UNINORTE

CURSO DE PS-GRADUO EM SEGURANA DA INFORMAO

ANDERSON SANTOS LEO DANIELLE FURTADO ZAIRE

ARTIGO SOBRE PERCIA FORENSE APLICADA A INFORMTICA EM AMBIENTE WINDOWS

PROF. MSC. JERNIMO CUNHA BEZERRA

RIO BRANCO - AC 2010

ANDERSON SANTOS LEO DANIELLE FURTADO ZAIRE

ARTIGO SOBRE PERCIA FORENSE APLICADA A INFORMTICA

Trabalho para o curso de Ps Graduao em Segurana da Informao da UNINORTE sob orientao do Professor Msc. Jermino Cunha Bezerra.

RIO BRANCO AC 2010 Pgina 2/27

DEDICATRIA Dedicamos este trabalho primeiramente a Deus, pois nos deu sabedoria para concluir este trabalho.

A minha esposa Adriana e meu filho Ygor Cau que me apoiaram e acreditaram no meu trabalho e a minha me Ozelite Leo e meu pai Raimundo Leo, que sempre acreditaram no meu potencial e apoiaram em todos os momentos da minha vida, Anderson.

Agradeo a minha famlia, principalmente, a minha me M Claudenira Furtado que sempre esteve presente em minha vida me incentivando e a minha prima Kelen Furtado que considero uma irm pra todas as horas, Danielle.

Por ltimo, ao nosso grande orientador Jernimo, pela enorme pacincia, dedicao e orientao, pois se no fosse ele, estaramos desorientados e no finalizaramos este trabalho.

Pgina 3/27

RESUMO

Este trabalho mostra como a percia forense aplicada informtica em sistemas Windows obtm provas fidedignas e irrefutveis, tendo como objetivo apresentar os conceitos, demonstrar os mtodos, tcnicas e ferramentas que auxiliem na busca, coleta, preservao, anlise e apresentao dos dados. Tambm sero mostradas as caractersticas de um profissional na rea em estudo, conhecido como perito ou investigador. Para exemplificar, foi elaborado um estudo de caso fictcio onde sero usados os conceitos da percia forense aplicada informtica.

Palavras-Chave: Percia Forense Aplicada a Informtica, Computao Forense, Percia em Crimes de Informtica, Percia Forense Digital, Crime Digital.

Pgina 4/27

ABSTRACT

The present work shows how the forensic science applied to computers in the Windows system get reliable proofs, aiming to present concepts, methodology, demonstration, techniques and tools those may assist in searching, sampling, keeping, analyzing and data presentation. Also will be shown the features of the professional who works in this field, known as expert. To exemplify, it was elaborated a fictitious study of case where concepts of forensic science turned to the quoted issue have been used.

Key-words: forensic science applied to computers, Forensic computing, Expertise in computer crimes, Digital forensics expertise, cybercrime.

Pgina 5/27

SUMRIO

1.INTRODUO ......................................................................................................... 9 1.1CINCIA FORENSE ............................................................................................ 10 2.PERCIA FORENSE COMPUTACIONAL ............................................................. 11 2.1 CADEIA DE CUSTDIA ...................................................................................... 12 SUMRIO ................................................................................................................... 6 NDICE DE FIGURAS ................................................................................................. 7

Pgina 6/27

NDICE DE FIGURAS

Figura 1.............................................................................................................13 Figura 2.............................................................................................................14 Figura 3.............................................................................................................17 Figura 4.............................................................................................................22

Pgina 7/27

1. INTRODUO Uma das grandes conseqncias da disseminao em massa do uso dos computadores e da Internet foi mudana da natureza das cenas dos crimes. Antes, a viso do investigador na cena do crime era voltada somente ao mundo fsico, agora tambm para o mundo virtual. Cada vez mais, os computadores esto sendo usados para

comunicao, planejamento e at mesmo a perpetrao de crimes, tornando obsoletas algumas tcnicas de investigao e percia. Nesse novo ambiente, os computadores e sistemas digitais so ferramentas e tambm alvos dos criminosos e do crime organizado. O termo Crime Eletrnico sugere os j famosos golpes para tentar desviar dinheiro de bancos, por exemplo, atravs de programas maliciosos nos computadores de usurios menos informados. Porm, na verdade, o conceito bem mais amplo e abrange desde um simples e-mail de difamao, at a espionagem industrial, passando por diversos tipos de fraudes que a auditoria corporativa comum no capaz de detectar e a polcia, quando consegue com enorme dificuldade. Hoje, o crime eletrnico abrange desde pequenas violaes de segurana, eventos e incidentes, fraudes, pornografia infantil (pedofilia), crimes contra a honra e at crimes contra a vida. A necessidade do Perito Criminal na rea de informtica em buscar evidncias que comprovem a materialidade e a autoria de um crime que estejam contidas em pendrives, disquetes (menos utilizados atualmente), CDs/DVDs, discos rgidos de computadores, telefones celulares, filmadoras e outros meios digitais que aumentam a cada dia. Nos ltimos tempos so vrios os setores da economia em que se observa que a incidncia de crimes digitais, fraudes e violaes aumentaram e esto aumentando significativamente, com destaque para os bancos, empresas de servios financeiros, seguros, empresas de varejo,

concessionrias de servios pblicos, indstrias e at os rgos que compem Administrao Direta: esfera Federal, Estadual e Municipal. Essa preocupao com a nova maneira de encarar a cena do crime praticado por meio eletrnico, uma tendncia mundial. No Brasil, outros Pgina 8/27

rgos e instituies, como por exemplo, a Polcia Federal, j prestam a ateno devida a tal fato e tem feito uso, com sucesso, de ferramentas digitais especficas com foco ao combate e represso a esse crescente tipo de delito. muito fcil observar em nosso dia a dia, que o mundo est cada vez mais digital e caminha a passos largos para isso. No podemos ser otimistas, a ponto de acreditar que os delitos praticados por meios digitais no tendero a crescer. Diante do aumento de ocorrncias desse tipo de crime vem forando as polcias e instituies privadas de todo o planeta a se especializar no seu combate. Dessa forma, necessrio investir em sistemas de inteligncia, que permitam implementar as melhores prticas de preveno, represso, investigao, combate e soluo aos crimes praticados com a utilizao de meios eletrnicos. Da a adoo cada vez mais da percia forense aplicada informtica, onde o perito ou investigador constata a materialidade e seu local, em que poca ocorreu, as circunstncias e autoria do crime (deve-se responder quem, quando, como e onde ocorreu determinado ato criminoso) por meio da produo de provas fidedignas e irrefutveis que podero ser usadas na rea administrativa, civil e penal, e que contriburam para a efetiva aplicao da lei pela Autoridade Policial, Ministrio Pblico, Poder Judicirio, entre outros rgos. Para produzir essas provas, o perito ou investigador utiliza da cincia, tcnica, mtodos, ferramentas amplamente conhecidos pela comunidade cientfica mundial, bem como conhecer das normas e leis.

1.1 CINCIA FORENSE A anlise forense se inicia quando os policiais chegam ao local do crime e isolam o permetro para evitar a exposio excessiva e a possvel contaminao das evidencias. Aps essa fase, tem-se a etapa de identificao e coleta de todo o tipo de dado e material que possa ajudar na resoluo do caso em questo. Uma vez realizadas essas duas fases, inicia-se a anlise laboratorial das evidncias. (OLIVEIRA, 2001). A cincia forense criminal traz a prtica da investigao o que chamamos de mtodo cientifico, ou metodologia cientifica, fazendo-se valer dos conhecimentos de diversos tipos de cincias como a matemtica, qumica,

Pgina 9/27

fsica, biologia, medicina, engenharia e nos dias atuais a informtica. (MONTEIRO, 2010). O perito, ao elaborar um laudo pericial, deve ser sincero consigo mesmo, isto , s fazer afirmaes que possam ser provadas e demonstradas tcnica e cientificamente. Toda concluso deve estar baseada em fatos e dados comprovados e demonstrados. Quando, por meio dos exames realizados, por insuficincia de elementos, no obtiver os dados cientficos que possam fundamentar uma concluso, quer positiva que negativa, por seu compromisso com a verdade, deve consignar no laudo quais foram os elementos e dados concretos obtidos. (COSTA, 2003). Um profissional dessa rea deve ter ferramentas de trabalho adequadas para que possa solucionar os devidos casos, tendo o mesmo a autonomia nas investigaes feitas. O dever de um PERITO dizer a verdade; no entanto, para isso necessrio: primeiro saber encontr-la e, depois querer diz-la. O primeiro um problema cientfico, o segundo um problema moral. (Nerio Rojas) Cincia da computao tem tanto a ver com o computador como a Astronomia com o telescpio, a Biologia com o microscpio, ou a Qumica com os tubos de ensaio. A Cincia no estuda ferramentas, mas o que fazemos e o que descobrimos com elas." (Edsger Dijkstra)

2. PERCIA FORENSE COMPUTACIONAL (OU PERCIA FORENSE APLICADA A INFORMTICA) A computao forense uma cincia voltada para o estudo e avaliao de situaes que evolvam a computao como meio para cometer crimes. Muitas pessoas acreditam que a atividade pericial na computao recente, devido ao pouco tempo em que a informtica vem fazendo parte de nossas vidas, mas essa cincia um pouco mais antiga do que ns imaginamos. (COSTA, 2003). A computao forense tambm conhecida como percia forense aplicada informtica, forense computacional, percia computacional, percia em crimes de informtica e outros nomes. Para Arajo (2009) apud Pires (2003) Um conjunto de tcnicas, cientificamente comprovadas, utilizadas para coletar, reunir, identificar,

Pgina 10/27

examinar,

correlacionar

analisar

documentar

evidncias

digitais

processadas, armazenadas ou transmitidas por computadores. De acordo com Costa, A computao vem sendo empregada em grandes empresas e corporaes desde a dcada de 60, e, desde aquela poca, os crimes j aconteciam. E em 1986, nascia o primeiro vrus de

computador, e da por diante os vrus comearam a ficar cada vez mais sofisticados e perigosos. Uma vasta nomenclatura foi criada pra diferenciar os tipos de vrus. Diversos programas de computadores foram criados para impedir que danos fossem causados. Naquela poca j se utilizavam os computadores para cometer crimes, mas a quantidade e a freqncia com que aconteciam era pequena, pois o uso de computadores era restrito devido a seu alto custo, e somente grandes corporaes, como bancos e governos, podiam adquiri-los.(COSTA, 2003). Devido ao surgimento de casos que envolvem o meio computacional, tornou-se necessrio o desenvolvimento de uma nova disciplina forense, cujo objetivo criar metodologias e acumular conhecimentos para a aquisio, manipulao e anlise de evidncias digitais. A Forense Computacional o ramo da criminalstica que compreende a aquisio, preveno, restaurao e anlise de evidncias computacionais, que podem ser os componentes fsicos ou dados que foram processados eletronicamente e armazenados em mdias computacionais (VARGAS, QUINTO e GRIZENDI, 2007). Alguns crimes que eram feitos sem a utilizao de computadores, agora so praticados por meio destes. Trazendo tambm novos crimes os quais s podem ser cometidos em meios computacionais, onde possui dados eletrnicos.

2.1 CADEIA DE CUSTDIA De acordo com Arajo (2009) A Cadeia de Custdia um processo usado para manter e documentar a histria cronolgica da evidncia coletada. Para garantir a idoneidade e a documentao das provas utilizadas em processo judiciais. Ou seja, o perito descreve detalhadamente todo material de informtica apreendido no local de crime ou recebido pela autoridade solicitante, a data e hora que foi recebido ou coletado. No caso HD (Disco rgido) realiza-se a Pgina 11/27

aquisio da imagem, das evidncias, envelopa e lacra-o, inicia a lista da cadeia de custdia indicando a data e hora em que ele foi lacrado, e o hash (MD5/SHA1/SHA256) para garantir a integridade da mdia e dos dados. O hash como se fosse uma assinatura digital onde cada arquivo possui um valor exclusivo. Se mudar um pequeno detalhe (bit ou byte), esta assinatura mudada totalmente. O uso do hash permite que se tenha a mxima garantia que um determinado arquivo mantenha seu contedo original e a qualquer momento seja verificada sua integridade.

3.

PROCESSO

OU

METODOLOGIA

DA

PERCIA

FORENSE

COMPUTACIONAL A percia computacional feita atravs de um estudo rigoroso baseando-se em informaes, os dados extrados so analisados, e de acordo com as evidncias os pontos so interligados para que se chegue a determinadas concluses. Segundo Feitas (2003), a misso da percia forense a obteno de provas irrefutveis, as quais iro se tornar o elemento chave na deciso de situaes jurdicas, tanto na esfera cvel quanto criminal. Para tanto, crtico observar uma metodologia estruturada visando obteno do sucesso nestes projetos. Com este grande avano os peritos forenses computacionais necessitam de uma metodologia de padronizao, desde a obteno de evidncias, passando pela padronizao de laudos at a apresentao das mesmas perante a justia (VARGAS, 2006). A anlise dos dados feita atravs de ferramentas e comparaes compatveis com a estrutura do sistema de determinado lugar. As interpretaes so feitas minuciosamente e so detalhadas para poder identificar um resultado legtimo da situao. Segundo Quinto (2007) apud Pereira et al (2007) pode-se dividir as fases de um processo de investigao forense computacional em 4 etapas, identificadas como: coleta dos dados, exame dos dados, anlise das informaes e interpretaes dos resultados, que sero mais bem detalhadas a seguir.

Pgina 12/27

Mdias

Dados

Informaes Anlise

Evidncias

Coleta

Exame

Resultados Obtidos

- Isolar a rea - Coletar as evidncias - Garantir a integridade - Identificar equipamentos - Embalar evidncias - Etiquetar evidncias - Cadeia de custdia

- Identificar - Extrair - Filtrar - Documentar

- Identificar (pessoas, locais e eventos)

- Correlacionar (pessoas, locais e eventos) - Reconstruir a cena Documentar

- Redigir Laudo - Anexar evidncias e demais documentos

Fonte: Diego Tavares. Fases de um processo de investigao.

Figura 1. Fases do Processo de Investigao Forense. Fonte: Tavares (2010).

Coleta dos Dados: Os procedimentos adotados na coleta de dados devem ser formais seguindo toda a metodologia e padres de como se obter provas para apresentao judicial (VARGAS, 2006). Todas as informaes que sejam relevantes devem ser coletadas, pois em determinadas ocasies s informaes obtidas levaro descoberta de novas provas e at de novos crimes e haver a necessidade de reiniciar todos os procedimentos referentes ao novo fato descoberto. Sendo assim, todo o processo relativo obteno e coleta das mesmas, seja elemento fsico (computadores) ou lgico (mapas de armazenamento de memria de dados) deve seguir normas internacionais de padronizao (VARGAS, 2006). Toda coleta de dados precisa ser documentada, armazenada e preservada, necessrio que se tenha bastante cuidado quando for acessar determinada informao, pois a integridade das evidncias digitais precisam ser conservadas e somente um profissional competente capaz de prevenir esse tipo de incidente. (QUINTO, 2007).

Pgina 13/27

Figura 2.Fluxograma de Preservao dos Dados. Fonte:Arajo (2009).

Exames dos Dados: Nessa fase so selecionadas e utilizadas ferramentas e tcnicas apropriadas a cada tipo de dado coletado, com o objetivo de identificar e extrair as informaes relevantes ao caso que est sendo investigado, mas sempre com a preocupao de manter a integridade dos dados (QUINTO, 2007 apud PEREIRA et al, 2007).

Anlise das informaes: Nesta fase, segundo Quinto (2007) apud Pereira et al (2007) feita uma analise dos dados filtrados na etapa anterior, com o objetivo de se obter informaes teis que possam responder as perguntas que deram origem investigao. Pretende-se identificar nessa fase, o autor, o que fez, quando fez, quais os dados de seu ato e como realizou o crime (FREITAS, 2006), se possvel tentando identificar o modus operanti (modo de operao) do potencial atacante. Para que tenha sucesso nesse processo preciso saber como, onde e como procurar as evidncias (MELO, 2005). Pgina 14/27

Nessa fase so analisadas e avaliadas as possibilidades de como o incidente pode ter ocorrido, hipteses. (QUINTO, 2007 apud MENEGOTTO, 2006).

Interpretao dos resultados: Nessa etapa final do processo de investigao gerado um relatrio (laudo pericial) no qual devem estar descritos os procedimentos realizados e os resultados obtidos (QUINTO, 2007 apud PEREIRA et al, 2007). Um laudo pericial corresponde a um relatrio tcnico sobre a investigao, no qual so apontados fatos, procedimentos, analises e resultados. O laudo realizado a partir das provas; a deciso toda da justia. O maior segredo de uma investigao, para seu sucesso, consiste em verificar se h ou no destruio ou alterao das provas. As provas devem ser protegidas de tal forma que no percam a sua veracidade (FREITAS, 2006). O relatrio de resposta a incidente depende diretamente de como os dados investigados foram manipulados. Tm-se casos de criminosos que saram ilesos devido coleta e manipulao de dados de maneira incorreta. Os relatrios devem ser concisos, coerentes e representar o foco da investigao (QUINTO, 2007 apud PEREIRA, 2007). Existem outros autores que usam outros nomes e fases no processo de investigao. Para Feitas (2006) e Vargas (2006) que dividiram a investigao em 5 fases, a saber: Obteno e Coleta de Dados, Identificao, Preservao, Anlise e Apresentao. No estudo de caso ser adotada a metodologia de Quinto (2007), pois se trata de uma metodologia simples e objetiva. Mas, tanto a metodologia escolhida como as outras garantem o resultado esperado e a validade das evidncias. Alm de adotar uma metodologia, necessrio saber onde encontrar as evidncias, pois so inmeras as fontes de informao para realizar a busca e anlise forense computacional.

4. ONDE ENCONTRAR AS EVIDNCIAS FONTES DE INFORMAO Fazendo uso da metodologia acima citada iniciou-se a busca pelas informaes. So infinitos os lugares onde se pode procurar por evidncias em um computador. Basicamente depende-se do tipo de crime cometido ou da Pgina 15/27

evidncia procurada para se definir uma estratgia de pesquisa. (COSTA, 2003). A busca de vestgios em um sistema computacional inicia-se com uma varredora minuciosa das informaes contidas nele, seja em arquivos ou em memria, dados formatados, deletados ou no, cifrados ou possivelmente danificados. Tais indcios variam de acordo com o tipo de infrao a que esto relacionados. Muitas vezes o objetivo do exame forense caracterizar a infrao que est diretamente relacionada ao ato elcito, sendo peas de um pequeno quebra-cabea (VARGAS, 2006). Pode-se encontra evidncias, a saber: Histrico de documentos, cache e histrico de internet; Registro do Windows, arquivos temporrios; Arquivos de Logs, sistemas de Arquivos; Espaos no utilizados no dispositivo de armazenamento: exemplo, setores no HD que no esto sendo utilizados ou que por deleo de arquivos esto sem funo; rea Swap, setor de boot, memria RAM; CD-R/CD-RW, DVD-R/DVD-RW, disco de Blu-ray; Disquetes, pendrives, caneta pendrives; Cartes de memria, celulares, PDAs, Smartphones; Cmeras digitais, filmadoras, impressoras; Dados trafegando pela rede de computadores; Entre outros equipamentos eletrnicos comuns e outros no usuais, por exemplo, relgio e culos que contenham unidade de armazenamento. Exemplo de equipamentos de armazenamento.

Pgina 16/27

Figura 3. Equipamentos de Armazenamento. Fonte: Freeshop.com.br.

5. O PROFISSIONAL DA REA FORENSE COMPUTACIONAL Para atuar nessa rea, obrigatrio o profissional possuir curso universitrio, alm de prestar concurso pblico especifico. O profissional deve ter um largo conhecimento do Cdigo de Processo Penal, visto que mesmo trabalhar seguindo rigidamente as normas contidas neste, alm de alta competncia na rea. (MARCHIORI, 2006) Alm disso, o profissional necessita ter significativa experincia na rea de segurana da informao (MARCHIORI, 2006). O Perito Computacional deve seguir as normas do Cdigo de Processo Penal, dentre elas podem-se destacar duas para exemplificar a sua possvel abordagem criminal, por isso este deve ter um notvel saber jurdico. Art. 170. Nas percias de laboratrio, os peritos guardaro material suficiente para a eventualidade de nova percia. Sempre que conveniente, os laudos sero ilustrados com provas fotogrficas ou microfotografias, desenhos ou esquemas. Art. 171. Nos crimes cometidos com destruio ou rompimento de obstculo a subtrao da coisa, ou por meio de escalada, os peritos, alm de descrever os vestgios, indicaro com que instrumentos, por que meios e em que poca presumem ter sido praticado. O profissional que atua na rea de percia forense chamado de perito ou investigador. preciso que ele: Seja dedicado; Pgina 17/27

Tenha esprito de pesquisa e investigao; Tenha conhecimentos sobre sistemas operacionais; Tenha conhecimentos sobre sistemas de arquivos, sobre arquitetura de computadores, sobre programas de computador; Tenha conhecimento de redes de computadores e internet; Tenha boa ndole; Saiba os princpios bsicos de direito de sigilo e privacidade; Conhea o perfil de um criminoso, como ele pode ter agido; Tenha cuidado com a preservao das evidncias; Saiba identificar evidncias, correlacion-las e reconstruir eventos.

5.1 FERRAMENTAS PERICIAIS Com o advento e desenvolvimento da tecnologia nos ltimos anos, as infraes, invases, busca, venda e roubo de informaes privilegiadas, pirataria, envio de e-mails falsos, tentativas de acessos indevidos a organizaes ou at mesmo a pessoas comuns vm se sofisticando e com isso h a necessidade do auxlio de ferramentas mais consistentes (VARGAS, 2006). H diversas ferramentas, comerciais e gratuitas (freeware e open source), em sistemas Windows ou UNIX / Linux, para percia computacional que ser definida pelo perito que realizar a anlise a qual a mais adequada para cada caso. Dentre tantas ferramentas podem-se identificar ferramentas para recuperao de dados, anlise pericial, anlise de memria, engenharia reversa, anlise de dados em uma rede, entre muitas outras. A seguir so exemplificadas algumas ferramentas que podem ser utilizadas em uma percia computacional, a seguir:

- IEHistoryView V1.37: um programa desenvolvido pela empresa Nirsoft, que visualiza Websites visitados do Microsoft Internet Explorer.

- IECookiesView v1.73: um pequeno utilitrio, que foi desenvolvido pela empresa Nirsoft, que exibe os detalhes de todos os cookies que foram armazenados em seu computador pelo o Microsoft Internet Explorer.

Pgina 18/27

- Everest Ultimate Edition: um programa completo de diagnstico de seu computador. Ele exibe as caractersticas do hardware, oferece parmetros para comparao, gera e exibe relatrios e apresenta alguns aspectos do que est ocorrendo em tempo real em seu computador (como processos em andamento). Com o uso deste programa, voc ter acesso s informaes tcnicas de seus softwares, placa-me, placas de vdeo, HD, memrias, monitor, etc. de forma muito mais completa e detalhada do que o sistema de informaes do Windows. O programa ainda gera relatrios com informaes previamente selecionadas (BAIXAKI, 2008).

- Ilook: O software ILook, trata-se de uma ferramenta de forense computacional usada para analisar os meios digitais dos sistemas

computacionais apreendidos. Desenvolvido por Elliot Spencer (ILOOK,2007), esse software tem potencialidade para examinar imagens inclusive de outras ferramentas de forense computacional, como SafeBack e Encase, e tambm de discos virtuais. Essa ferramenta precisa ser utilizada e acompanhada por no s por um perito dessa rea, mas tambm por acordos judiciais.

- GetDataBack: um software que serve para recuperao de dados, auxiliando na tarefa de restaurar tabelas de partio de discos, usado para recuperar diretrios perdidos devido ao ataque de um vrus, arquivos deletados, por falta de energia ou formatao. Como esse software bastante avanado, garantido que todos os diretrios e subdiretrios fiquem agrupados com a reestruturao correta.

- Recovery MyFiles: O Recover My Files, que foi desenvolvido pela GetData, uma ferramenta/utilitrio para recuperar a maioria dos arquivos que foram perdidos ou apagados por causa de vrus, apagados acidentalmente ou deliberadamente, falha no sistema, ou qualquer outro problema que tenha feito os arquivos serem apagados. Inclusive foi formatado e no h possibilidade de recuperar os dados. compatvel com os sistemas de arquivo FAT 12, FAT 16, FAT 32 e NTFS. Permite visualizar os documentos recuperados antes de salv-los. Recover My Files organiza os arquivos a serem recuperados por tipo, de forma que se voc perdeu todos os dados de um disco rgido e s lhe Pgina 19/27

interessa recuperar um determinado formato, possvel faz-lo facilmente. O programa organiza todos os arquivos por extenso, e voc poder ver todos ou apenas as extenses que desejar. (INFODowloads, 2008),

(SUPERDOWLOADS, 2008), (YESDOWLOADS, 2008).

- Easy Recover: De acordo com COSTA (2003) uma ferramenta de recuperao de arquivos apagados, desenvolvida pela Ontrack. O Easy Recovery possui uma coleo de ferramentas com o objetivo bsico de recuperao de dados perdidos. Recupera desde dados apagados, at de parties corrompidas. Possui alguns recursos que se pode destacar: Capacidade de gerar um disco de inicializao para recuperao de dados sem a necessidade de inicializao do Windows; Capacidade de recuperao de dados em discos ou parties que sofreram processo de formatao; capacidade de recuperao de dados de discos ou parties que sofreram processo de formatao; Capacidade de recuperao de dados de discos do qual no se possuem dados a respeito do sistema de arquivos utilizado; Capacidade de destinar os dados recuperados para disquetes (floppys), zip disks ou outros discos removveis, outro disco rgido ou ainda a uma unidade mapeada de rede.

- EnCase: A ferramenta EnCase, criada e patenteada pela empresa Guidance Software, que diretamente ligada ao setor forense computacional, uma das ferramentas mais completas no que se refere percia forense, pois alm de auxiliar na recuperao de arquivos excludos, padroniza laudos periciais, organiza um banco de dados com as evidncias, faz encription (fornece senhas do arquivo) e o decryption (quebra) as senhas) dos arquivos, analisa hardwares, logs, formatos e tipos de e-mail e fornece uma opo de se manusear e evidencia sem danific-la, alm de outras caractersticas (GUIDANCE, 2007). Alm de ser uma incrvel ferramenta para a soluo de investigaes, permite que a percia seja feita sem que haja alterao dos dados (provas), consegue visualizar at os arquivos de imagens que j foram deletados antes

Pgina 20/27

de recuper-los, gera relatrios detalhados do contedo contido no disco rgido e verifica as vulnerabilidades de redes.

- Camouflage: A Camouflage uma ferramenta de uso simples, que utiliza princpios bsicos de estenografia para poder ocular arquivos dentro de outros. Esse programa permite o envio e o recebimento de informaes de uma maneira simples e camuflada.

- Honeypots: um recurso computacional criado para oferecer um alvo fcil ao invasor, este ataca e compromete o recurso, oferecendo informaes da sua tcnica de invaso, ao criador do honeypot. A mquina pode ser uma mquina emulada ou uma mquina real conectada a uma rede. Segundo Spitzner (2003) o honeypot uma ferramenta que pode ser utilizada para simular servios ou sistema operacional e atravs de um determinado ataque, seja possvel evitar um ataque, servindo assim, para o estudo de diversos casos de invaso em um sistema. Assim concluiu-se que os honeypots tm a finalidade de descobrir novas ferramentas de ataque, de coletar cdigos maliciosos, acompanhar as vulnerabilidades de uma rede, possui uma exigncia de recursos mnimos (hardware) atacantes distantes dos sistemas mais importantes de uma organizao.

5.2 HARDWARE UTILIZADO EM PERCIA Para realizar um processo de anlise vlido, indispensvel um conjunto de ferramentas confivel e, principalmente, que as evidncias coletadas possam ser utilizadas em uma disputa judicial. A seguir, so apresentadas algumas ferramentas para auxiliar o perito em seu trabalho, com uma breve descrio de sua utilizao e finalidade (QUINTO, 2007).

- FastBloc: um hardware, fabricado pela Guidance, que permite a duplicao de discos IDE/SCSI conhecido por FastBloc, que permite a realizao no invasiva em ambiente Windows, de criao de arquivo de prova ou de mdia de destino. A empresa Guidance Software, alm de desenvolver softwares para percia forense, como EnCase, tambm desenvolve hardwares para a rea de Pgina 21/27

percia forense computacional, em conjunto com a empresa Wibe Tech, como o FastBlock 2 Lab Edition e Fiel Edition (QUINTO, 2007).

- Fiel Edition: uma ferramenta porttil, capaz de fazer bloqueios, criptografia, leituras e copias de discos rgidos no prprio local do incidente a ser periciado. O Hardware promove assim no s a coleta de dados, mas tambm a proteo dos coletados, apresentando tecnologias de comunicao ATA, SATA e USB (QUINTO, 2007).

- Estao F.R.E.D - Forensic Recovery of Evidence Device: Este hardware consiste em uma estao de percia para aquisio e anlise de evidncias em computadores. Possui recursos no encontrados em estaes padro de mercado e configurao bastante flexvel. Podem-se ter as seguintes configuraes mnimas: processador com 4 ncleos; memria com 8 GB de RAM; drives de 3 e 5 ; unidade leitora-gravadora de cartes de memria (MMC, MS, SD, etc.) com dispositivo bloqueador de escrita (por hardware); unidade leitora-gravadora de BD-R/BD-RE/DVD RW/CD RW; 3 baias de acesso externo com bloqueador de escrita, sendo pelo menos uma hotswappable para dispositivo SATA, uma hot-swappable para SCSI e outra hotswappable para dispositivo PATA; 3 discos rgidos com 500 GB de capacidade (SATA, PATA e SCSI); controladora dual Gigabit Ethernet (10/100/1000 Mbits/s); 2 Monitores LCD LED de 24, adaptador de vdeo (placa aceleradora de vdeo) com suporte a 2 monitores e memria de 512 MB; teclado e mouse wireless para facilitar a mobilidade, entre outros recursos.

Figura 4 . (F.R.E.D.) Forensic Recovery of Evidence Device .

Fonte: Digital Intelligence. Disponvel em: http://www.digitalintelligence.com.

Pgina 22/27

6. ESTUDO DE CASO Foi criado um caso fictcio que tem com objetivo exemplificar a aplicao da metodologia, das tcnicas e ferramentas utilizadas na percia forense aplicada informtica na busca de evidncias. No caso em estudo o crime cometido foi pornografia infantil por meio de um computador onde estava instalado o sistema operacional Windows. O nome do infrator no citado, no podendo ser divulgadas as fotos, por questo de tica profissional, o caso ser descrito a seguir.

6.1 RECEBIMENTO DO MATERIAL E A COLETA DOS DADOS Foi recebido um computador para serem realizados os exames periciais no HD na busca de evidncias para comprovar a existncia de arquivos que contenham pornografia infantil (pedofilia). Todo material recebido foi

fotografado. Utilizou-se do programa Everest instalado em um pendriver para ser realizada auditoria a fim de descrever pormenorizadamente os

componentes do computador suspeito (HD, placa me, memria etc.). Todo o equipamento recebido foi relacionado em um documento (cadeia de custdia), que contenha detalhadamente o material recebido, data e hora etc. Retirou-se o HD de 80 GB do computador suspeito e conectou-se ao hadware FastBloc para se realizado Duplicao de Dados, onde ser gerado uma imagem que a cpia perfeita (cpia bit a bit) do HD suspeito (original), incluindo os arquivos apagados, espaos livres e espaos no utilizados, para outro HD de destino com contedo idntico ao original. Ao final da duplicao, todos os arquivos contidos nessas mdias passam por um processo de garantia de integridade baseado no algoritmo SHA-512 (hash). Desta forma, qualquer alterao nessas mdias ticas (remoo, acrscimo, alterao de arquivos ou parte de arquivos), bem como a substituio de uma mdia tica por outra com teor diferente, pode ser detectada, o que garante a integridade dos dados. Como medida de segurana, os exames so realizados na cpia, preservandose o original.

Pgina 23/27

6.2 EXAME DOS DADOS Aps o recebimento do material e gerao da imagem necessrio que o perito inicie a busca por evidncias que comprovem a suspeita e responda aos quesitos formulados pela autoridade requisitante. Em seguida, o HD duplicado foi conectado ao computador pericial (estao F.R.E.D) por uma entrada hotswap que est bloqueado como somente leitura. E por meio do sotfware EnCase ser realizado os exames na imagem do HD suspeito: busca por palavras chaves, indexada, por tipos de arquivos (imagem, documento etc.), por data, tamanho etc. No final das

buscas, constatou-se diversos arquivos de imagem com a extenso jpg e jpeg e arquivos de internet com a extenso html que continham pornografia infantil. Alm disso, utilizou-se do programa IEHistoryView para visualizar os websites visitados pelo MS-Microsoft Internet Explorer, onde se constatou tambm acessos em sites de pornografia infantil.

6.3 ANLISE DAS INFORMAES Identificar as pessoas nas imagens (suspeito e crianas), locais e eventos. Determinar como esses elementos esto inter-relacionados. Constatou-se que o suspeito estava nas imagens com crianas no identificadas, que foram postadas em sites pornogrficos. As imagens foram tiradas por uma cmera digital da marca Sony. Constatou-se que no computador examinado s havia o usurio Administrador.

6.4 INTERPRETAO DOS RESULTADOS Aps a fase de anlise, foi elaborado um laudo pericial escrito de forma clara e concisa que elenca todas as evidncias localizadas e analisadas e que comprovam a materialidade do crime e os modus operandi do autor; a concluso foi imparcial e objetiva. As evidncias foram gravadas em um CD. O laudo pericial, o CD e o computador foram encaminhados a autoridade solicitante.

Pgina 24/27

7. CONCLUSO

Cada vez mais as pessoas esto usando os computadores e internet em casa, no trabalho e na escola. E realizam as mais diversas atividades, tais como fazer compras online, acessar o banco (Internet Banking), trocar informaes entre empresas e pessoas. No entanto, junto com avanos tecnolgicos vm os crimes relacionados com a informtica como vrus de computador, fraudes eletrnicas na internet, crimes contra a honra por meio de e-mails e em sites, pornografia infantil e at crimes contra a vida, entre outros, que aumentam todos os anos. Diante disso, faz-se necessrio que as polcias que no caso do Brasil os institutos de criminalsticas tanto na Polcia Civil quanto na Polcia Federal e instituies privadas mundiais invistam mais na implementao de melhores prticas de preveno, represso, investigao combate e soluo dos crimes praticados com a utilizao de meios eletrnicos (computador, internet, celular etc.). A rea da Percia Forense aplicada a Informtica vem crescendo continuamente devido tambm ao aumento do uso dos computadores, celulares, e outros meios eletrnicos, e da internet e consequentemente dos crimes digitais. Entender a necessidade da adoo de mtodos cientficos e uso de ferramentas especficas e eficientes para cada caso, aliado ao conhecimento tcnico e a ampla experincia do perito ou investigar mostra a importncia da Pericia Forense na produo de provas periciais fidedignas, irrefutveis e vlidas, objetivando a resoluo de problemas relacionados materializao do fato delituoso, em termos de circunstncias e autoria, contribuindo, assim, para a efetiva aplicao da lei penal pela Autoridade Policial, Ministrio Pblico, Judicirio, entre outros rgos. Este trabalho mostra de forma sucinta os conceitos da Percia Forense Aplicada Informtica para que possa contribuir de alguma maneira no esclarecimento sobre o tema onde no foi inteno esgot-lo. Assim, como proposta de trabalhos futuros cita-se a possibilidade de realizar um estudo mais avanado e completo sobre ferramentas especficas para um determinado ambiente (Linux ou Windows), internet, redes de computadores (wireless, ethernet etc.) tendo como objetivo exemplificar o uso dessas ferramentas em um caso real de percia computacional. Pgina 25/27

REFERNCIAS

ANGHER, Anne Joyce. Vade Mecum Universitrio de Direito. 6. ed. So Paulo SP: Ridel, 2009. ARAJO, Bruno Vinelli Nunes de Oliveira. Procedimentos Forense para Encontrar Evidncias de Crime de Pornografia Infantil em Computadores. Faculdade de Unibratec. Joo Pessoa, 2009. Disponvel em <www.nogueira.eti.br/.../Bruno%20%20Procedimentos%20Forense%20Crimes%20de%20Pornografia.> Acesso em 10/05/2010. BAIXAKI. Everest Utilmate Edition. Disponvel em <http://baixaki.ig.com.br/download/Everest-Ultimate-Edition.htm> Acesso em 3 de dezembro de 2008. CARUSO, Carlos; STEFFEN, Flvio. Segurana em Informtica e de Informaes. 2. ed. So Paulo: Senac, 1999. COSTA, Marcelo Antnio Sampaio Lemos. Computao Forense. Millennium Editora. 2 edio, 2003. FARMER, Dan; VENEMA, Wietse. Percia Forense Computacional Teoria e Prtica Aplicada Como investigar e esclarecer ocorrncias no mundo ciberntico. So Paulo: Perarson Prentice, 2007. FREITAS, Andrey Rodrigues de. Percia Forense Aplicada Informtica. Trabalho para o curso de Ps - Graduao Lato Sensu em Internet Securit. IBPI / Janeiro de 2003. GUIDANCE. About Encase Forensic. Disponvel em: <http://www.guidancesoftware.com/products/ef-index.aspx/> Acesso em: 18 de junho de 2008. ILOOK. em: <http://ilook-forensics.org/> Acesso em: 28 de jun. 2008. INFODownloads. Recover My Files 3.9. Disponvel em: <http://info. Disponvel abril.com.br/download/5267.shtml> Acesso em 31 agosto de 2008. LIMA, Paulo Marco Ferreira. Crimes de Computador e Segurana Computacional. Campinas SP: Millennium Editora, 2006. MARCHIORI, Rafael Bernades. Estudo de Ferramentas para Anlise Forense Computacional. Curso de Analise de Sistemas. Universidade So Francisco. Itatiba So Paulo Brasil. Junho de 2006. MONTEIRO, Marcos. Perito em Computao Forense. Disponvel em < http://www.marcosmonteiro.com.br > Acesso em 2 de junho de 2010.

Pgina 26/27

NG, Reynaldo. Forense Computacional Corporativa. Rio de Janeiro: Brasport, 2007. NIRSOFT. Disponvel em: <http://www.nirsoft.net> Acesso em 25 de novembro 2008. OLIVEIRA, Flvio de Souza; GUIMARES, Clio Cardoso; GEUS, Paulo Lcio. Resposta a Incidentes para Ambientes Corporativos Baseados em Windows. UNICAMP. Disponvel em < www.las.ic.unicamp.br/.../2002-WSegflavio.oliveira-resposta.incidentes.pdf> Acesso em 10/05/2010. QUINTO, Patrcia Lima; TEIXEIRA, Carla da Silva; BATIASTA, Mnica de Lourdes Souza; VARGAS, Raffael Gomes. Uma Abordagem Sobre Forense Computacional. Bacharelado em Sistemas de Informao Faculdade Metodista Granbery (FMG). Revista Eletrnica da Faculdade Metodista Granbery. ISSN 1981 0377. Faculdade de Sistemas de Informao julho dezembro 2007. Disponvel em: <http://re.granbery.edu.br> Acesso em: 28 de outubro 2008. SCAMBRAY, Joel; MCCLURE, Stuart; KURTZ, George. Hackers Expostos. So Paulo SP: 2 Edio, 2002. SPITZER, L. Honeypots: Definotions and Value of Honeypots. Disponvel em: <http://www.spitzner.net/honeypots.html> Acesso em 20 junho de 2008. SUPERDOWNLOADS. Recover My Files 3.9.8.6081. Disponvel em <http://superdownloads.uol.com.br/download/43/recover-my-files/> Acesso em: 31 agosto de 2008. TAMAKI, Danielle Mayumi Campos. Percia Forense Computacional. Departamento de Matemtica e Computao. Instituto de Cincias Exatas. Universidade Federal de Itajub. TAVARES, Diego. Forense Computacional. PET Computao. Disponvel em: < www.dsc.ufcg.edu.br/~pet/.../ciclo.../Forense_Computacional.pdf >. Acesso em 29/07/2010. YESDOWLOADS. Recovery My Files 3.98. Disponvel em <http://www.yesdownloads.org/2008/05/recover-my-files-398-build-5992.html> Acesso em: 31 agosto, 2008. VARGAS, Rafael Gomes. Processos e Padres em Percia Forense Aplicada a Informtica. Faculdade Metodista Grandery FMG. Curso de Bacharelado em Sistemas de Informao. Juiz de Fora, 2006.

Pgina 27/27