SlideShare uma empresa Scribd logo

345019962-Tecnicas-Antiforenses-Em-Desktops.pdf

G
GuiomarRibeiro3

O documento apresenta um trabalho de conclusão de curso de especialização em perícia digital sobre técnicas antiforense em desktops. O trabalho descreve as principais técnicas e ferramentas antiforense usadas para destruir, ocultar e camuflar dados, aplica essas técnicas em um estudo de caso e analisa o impacto na perícia forense.

Internet
1 de 22
Baixar para ler offline
-- Pró-Reitoria de Pós-Graduação e Pesquisa Lato Sensu em Perícia Digital Trabalho de Conclusão de Curso TÉCNICAS ANTIFORENSE EM DESKTOPS Autor: Carlos André Evangelista de Souza Orientador: Prof. Esp. João Eriberto Mota Filho Brasília - DF 2012
CARLOS ANDRÉ EVANGELISTA DE SOUZA TÉCNICAS ANTIFORENSE EM DESKTOPS Artigo apresentado ao curso de pós-graduação em Perícia Digital da Universidade Católica de Brasília, como requisito parcial para obtenção do Título de Especialista em Perícia Digital. Orientador: Prof. Esp. João Eriberto Mota Filho Brasília 2012
Artigo de autoria de Carlos André Evangelista de Souza, intitulado “TÉCNICAS ANTIFORENSE EM DESKTOPS”, apresentado como requisito parcial para obtenção do grau de Especialização em Perícia Digital da Universidade Católica de Brasília, em 02 de junho de 2012, defendido e aprovado, pela banca examinadora abaixo assinada: __________________________________________ Professor Esp. João Eriberto Mota Filho Orientador Pós em Perícia Digital - UCB _________________________________________ Professor Msc. Paulo Roberto Corrêa Leão Examinador Pós em Perícia Digital - UCB Brasília 2012
A Deus Pai, infinito em sua misericórdia, que continua derramando bênçãos sem medidas em minha vida, e que permitiu a realização deste trabalho. À minha mãe – Maria Evangelista de Souza – que sempre lutou pela minha educação e a dos meus irmãos – Leide Daiane Evangelista de Souza e Tone Ramos Evangelista de Souza, e à minha amada esposa – Silvana Pereira Dantas Evangelista de Souza, e é graças a eles que consegui.
AGRADECIMENTOS Aos meus amigos de Serpro por toda troca de experiência acerca do assunto deste artigo. Aos meus professores, em especial ao meu professor orientador – João Eriberto Mota Filho, pelo apoio dispensado na confecção desse trabalho.
“Sem esforço não existe vitória, não existe felicidade plena.” Chiara Lubich
6 TÉCNICAS ANTIFORENSE EM DESKTOPS CARLOS ANDRÉ EVANGELISTA DE SOUZA Resumo: A atividade de antiforense concentra-se em dificultar ou impossibilitar uma perícia forense num recurso computacional, enquanto que a perícia forense busca evidências que possam direcionar o entendimento do caso. O escopo deste trabalho é descrever as técnicas e ferramentas antiforense mais eficientes e as consequências desses numa perícia “post mortem”. Essas informações foram coletadas em livros, revistas especializadas, sites relacionados com o tema e outros trabalhos com conteúdos similares. Além de um estudo de caso com a aplicação prática de uma dessas técnicas antiforense e o impacto disto na perícia forense. Palavras-chave: Forense. Antiforense. Segurança. Perícia Forense. Criptografia 1 INTRODUÇÃO Como cada vez mais pessoas e empresas optam por realizar seus negócios através de computadores e da Internet, para a troca de informações, compras online, transações bancárias, dentre outras atividades relacionadas, o computador passou a fazer parte da vida de milhões de pessoas, aumentando cada vez mais a dependência desse recurso. Por outro lado, os ataques de segurança vêm continuamente crescendo em vários aspectos, sofisticação, velocidade, criticidade, gravidade e compromisso, com isso a pesquisa em segurança da informação tem tido crescimento ao longo desses últimos anos na investigação forense computacional. A forense computacional tem como objetivo realizar uma análise pós-incidente sobre os sistemas comprometidos e fazer perguntas sobre eventos passados. Permite ao perito, de posse de um caso, reconstruir um cenário, recuperar arquivos importantes acerca do mesmo e traçar o perfil do usuário do computador. A informação digital armazenada, gerada, processada, ou transmitida por sistemas de rede, é usada como fonte de prova. Quanto mais precisos e completos os dados, melhor e mais abrangente a avaliação pode ser. Em contrapartida, há técnicas e ferramentas que podem ser utilizadas para frustrar a forense, apagando definitivamente o arquivo, ocultando ou camuflando dados importantes para o caso, como logs, cookies, históricos, entre outros. Isso dificulta o trabalho do perito forense, pois as prováveis evidências que poderiam ser utilizadas como provas foram comprometidas, reduzindo a quantidade e a qualidade dos dados probatórios. Sabendo que a segurança e a perícia tentam encontrar as evidências deixadas pelos crimes, a evolução destes tende sempre a deixar menos vestígios possíveis, ficando cada vez mais difícil a percepção pela perícia, e dando origem à ciência antiforense, na qual deriva as técnicas antiforense. Que é o novo grande desafio para a comunidade forense computacional. Com a popularidade dessas ferramentas antiforense, de fácil obtenção na Internet, é cada vez mais comum o seu uso não só por peritos forenses, mas por pessoas mal intencionadas como hackers, crackers, script kiddies, entre outros. Esse artigo apresenta como pessoas mal intencionadas podem utilizar essas ferramentas para eliminar seus rastros e a eficácia e eficiência dessas técnicas.
7 1.1 JUSTIFICATIVA O perito forense tem que ter a ciência das técnicas que podem ser utilizadas para a destruição, ocultação e camuflagem dos dados e o impacto dessas técnicas na análise “post mortem”. No processo de análise de uma perícia forense, conhecer como um invasor ou criminoso pode atuar, utilizando essas ferramentas e técnicas antiforense, pode fazer a diferença no resultado final, facilitando a busca por evidências. Informações acerca dessas ferramentas e técnicas são de fácil obtenção na Internet e em diversas bibliografias, pois com a utilização de simples filtros em mecanismos de busca é retornada uma gama de ferramentas para esse fim, além da popularidade de distribuições Linux como Backtrack, que já traz uma lista interessante dessas ferramentas prontas para serem utilizadas. Por trabalhar especificamente com administração de ambiente Linux, numa instituição governamental, que sofre ataques constantemente, entender a simplicidade e a facilidade da execução dessas ferramentas tornaria possível a aplicação de contramedidas, evitando problemas futuros. 1.2 DELIMITAÇÃO DO TEMA Atualmente existe uma grande diversidade de ferramentas e técnicas antiforense, cada vez mais populares. O foco desta pesquisa é analisar a eficácia e eficiência das principais técnicas e ferramentas antiforense utilizadas por usuários mal intencionados, tais como: criptografia, esteganografia, saneamento e camuflagem dos dados, entre outras. 1.3 PROBLEMA 1.3.1 Contextualização do problema Existem atualmente algumas técnicas e diversas ferramentas antiforense que podem ser utilizadas para dificultar a perícia forense. 1.3.2 Enunciado do problema A utilização das principais técnicas e ferramentas antiforense destrói, ocultam e camuflam os dados de delitos no processo de coleta de evidências numa perícia forense?
8 1.4 HIPÓTESE As principais técnicas e ferramentas antiforense, quando utilizadas pelo usuário mal intencionado, destroem, ocultam e camuflam os dados de delitos no processo de coleta de evidências numa perícia forense. 1.5 PROPÓSITOS 1.5.1 Objetivo Geral Analisar as principais técnicas e ferramentas antiforense usadas para destruição, ocultação e camuflagem de dados. 1.5.2 Objetivos Específicos Para alcançar o objetivo geral é necessário: a) apresentar o estado da arte de referências sobre técnicas e ferramentas antiforense e perícia forense; b) listar as principais técnicas antiforense para destruição, ocultação e camuflagem de dados; c) aplicar as principais técnicas e ferramentas antiforense num estudo de caso; d) coletar uma imagem de um desktop Linux para uso em laboratório; e e) construir um laboratório que servirá como base para análise. 2. DESENVOLVIMENTO 2.1 REFERENCIAL TEÓRICO As referências utilizadas são: a) uma apresentação na Black Hat 2009 cujo titulo é: “Anti-Forensics: The Rootkit Connection”, feita por Bill Bluden no qual classifica em categorias a antiforense; b) uma apostila da 4Linux com o titulo de: “Pen Test: Teste de Invasão em Redes Corporativas” que apresenta com detalhes ferramentas antiforense utilizadas por hackers e a facilidade de uso tomando como base a distribuição Linux Backtrack; e c) um dos livros da coleção Hacking Exposed, com o título: “Hacking Exposed: Computer Forensics – Secrets & Solutions” que contém um tópico só com antiforense.
9 2.2 MATERIAIS E METODOLOGIA As metodologias que caracterizaram esta pesquisa, bem como a forma como será a coleta e tratamento dos dados, o resultado obtido e as análises desses dados. 2.2.1 Classificação da pesquisa Os tipos de metodologias a serem utilizadas nesta pesquisa embasaram-se em Vergara (2010, p.41-44) que a divide em “dois critérios básicos: quanto aos fins e quanto aos meios". Quanto aos fins, esta pesquisa é aplicada e quanto aos meios de investigação: pesquisa de laboratório; bibliográfica e estudo de caso. Pesquisa aplicada porque o intuito deste estudo é ampliar conhecimentos em Perícia Forense e em situações acadêmicas de assuntos relacionados, bem como na aplicação prática de técnicas de antiforense computacional com finalidade de obtenção de informações úteis à investigação criminal, a serem utilizados pelos peritos forenses. Pesquisa bibliográfica segundo Martins (2011, p.86) “é o ponto de partida de toda pesquisa, levantamento de informações feito a partir de material coletado em livros, revistas, artigos, jornais, sites da Internet e em outras fontes escritas, devidamente publicadas”. Pesquisa em laboratório segundo Vergara (2010, p.43) “é experiência realizada em local circunscrito”. Serão realizadas simulações em computador a partir de uma imagem real de um computador atacado para então produzir resultados. O estudo de caso segundo Martins (2011, p.87) “é um meio para se coletar dados preservando o caráter unitário do objeto a ser estudado”. De posse de uma imagem de um computador atacado serão analisadas as técnicas e ferramentas antiforense utilizadas pelo atacante. 2.2.2 Instrumentos e Procedimentos O instrumento e procedimentos desta pesquisa correspondem a simulações em computador e a um estudo de caso cujas fases são descritas a seguir: a) coleta de uma imagem de um desktop com sistema operacional Linux; b) montagem em laboratório de uma estrutura que permita a análise das técnicas antiforense utilizadas na invasão e na tentativa de limpeza dos rastros; c) serão aplicadas diversas técnicas e ferramentas antiforense na imagem coletada; e d) análise dos resultados obtidos em laboratório. 2.3 FORENSE COMPUTACIONAL Tem como objetivo principal determinar à dinâmica, a materialidade e autoria de ilícitos ligados à área de informática, tendo como questão principal a identificação e o processamento de evidências digitais em provas materiais de crime, por meio de métodos
10 técnico-científicos, conferindo-lhe validade probatória em juízo (ELEUTÉRIO; MACHADO, 2010, p.16-17). É uma área que envolve a análise e coleta de vestígios e evidências digitais em equipamentos computacionais envolvidos em procedimentos ilícitos e crimes de qualquer natureza (ELEUTÉRIO; MACHADO, 2011). Um modelo internacional publicado e divulgado pelo Departamento de Justiça dos Estados Unidos sugere as seguintes etapas no processo investigativo (BARYAMUREEBA, 2004). a) coleta: Envolve a busca por evidências, o reconhecimento de provas, coleta de provas e documentação; b) exame: Projetado para facilitar a visibilidade de provas, ao explicar sua origem e significado. Trata-se de revelar informações ocultas e obscuras e a documentação pertinente; c) análise: Este olha para o produto do exame para o seu significado e probatório valor para o caso; e d) relatórios: Isso leva a escrever um relatório sobre o processo de exame e pertinentes dados recuperados a partir da investigação em geral. A análise forense de um sistema envolve um ciclo de coleta de dados e processamento das informações coletadas. Quanto mais precisos e completos os dados, melhor e mais abrangente a avaliação pode ser (FARMER; VENEMA, 2007). 2.4 ANTIFORENSE É qualquer alteração intencional ou acidental que possa obscurecer criptografar ou esconder dados de ferramentas forenses. A maioria dos suspeitos acredita que, seguindo as técnicas ilustradas neste artigo e em outras publicações, podem esconder seus rastros. Tentando fazer isso, porém, muitas vezes apenas ajudam o investigador saber onde procurar por evidências. Na verdade, um suspeito que tenta esconder a evidência pode realmente fortalecer o sucesso de um investigador para descobrir isso (PHILIPP et al., 2010. p.223). Um dos princípios fundamentais da forense é o Principio da Troca de Locard. De acordo com esse principio qualquer um, ou qualquer coisa, que entra em um local de crime leva consigo algo do local e deixa alguma coisa para trás quando parte. Este também se aplica na forense computacional, uma vez que todo evento realizado em um computador deixa evidências, algumas difíceis de serem identificados ou seguidos, mas existem. Há várias definições para antiforense e diversos métodos. O Quadro 1 abaixo descreve uma das classificações possíveis para os métodos antiforense: destruição, ocultação, eliminação da fonte e falsificação. Quadro 1 – Classificação dos métodos antiforense. Nome Destruição Ocultação Eliminação da fonte Falsificação Alterações MACE Apagar as informações MACE ou sobrescrever com dados inúteis. Sobrescrever com os dados que fornecem informações enganosas para os investigadores. Remover/esterilizar Reescrever o Excluir o
11 arquivos conteúdo com dados aleatórios. arquivo. Encapsulamento de dados Ocultar um arquivo em outro. Sequestro de Conta Criar evidência para culpar outra pessoa por atos irregulares. Arquivo autodestrutivo. Desabilitar logs Informações sobre a atividade não é gravada. Fonte: Harris (2006). Os dados que podem ser utilizados como evidências podem ser destruídos total ou parcialmente, em nível lógico e físico, evitando que sejam encontrados. Dados sobrescritos em mídia não podem ser recuperados em nível de software, salvo em condições especiais. A ocultação das evidências reduz as chances de sucesso numa investigação preliminar, exigindo que a perícia seja mais minuciosa (HARRIS, 2006). Podem ser utilizados no processo ferramentas de criptografia e esteganografia, que podem ser obtidas facilmente na internet além de ser fácil o seu uso. A eliminação da fonte de evidências probatória envolve a neutralização das fontes. Não há necessidade de destruir as provas uma vez que nunca são criadas. No entanto, a própria falta de provas pode tornar-se evidência. Isso parece contraditório se não considerarmos uma arma completamente desprovida de impressões digitais. Um bom investigador pode pensar que o criminoso usava luvas, para que ele pudesse assumir que o assassinato foi cuidadosamente planejado. Essas observações aplicam-se ao mundo digital (HARRIS, 2006). Falsificação é o ato de criar uma falsa versão da prova que é projetado para parecer outra coisa. Isto inclui criação de evidência que funciona como um ataque contra o processo ou ferramentas (HARRIS, 2006). Uma das coisas mais simples de entender e usar em uma investigação são os mactimes. Eles são simplesmente uma maneira abreviada de se referir aos três atributos de tempo – mtime, atime e ctime – que são anexados a qualquer arquivo ou diretório no UNIX, Windows e em outros sistemas de arquivos. O atributo atime refere-se à última data/hora em que o arquivo ou diretório foi acessado. O atributo mtime, ao contrário, muda quando o conteúdo de um arquivo é modificado. O atributo ctime monitora quando o conteúdo ou as meta-informações sobre o arquivo mudaram: o proprietário, o grupo, as permissões de arquivo e assim por diante (FARMER; VENEMA, 2007). Um mecanismo eficiente de recuperação de arquivos excluídos também pode ser decisivo durante uma análise forense, uma vez que na tentativa de esconder suas ações, os invasores podem apagar arquivos que possam denunciar sua presença. O problema é que existem inúmeras ferramentas para se efetuar uma exclusão de forma segura: são as chamadas ferramentas de wipping.
12 2.4.1 Criptografia É uma técnica utilizada para transformar uma informação na sua forma original para outra ilegível. Isso é feito para que somente pessoas autorizadas, ou detentoras da chave criptográfica, possam realizar o processo inverso e ler a mensagem original (ELEUTÉRIO; MACHADO, 2010, p.85). O uso da criptografia assume que o método utilizado para criptografar é de domínio público, e a segurança reside na escolha da chave. Exemplificando, os conceitos criptográficos buscam solucionar os problemas comuns a duas situações básicas: proteger as informações armazenadas e utilizadas sempre pela mesma entidade, e a proteção de informações trocadas entre duas pessoas (ou entidades) diferentes. Todos os algoritmos de criptografia são baseados em dois princípios gerais: substituição, em que cada elemento no texto claro (bit, letra, grupo de bits ou letras) é mapeado em outro elemento, e transposição, em que os elementos no texto claro são reorganizados (STALLINGS, 2008, p.19). Boa parte dos sistemas de arquivos atuais que suportam criptografia, disponíveis facilmente para Windows, Mac OS e Linux, criptografam quando o dado é escrito para o disco e descriptografam quando esses são lidos, tornando-os invisíveis para qualquer atacante que não tem a chave, trazendo uma proteção efetiva. 2.4.2 Esteganografia É uma técnica que consiste em ocultar uma mensagem dentro da outra. Enquanto a criptografia tenta codificar o conteúdo, a esteganografia tenta camuflar uma mensagem dentro da outra (ELEUTÉRIO; MACHADO, 2010, p.86). Uma mensagem de texto claro pode estar oculta de duas maneiras. Os métodos de esteganografia escondem a existência da mensagem, enquanto os métodos de criptografia tornam a mensagem ininteligível a estranhos por meio de várias transformações do texto (STALLINGS, 2008, p.34). Usando as ferramentas de esteganografia disponíveis hoje, os suspeitos podem até esconder dados, mensagens, arquivos, dentro de arquivos do tipo imagem ou do tipo áudio, tornando-os imperceptíveis aos sentidos humanos. O uso dessa técnica pode ser usado para diversos fins, dentre elas, roubo de dados, ocultação de arquivos pornográficos ou quaisquer outras evidências que possam vir a ajudar numa análise post-mortem. 2.4.3 Rootkits São programas simples, geralmente rodando como um serviço isolado e fornecendo acesso a uma backdoor (SEIFRIED, 2009). De acordo com (SHADOWSERVER, 2007) Rootkit é um conjunto de programas maliciosos, projetados para modificar o sistema operacional, do computador atacado, para ocultar, do usuário do sistema, a invasão, a presença do invasor e de outros programas maliciosos instalados.
13 Na visão de (MORIMOTO, 2008) Rootkits são “softwares que exploram um conjunto de vulnerabilidades conhecidas para tentar obter privilégios de root na máquina afetada”. Rootkits geralmente são utilizados, num cenário de invasão de computador, para garantir acesso posterior por meio da instalação de uma Backdoor, na remoção dos rastros do ataque apagando as logs do sistema operacional ou até mesmo na criação de contas de usuários. Enfim, o objetivo é esconder arquivos, conexões de rede e endereços de memória do administrador do sistema. As técnicas usadas para obter essa funcionalidade variam, dividindo os Rootkits em quatro categorias: Virtualizado, Kernel, Biblioteca e Aplicação. Os Rootkits virtualizados são aqueles que modificam a sequência de inicialização da máquina, iniciando primeiro o Rootkit, que por sua vez inicia o sistema operacional como uma máquina virtual, podendo interceptar todas as chamadas de sistema do sistema operacional. Os de kernel funcionam adicionando ou alterando código do kernel (por exemplo, a tabela de chamada de sistemas) de modo que informações são escondidas diretamente no núcleo do sistema operacional. Os Rootkits de biblioteca geralmente alteram ou substituem chamadas de sistema por chamadas alteradas e os de aplicação alteram diretamente aplicativos do sistema. 2.4.4 Wiping Exclusão de arquivos, esvaziar a lixeira, ou rápida formatação de um disco rígido não apaga permanentemente os dados, ele simplesmente remove as informações necessárias para encontrar os arquivos no disco, permitindo a sua recuperação. Assim, limpar realmente o arquivo no disco é um problema real. Ela pode ser realizada de muitas maneiras diferentes. A wiping é uma delas e consiste em sobrescrever todos os setores do disco com um padrão de binário 1's e 0's, substituindo então os dados que ainda persistiam na mídia. Dessa forma não podendo mais ser recuperados nem acessados. Você pode determinar se as ferramentas de limpeza foram instaladas através da revisão de programas existentes no disco, mas não pode mais trazer os dados de volta (PHILIPP et al., 2010, p.237). 2.4.5 Ferramentas Este item abordará algumas das principais ferramentas antiforense que podem ser utilizadas para aplicação das técnicas vistas no capitulo anterior. 2.4.5.1 Wipe É um aplicativo que permite a deleção segura de dados, permitindo que o usuário defina quais arquivos serão apagados e quantas vezes aqueles blocos de disco, onde os arquivos apagados estavam alocados (4Linux – Pen Test, 2011, p.261). 2.4.5.2 Scrub Outra possibilidade para realizar o data wiping, sobrescrevendo os dados deletados com um padrão determinado de informações, que podem ou não ser removidas no final da
14 informação. Se não forem removidas, o perito forense encontrará apenas “lixo digital” nos blocos do disco, sem qualquer coerência. (4Linux – Pen Test, 2011, p.262) Veja os exemplos a seguir: a) Realizando o data wiping no arquivo. $ scrub imagem.jpg scrub: using NNSA NAP-14.x patterns scrub: padding imagem.jpg with 4078 bytes to fill last fs block scrub: scrubbing imagem.jpg 12288 bytes (~12KB) scrub: random |................................................| scrub: random |................................................| scrub: 0x00 |................................................| scrub: verify |................................................| b) Destruindo todos os arquivos no disco $ scrub /dev/sda1 2.4.5.3 Steghide É um programa capaz de esconder dados em vários tipos de arquivos de áudio e de imagem. Suporta formatos de arquivos JPEG, BMP, WAV e AU para uso como arquivo de cobertura. O algoritmo de criptografia padrão é o Rijndael com uma chave de 128 bits. No exemplo abaixo iremos utilizar a imagem de um tux e adicionaremos ao mesmo um arquivo texto simples contendo algumas informações, como por exemplo, as senhas do sistema. $ file tux.jpg tux.jpg: JPEG image data, JFIF standard 1.01 $ md5sum tux.jpg 4e858aa5c73f48695ba5fc3ea5eda380 tux.jpg Escondendo o arquivo de senhas. $ steghide embed -cf tux.jpg -ef senha.txt Enter passphrase: Re-Enter passphrase: embedding "senha.txt" in "tux.jpg"... done Mesmo adicionando outro arquivo a imagem do tux o tipo do arquivo permaneceu o mesmo. Apenas o hash do arquivo foi alterado, essa informação pode ser utilizada como contramedida, caso tenha sido guardado anteriormente uma tabela com os hashs dos arquivos. $ file tux.jpg tux.jpg: JPEG image data, JFIF standard 1.01 $ md5sum tux.jpg d0c0713cf2e55140ec912fc465bd7ba9 tux.jpg
15 Extraindo o arquivo escondido $ steghide extract -sf tux.jpg Enter passphrase: wrote extracted data to "senha.txt". 2.4.5.4 Truecrypt É um software para criação e manutenção de um volume on-the-fly-encrypted (dispositivo de armazenamento de dados). On-the-fly encriptação significa que os dados são automaticamente criptografados antes de ser salvo e descriptografado logo após ser carregado, sem qualquer intervenção do usuário. Não há dados armazenados em um volume criptografado que possa ser lido (descriptografado) sem usar a senha correta / keyfile (s) ou chaves de criptografia corretas. O sistema de arquivo inteiro é criptografado (por exemplo, nomes de arquivos, nomes de pastas, o conteúdo de cada arquivo, espaço livre, metadados, etc.) (TRUECRYPT FOUDATION, 2012). O processo de encriptação e decriptação são transparentes para o usuário e serviços que utilizam o volume encriptado. Ao criar um volume com truecrypt o usário precisará definir: o tamanho, algoritmo de criptografia, o algoritmo de hash e a senha de segurança. Após a conclusão dessas definições o truecrypt cria o arquivo ou partição e o preenche com dados aleatórios, de uma forma que se forem analisados é impossível saber se há dados. Devido a essa segurança e eficiência, a utilização dessa ferramenta vem se tornando cada vez mais comum para proteção de dados sigilosos. Atualmente é compatível com os seguintes sistemas operacionais: Windows 7 (32-bit and 64-bit), Windows Vista, Windows Vista x64 (64-bit) Edition, Windows XP, Windows XP x64 (64-bit) Edition, Windows Server 2008 R2 (64-bit), Windows Server 2008, Windows Server 2008 x64 (64-bit), Windows Server 2003, Windows Server 2003 x64 (64-bit), Windows 2000 SP4, Mac OS X 10.7 Lion (64-bit and 32-bit), Mac OS X 10.6 Snow Leopard (32-bit), Mac OS X 10.5 Leopard, Mac OS X 10.4 Tiger, Linux (32-bit and 64-bit versions, kernel 2.6 or compatible) Os passos a seguir mostram como criar e criptografar um volume com truecrypt via linha de comando no Linux. O primeiro passo é baixar e instalar o pacote. $ wget http://www.truecrypt.org/download/truecrypt-7.1a-linux-x86.tar.gz $ tar zxvf truecrypt-7.1a-linux-x86.tar.gz $ ./truecrypt-7.1a-setup-x86 Apareceram telas basta seguir. No processo de criação utilizaremos a option –t para que a operação seja executada em modo texto. A option –c é para o modo iterativo. $ truecrypt –t –c
16 Serão solicitadas as seguintes informações: Tipo de volume; Path do volume; Tamanho do volume; Algoritmo de criptografia; Algoritmo de hash; Filesystem; Password. Para montar o volume criado utilizaremos a option --mount: $ truecrypt -t --mount /tmp/volume Enter mount directory [default]: Enter password for /tmp/volume: Enter keyfile [none]: Protect hidden volume (if any)? (y=Yes/n=No) [No]: No Para desmontar: $ truecrypt -t -d /tmp/volume 3. ESTUDO DE CASO Conforme definido nesse artigo a destruição das evidências poderá ser lógica ou física parcial ou total. Existem várias formas de essas evidências serem esterilizadas. A seguir, serão demonstradas maneiras possíveis para realizar essa ação logicamente, via software. No processo a seguir iremos esterilizar uma partição. Nessas demonstrações iremos utilizar uma máquina Debian, Linux. Esse ambiente contém uma partição /mnt/pessoal aonde nesse laboratório irá conter informações relevantes que comprometeriam o usuário dessa máquina com fotos e planilhas, vide Figura 01. Figura 01 – Maquina Linux, debian, com partição, /mnt/pessoal, montada. Nesse passo o usuário resolveu apagar os arquivos comprometedores utilizando o comando rm entendendo ele que não teriam como serem recuperados. Porém, os arquivos persistiram no filesystem e apenas a referência dos arquivos foi apagada. Esses arquivos podem ainda serem recuperados utilizando os comandos fls e icat, por exemplo. Vide Figura 02.
17 Figura 02 – Uma simples exclusão de arquivo não previne uma recuperação futura. Nesse próximo passo iremos remover definitivamente os arquivos comprometedores sem risco de recuperação, vide Figura 03. Figura 03 – Realizando wipe nos arquivos. Agora iremos realizar o wipe no filesystem. Dessa forma não há como recuperarmos os arquivos. Vide Figura 04.
18 Figura 04 – Destruindo todos os arquivos no filesystem. E por fim, o resultado do filesystem após o wipe, vide Figura 05. Figura 05 – Resultado do hexedit no filesystem. 4. CONCLUSÃO Mediante o avanço das técnicas antiforense, que podem ser utilizadas para segurança ou para apagar as evidências de atos ilícitos, cresce cada vez mais o desafio aos peritos forenses para recuperar e coletar dados para a confecção de um laudo que possa direcionar ao entendimento do caso. A complexidade para o perito pode ser explicada mediante as dificuldades que tendem a ser encontradas de diversas formas, como na utilização de técnicas e ferramentas, de fácil obtenção na Internet, e muitas vezes com procedimentos muito simples, que facilitam a destruição, ocultação, eliminação ou até mesmo a falsificação das evidências.
19 A partir das informações coletadas e reportadas neste artigo, além do estudo de caso, ficou comprovado que o uso das técnicas e ferramentas antiforense possui um impacto mais que considerável na análise de um delito por um perito, podendo até tornar impossível ou improvável a coleta de evidências a partir da recuperação de algum dado que ajude no entendimento do evento. Muitas vezes a recuperação desses dados, quando possível tecnicamente, passa a não ser plausível numa análise de custo/beneficio; assim, o retorno dessa informação fica inviável. Das técnicas antiforense reportadas neste artigo, as que envolvem a destruição dos dados e eliminação da fonte são as mais simples de serem aplicadas no ambiente, embora em todas elas, por mais simples que sejam, peçam um pouco de conhecimento técnico. As mais complexas seriam as que envolvem a criptografia e a falsificação da fonte que exigem um pouco mais de conhecimento técnico e um cuidado ainda maior no seu uso, pois podem tornar o dado inacessível até mesmo para o usuário, no caso da criptografia, caso o mesmo seja descuidado. O acesso a esses recursos são de fácil obtenção na Internet e o seu uso cada vez mais simples e automatizado. Tomamos como exemplo distribuições Linux carregáveis em live CDs, como por exemplo, o Backtrack, que trazem muitos desses softwares compilados num só lugar e até procedimentos operacionais simples. Um bom exemplo de uso da técnica antiforense para fim não licito que obteve grande repercussão na mídia foi o caso do banqueiro Daniel Dantas em que seus discos rígidos, que foram apreendidos pela Policia Federal, estão criptografados e até o presente momento não se conseguiu a decodificação desses dados, pois não se tem o conhecimento das senhas utilizadas no processo de encriptação do sistema de arquivos. Apesar de todo o avanço tecnológico, não se conseguiu obter essas informações que poderiam ajudar no caso, mesmo com todo recurso computacional envolvido e até o apoio do FBI. Logo, com esse crescimento exponencial dessas técnicas antiforense usadas para ocultar atos ilícitos, o perito forense deve buscar sempre novos conhecimentos, novos recursos que o auxiliem na sua análise. Óbvio que a experiência desse profissional irá ser o diferencial, pois na maioria dos casos os usuários infratores não são especializados na área de informática e provavelmente deixarão evidências dos seus atos ou até mesmo ficarão iludidos com a falsa segurança de que ao executar uma simples ação de exclusão de um arquivo ou a limpeza do cache do browser já estarão seguros. 5. TRABALHOS FUTUROS Como sugestão para novos trabalhos que possam vir a complementar este artigo, recomenda-se que sejam analisados em trabalhos distintos, separadamente, cada método antiforense com mais detalhes e aprofundamento. Abstract: The activity focuses on anti-forensics difficult or impossible in a forensic computing resource, while the skill forensic evidence that might seek direct understanding of the case. The scope of this work is to describe the techniques and tools anti-forensics more efficient and the consequences of their expertise in a "post mortem". This information was obtained from information collected in books, magazines, web sites related to the topic and other works with similar content. In a case study with the practical implementation of these techniques anti- forensics and its impact on forensic expertise.
20 Keywords: Forensics. Anti-forensics. Security. Encryption. 6. REFERÊNCIAS BARYAMUREEBA V, TUSHABE F. The Enhanced Digital Investigation Processo Model. Institute of Computer Science, Makerere University, Uganda, 2004. BLUDEN, B. Anti-Forensics: The Rootkit Connection, 2009. Disponível em: https://www.blackhat.com/presentations/bh-usa-09/BLUNDEN/BHUSA09-Blunden- AntiForensics-PAPER.pdf. Acessado em Novembro 01, 2011. ELEUTÉRIO, P. M. da Silva; MACHADO, M. Pereira. Desvendando a Computação Forense. São Paulo: Novatec Editora, 2010. FARMER, Dan; VENEMA, Wietse. Perícia Forense Computacional: Teoria e Prática Aplicada. São Paulo: Prentice-Hall, 2007. GARFINKEL, Simon, Anti-Forensics: Techniques, Detection and Countermeasures, The 2nd International Conference on Warfare and Security (ICIW), Naval Postgraduate School, Monterey, CA, 2007. http://www.simson.net/clips/academic/2007.ICIW.AntiForensics.pdf HARRIS, Ryan. Arriving at an anti-forensics consensus: Examining how to define and control the anti-forensics problem. 2006. Disponível em: http://dfrws.org/2006/proceedings/6- Harris.pdf. Acessado em Janeiro 15, 2012. MARTINS, R. B. Metodologia Científica – Como tornar mais agradável à elaboração de trabalhos acadêmicos. Curitiba: Juruá Editora, 2011. 1th Edição. MORIMOTO, Carlos E. Servidores Linux Guia Prático. Porto Alegre: Sul Editores, 2008. PHILIPP, A.; COWEN, D.; DAVIS, C. Hacking Exposed Computer Forensics: Secrets & Solutions. New York: McGrawHill, 2010. 2th Edition. STALLINGS, William. Criptografia e Segurança de Redes. São Paulo: Pearson Prentice Hall, 2008. 4th Edição. SEIFRIED, Kurt. Linux Magazine. 2009. Disponível em: http://www.linuxnewmedia.com.br/lm/article/inseguranca_lm50. Acessado em Janeiro 10, 2012. SHADOWSERVER. Disponível em: http://www.shadowserver.org. Acessado em Janeiro 10, 2012. TRUECRYPT FOUNDATION. Truecrypt – Free Open-Source Disk Ecryption Software. Disponível em: http://www.truecrypt.com. Acessado em Janeiro 15, 2012. VERGARA, S. C. Projetos e Relatórios de Pesquisa em Administração. São Paulo: Editora Atlas, 2010. 12th Edição.
21 4LINUX. Apostila Pen Test: Teste de Invasão Redes Corporativas. São Paulo: 2011.

Recomendados

Forense Computacional
Forense ComputacionalForense Computacional
Forense ComputacionalGrupo Treinar
 
Sistematização de estratégia de defesa e ataque
Sistematização de estratégia de defesa e ataqueSistematização de estratégia de defesa e ataque
Sistematização de estratégia de defesa e ataqueUrsao Go
 
Computação forense
Computação forenseComputação forense
Computação forenseRamyres Aquino
 
SLIDE MONOGRAFIA JEF LUKA
SLIDE MONOGRAFIA JEF LUKASLIDE MONOGRAFIA JEF LUKA
SLIDE MONOGRAFIA JEF LUKAJef Dias
 
Plágio acadêmico
Plágio acadêmicoPlágio acadêmico
Plágio acadêmicoRonilson de Souza Luiz
 
Modelo de Laudo Perícia Digital.pdf
Modelo de Laudo Perícia Digital.pdfModelo de Laudo Perícia Digital.pdf
Modelo de Laudo Perícia Digital.pdfSamuel Queles
 
Anti forense
Anti forenseAnti forense
Anti forenseGustavo Paulo
 
1ª aula forense computacional
1ª aula forense computacional1ª aula forense computacional
1ª aula forense computacionalJoão Freire Abramowicz
 

Recomendados

Forense Computacional
Forense ComputacionalForense Computacional
Forense ComputacionalGrupo Treinar
 
Sistematização de estratégia de defesa e ataque
Sistematização de estratégia de defesa e ataqueSistematização de estratégia de defesa e ataque
Sistematização de estratégia de defesa e ataqueUrsao Go
 
Computação forense
Computação forenseComputação forense
Computação forenseRamyres Aquino
 
SLIDE MONOGRAFIA JEF LUKA
SLIDE MONOGRAFIA JEF LUKASLIDE MONOGRAFIA JEF LUKA
SLIDE MONOGRAFIA JEF LUKAJef Dias
 
Plágio acadêmico
Plágio acadêmicoPlágio acadêmico
Plágio acadêmicoRonilson de Souza Luiz
 
Modelo de Laudo Perícia Digital.pdf
Modelo de Laudo Perícia Digital.pdfModelo de Laudo Perícia Digital.pdf
Modelo de Laudo Perícia Digital.pdfSamuel Queles
 
Anti forense
Anti forenseAnti forense
Anti forenseGustavo Paulo
 
1ª aula forense computacional
1ª aula forense computacional1ª aula forense computacional
1ª aula forense computacionalJoão Freire Abramowicz
 
Forense computacional - Estudos Praticos
Forense computacional - Estudos PraticosForense computacional - Estudos Praticos
Forense computacional - Estudos PraticosData Security
 
Palestra Forense ISG
Palestra Forense ISGPalestra Forense ISG
Palestra Forense ISGData Security
 
E book pericia forense computacional
E book pericia forense computacionalE book pericia forense computacional
E book pericia forense computacionalGustavo Lima
 
Direito eletronico e pericia forense
Direito eletronico e pericia forenseDireito eletronico e pericia forense
Direito eletronico e pericia forenseCOLOSSUS SOLUTIONS
 
2012_AlexandreMendesAlvimLepesqueur_ItaloDiegoRodriguesOliveira.pdf
2012_AlexandreMendesAlvimLepesqueur_ItaloDiegoRodriguesOliveira.pdf2012_AlexandreMendesAlvimLepesqueur_ItaloDiegoRodriguesOliveira.pdf
2012_AlexandreMendesAlvimLepesqueur_ItaloDiegoRodriguesOliveira.pdfssuserf3a4df
 
Ambiente engenharia forense
Ambiente engenharia forenseAmbiente engenharia forense
Ambiente engenharia forenseMarco Mendes
 
manual de atuacao em crimes ciberneticos-mpf
manual de atuacao em crimes ciberneticos-mpfmanual de atuacao em crimes ciberneticos-mpf
manual de atuacao em crimes ciberneticos-mpfBelonir Barth
 
Computacao forense
Computacao forenseComputacao forense
Computacao forenseIntellecta
 
Palestra: Introdução ao Software Livre e Gerenciamento de Documentos com Alfr...
Palestra: Introdução ao Software Livre e Gerenciamento de Documentos com Alfr...Palestra: Introdução ao Software Livre e Gerenciamento de Documentos com Alfr...
Palestra: Introdução ao Software Livre e Gerenciamento de Documentos com Alfr...Jose Eduardo Santarem Segundo
 
Forense e Segurança contra Pedofilia
Forense e Segurança contra PedofiliaForense e Segurança contra Pedofilia
Forense e Segurança contra Pedofiliaburtlima
 
Monografia
MonografiaMonografia
MonografiaOziel Fernandes
 
Sistemas periciais
Sistemas periciaisSistemas periciais
Sistemas periciaisMaria José Rodrigues
 
Forense_Computacional(UFPE).pdf
Forense_Computacional(UFPE).pdfForense_Computacional(UFPE).pdf
Forense_Computacional(UFPE).pdfFelipeBarreto98
 
Curso Forense Computacional - Overview
Curso Forense Computacional - OverviewCurso Forense Computacional - Overview
Curso Forense Computacional - OverviewData Security
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Alcyon Ferreira de Souza Junior, MSc
 
Avaliação dos sistemas biométricos e suas oportunidades de aplicação
Avaliação dos sistemas biométricos e suas oportunidades de aplicaçãoAvaliação dos sistemas biométricos e suas oportunidades de aplicação
Avaliação dos sistemas biométricos e suas oportunidades de aplicaçãoRafael Duarte de Paula Ribas
 
1.inovacao e tecnologia de seguranca grupo 1 matutino_1_2013
1.inovacao e tecnologia de seguranca grupo 1 matutino_1_20131.inovacao e tecnologia de seguranca grupo 1 matutino_1_2013
1.inovacao e tecnologia de seguranca grupo 1 matutino_1_2013Dra. Camila Hamdan
 
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesaLuciano Madeira
 
Tcc luizfernando final
Tcc luizfernando finalTcc luizfernando final
Tcc luizfernando finalluizfg56
 
aula-091.ppt
aula-091.pptaula-091.ppt
aula-091.pptAdemar Trindade
 

Mais conteúdo relacionado

Semelhante a 345019962-Tecnicas-Antiforenses-Em-Desktops.pdf

Forense computacional - Estudos Praticos
Forense computacional - Estudos PraticosForense computacional - Estudos Praticos
Forense computacional - Estudos PraticosData Security
 
Palestra Forense ISG
Palestra Forense ISGPalestra Forense ISG
Palestra Forense ISGData Security
 
E book pericia forense computacional
E book pericia forense computacionalE book pericia forense computacional
E book pericia forense computacionalGustavo Lima
 
Direito eletronico e pericia forense
Direito eletronico e pericia forenseDireito eletronico e pericia forense
Direito eletronico e pericia forenseCOLOSSUS SOLUTIONS
 
2012_AlexandreMendesAlvimLepesqueur_ItaloDiegoRodriguesOliveira.pdf
2012_AlexandreMendesAlvimLepesqueur_ItaloDiegoRodriguesOliveira.pdf2012_AlexandreMendesAlvimLepesqueur_ItaloDiegoRodriguesOliveira.pdf
2012_AlexandreMendesAlvimLepesqueur_ItaloDiegoRodriguesOliveira.pdfssuserf3a4df
 
Ambiente engenharia forense
Ambiente engenharia forenseAmbiente engenharia forense
Ambiente engenharia forenseMarco Mendes
 
manual de atuacao em crimes ciberneticos-mpf
manual de atuacao em crimes ciberneticos-mpfmanual de atuacao em crimes ciberneticos-mpf
manual de atuacao em crimes ciberneticos-mpfBelonir Barth
 
Computacao forense
Computacao forenseComputacao forense
Computacao forenseIntellecta
 
Palestra: Introdução ao Software Livre e Gerenciamento de Documentos com Alfr...
Palestra: Introdução ao Software Livre e Gerenciamento de Documentos com Alfr...Palestra: Introdução ao Software Livre e Gerenciamento de Documentos com Alfr...
Palestra: Introdução ao Software Livre e Gerenciamento de Documentos com Alfr...Jose Eduardo Santarem Segundo
 
Forense e Segurança contra Pedofilia
Forense e Segurança contra PedofiliaForense e Segurança contra Pedofilia
Forense e Segurança contra Pedofiliaburtlima
 
Forense_Computacional(UFPE).pdf
Forense_Computacional(UFPE).pdfForense_Computacional(UFPE).pdf
Forense_Computacional(UFPE).pdfFelipeBarreto98
 
Curso Forense Computacional - Overview
Curso Forense Computacional - OverviewCurso Forense Computacional - Overview
Curso Forense Computacional - OverviewData Security
 
Avaliação dos sistemas biométricos e suas oportunidades de aplicação
Avaliação dos sistemas biométricos e suas oportunidades de aplicaçãoAvaliação dos sistemas biométricos e suas oportunidades de aplicação
Avaliação dos sistemas biométricos e suas oportunidades de aplicaçãoRafael Duarte de Paula Ribas
 
1.inovacao e tecnologia de seguranca grupo 1 matutino_1_2013
1.inovacao e tecnologia de seguranca grupo 1 matutino_1_20131.inovacao e tecnologia de seguranca grupo 1 matutino_1_2013
1.inovacao e tecnologia de seguranca grupo 1 matutino_1_2013Dra. Camila Hamdan
 
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesaLuciano Madeira
 
Tcc luizfernando final
Tcc luizfernando finalTcc luizfernando final
Tcc luizfernando finalluizfg56
 

Semelhante a 345019962-Tecnicas-Antiforenses-Em-Desktops.pdf (20)

Forense computacional - Estudos Praticos
Forense computacional - Estudos PraticosForense computacional - Estudos Praticos
Forense computacional - Estudos Praticos
 
Palestra Forense ISG
Palestra Forense ISGPalestra Forense ISG
Palestra Forense ISG
 
E book pericia forense computacional
E book pericia forense computacionalE book pericia forense computacional
E book pericia forense computacional
 
Direito eletronico e pericia forense
Direito eletronico e pericia forenseDireito eletronico e pericia forense
Direito eletronico e pericia forense
 
2012_AlexandreMendesAlvimLepesqueur_ItaloDiegoRodriguesOliveira.pdf
2012_AlexandreMendesAlvimLepesqueur_ItaloDiegoRodriguesOliveira.pdf2012_AlexandreMendesAlvimLepesqueur_ItaloDiegoRodriguesOliveira.pdf
2012_AlexandreMendesAlvimLepesqueur_ItaloDiegoRodriguesOliveira.pdf
 
Ambiente engenharia forense
Ambiente engenharia forenseAmbiente engenharia forense
Ambiente engenharia forense
 
manual de atuacao em crimes ciberneticos-mpf
manual de atuacao em crimes ciberneticos-mpfmanual de atuacao em crimes ciberneticos-mpf
manual de atuacao em crimes ciberneticos-mpf
 
Computacao forense
Computacao forenseComputacao forense
Computacao forense
 
Palestra: Introdução ao Software Livre e Gerenciamento de Documentos com Alfr...
Palestra: Introdução ao Software Livre e Gerenciamento de Documentos com Alfr...Palestra: Introdução ao Software Livre e Gerenciamento de Documentos com Alfr...
Palestra: Introdução ao Software Livre e Gerenciamento de Documentos com Alfr...
 
Forense e Segurança contra Pedofilia
Forense e Segurança contra PedofiliaForense e Segurança contra Pedofilia
Forense e Segurança contra Pedofilia
 
Monografia
MonografiaMonografia
Monografia
 
Sistemas periciais
Sistemas periciaisSistemas periciais
Sistemas periciais
 
Forense_Computacional(UFPE).pdf
Forense_Computacional(UFPE).pdfForense_Computacional(UFPE).pdf
Forense_Computacional(UFPE).pdf
 
Curso Forense Computacional - Overview
Curso Forense Computacional - OverviewCurso Forense Computacional - Overview
Curso Forense Computacional - Overview
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017
 
Avaliação dos sistemas biométricos e suas oportunidades de aplicação
Avaliação dos sistemas biométricos e suas oportunidades de aplicaçãoAvaliação dos sistemas biométricos e suas oportunidades de aplicação
Avaliação dos sistemas biométricos e suas oportunidades de aplicação
 
1.inovacao e tecnologia de seguranca grupo 1 matutino_1_2013
1.inovacao e tecnologia de seguranca grupo 1 matutino_1_20131.inovacao e tecnologia de seguranca grupo 1 matutino_1_2013
1.inovacao e tecnologia de seguranca grupo 1 matutino_1_2013
 
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa
 
Tcc luizfernando final
Tcc luizfernando finalTcc luizfernando final
Tcc luizfernando final
 
aula-091.ppt
aula-091.pptaula-091.ppt
aula-091.ppt
 

345019962-Tecnicas-Antiforenses-Em-Desktops.pdf

  • 1. -- Pró-Reitoria de Pós-Graduação e Pesquisa Lato Sensu em Perícia Digital Trabalho de Conclusão de Curso TÉCNICAS ANTIFORENSE EM DESKTOPS Autor: Carlos André Evangelista de Souza Orientador: Prof. Esp. João Eriberto Mota Filho Brasília - DF 2012
  • 2. CARLOS ANDRÉ EVANGELISTA DE SOUZA TÉCNICAS ANTIFORENSE EM DESKTOPS Artigo apresentado ao curso de pós-graduação em Perícia Digital da Universidade Católica de Brasília, como requisito parcial para obtenção do Título de Especialista em Perícia Digital. Orientador: Prof. Esp. João Eriberto Mota Filho Brasília 2012
  • 3. Artigo de autoria de Carlos André Evangelista de Souza, intitulado “TÉCNICAS ANTIFORENSE EM DESKTOPS”, apresentado como requisito parcial para obtenção do grau de Especialização em Perícia Digital da Universidade Católica de Brasília, em 02 de junho de 2012, defendido e aprovado, pela banca examinadora abaixo assinada: __________________________________________ Professor Esp. João Eriberto Mota Filho Orientador Pós em Perícia Digital - UCB _________________________________________ Professor Msc. Paulo Roberto Corrêa Leão Examinador Pós em Perícia Digital - UCB Brasília 2012
  • 4. A Deus Pai, infinito em sua misericórdia, que continua derramando bênçãos sem medidas em minha vida, e que permitiu a realização deste trabalho. À minha mãe – Maria Evangelista de Souza – que sempre lutou pela minha educação e a dos meus irmãos – Leide Daiane Evangelista de Souza e Tone Ramos Evangelista de Souza, e à minha amada esposa – Silvana Pereira Dantas Evangelista de Souza, e é graças a eles que consegui.
  • 5. AGRADECIMENTOS Aos meus amigos de Serpro por toda troca de experiência acerca do assunto deste artigo. Aos meus professores, em especial ao meu professor orientador – João Eriberto Mota Filho, pelo apoio dispensado na confecção desse trabalho.
  • 6. “Sem esforço não existe vitória, não existe felicidade plena.” Chiara Lubich
  • 7. 6 TÉCNICAS ANTIFORENSE EM DESKTOPS CARLOS ANDRÉ EVANGELISTA DE SOUZA Resumo: A atividade de antiforense concentra-se em dificultar ou impossibilitar uma perícia forense num recurso computacional, enquanto que a perícia forense busca evidências que possam direcionar o entendimento do caso. O escopo deste trabalho é descrever as técnicas e ferramentas antiforense mais eficientes e as consequências desses numa perícia “post mortem”. Essas informações foram coletadas em livros, revistas especializadas, sites relacionados com o tema e outros trabalhos com conteúdos similares. Além de um estudo de caso com a aplicação prática de uma dessas técnicas antiforense e o impacto disto na perícia forense. Palavras-chave: Forense. Antiforense. Segurança. Perícia Forense. Criptografia 1 INTRODUÇÃO Como cada vez mais pessoas e empresas optam por realizar seus negócios através de computadores e da Internet, para a troca de informações, compras online, transações bancárias, dentre outras atividades relacionadas, o computador passou a fazer parte da vida de milhões de pessoas, aumentando cada vez mais a dependência desse recurso. Por outro lado, os ataques de segurança vêm continuamente crescendo em vários aspectos, sofisticação, velocidade, criticidade, gravidade e compromisso, com isso a pesquisa em segurança da informação tem tido crescimento ao longo desses últimos anos na investigação forense computacional. A forense computacional tem como objetivo realizar uma análise pós-incidente sobre os sistemas comprometidos e fazer perguntas sobre eventos passados. Permite ao perito, de posse de um caso, reconstruir um cenário, recuperar arquivos importantes acerca do mesmo e traçar o perfil do usuário do computador. A informação digital armazenada, gerada, processada, ou transmitida por sistemas de rede, é usada como fonte de prova. Quanto mais precisos e completos os dados, melhor e mais abrangente a avaliação pode ser. Em contrapartida, há técnicas e ferramentas que podem ser utilizadas para frustrar a forense, apagando definitivamente o arquivo, ocultando ou camuflando dados importantes para o caso, como logs, cookies, históricos, entre outros. Isso dificulta o trabalho do perito forense, pois as prováveis evidências que poderiam ser utilizadas como provas foram comprometidas, reduzindo a quantidade e a qualidade dos dados probatórios. Sabendo que a segurança e a perícia tentam encontrar as evidências deixadas pelos crimes, a evolução destes tende sempre a deixar menos vestígios possíveis, ficando cada vez mais difícil a percepção pela perícia, e dando origem à ciência antiforense, na qual deriva as técnicas antiforense. Que é o novo grande desafio para a comunidade forense computacional. Com a popularidade dessas ferramentas antiforense, de fácil obtenção na Internet, é cada vez mais comum o seu uso não só por peritos forenses, mas por pessoas mal intencionadas como hackers, crackers, script kiddies, entre outros. Esse artigo apresenta como pessoas mal intencionadas podem utilizar essas ferramentas para eliminar seus rastros e a eficácia e eficiência dessas técnicas.
  • 8. 7 1.1 JUSTIFICATIVA O perito forense tem que ter a ciência das técnicas que podem ser utilizadas para a destruição, ocultação e camuflagem dos dados e o impacto dessas técnicas na análise “post mortem”. No processo de análise de uma perícia forense, conhecer como um invasor ou criminoso pode atuar, utilizando essas ferramentas e técnicas antiforense, pode fazer a diferença no resultado final, facilitando a busca por evidências. Informações acerca dessas ferramentas e técnicas são de fácil obtenção na Internet e em diversas bibliografias, pois com a utilização de simples filtros em mecanismos de busca é retornada uma gama de ferramentas para esse fim, além da popularidade de distribuições Linux como Backtrack, que já traz uma lista interessante dessas ferramentas prontas para serem utilizadas. Por trabalhar especificamente com administração de ambiente Linux, numa instituição governamental, que sofre ataques constantemente, entender a simplicidade e a facilidade da execução dessas ferramentas tornaria possível a aplicação de contramedidas, evitando problemas futuros. 1.2 DELIMITAÇÃO DO TEMA Atualmente existe uma grande diversidade de ferramentas e técnicas antiforense, cada vez mais populares. O foco desta pesquisa é analisar a eficácia e eficiência das principais técnicas e ferramentas antiforense utilizadas por usuários mal intencionados, tais como: criptografia, esteganografia, saneamento e camuflagem dos dados, entre outras. 1.3 PROBLEMA 1.3.1 Contextualização do problema Existem atualmente algumas técnicas e diversas ferramentas antiforense que podem ser utilizadas para dificultar a perícia forense. 1.3.2 Enunciado do problema A utilização das principais técnicas e ferramentas antiforense destrói, ocultam e camuflam os dados de delitos no processo de coleta de evidências numa perícia forense?
  • 9. 8 1.4 HIPÓTESE As principais técnicas e ferramentas antiforense, quando utilizadas pelo usuário mal intencionado, destroem, ocultam e camuflam os dados de delitos no processo de coleta de evidências numa perícia forense. 1.5 PROPÓSITOS 1.5.1 Objetivo Geral Analisar as principais técnicas e ferramentas antiforense usadas para destruição, ocultação e camuflagem de dados. 1.5.2 Objetivos Específicos Para alcançar o objetivo geral é necessário: a) apresentar o estado da arte de referências sobre técnicas e ferramentas antiforense e perícia forense; b) listar as principais técnicas antiforense para destruição, ocultação e camuflagem de dados; c) aplicar as principais técnicas e ferramentas antiforense num estudo de caso; d) coletar uma imagem de um desktop Linux para uso em laboratório; e e) construir um laboratório que servirá como base para análise. 2. DESENVOLVIMENTO 2.1 REFERENCIAL TEÓRICO As referências utilizadas são: a) uma apresentação na Black Hat 2009 cujo titulo é: “Anti-Forensics: The Rootkit Connection”, feita por Bill Bluden no qual classifica em categorias a antiforense; b) uma apostila da 4Linux com o titulo de: “Pen Test: Teste de Invasão em Redes Corporativas” que apresenta com detalhes ferramentas antiforense utilizadas por hackers e a facilidade de uso tomando como base a distribuição Linux Backtrack; e c) um dos livros da coleção Hacking Exposed, com o título: “Hacking Exposed: Computer Forensics – Secrets & Solutions” que contém um tópico só com antiforense.
  • 10. 9 2.2 MATERIAIS E METODOLOGIA As metodologias que caracterizaram esta pesquisa, bem como a forma como será a coleta e tratamento dos dados, o resultado obtido e as análises desses dados. 2.2.1 Classificação da pesquisa Os tipos de metodologias a serem utilizadas nesta pesquisa embasaram-se em Vergara (2010, p.41-44) que a divide em “dois critérios básicos: quanto aos fins e quanto aos meios". Quanto aos fins, esta pesquisa é aplicada e quanto aos meios de investigação: pesquisa de laboratório; bibliográfica e estudo de caso. Pesquisa aplicada porque o intuito deste estudo é ampliar conhecimentos em Perícia Forense e em situações acadêmicas de assuntos relacionados, bem como na aplicação prática de técnicas de antiforense computacional com finalidade de obtenção de informações úteis à investigação criminal, a serem utilizados pelos peritos forenses. Pesquisa bibliográfica segundo Martins (2011, p.86) “é o ponto de partida de toda pesquisa, levantamento de informações feito a partir de material coletado em livros, revistas, artigos, jornais, sites da Internet e em outras fontes escritas, devidamente publicadas”. Pesquisa em laboratório segundo Vergara (2010, p.43) “é experiência realizada em local circunscrito”. Serão realizadas simulações em computador a partir de uma imagem real de um computador atacado para então produzir resultados. O estudo de caso segundo Martins (2011, p.87) “é um meio para se coletar dados preservando o caráter unitário do objeto a ser estudado”. De posse de uma imagem de um computador atacado serão analisadas as técnicas e ferramentas antiforense utilizadas pelo atacante. 2.2.2 Instrumentos e Procedimentos O instrumento e procedimentos desta pesquisa correspondem a simulações em computador e a um estudo de caso cujas fases são descritas a seguir: a) coleta de uma imagem de um desktop com sistema operacional Linux; b) montagem em laboratório de uma estrutura que permita a análise das técnicas antiforense utilizadas na invasão e na tentativa de limpeza dos rastros; c) serão aplicadas diversas técnicas e ferramentas antiforense na imagem coletada; e d) análise dos resultados obtidos em laboratório. 2.3 FORENSE COMPUTACIONAL Tem como objetivo principal determinar à dinâmica, a materialidade e autoria de ilícitos ligados à área de informática, tendo como questão principal a identificação e o processamento de evidências digitais em provas materiais de crime, por meio de métodos
  • 11. 10 técnico-científicos, conferindo-lhe validade probatória em juízo (ELEUTÉRIO; MACHADO, 2010, p.16-17). É uma área que envolve a análise e coleta de vestígios e evidências digitais em equipamentos computacionais envolvidos em procedimentos ilícitos e crimes de qualquer natureza (ELEUTÉRIO; MACHADO, 2011). Um modelo internacional publicado e divulgado pelo Departamento de Justiça dos Estados Unidos sugere as seguintes etapas no processo investigativo (BARYAMUREEBA, 2004). a) coleta: Envolve a busca por evidências, o reconhecimento de provas, coleta de provas e documentação; b) exame: Projetado para facilitar a visibilidade de provas, ao explicar sua origem e significado. Trata-se de revelar informações ocultas e obscuras e a documentação pertinente; c) análise: Este olha para o produto do exame para o seu significado e probatório valor para o caso; e d) relatórios: Isso leva a escrever um relatório sobre o processo de exame e pertinentes dados recuperados a partir da investigação em geral. A análise forense de um sistema envolve um ciclo de coleta de dados e processamento das informações coletadas. Quanto mais precisos e completos os dados, melhor e mais abrangente a avaliação pode ser (FARMER; VENEMA, 2007). 2.4 ANTIFORENSE É qualquer alteração intencional ou acidental que possa obscurecer criptografar ou esconder dados de ferramentas forenses. A maioria dos suspeitos acredita que, seguindo as técnicas ilustradas neste artigo e em outras publicações, podem esconder seus rastros. Tentando fazer isso, porém, muitas vezes apenas ajudam o investigador saber onde procurar por evidências. Na verdade, um suspeito que tenta esconder a evidência pode realmente fortalecer o sucesso de um investigador para descobrir isso (PHILIPP et al., 2010. p.223). Um dos princípios fundamentais da forense é o Principio da Troca de Locard. De acordo com esse principio qualquer um, ou qualquer coisa, que entra em um local de crime leva consigo algo do local e deixa alguma coisa para trás quando parte. Este também se aplica na forense computacional, uma vez que todo evento realizado em um computador deixa evidências, algumas difíceis de serem identificados ou seguidos, mas existem. Há várias definições para antiforense e diversos métodos. O Quadro 1 abaixo descreve uma das classificações possíveis para os métodos antiforense: destruição, ocultação, eliminação da fonte e falsificação. Quadro 1 – Classificação dos métodos antiforense. Nome Destruição Ocultação Eliminação da fonte Falsificação Alterações MACE Apagar as informações MACE ou sobrescrever com dados inúteis. Sobrescrever com os dados que fornecem informações enganosas para os investigadores. Remover/esterilizar Reescrever o Excluir o
  • 12. 11 arquivos conteúdo com dados aleatórios. arquivo. Encapsulamento de dados Ocultar um arquivo em outro. Sequestro de Conta Criar evidência para culpar outra pessoa por atos irregulares. Arquivo autodestrutivo. Desabilitar logs Informações sobre a atividade não é gravada. Fonte: Harris (2006). Os dados que podem ser utilizados como evidências podem ser destruídos total ou parcialmente, em nível lógico e físico, evitando que sejam encontrados. Dados sobrescritos em mídia não podem ser recuperados em nível de software, salvo em condições especiais. A ocultação das evidências reduz as chances de sucesso numa investigação preliminar, exigindo que a perícia seja mais minuciosa (HARRIS, 2006). Podem ser utilizados no processo ferramentas de criptografia e esteganografia, que podem ser obtidas facilmente na internet além de ser fácil o seu uso. A eliminação da fonte de evidências probatória envolve a neutralização das fontes. Não há necessidade de destruir as provas uma vez que nunca são criadas. No entanto, a própria falta de provas pode tornar-se evidência. Isso parece contraditório se não considerarmos uma arma completamente desprovida de impressões digitais. Um bom investigador pode pensar que o criminoso usava luvas, para que ele pudesse assumir que o assassinato foi cuidadosamente planejado. Essas observações aplicam-se ao mundo digital (HARRIS, 2006). Falsificação é o ato de criar uma falsa versão da prova que é projetado para parecer outra coisa. Isto inclui criação de evidência que funciona como um ataque contra o processo ou ferramentas (HARRIS, 2006). Uma das coisas mais simples de entender e usar em uma investigação são os mactimes. Eles são simplesmente uma maneira abreviada de se referir aos três atributos de tempo – mtime, atime e ctime – que são anexados a qualquer arquivo ou diretório no UNIX, Windows e em outros sistemas de arquivos. O atributo atime refere-se à última data/hora em que o arquivo ou diretório foi acessado. O atributo mtime, ao contrário, muda quando o conteúdo de um arquivo é modificado. O atributo ctime monitora quando o conteúdo ou as meta-informações sobre o arquivo mudaram: o proprietário, o grupo, as permissões de arquivo e assim por diante (FARMER; VENEMA, 2007). Um mecanismo eficiente de recuperação de arquivos excluídos também pode ser decisivo durante uma análise forense, uma vez que na tentativa de esconder suas ações, os invasores podem apagar arquivos que possam denunciar sua presença. O problema é que existem inúmeras ferramentas para se efetuar uma exclusão de forma segura: são as chamadas ferramentas de wipping.
  • 13. 12 2.4.1 Criptografia É uma técnica utilizada para transformar uma informação na sua forma original para outra ilegível. Isso é feito para que somente pessoas autorizadas, ou detentoras da chave criptográfica, possam realizar o processo inverso e ler a mensagem original (ELEUTÉRIO; MACHADO, 2010, p.85). O uso da criptografia assume que o método utilizado para criptografar é de domínio público, e a segurança reside na escolha da chave. Exemplificando, os conceitos criptográficos buscam solucionar os problemas comuns a duas situações básicas: proteger as informações armazenadas e utilizadas sempre pela mesma entidade, e a proteção de informações trocadas entre duas pessoas (ou entidades) diferentes. Todos os algoritmos de criptografia são baseados em dois princípios gerais: substituição, em que cada elemento no texto claro (bit, letra, grupo de bits ou letras) é mapeado em outro elemento, e transposição, em que os elementos no texto claro são reorganizados (STALLINGS, 2008, p.19). Boa parte dos sistemas de arquivos atuais que suportam criptografia, disponíveis facilmente para Windows, Mac OS e Linux, criptografam quando o dado é escrito para o disco e descriptografam quando esses são lidos, tornando-os invisíveis para qualquer atacante que não tem a chave, trazendo uma proteção efetiva. 2.4.2 Esteganografia É uma técnica que consiste em ocultar uma mensagem dentro da outra. Enquanto a criptografia tenta codificar o conteúdo, a esteganografia tenta camuflar uma mensagem dentro da outra (ELEUTÉRIO; MACHADO, 2010, p.86). Uma mensagem de texto claro pode estar oculta de duas maneiras. Os métodos de esteganografia escondem a existência da mensagem, enquanto os métodos de criptografia tornam a mensagem ininteligível a estranhos por meio de várias transformações do texto (STALLINGS, 2008, p.34). Usando as ferramentas de esteganografia disponíveis hoje, os suspeitos podem até esconder dados, mensagens, arquivos, dentro de arquivos do tipo imagem ou do tipo áudio, tornando-os imperceptíveis aos sentidos humanos. O uso dessa técnica pode ser usado para diversos fins, dentre elas, roubo de dados, ocultação de arquivos pornográficos ou quaisquer outras evidências que possam vir a ajudar numa análise post-mortem. 2.4.3 Rootkits São programas simples, geralmente rodando como um serviço isolado e fornecendo acesso a uma backdoor (SEIFRIED, 2009). De acordo com (SHADOWSERVER, 2007) Rootkit é um conjunto de programas maliciosos, projetados para modificar o sistema operacional, do computador atacado, para ocultar, do usuário do sistema, a invasão, a presença do invasor e de outros programas maliciosos instalados.
  • 14. 13 Na visão de (MORIMOTO, 2008) Rootkits são “softwares que exploram um conjunto de vulnerabilidades conhecidas para tentar obter privilégios de root na máquina afetada”. Rootkits geralmente são utilizados, num cenário de invasão de computador, para garantir acesso posterior por meio da instalação de uma Backdoor, na remoção dos rastros do ataque apagando as logs do sistema operacional ou até mesmo na criação de contas de usuários. Enfim, o objetivo é esconder arquivos, conexões de rede e endereços de memória do administrador do sistema. As técnicas usadas para obter essa funcionalidade variam, dividindo os Rootkits em quatro categorias: Virtualizado, Kernel, Biblioteca e Aplicação. Os Rootkits virtualizados são aqueles que modificam a sequência de inicialização da máquina, iniciando primeiro o Rootkit, que por sua vez inicia o sistema operacional como uma máquina virtual, podendo interceptar todas as chamadas de sistema do sistema operacional. Os de kernel funcionam adicionando ou alterando código do kernel (por exemplo, a tabela de chamada de sistemas) de modo que informações são escondidas diretamente no núcleo do sistema operacional. Os Rootkits de biblioteca geralmente alteram ou substituem chamadas de sistema por chamadas alteradas e os de aplicação alteram diretamente aplicativos do sistema. 2.4.4 Wiping Exclusão de arquivos, esvaziar a lixeira, ou rápida formatação de um disco rígido não apaga permanentemente os dados, ele simplesmente remove as informações necessárias para encontrar os arquivos no disco, permitindo a sua recuperação. Assim, limpar realmente o arquivo no disco é um problema real. Ela pode ser realizada de muitas maneiras diferentes. A wiping é uma delas e consiste em sobrescrever todos os setores do disco com um padrão de binário 1's e 0's, substituindo então os dados que ainda persistiam na mídia. Dessa forma não podendo mais ser recuperados nem acessados. Você pode determinar se as ferramentas de limpeza foram instaladas através da revisão de programas existentes no disco, mas não pode mais trazer os dados de volta (PHILIPP et al., 2010, p.237). 2.4.5 Ferramentas Este item abordará algumas das principais ferramentas antiforense que podem ser utilizadas para aplicação das técnicas vistas no capitulo anterior. 2.4.5.1 Wipe É um aplicativo que permite a deleção segura de dados, permitindo que o usuário defina quais arquivos serão apagados e quantas vezes aqueles blocos de disco, onde os arquivos apagados estavam alocados (4Linux – Pen Test, 2011, p.261). 2.4.5.2 Scrub Outra possibilidade para realizar o data wiping, sobrescrevendo os dados deletados com um padrão determinado de informações, que podem ou não ser removidas no final da
  • 15. 14 informação. Se não forem removidas, o perito forense encontrará apenas “lixo digital” nos blocos do disco, sem qualquer coerência. (4Linux – Pen Test, 2011, p.262) Veja os exemplos a seguir: a) Realizando o data wiping no arquivo. $ scrub imagem.jpg scrub: using NNSA NAP-14.x patterns scrub: padding imagem.jpg with 4078 bytes to fill last fs block scrub: scrubbing imagem.jpg 12288 bytes (~12KB) scrub: random |................................................| scrub: random |................................................| scrub: 0x00 |................................................| scrub: verify |................................................| b) Destruindo todos os arquivos no disco $ scrub /dev/sda1 2.4.5.3 Steghide É um programa capaz de esconder dados em vários tipos de arquivos de áudio e de imagem. Suporta formatos de arquivos JPEG, BMP, WAV e AU para uso como arquivo de cobertura. O algoritmo de criptografia padrão é o Rijndael com uma chave de 128 bits. No exemplo abaixo iremos utilizar a imagem de um tux e adicionaremos ao mesmo um arquivo texto simples contendo algumas informações, como por exemplo, as senhas do sistema. $ file tux.jpg tux.jpg: JPEG image data, JFIF standard 1.01 $ md5sum tux.jpg 4e858aa5c73f48695ba5fc3ea5eda380 tux.jpg Escondendo o arquivo de senhas. $ steghide embed -cf tux.jpg -ef senha.txt Enter passphrase: Re-Enter passphrase: embedding "senha.txt" in "tux.jpg"... done Mesmo adicionando outro arquivo a imagem do tux o tipo do arquivo permaneceu o mesmo. Apenas o hash do arquivo foi alterado, essa informação pode ser utilizada como contramedida, caso tenha sido guardado anteriormente uma tabela com os hashs dos arquivos. $ file tux.jpg tux.jpg: JPEG image data, JFIF standard 1.01 $ md5sum tux.jpg d0c0713cf2e55140ec912fc465bd7ba9 tux.jpg
  • 16. 15 Extraindo o arquivo escondido $ steghide extract -sf tux.jpg Enter passphrase: wrote extracted data to "senha.txt". 2.4.5.4 Truecrypt É um software para criação e manutenção de um volume on-the-fly-encrypted (dispositivo de armazenamento de dados). On-the-fly encriptação significa que os dados são automaticamente criptografados antes de ser salvo e descriptografado logo após ser carregado, sem qualquer intervenção do usuário. Não há dados armazenados em um volume criptografado que possa ser lido (descriptografado) sem usar a senha correta / keyfile (s) ou chaves de criptografia corretas. O sistema de arquivo inteiro é criptografado (por exemplo, nomes de arquivos, nomes de pastas, o conteúdo de cada arquivo, espaço livre, metadados, etc.) (TRUECRYPT FOUDATION, 2012). O processo de encriptação e decriptação são transparentes para o usuário e serviços que utilizam o volume encriptado. Ao criar um volume com truecrypt o usário precisará definir: o tamanho, algoritmo de criptografia, o algoritmo de hash e a senha de segurança. Após a conclusão dessas definições o truecrypt cria o arquivo ou partição e o preenche com dados aleatórios, de uma forma que se forem analisados é impossível saber se há dados. Devido a essa segurança e eficiência, a utilização dessa ferramenta vem se tornando cada vez mais comum para proteção de dados sigilosos. Atualmente é compatível com os seguintes sistemas operacionais: Windows 7 (32-bit and 64-bit), Windows Vista, Windows Vista x64 (64-bit) Edition, Windows XP, Windows XP x64 (64-bit) Edition, Windows Server 2008 R2 (64-bit), Windows Server 2008, Windows Server 2008 x64 (64-bit), Windows Server 2003, Windows Server 2003 x64 (64-bit), Windows 2000 SP4, Mac OS X 10.7 Lion (64-bit and 32-bit), Mac OS X 10.6 Snow Leopard (32-bit), Mac OS X 10.5 Leopard, Mac OS X 10.4 Tiger, Linux (32-bit and 64-bit versions, kernel 2.6 or compatible) Os passos a seguir mostram como criar e criptografar um volume com truecrypt via linha de comando no Linux. O primeiro passo é baixar e instalar o pacote. $ wget http://www.truecrypt.org/download/truecrypt-7.1a-linux-x86.tar.gz $ tar zxvf truecrypt-7.1a-linux-x86.tar.gz $ ./truecrypt-7.1a-setup-x86 Apareceram telas basta seguir. No processo de criação utilizaremos a option –t para que a operação seja executada em modo texto. A option –c é para o modo iterativo. $ truecrypt –t –c
  • 17. 16 Serão solicitadas as seguintes informações: Tipo de volume; Path do volume; Tamanho do volume; Algoritmo de criptografia; Algoritmo de hash; Filesystem; Password. Para montar o volume criado utilizaremos a option --mount: $ truecrypt -t --mount /tmp/volume Enter mount directory [default]: Enter password for /tmp/volume: Enter keyfile [none]: Protect hidden volume (if any)? (y=Yes/n=No) [No]: No Para desmontar: $ truecrypt -t -d /tmp/volume 3. ESTUDO DE CASO Conforme definido nesse artigo a destruição das evidências poderá ser lógica ou física parcial ou total. Existem várias formas de essas evidências serem esterilizadas. A seguir, serão demonstradas maneiras possíveis para realizar essa ação logicamente, via software. No processo a seguir iremos esterilizar uma partição. Nessas demonstrações iremos utilizar uma máquina Debian, Linux. Esse ambiente contém uma partição /mnt/pessoal aonde nesse laboratório irá conter informações relevantes que comprometeriam o usuário dessa máquina com fotos e planilhas, vide Figura 01. Figura 01 – Maquina Linux, debian, com partição, /mnt/pessoal, montada. Nesse passo o usuário resolveu apagar os arquivos comprometedores utilizando o comando rm entendendo ele que não teriam como serem recuperados. Porém, os arquivos persistiram no filesystem e apenas a referência dos arquivos foi apagada. Esses arquivos podem ainda serem recuperados utilizando os comandos fls e icat, por exemplo. Vide Figura 02.
  • 18. 17 Figura 02 – Uma simples exclusão de arquivo não previne uma recuperação futura. Nesse próximo passo iremos remover definitivamente os arquivos comprometedores sem risco de recuperação, vide Figura 03. Figura 03 – Realizando wipe nos arquivos. Agora iremos realizar o wipe no filesystem. Dessa forma não há como recuperarmos os arquivos. Vide Figura 04.
  • 19. 18 Figura 04 – Destruindo todos os arquivos no filesystem. E por fim, o resultado do filesystem após o wipe, vide Figura 05. Figura 05 – Resultado do hexedit no filesystem. 4. CONCLUSÃO Mediante o avanço das técnicas antiforense, que podem ser utilizadas para segurança ou para apagar as evidências de atos ilícitos, cresce cada vez mais o desafio aos peritos forenses para recuperar e coletar dados para a confecção de um laudo que possa direcionar ao entendimento do caso. A complexidade para o perito pode ser explicada mediante as dificuldades que tendem a ser encontradas de diversas formas, como na utilização de técnicas e ferramentas, de fácil obtenção na Internet, e muitas vezes com procedimentos muito simples, que facilitam a destruição, ocultação, eliminação ou até mesmo a falsificação das evidências.
  • 20. 19 A partir das informações coletadas e reportadas neste artigo, além do estudo de caso, ficou comprovado que o uso das técnicas e ferramentas antiforense possui um impacto mais que considerável na análise de um delito por um perito, podendo até tornar impossível ou improvável a coleta de evidências a partir da recuperação de algum dado que ajude no entendimento do evento. Muitas vezes a recuperação desses dados, quando possível tecnicamente, passa a não ser plausível numa análise de custo/beneficio; assim, o retorno dessa informação fica inviável. Das técnicas antiforense reportadas neste artigo, as que envolvem a destruição dos dados e eliminação da fonte são as mais simples de serem aplicadas no ambiente, embora em todas elas, por mais simples que sejam, peçam um pouco de conhecimento técnico. As mais complexas seriam as que envolvem a criptografia e a falsificação da fonte que exigem um pouco mais de conhecimento técnico e um cuidado ainda maior no seu uso, pois podem tornar o dado inacessível até mesmo para o usuário, no caso da criptografia, caso o mesmo seja descuidado. O acesso a esses recursos são de fácil obtenção na Internet e o seu uso cada vez mais simples e automatizado. Tomamos como exemplo distribuições Linux carregáveis em live CDs, como por exemplo, o Backtrack, que trazem muitos desses softwares compilados num só lugar e até procedimentos operacionais simples. Um bom exemplo de uso da técnica antiforense para fim não licito que obteve grande repercussão na mídia foi o caso do banqueiro Daniel Dantas em que seus discos rígidos, que foram apreendidos pela Policia Federal, estão criptografados e até o presente momento não se conseguiu a decodificação desses dados, pois não se tem o conhecimento das senhas utilizadas no processo de encriptação do sistema de arquivos. Apesar de todo o avanço tecnológico, não se conseguiu obter essas informações que poderiam ajudar no caso, mesmo com todo recurso computacional envolvido e até o apoio do FBI. Logo, com esse crescimento exponencial dessas técnicas antiforense usadas para ocultar atos ilícitos, o perito forense deve buscar sempre novos conhecimentos, novos recursos que o auxiliem na sua análise. Óbvio que a experiência desse profissional irá ser o diferencial, pois na maioria dos casos os usuários infratores não são especializados na área de informática e provavelmente deixarão evidências dos seus atos ou até mesmo ficarão iludidos com a falsa segurança de que ao executar uma simples ação de exclusão de um arquivo ou a limpeza do cache do browser já estarão seguros. 5. TRABALHOS FUTUROS Como sugestão para novos trabalhos que possam vir a complementar este artigo, recomenda-se que sejam analisados em trabalhos distintos, separadamente, cada método antiforense com mais detalhes e aprofundamento. Abstract: The activity focuses on anti-forensics difficult or impossible in a forensic computing resource, while the skill forensic evidence that might seek direct understanding of the case. The scope of this work is to describe the techniques and tools anti-forensics more efficient and the consequences of their expertise in a "post mortem". This information was obtained from information collected in books, magazines, web sites related to the topic and other works with similar content. In a case study with the practical implementation of these techniques anti- forensics and its impact on forensic expertise.
  • 21. 20 Keywords: Forensics. Anti-forensics. Security. Encryption. 6. REFERÊNCIAS BARYAMUREEBA V, TUSHABE F. The Enhanced Digital Investigation Processo Model. Institute of Computer Science, Makerere University, Uganda, 2004. BLUDEN, B. Anti-Forensics: The Rootkit Connection, 2009. Disponível em: https://www.blackhat.com/presentations/bh-usa-09/BLUNDEN/BHUSA09-Blunden- AntiForensics-PAPER.pdf. Acessado em Novembro 01, 2011. ELEUTÉRIO, P. M. da Silva; MACHADO, M. Pereira. Desvendando a Computação Forense. São Paulo: Novatec Editora, 2010. FARMER, Dan; VENEMA, Wietse. Perícia Forense Computacional: Teoria e Prática Aplicada. São Paulo: Prentice-Hall, 2007. GARFINKEL, Simon, Anti-Forensics: Techniques, Detection and Countermeasures, The 2nd International Conference on Warfare and Security (ICIW), Naval Postgraduate School, Monterey, CA, 2007. http://www.simson.net/clips/academic/2007.ICIW.AntiForensics.pdf HARRIS, Ryan. Arriving at an anti-forensics consensus: Examining how to define and control the anti-forensics problem. 2006. Disponível em: http://dfrws.org/2006/proceedings/6- Harris.pdf. Acessado em Janeiro 15, 2012. MARTINS, R. B. Metodologia Científica – Como tornar mais agradável à elaboração de trabalhos acadêmicos. Curitiba: Juruá Editora, 2011. 1th Edição. MORIMOTO, Carlos E. Servidores Linux Guia Prático. Porto Alegre: Sul Editores, 2008. PHILIPP, A.; COWEN, D.; DAVIS, C. Hacking Exposed Computer Forensics: Secrets & Solutions. New York: McGrawHill, 2010. 2th Edition. STALLINGS, William. Criptografia e Segurança de Redes. São Paulo: Pearson Prentice Hall, 2008. 4th Edição. SEIFRIED, Kurt. Linux Magazine. 2009. Disponível em: http://www.linuxnewmedia.com.br/lm/article/inseguranca_lm50. Acessado em Janeiro 10, 2012. SHADOWSERVER. Disponível em: http://www.shadowserver.org. Acessado em Janeiro 10, 2012. TRUECRYPT FOUNDATION. Truecrypt – Free Open-Source Disk Ecryption Software. Disponível em: http://www.truecrypt.com. Acessado em Janeiro 15, 2012. VERGARA, S. C. Projetos e Relatórios de Pesquisa em Administração. São Paulo: Editora Atlas, 2010. 12th Edição.
  • 22. 21 4LINUX. Apostila Pen Test: Teste de Invasão Redes Corporativas. São Paulo: 2011.