Computação Forense Carlos Andre Viganó Ferrari Daniel Alvarenga Campos Jorge Aluísio Tescaro Mauri Carvalho RA RA RA RA 03134772 03147337 05004734 03127412 Introdução A cada dia que passa o computador se torna mais presente na vida das pessoas. Processando todo tipo de informação e tendo sua velocidade crescendo em um ritmo cada vez mais rápido, ele é uma ferramenta cada vez mais necessária no planejamento e na execução de tarefas tanto profissionais, quanto pessoais, proporcionando níveis de produtividade e interatividade, antes, inimagináveis. 2 Porém, juntamente com a facilidade criada, surgiram novas formas de crimes, tanto planejados, quanto executados no mundo virtual. Tais crimes fizeram surgir a necessidade de criar uma nova modalidade de computação, visando evitar tais delitos antes mesmo que ocorram e poder rastrear e punir pessoas que utilizam desta ferramenta para estes fins, a computação forense. 3 Segundo o Departamento de Polícia Técnica (DPT), a definição da coordenação da computação forense seria: “A Coordenação de Computação Forense realiza atividades e perícias relativas aos crimes de informática, tais como fraudes contra a administração pública, rastreamento de ameaças feitas via Internet, pedofilia, invasão de sistemas, quebra de privacidade de dados e outros. Promove a realização de exames em equipamentos de informática em busca de evidências e provas de crimes das mais diversas naturezas. Promove ainda, perícia em crimes contra o consumidor no que tange a hardwares e softwares, recuperação de conteúdo em discos rígidos e mídias de backup relacionados com destruição de provas de crimes.”. 4 Legislação O Código Processual Civil estabelece em seu art. 332 que podem ser admitidos como prova "Todos os meios legais, bem como os moralmente legítimos, ainda que não especificados neste Código, são hábeis para provar a verdade dos fatos, em que se funda a ação ou a defesa." Isso pode nos levar a crer que os ambientes computacionais oferecem vestígios para a busca da verdade, e não serão considerados a menos que sofram exame direto. Isso indica que o profissional em forense computacional, quando convocado e devidamente habilitado, deverá examinar o ambiente na busca de evidências para análise e confecção do laudo. 5 Primeiramente, é importante salientar que documento, em Direito, não é somente o papel escrito e assinado. Luiz Rodrigues Wambier (1) nos ensina: “conceitua-se documento como todo objeto capaz de “cristalizar” um fato transeunte, tornandoo, sob certo aspecto, permanente”. Consideramos documento todo objeto que representa, por meio de alguma linguagem, de forma permanente ou temporária, um fato da vida real, uma manifestação de pensamento. 6 São documentos: a fotografia, gravação de imagem e/ou som em fitas magnéticas (K-7 ou VHS), pinturas em quadros ou telas, esculturas, livros, dentre outros. E documento eletrônico é aquele “que se encontra memorizado em forma digital, não perceptível para os seres humanos senão mediante intermediação de um computador. Nada mais é do que seqüência de bits, que, por meio de um programa computacional, mostrar-nos-á um fato”, nas palavras de Gandini, Salomão e Jacob. Assim sendo, são documentos eletrônicos os emails, as fotos e filmes digitais, as páginas de Internet, as planilhas eletrônicas e tudo mais que se possa fazer com a linguagem binária (ou outras), de modo a expressar ou representar determinado fato da vida real. 7 E-mail como prova documental Duas iniciativas legislativas recentes contribuem para fortificar ainda mais o envio de uma mensagem eletrônica como prova jurídica. O Projeto de Lei 7.316/02, do Instituto de Tecnologia e Informação (ITI), que irá substituir a Medida Provisória 2.200/01, sobre a certificação digital, faz com que documentos assinados eletronicamente ganhem o mesmo valor jurídico de um documento de papel. Outro projeto de lei, de nº 6.693/06, apresentado pela senadora Sandra Rosado (PSBRN), também propõe validar as mensagens de correio eletrônico como prova documental. 8 No entanto, a validação jurídica de e-mails já é um serviço disponível a internautas e empresas desde 2003. Um serviço interessante, o Comprova.com, é um serviço de e-mail que funciona como uma carta registrada na internet. O serviço agrega às mensagens de e-mail um selo, emitido pelo Observatório Nacional, órgão do Ministério da Ciência e Tecnologia, que é um comprovante oficial do conteúdo e da hora em que o documento foi enviado e recebido. Além disso, o Comprova.com faz uma espécie de perícia digital no envio das mensagens, atesta que o e-mail foi efetivamente entregue na caixa postal do destinatário. 9 Técnicas para a coleta de provas Alguns dos procedimentos para coleta de evidências: - Estabeleça políticas que permitam admissibilidade dos dados coletados. - Documente as causas para iniciar o exame. - Documente todo o ambiente a ser analisado, incluindo instalações físicas. - Colete dados voláteis. Lembre-se de, em princípio, não desligar os equipamentos. - Colete dados persistentes e documente cada passo. - Gere códigos hash para cada arquivo suspeito encontrado no(s) disco(s). Exemplo: MD5 10 Os vestígios devem ser procurados em todas as fontes possíveis e relevantes, observando a ordem de volatilidade das mesmas. Eis algumas fontes de informação: . . . . . . . . Setor de inicialização Sistema de arquivos Arquivos de log Espaços não utilizados no disco Arquivos temporários Área de swap Memória Periféricos 11 Dependendo do caso em que for atuar, as possibilidades são bastante variadas. Inicialmente o perito deve procurar a resposta para cinco questões: 01. 02. 03. 04. 05. Quando? Onde? Como? Por quê? Quem? 12 Esteganografia Esteganografia é o estudo e uso de técnicas para ocultar a existência de uma mensagem dentro de outra. Ao contrário da criptografia, que procura esconder a informação da mensagem, a esteganografia procura esconder a existência da mensagem. A esteganografia está presente em nossas vidas mais do que possamos imaginar. Pegue qualquer cédula monetária em sua carteira ou mesmo um documento de identificação e poderá verificar que existem inúmeras mensagens escondidas. Muitas destas mensagens só poderão ser vistas a olho nu com auxílio de equipamentos, lentes, reagentes químicos, ou fotorreagentes. 13 Recuperação de Dados A reconstrução dos arquivos a partir do sistema operacional é um dos principais conhecimentos necessários ao examinador forense. Arquivos também são danificados a partir de vírus, setores ilegíveis, desligamento indevido, encerramento de aplicação de forma incorreta ou qualquer outro evento que torne o arquivo inacessível. Nem todos os arquivos sempre poderão ser recuperados integralmente. Dependendo de fatores como tipo, tamanho, data de exclusão, utilização do disco dentre outros, a recuperação se torna mais difícil. No entanto, as ferramentas estão cada vez mais aprimoradas e hoje é possível realizar um exame ou simplesmente recuperar seus arquivos usando ferramentas gratuitas. Vale lembrar que há diferenças entre ferramentas de recuperação de disco e de arquivos. 14 Ferramentas F. I. R. E. – First and Incident Response Environment Talvez fosse um dos kits mais usados no mundo. Traz em um CD, “bootável”, uma coleção de softwares capazes de coletar evidências em diversos ambientes computacionais. No entanto, já faz um bom tempo que não sofre atualizações e, a medida do surgimento de novas versões de sistemas operacionais e aplicativos, se tornou um kit aquém de sua proposta inicial. Embora o projeto não sofra atualizações, seus 196 pacotes são de bastante utilidade, distribuídos em softwares baseados em licenças públicas ou equivalentes. Para preparar seu próprio kit, entre no site do projeto cujo endereço é http://fire.dmzs.com, 15 EnCase® Forensic O EnCase (www.encase.com) é uma ferramenta que desde 1998 é a preferida entre os examinadores. Suas características não invasivas realizam uma perícia sem alteração da evidência além de propiciar vários relatórios detalhados do conteúdo periciado. Possui suporte a diversos tipos de tabelas de alocações de arquivos como FAT, NTFS, HFS e CDFS, permitindo o exame na maioria dos sistemas operacionais. Mesmo sabendo que o uso de uma ferramenta não substitui o conhecimento científico, a cada dia surgem ferramentas que permitem ao examinador a otimização de seu trabalho e, segundo o fabricante do EnCase, o uso desta ferramenta ajuda a reduzir o tempo de investigação em até 65%. Diria que é uma ferramenta perfeita para localização de arquivos excluídos e de acessos a caixa postais de programas como Outlook e Notes. 16 Casos Reais Em maio de 1999, Sharon Guthrie, de 54 anos, morre afogada na banheira de sua casa em Dakota, EUA [1]. A autópsia revelou que foi encontrada a droga Temazepan, usada para auxiliar o sono. Seu marido, o pastor Willian Guthrie, foi quem indicou o medicamento a sua esposa. Porém este fato, por si só, não é convincente o suficiente para acusá-lo como culpado. Com isso, a polícia contratou o perito em computação científica, Judd Robbins, para examinar os computadores utilizados pelo pastor na igreja. Após alguns dias de análise, foi descoberto que o acusado tinha pesquisado na internet sites que explicavam como matar de forma eficaz e indolor incluindo o uso do Temazepan. Repetidas consultas como “acidentes na banheira” e “acidentes domésticos” também foram identificadas no histórico do computador usado por Guthrie. Esse fato foi essencial para o júri considerar Willian Guthrie como culpado. 17 Um corretor de imóveis foi condenado por homicídio tendo como meio de prova um laudo pericial que indicava a localização do suspeito no momento do crime. A estação rádio-base (Erb) — ou antena de celular — detectou a presença do aparelho do corretor próximo da cena do crime, no mesmo horário o que contrariava o depoimento do suspeito que dissera estar em um outro lugar. O sinal foi captado pela antena e, a partir do ponto em que se encontrava o celular, foi realizado o cálculo sobre sua localização. A margem de erro, nesses casos, é de aproximadamente cem metros. Claro que este não foi o único fator para o indiciamento do corretor. Entretanto, a prova circunstancial apresentada ajudou a influenciar o júri a condená-lo por seis votos a um, pois o rastreamento de celular se enquadra como prova científica desde que seja obtido através de 18 autorização judicial. Formação do profissional de Forense Computacional EUA -ACFE - Association of Certified Fraud Examiners (www.acfe.com) -EC-Council - International Council of E-Commerce Consultants (www.eccouncil.org) -HTCIA - High Technology Crime Investigation Association (www.htcia.org) -IIA - Institute of Internal Auditors (www.theiia.org) -ISACA - Information Systems Control Association (www.isaca.org) -ISC2 - The International Information Systems Security Certification Consortium (www.isc2.org) -ISSA - International Systems Security Association (www.issa.org) -SANS - SysAdmin, Audit, Network, Security (www.sans.org) Brasil - A Módulo (www.modulo.com.br) e a Axur (www.axur.com.br) lançaram recentemente o curso de forense computacional. Após o curso é oferecida uma prova e os candidatos aprovados recebem certificados com os respectivos títulos. 19 Conclusão "Ciência da computação tem tanto a ver com o computador como a Astronomia com o telescópio, a Biologia com o microscópio, ou a Química com os tubos de ensaio. A Ciência não estuda ferramentas, mas o que fazemos e o que descobrimos com elas." Edsger Dijkstra "O dever de um perito é dizer a verdade; no entanto, para isso é necessário: primeiro saber encontrá-la e, depois querer dizê-la. O primeiro é um problema científico, o segundo é um problema moral." Nerio Rojas 20 Bibliografia BUSTAMANTE, L. Introdução à computação forense. Jun. 2006, Portal iMasters. Disponível em:<http://imasters.uol.com.br/artigo/4175/forense/introducao_a_computacao_forense/> Acesso em: 3 set. 2008. BUSTAMANTE, L. Verificando a integridade dos arquivos forense. Jun. 2006, Portal iMasters. Disponível em:<http://imasters.uol.com.br/artigo/4199/forense/verificando_integridade_dos_arquivos_forense/> Acesso em: 3 set. 2008. BUSTAMANTE, L. Computação Forense - Novo campo de atuação do profissional de informática. Jul. 2006, Portal iMasters. Disponível em:<http://imasters.uol.com.br/artigo/4288/forense/computacao_forense__novo_campo_de_atuacao_do_profissional_de_informatica/> Acesso em: 3 set. 2008. BUSTAMANTE, L. Computação Forense - Preparando o ambiente de trabalho. Jul. 2006, Portal iMasters. Disponível em:<http://imasters.uol.com.br/artigo/4335/forense/computacao_forense__preparando_o_ambiente_de_trabalho/> Acesso em: 3 set. 2008. BUSTAMANTE, L. Computação Forense - Certificação e Formação. Jul. 2006, Portal iMasters. Disponível em:<http://imasters.uol.com.br/artigo/4403/forense/computacao_forense_-_certificacao_e_formacao/> Acesso em: 3 set. 2008. BUSTAMANTE, L. Recuperação de Dados. Ago. 2006, Portal iMasters. Disponível em:<http://imasters.uol.com.br/artigo/4475/forense/recuperacao_de_dados/> Acesso em: 3 set. 2008. BUSTAMANTE, L. Esteganografia - A Arte de Esconder. Ago. 2006, Portal iMasters. Disponível em:<http://imasters.uol.com.br/artigo/4500/forense/esteganografia_-_a_arte_de_esconder/> Acesso em: 3 set. 2008. BUSTAMANTE, L. Logs - No rastro de evidências. Ago. 2006, Portal iMasters. Disponível em:<http://imasters.uol.com.br/artigo/4561/forense/logs_-_no_rastro_de_evidencias/> Acesso em: 3 set. 2008. BUSTAMANTE, L. O papel da computação forense para a autoridade policial. Set. 2006, Portal iMasters. Disponível em:<http://imasters.uol.com.br/artigo/4729/forense/o_papel_da_computacao_forense_para_a_autoridade_ policial/> Acesso em: 3 set. 2008. 21