessData, o programa Autopsy versão 4.0.0 para Windows e a distribuição Linux para forense o Caine versão 7.