Anlise Forense e Criptografia

Gleicilenio Holanda Oliveira Henrique Pereira de Souza

Faculdade Projeo Faculdade Projeo
Taguatinga DF, Brasil Taguatinga DF, Brasil
gleissongt@hotmail.com Henrique.souzabsb@hotmail.com

Resumo
Atualmente, com a popularizao da tecnologia h um numero crescente de pessoas que utilizam
desta tecnologia para praticar atividades ilcitas, o que fez surgir tcnicas para proteger informaes e
auxiliar a justia na busca de evidencias destes crimes nos meios digitais. Neste artigo abordamos sobre
anlise forense e as tcnicas que auxiliam na busca de evidncias e sobre a criptografia e suas vrias
tcnicas de Encriptao de dados.

Abstract
Currently, with the popularization of technology for a growing number of people who use this
technology to practice illicit activities, leading to the rise techniques to protect information and help in
seeking justice for these crimes evidence in digital media. This paper discusses about forensic analysis
and techniques that help in the search for evidence and on the encryption and its various techniques of
data encryption.

Palavras chaves: Anlise Forense, Arquivos, Recuperao de Dados, HD, Criptografia, Informao, chave
nica, chave publica, chave privada, Assinatura Digital, SSL.

Key words: Analysis Forensic Files, Data Recovery, HD, encryption, information, unique key, public
key, private key, Digital Signature, SSL.
1 - Introduo
As ultimas dcadas foram marcadas pela integrao dos computadores no cotidiano das
pessoas. Hoje a informtica est presente nos diferentes segmentos da sociedade, desde
de um simples computador pessoal que usado como fonte de educao, informao e
entretenimento sistemas de controle de trfego areo.
A conectividade oferecida pela Internet tambm introduziu uma serie de novas
facilidades no dia a dia das pessoas, permitindo o acesso annimo aos mais variados
tipos de informaes e sistemas.
Porem, hoje a tecnologia dos computadores utilizada em um numero crescente de
atividades ilcitas(invaso de sistemas bancrios, disseminao de pornografia infantil,
roubo de informaes confidenciais). Por conta desses crimes, houve a necessidade de
se criar mtodos de segurana para proteger as informaes, sendo a criptografia uma
das mais utilizadas.
Por outro lado tambm h a necessidade de se obter evidencias eletrnicas que
provem a utilizao dos computadores para consumao destes crimes. Estas provas
podem ser obtidas atravs da anlise forense.
Este artigo ir tratar de tcnicas de criptografia e os alguns mtodos utilizados na
anlise forense.

2 - Anlise Forense
A Anlise Forense em computadores compreende a aquisio, preservao,
identificao, extrao, restaurao, analise e documentao de evidencias
computacionais, quer sejam componentes fsicos ou dados que foram processados
eletronicamente. Atravs de um conjunto de aplicaes pode-se determinar se ele foi ou
est sendo utilizado para fins ilegais. Os especialistas dessa rea geralmente investigam
os meios de armazenamento de dados, as comunicaes, a criptografia dos dados, entre
outras possibilidades, tentando conseguir alguma informao relevante. Basicamente
uma Anlise Forense consiste de quatro passos:

1. Identificar fontes de evidncia aceitas pelo sistema legal.

2. Preservar a evidncia.
3. Analisar a evidncia.
4. Apresentar o resultado da anlise.

Recuperao de Dados
A busca por evidncias de crimes nos sistemas computacionais muitas vezes ocorrem de
maneira no muito complexa, que exija o uso de recursos sofisticados para
rastreamentos em dispositivos de armazenamento digital. Entretanto h um nmero
crescente de criminosos que tentam esconder ou apagar dados provenientes de crimes.
Para estes, existem mtodos que conseguem recuperar dados escondidos, criptografados
e, ou ate mesmo deletados, mostrados a seguir:

Arquivos Deletados
Um arquivo deletado pode ser facilmente recuperado. Isso ocorre porque o processo
remoo do arquivo no consiste em remove-lo do dispositivo de armazenamento, mas
sim os dados do endereamento que o remete, contidos no ponteiro, dessa forma
disponibilizando aquela rea de memria para que outro dado possa ser armazenado.
Sua recuperao feita atravs de uma reorganizao dos dados espalhados pelo
dispositivo, reavendo-os de forma integra ou no, se nenhum arquivo j estiver sido
alocado no mesmo endereo de memria. Essa reorganizao (endereamento) feitos
atravs de softwares que dem suporte ao sistema de arquivos utilizado no dispositivo.

Anlise Fsica

Esta anlise consiste em fazer um mapeamento magntico do disco ou dispositivo em

questo. Mesmo num HD destrudo ou com arquivos sobrescritos, ainda sim possvel
fazer uma anlise magntica para identificar o dado anteriormente armazenado naquele
espao de memria. Este procedimento possvel porque o alinhamento vertical e
horizontal das cabeas leitoras do disco no exatamente o mesmo a cada processo de
armazenamento de dados, deixando assim, vestgios dos dados pelo HD.
Diferentemente do processo de recuperao em arquivos somente deletados, este e um
processo lento e caro, feito por especialistas com equipamentos desenvolvidos para este
tipo de anlise. Anlises fsicas podem ser feitas em qualquer mdia de armazenamento
onde haja a remanescncia de dados como HDs, cartes de memria e pen drives.

Evidncias Esquecidas

Esse tipo de investigao trabalha com o armazenamento automtico de informaes.

Muitos programas possuem a funo de armazenamento de dados para automatizar
atividades rotineiras dos usurios, preferncias, histricos da internet que podem ser
facilmente recuperados. Geralmente essas evidncias so abandonadas por usurios
inexperientes, pois os programas fazem esses armazenamentos de forma no muito
transparente.

Dados Escondidos no HD
Esse tipo de rastreamento de dados trabalha com as reas do disco que so disperdiadas
durante uma formatao. Um setor do disco uma unidade fixa de espao, como 512
bytes. Hard Disks armazenam as informaes em linhas radiais, e nenhuma linha tem a
mesma circunferncia que outra. Dessa forma, para um HD manter os dados
armazenados em setores iguais para todas as linhas, algum espao desperdiado
quando sobra uma frao de um setor em alguma linha. Esse espao desperdiado
chamado de intervalo de setor, e possvel esconder dados nele.
Uma informao tambm pode ser escondida quando um arquivo armazenado em
um setor de tamanho maior que ele, deixando um espao sobrando nesse setor. O dado
pode ser escrito dentro deste espao sem problemas, porm quando o setor for
sobrescrito a informao contida nele perdida. Alguns sistemas operacionais utilizam
funo de preenchimento para completar os espaos que faltam em um setor baseados
no estado da memria RAM, tornando possvel algum investigador tambm poder
descobrir o que o usurio tinha na memria voltil quando o arquivo foi escrito em
disco.
Interceptao de Dados na Rede

Para se interceptar dados numa rede, faz se necessrio apenas estar conectado
fisicamente por onde os dados esto sendo trafegados, seja ela a eletricidade de um cabo
de rede ethernet, ondas de rdio vindas de um satlite ou antena, ou a luz transmitida
pela fibra ptica. Numa rede de comunicao sem fio, essa interceptao pode ocorrer
de forma bem simples, basta apenas estar dentro do raio de alcance do sinal onde a
informao esta sendo transmitida, claro que essa interceptao ilegal, o que exige a
autorizao por meio de um mandato judicial. A complicao desse tipo de investigao
no est na aquisio da informao, mas sim entender o que foi transmitido. Para isso
preciso saber qual o protocolo de comunicao utilizado e tambm como realizar a
tarefa de decifrar/descriptografar a mensagem.

3 - Criptografia
Criptografia o ato de codificar dados em informaes aparentemente sem sentido, para
que somente aquele que enviou e aquele que recebeu a informao tenham acesso ao
seu contedo. uma cincia utilizada desde a antigidade, no sistema de escrita
hieroglfica, dos egpcios.
Hoje, a criptografia est relacionada com a segurana de sistemas, desde proteger
documentos secretos ambientes que utilizam redes de computadores. Isto ocorre
porque uma rede transmite uma grande quantidade de informaes, incluindo
informaes sigilosas, estratgicas, e vitais para as organizaes, preciso garantir a
segurana destes dados para que a rede no esteja sujeita a aes como roubo ou
alteraes de informaes.
Alem da criptografia temos a criptoanlise, que a cincia de determinar a chave ou
o contedo de mensagens cifradas, sem conhecer a chave. Da juno das duas cincias
temos criptologia.
Os primeiros mtodos criptogrficos existentes usavam apenas um algoritmo de
codificao, bastava que o receptor da informao conhecesse esse algoritmo para poder
extra-la. No entanto, se um intruso tivesse posse desse algoritmo, poderia efetuar um
processo de decifragem, caso capturasse os dados criptografados.
Os mtodos de criptografia atuais so mais seguros e eficientes e baseiam-se no uso
de uma ou mais chaves, no mais baseado em algoritmos de codificao e
decodificao, e sim na chave, garantido que nem mesmo o autor do algoritmo seja
capaz de decifrar uma mensagem sem o conhecimento da chave.
Com o uso de chaves, um emissor pode usar o mesmo algoritmo para vrios
receptores. Basta que cada um receba uma chave diferente e caso um receptor perca ou
exponha determinada chave, possvel troc-la, mantendo-se o mesmo algoritmo. A
chave uma seqncia de caracteres, que pode conter letras, dgitos e smbolos, que
convertida em um nmero, utilizado pelos mtodos de criptografia para codificar e
decodificar mensagens.
Atualmente, os mtodos criptogrficos podem ser subdivididos em duas grandes
categorias, de acordo com o tipo de chave utilizada: a criptografia de chave nica e a
criptografia de chave pblica e privada.
Criptografia de chave nica ou simetrica:
A criptografia de chave nica utiliza a mesma chave tanto para codificar quanto para
decodificar mensagens. Um algoritmo utilizado neste tipo de sistema o DES (data
encription standard) criado pela IBM em 1977, que um ciframento composto de
blocos de 64 bits, em blocos de 64 bits, que faz uso de chaves de 56 bits com mais 8 bits
para paridade, correspondendo a 72 quatrilhes de combinaes. Para cifrar uma
mensagem, o algoritmo realiza uma srie de transposies, substituies dentre outras
operaes. O DES pode ser quebrado pelo mtodo da fora bruta tentando-se todas
256 combinaes possveis. existem outros algoritmos que implementa a criptografia de
chave simtrica tais como IDEA (International Data Encryption Algorithm) que
um algoritmo que faz uso de chaves de 128 bits e que tem uma estrutura semelhante ao
DES e o RC (Ron's Code ou Rivest Cipher) muito utilizado em e-mails e faz uso de
chaves que vo de 8 a 1024 bits.
Apesar destes mtodos serem bastante eficientes em relao ao tempo gasto para
codificar e decodificar mensagens sua utilizao no recomendada em situaes onde
a informao muito valiosa, pois necessrio usar uma grande quantidade de chaves
quando h muitas pessoas ou entidades envolvidas e ainda o fato de que tanto o emissor
quanto o receptor precisam conhecer a mesma chave.

Criptografia de chave Publica e Privada

Neste mtodo utilizado pares de chaves onde cada usurio possui um par de chaves,
uma das chaves publicada e acessvel aos usurios, denominada chave pblica. E outra
privada, que mantida em segredo pelo seu proprietrio. Quando a chave pblica
usada para codificar uma mensagem, esta s poder ser decodificada pela chave privada
e vice-versa.
O RSA (Rivest-Shamir-Adleman) o algoritmo que se tornou mais conhecido para
este tipo de sistema. Criado em 1977 por Ron Rivest, Adi Shamir e Len Adleman nos
laboratrios do MIT (Massachusetts Institute of Technology). Nele, nmeros primos so
utilizados da seguinte forma: dois nmeros primos so multiplicados para se obter um
terceiro valor. Sua segurana baseada na dificuldade de se fatorar um produto no caso
de dois nmeros primos extensos sejam usados na multiplicao, ser necessrio um
grande processamento para descobr-los, tornando essa tarefa invivel. Basicamente, a
chave privada no RSA so os nmeros multiplicados e a chave pblica o valor obtido.
Existem ainda outros algoritmos, como o ElGamal, que faz uso de "logaritmo
discreto" para se tornar seguro. Utilizado freqentemente em assinaturas digitais, DSA
(Digital Signature Algorithm) e o Schnorr Diffie-Hellman.
Apesar deste mtodo ter o desempenho bem inferior em relao ao tempo de
processamento, quando comparado ao mtodo de criptografia de chave nica ele tem
como principal vantagem a livre distribuio de chaves pblicas, no necessitando de
um meio seguro para que chaves sejam combinadas antecipadamente.

Assinatura Digital
A assinatura digital um mecanismo eletrnico que faz uso de criptografia, consiste na
criao de um cdigo utilizando uma chave privada, o emissor tem de possuir um
documento eletrnico e a chave pblica do destinatrio. Atravs de algoritmos como o
da funo hashing, o documento cifrado de acordo com a chave pblica. O receptor
usar sua chave privada correspondente para decifrar o documento, se qualquer bit for
alterado, o receptor receber um documento invlido. Desta forma quem recebeu o
documento eletrnico pode verificar se o mesmo foi emitido por uma determinada
entidade ou pessoa.
A segurana deste mtodo se baseia no fato de que a chave privada conhecida
apenas pelo seu dono. O fato de assinar uma mensagem no significa que ela ser
sigilosa. Se o emissor da mensagem quer ter certeza de que apenas o receptor ter
acesso a seu contedo, ser preciso codific-la com a chave pblica do receptor e depois
de assin-la.

SSL

Um exemplo que combina a utilizao dos mtodos de criptografia de chave nica e de

chaves pblica e privada so as conexes seguras, estabelecidas entre o browser de um
usurio e um site, em transaes comerciais ou bancrias via Web. Elas utilizam o
mtodo de criptografia de chave nica, implementado pelo protocolo SSL (Secure
Socket Layer) e o browser do usurio informa ao site qual ser a chave nica utilizada
na conexo segura, obtendo a chave pblica do certificado da instituio que mantm o
site. Ento, ele utiliza esta chave para codificar e enviar uma mensagem, contendo a
chave nica a ser utilizada na conexo segura. O site utiliza sua chave privada para
decodificar a mensagem e identificar a chave nica que ser utilizada.
Desta forma o browser do usurio e o site podem transmitir informaes, de forma
sigilosa e segura. A chave nica trocada em intervalos de tempo, aumentando assim o
nvel de segurana.

4 - Concluso
Neste Trabalho conclumos que com a popularizao dos computadores, houve um
aumento dos chamados Crimes Digitais, o que trouxe um desenvolvimento de tcnicas
para proteger informaes e buscar provas de crimes atravs de mtodos de investigao
digital. A criptografia apresentada neste artigo mostrou-se uma tcnica eficiente para
proteger e transferir informaes sigilosas. Tambm falamos da vertente da investigao
policial especializada neste tipo de crime chamada de Anlise Forense que se utiliza de
tcnicas e equipamentos para extrair evidncias dos meios digitais utilizados para este
tipo de crime, mostrando que como em qualquer crime, a pessoa deixa rastros e que esta
idia de que o computador passa de anonimato e impunidade, ou seja, quando voc
acessa internet, baixa msicas, filmes, etc. sem se preocupar se est infringindo algum
direito autoral, pois pensa que no ser pego, no verdadeira.
Referncias

Livro:
Andrew S. Tanenbaum. Redes de computadores. Elsevier Editora, 4 edio, 2003. P. 864-868.

Referencias da internet:
Criptografia. Disponvel em:
<http://www.infowester.com/criptografia.php>
Criptografia. Disponvel em:
<http://www.clubedohardware.com.br/artigos/667>
Anlise Forense de Intruses em Sistemas Computacionais. Disponvel em:
<www.las.ic.unicamp.br/.../2002-Pericia-marcelo.reis-forense.tecnicas.procedimentos.pdf>
Estudo de caso Criptografia

Um site de venda de dispositivos eletrnicos online, Eletric World, criou uma chave
pblica e a enviou a vrios outros sites. Quando qualquer um desses sites quiser enviar
uma informao criptografada ao site da Eletric World dever utilizar a chave pblica
deste. Quando o mesmo receber essa informao, somente ser possvel extra-la com o
uso da chave privada, que s o ele possui. Caso queira enviar uma informao
criptografada a outro site, dever obter uma chave pblica fornecida pelo site da Eletric
World.

Abaixo temos o fluxo dos dados criptografados:

Estudo de caso Anlise Forense

Uma investigao de ameaas feita a partir do aplicativo MSN Messenger, um

comunicador instantneo da Microsoft, utilizou-se da interceptao de dados na rede,
capturados com a ferramenta "Ethereal", um software livre. O investigador desejava
descobrir as mensagens que uma pessoa estava enviando. Pode-se perceber que a pessoa
estava utilizando o protocolo IP na camada de redes, o protocolo TCP na camada de
transporte e o protocolo MSNMS na camada de aplicao. Desta forma foi possvel se
obter toda a ameaa feita pelo criminoso, onde o aplicativo Ethereal se encarregou de
decifrar a criptografia.