Computação Forense Aplicada à Resposta de Incidentes de Segurança

FRANCIELLE REGEANE VIEIRA DA SILVA
COMPUTAÇ ÃO FORENSE APLICADA À RESPOSTA DE
INCIDENTES DE SEGURANÇ A
Monografia apresentada como requisito par-
cial à obten¸cão do grau de Especialista. Pro-
grama de Pós-Gradua¸cão em Informática,
Setor de Ciências Exatas, Universidade Fe-
deral do Paraná.
Orientador: Prof. Aldri Luiz dos Santos
CURITIBA
2009

Não se aparte da tua boca o livro desta lei; antes medita nele dia e noite, para que
tenhas cuidado de fazer conforme a tudo quanto nele está escrito; porque então
farás prosperar o teu caminho, e serás bem sucedido..
(Josué 1:8)

i
AGRADECIMENTOS
Agrade¸co primeiramente a Deus por me proporcionar for¸ca, para sempre lutar pelos meus
sonhos e propósitos, e, sabedoria, para aprender e disseminar o conhecimento. Tudo no
tempo certo, da forma certa, para que desse certo, sei que estás comigo sempre e ilumina
meus passos.
A meus pais e irmãos pela educa¸cão e apoio concedido desde minha infância, sempre
me ensinando as coisas, com simplicidade e amor. Ensinaram-me que tudo que fizer deve
ser feito com humildade e gosto, e acho que é por isso que estou na área de informática,
pois fa¸co o que gosto.
A meu professor e orientador Aldri Luiz dos Santos pelo acompanhamento, revisão do
estudo, e transmissão do conhecimento. E a todos que me ajudaram direta ou indireta-
mente, muito obrigada.
E por último e não menos importante a meu namorado Jair Gon¸calves, pelo amor,
apoio e paciência. Que Deus ilumine a todos e que este seja apenas mais um passo de
muitos que estão porvir.

ii
SUMÁRIO
LISTA DE FIGURAS iv
LISTA DE TABELAS v
RESUMO vi
ABSTRACT viii
1 INTRODUÇ ÃO 1
1.1 Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.2 Contribui¸cões . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.3 Organiza¸cão da Monografia . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2 FUNDAMENTOS E PRINCÍPIOS BÁSICOS 6
2.1 Defini¸cão de Forense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.2 Defini¸cão de Evidência . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.3 O Evento Incidente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.4 Resposta a Incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.5 Tratamento de Incidentes de Seguran¸ca . . . . . . . . . . . . . . . . . . . . 8
3 APLICAÇ ÃO DA COMPUTAÇ ÃO FORENSE 15
3.1 Incidente de Seguran¸ca Computacional . . . . . . . . . . . . . . . . . . . . 15
3.1.1 Metodologia dos Atacantes . . . . . . . . . . . . . . . . . . . . . . . 17
3.1.2 Identificando Riscos . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
3.1.3 Evidências Digitais . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3.1.4 Tratamento de Evidências . . . . . . . . . . . . . . . . . . . . . . . 27
3.1.5 Documenta¸cão e Preserva¸cão de Evidências . . . . . . . . . . . . . 28
3.2 Investiga¸cão Forense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
3.2.1 Considera¸cões e Conhecimentos Preliminares . . . . . . . . . . . . . 33

iii
3.2.2 Planejamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
3.2.3 Decisões em Ambientes Comprometidos . . . . . . . . . . . . . . . . 36
3.3 Análise Forense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.3.1 Prepara¸cão para a Análise Forense . . . . . . . . . . . . . . . . . . 39
3.3.2 Privacidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
3.3.3 Duplica¸cão Forense . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
3.3.4 Recupera¸cão de Arquivos Exclu´ıdos . . . . . . . . . . . . . . . . . . 42
3.4 Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
4 PROCESSO DE RESPOSTA A INCIDENTES DE SEGURANÇ A 46
4.1 Fatores que afetam a Resposta à um Incidente . . . . . . . . . . . . . . . . 46
4.2 Prepara¸cão em Pré Incidente . . . . . . . . . . . . . . . . . . . . . . . . . . 49
4.3 Deteçcão de Incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
4.4 Estabelecer Pol´ıticas e Procedimentos . . . . . . . . . . . . . . . . . . . . . 52
4.5 Resposta Inicial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
4.5.1 Formular uma Estratégia de Resposta . . . . . . . . . . . . . . . . . 57
4.5.2 Reportar e Resolver . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
4.6 Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
5 CONCLUSÃO 62
5.1 Resultados e Trabalhos Futuros . . . . . . . . . . . . . . . . . . . . . . . . 63
BIBLIOGRAFIA 67

iv
LISTA DE FIGURAS
2.1 Crescimento do número de incidentes reportados ao CERT.BR . . . . . . . 9
3.1 Metodologia dos atacantes . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.2 Etapas de coleta e análise . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.3 Processo de investiga¸cão forense . . . . . . . . . . . . . . . . . . . . . . . . 32
3.4 Execu¸cão da análise forense . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.1 Processo de resposta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
4.2 Procedimentos no momento do incidente . . . . . . . . . . . . . . . . . . . 50
4.3 Deteçcão de incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
4.4 Etapas da resposta inicial . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

v
LISTA DE TABELAS
3.1 Principais fontes de informa¸cão de um sistema computacional . . . . . . . 23
3.2 Evidências alteradas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
3.3 Recupera¸cão de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
4.1 Passos para tratamento de incidentes . . . . . . . . . . . . . . . . . . . . . 48
4.2 Informa¸cões cr´ıticas na deteçcão de incidentes . . . . . . . . . . . . . . . . 52
4.3 Postura da organiza¸cão na tomada de decisão ao incidente . . . . . . . . . 53
4.4 Fatores de influência . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
4.5 Aspectos importantes na investiga¸cão . . . . . . . . . . . . . . . . . . . . . 57
4.6 Possibilidade de respostas . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

vi
RESUMO
O avan¸co tecnológico tem sido usado para melhorar a vida diária das pessoas e das or-
ganiza¸cões. Mesmo trazendo tais benef´ıcios, são necessárias a¸cões voltadas a controle e
monitoramento, visando que a evolu¸cão constante da tecnologia e sua implanta¸cão não se
torne um risco em seu meio de utiliza¸cão dentro das organiza¸cões. Contudo hoje, apenas
alguns minutos transcorrem, entre conectar-se à Internet e a possibilidade de ser atacado
por alguma outra máquina. Infelizmente, os avan¸cos tecnológicos têm também seu lado
negro, em que os dispositivos eletrônicos estão à mercê dos criminosos. Estas atividades,
vão desde uma sofisticada rede de intrusão, à pedofilia, explorando crian¸cas. Isso é ape-
nas uma parte dos ataques, criminosos tentam ocultar zeros e uns, em um esfor¸co para
proteger sua identidade enquanto exploram a identidade dos outros.
A computa¸cão forense foi criada com o propósito de suprir as necessidades legais
do mundo cibernético no que se refere a manipula¸cão das novas formas de evidências
eletrônicas. É uma ciência que estuda a aquisi¸cão, preserva¸cão, recupera¸cão e análise de
dados que estão em formato eletrônico e armazenados em um tipo espec´ıfico de m´ıdia
computacional.
O objetivo desta monografia é mostrar que incidentes de seguran¸ca ocorrem com bas-
tante freqüência, e a computa¸cão forense, a arte e ciência de coletar e analisar evidências
digitais, reconstruir dados e ataques, rastrear invasores, como um todo, está se tornando
cada vez mais importante, na medida em que os profissionais de tecnologia da informa¸cão
e os órgãos policiais e judiciários se defrontam com uma verdadeira epidemia de crimes
cibernéticos. Este trabalho detalha os processos da computa¸cão forense sobre incidentes
de seguran¸ca, destacando também os fundamentos e princ´ıpios básicos que são necessários
para avaliar os riscos nos ambientes computacionais dentro das organiza¸cões atuais, com
foco na importância da implanta¸cão de pol´ıticas de seguran¸ca, informa¸cões em potencial
que servem como subs´ıdio para a minimiza¸cão de incidentes de seguran¸ca computacional.
O conteúdo envolvido nesta monografia, foca no tratamento de respostas a estes incidentes

vii
em como agir e se reportar nestas situa¸cões.
Organiza¸cões que definem e implementam pol´ıticas de seguran¸ca, muitas vezes descon-
hecem a forma de como devem se reportar em caso de deteçcão de um incidente, e acabam
focando mais em questões técnicas, deixando de lado própositos relevantes, como os que
serão abordados neste trabalho.
Como responder perante um acontecimento que coloca em risco informa¸cões impor-
tantes, dados sigilosos, reputa¸cão e credibilidade? Como fazer com que a resposta inicial
atenda tanto o lado da organiza¸cão quanto ao v´ınculo dela com a sociedade ou até mesmo
com seus clientes? Este trabalho mostra conceitos que levam a esta visão e ajudam
nos processos internos das organiza¸cões para que sejam implementada e implantada uma
pol´ıtica de seguran¸ca clara e bem definida.
Palavras-chave: Computa¸cão Forense, Incidentes de Seguran¸ca, Evidências, Coleta,
Análise, Resposta.

viii
ABSTRACT
The technological advances have been used to improve the daily lives of people and organi-
zations. Even bringing such benefits actions are needed at the controlling and monitoring
in order that the constantly changing technology and its deployment does not become a
risk in their environment of use within organizations. Today, only a few minutes elapse
between connecting to the Internet and the possibility of being attacked by some other
machine. Unfortunately, technological advances also have their dark side, where elec-
tronic devices are at the mercy of criminals. These activities range from a sophisticated
network intrusion, pedophilia, exploiting children. This is just one part of the attacks,
criminals try to hide zeros and ones, in an effort to protect their identity while exploring
the identity of others.
The Computer Forensics was created with the purpose of meeting the legal needs of
the cyber world and the handling of new forms of electronic evidence. It is a science that
studies the acquisition, preservation, retrieval and analysis of data that is in electronic
format and stored on a specific type of computational media.
The purpose of this work is to show that security incidents occur quite frequently, and
computer forensics, art and science of collecting and analyzing digital evidence, recon-
structing data and attacks, track intruders, as a whole, is becoming increasingly impor-
tant, to the extent that professional information technology and law enforcement agencies
and judicial authorities are facing a real epidemic of cyber crimes. This paper details the
process of computer forensics on security incidents, also the fundamentals and basic prin-
ciples that are needed to assess the risks within the computing environments of today’s
organizations, focusing on the importance of implementing security policies, information
on potential serve as input for the minimization of computer security incidents. The con-
tent involved in this document focuses on treatment responses of incidents and how to
act and report in those situations.
Organizations that define and implement security policies often do not know how they

ix
should report when an incident is detected, and end up focusing more on technical issues,
leaving aside relevant aspects, as they will be treated in this work.
How to respond before an event that puts at risk important information, sensitive
data, reputation and credibility? How to make the initial response meets both the side
of the organization and to link it with the society or even with your customers? This
work will show concepts that lead to this vision and help in the internal processes of
organizations to be implemented and deployed a security policy clear and well deﬁned.
Keywords: Computer Forensics, Incident Response, Forensic Expertise, Forensic Sci-
ence, Evidence, Security Incident.

1
CAPÍTULO 1
INTRODUÇ ÃO
“Quando se pode medir um elemento sob análise e expressar este elemento em números é
poss´ıvel, demonstrar algum conhecimento sobre o elemento.
Mas quando não se pode medir o elemento sob análise, nem expressar suas propriedades em
termos numéricos, o conhecimento sobre ele é reduzido e insatisfatório: este pode ser o in´ıcio
de algum conhecimento, mas ainda está muito distante do estágio de ciência.“
[Lord Kelvin - circa 1880]
A conectividade oferecida pela Internet introduz uma série de novas facilidades no
dia a dia das pessoas. Compras, transa¸cões bancárias, transferências de arquivos, enfim,
procedimentos realizados pessoalmente ou por intermédio de papéis, formulários, docu-
mentos, são informa¸cões que atualmente podem ser trocadas com facilidade, permitindo
o acesso a qualquer tipo de informa¸cão dispon´ıvel em qualquer lugar do mundo.
As últimas décadas foram marcadas pela integra¸cão dos computadores no modo de
vida das pessoas. Sistemas bancários, redes de relacionamento, esta¸cões de energia e
sistemas de saúde, dependem de sistemas computacionais para seu funcionamento eficiente
e confiável. Além disso, é crescente o número de indiv´ıduos que utilizam computadores
pessoais por conveniência, educa¸cão e entretenimento. A Internet introduziu também
inúmeras outras facilidades no dia a dia do ser humano. Portanto, não é de se espantar o
fato de que esta revolu¸cão computacional tenha atingido também o mundo do crime.
Embora hoje as pessoas e as organiza¸cões têm se preocupado muito em utilizar mecan-
ismos para aumentar a seguran¸ca dos sistemas que utilizam em rede, não há garantias que
incidentes de seguran¸ca não ocorram, mesmo que seja implantado todo tipo de tecnologia
moderna. O problema é, encontrar meios para que no caso da ocorrência deste tipo, a

2
organiza¸cão possa agir da melhor maneira poss´ıvel para evitar o agravamento da situa¸cão.
Existe uma grande diversidade de incidentes tais como: Roubo de segredos comerciais,
e-mail (spam ou assédio), intrusões em sistemas de informa¸cão, desfalque, a divulga¸cão ou
posse de pornografia infantil, ataques Denial-of-Service (DoS 1
), extorsão, enfim, qualquer
a¸cão ilegal quando a prova pode estar armazenada em meio eletrônico [22]. Muitos destes
eventos envolvem viola¸cões de direito público, e podem ser recursais em processos civil
ou penal [4], vários dos ocorridos causam um forte impacto na organiza¸cão, incidentes
envolvem intensa pressão, tempo e recursos. Em geral, dois incidentes não são idênticos,
e muitos poucos serão tratados exatamente da mesma maneira [22]. Sendo que diver-
sos fatores podem influenciar na resolu¸cão de um incidente, existem mecanismos legais,
pol´ıticos, empresariais, e fatores técnicos, que irão moldar cada inquérito [4].
O problema de resolver um mistério computacional nem sempre é fácil [4], existe a
necessidade de não se observar o sistema como um usuário comum, e sim como um detetive
que examina a cena de um crime. Felizmente os programadores levam alguma vantagem
neste assunto, pois muitas das habilidades necessárias para se procurar um erro em um
código fonte, são também necessárias para uma análise forense, tais como: racioc´ınio
lógico, entendimento das rela¸cões de causa e efeito em sistemas computacionais e talvez
a mais importante, ter uma mente aberta. Para minimizar problemas de questões legais,
torna-se necessário o estabelecimento de pol´ıticas de seguran¸ca bem claras que prevejam
o vasculhamento de dados pessoais dos usuários em casos de incidentes de seguran¸ca [19].
O que é a computa¸cão forense? Esta pergunta foi feita a um tempo atrás, porém
não existe uma resposta única para esta questão [24], pois a computa¸cão forense é um
processo, não um elefante, e não é apenas um único processo, mas um grupo de atividades
e processos a serem executados em uma investiga¸cão.
Muito do trabalho realizado na computa¸cão forense tem-se centrado na extra¸cão de
dados para apresenta¸cão nos tribunais. Pesquisadores têm desenvolvido ferramentas para
copiar dados armazenados em disco r´ıgido, em arquivos de imagem de disco [36], bus-
cando a imagem de disco para arquivos de documentos, e apresenta¸cão de documentos
1
Ataques de nega¸cão de servi¸co, consistem em tentativas de impedir usuários leg´ıtimos de utilizarem
um determinado servi¸co de um computador.

3
ao tribunal. Como tanto a variedade e amplitude das investiga¸cões forenses tem aumen-
tado, os profissionais forenses precisam de ferramentas e metodologias que fazem mais
do que pesquisa e apresenta¸cão: eles precisam de ferramentas para reconstru¸cão, análise,
clustering, minera¸cão de dados e afins.
Atualmente existem quatro limita¸cões da computa¸cão forense [33]: A Processual, a fim
de cumprir os requisitos tradicionais da forense, onde todos os dados devem ser reunidos
e analisados para a prova no tribunal. No entanto, um moderno computador ou sistema
pode render muitos gigabytes de dados a serem analisados. Isso apresenta desafios em
todas as fases, desde a coleta de dados para armazenar e, finalmente, a análise dos dados.
Uma abordagem comum é extrair apenas as informa¸cões relevantes, enquanto o sistema
ainda está em execu¸cão, o que acaba limitando a quantidade de dados recolhidos. A,
Técnica, pois a tecnologia da informa¸cão é um campo de rápida muta¸cão, o que significa
que crimes cibernéticos também estão em rápida muta¸cão. Além disso, a necessidade de
investiga¸cão em computadores e sistemas, evoluem mais rapidamente do que as ferramen-
tas que existem para examiná-los. Crimes que envolvem o computador podem ocorrer a
qualquer momento, de grandes centros urbanos a pequenas cidades, que não dispõe de
tantos recursos, esses fatores se combinam de modo que investigadores inexperientes são
for¸cados a analisar crimes de computador com ferramentas inadequadas e desatualizadas.
A Social, que abrange a falta de padroniza¸cão e procedimentos, que tem levado a in-
certezas sobre a eficácia das técnicas de investiga¸cão. E por fim, a Legal, a utiliza¸cão e
limites das evidências digitais como prova em processos judiciais ainda são obscuras. As
técnicas atuais não podem ser rigorosas o suficiente para usar na sala do tribunal.
Um caderno de papel encontrado na cena de um crime pode ser colocado em um saco
plástico, etiquetado, e trancado em um armário de provas. Cada vez que a evidência é
acessada ou transferida para outro local tal fato será anotado. Desta forma a procuradoria
pode mostrar que as evidências não foram alteradas, em raros casos ocorre adultera¸cão,
sendo assim, caso ocorra pode ser detectada. Mas ao contrário dos registros escritos em
papel [37], os arquivos digitais podem ser modificadas sem deixar um rastro na mensagem
original. Isto é um dos grandes desafios da computa¸cão forense, que institui que um ar-

4
ranjo particular de bits sobre dispositivo de armazenamento é o resultado de uma história
computacional espec´ıfica.
Levando em considera¸cão, muitos incidentes não são tradicionalmente considerados
como um crime da informática, mas indiretamente são envolvidos pela informática [22].
Por exemplo, um criminoso pode ter assassinado uma pessoa e acessado no seu computador
pessoal, o mapa do local em que o corpo foi enterrado. Neste caso, os computadores não
estavam envolvidos em qualquer irregularidade, em vez disso, um computador fornecia
pistas (evidências) sobre o paradeiro da v´ıtima e as atividades em potenciais do criminoso.
Como obter informa¸cões relevantes a partir de computadores capazes de apoiar o
direito penal e c´ıvil? Quem é o responsável por obter essa informa¸cão? Quem está
envolvido? Como responder a este tipo de incidente? Nesta monografia, será tratado
o processo de resposta a incidentes de seguran¸ca, serão destacados pareceres técnicos
necessários para implanta¸cão de pol´ıticas de seguran¸ca eficazes e elabora¸cão de respostas
estratégicas que cumpram o papel nas organiza¸cões atuais.
1.1 Objetivo
O objetivo deste trabalho é fornecer subs´ıdios para que no surgimento de um incidente
de seguran¸ca, as organiza¸cões, encontrem meios para que possam responder da melhor
forma poss´ıvel. Visando assim o não agravamento da situa¸cão, através de vazamento ou
perda de informa¸cões estratégicas, no sentido de se entender como utilizar a computa¸cão
forense, de maneira teórica, na identifica¸cão de incidentes, coleta e análise de evidências.
São abordados alguns fatores básicos necessários para avaliar os riscos que afetam
negativamente ambientes computacionais diversos, frisando a importância de se implantar
pol´ıticas de seguran¸ca em resposta a incidente, informa¸cões em potencial que servirão
como meio para minimizar incidentes.

5
1.2 Contribui¸cões
Neste sentido, a resposta a incidentes de seguran¸ca é avaliada dentro das organiza¸cões,
afim de não expor informa¸cões relevantes, reconhecer sinais de um incidente, definir pas-
sos necessários para prepara¸cão de incidentes, preservar evidências potenciais e formular
respostas estratégicas. Com o discernir da computa¸cão forense será poss´ıvel minimizar a
ocorrência de incidentes de seguran¸ca, propondo organiza¸cão nos processos de resposta,
afim de coletar e analisar evidências, reconstruir dados e ataques, e rastrear invasores da
melhor maneira poss´ıvel.
1.3 Organiza¸cão da Monografia
O restante da monografia está organizada da seguinte forma. O Cap´ıtulo 2 define os
fundamentos básicos relativos a incidentes de seguran¸ca, destacando a importância e a
finalidade da computa¸cão forense, assim como o papel das evidências durante o processo
de investiga¸cão de um determinado incidente. O Cap´ıtulo 3 descreve a aplica¸cão dos
processos da computa¸cão forense, atuando como for¸ca de influência para esclarecimentos,
através da coleta e análise de evidências, mostra os métodos de identifica¸cão e deteçcão de
incidentes de seguran¸ca, proporcionando às organiza¸cões, a preserva¸cão e a documenta¸cão
das evidências encontradas. No Cap´ıtulo 4, com base em todo o conteúdo teórico, são
abordados os principais aspectos que devem ser levados em considera¸cão no processo de
prepara¸cão de um programa de resposta a incidentes, demonstrando fatores que afetam
a resposta e a resolu¸cão de incidentes. Por fim, o Cap´ıtulo 5 apresenta a conclusão
do trabalho sobre o uso da computa¸cão forense nos processos de resolu¸cão e resposta a
incidentes, mostrando a importância de uma resposta bem elaborada visando o negócio,
assim como na implanta¸cão de pol´ıticas de seguran¸ca, para a minimiza¸cão de incidentes
e até mesmo preven¸cão dentro das organiza¸cões.

6
CAPÍTULO 2
FUNDAMENTOS E PRINCÍPIOS BÁSICOS
Este cap´ıtulo define os fundamentos e os princ´ıpios básicos de forense e sua rela¸cão na com-
puta¸cão. Serão apresentados também conceitos relevantes sobre evidência e a importância
da resposta a incidentes, tendo como base o crescimento do número de incidentes repor-
tados ao Centro de Estudos, Resposta e Tratamento de Incidentes de Seguran¸ca do Brasil
(CERT.BR).
2.1 Defini¸cão de Forense
O propósito de forense é a procura e a extra¸cão de evidências relacionadas com o caso
investigado, que permitam a formula¸cão de conclusões acerca da infra¸cão [4]. Pode se
dizer que existem duas abordagens: na primeira a análise forense busca obter informa¸cões
de valor coerente com as regras e leis das evidências e admiss´ıvel em uma corte de justi¸ca,
a ser utilizada em um processo criminal. Na segunda abordagem, o exame é realizado
dentro da organiza¸cão com o objetivo de determinar a causa de um incidente e assegurar
que o mesmo não ocorra novamente, sem que haja preocupa¸cão com formalidades legais
[26].
A ciência forense trata de questões de interesses [29]. Diversas áreas da ciência podem
estar relacionadas com essas questões, como por exemplo a medicina para determinar a
causa de uma morte, ou a qu´ımica para detectar res´ıduos de determinados compostos uti-
lizados em um crime ou até mesmo a computa¸cão para determinar quem alterou registros
invadindo um sistema bancário [19].

7
2.2 Defini¸cão de Evidência
Para que a ciência forense trabalhe dentro da computa¸cão é necessário a coleta e o recon-
hecimento de evidências. A defini¸cão de evidência esta relacionada a qualquer informa¸cão
de valor probatório, que significa provar alguma coisa ou acontecimento [27]. Portanto,
qualquer documento, m´ıdia eletrônica, arquivos eletrônicos ou impressos, ou outros ma-
teriais obtidos durante a investiga¸cão que podem ajudar na resolu¸cão do incidente são
tratados como evidências, e manuseados de acordo com a organiza¸cão e os seus procedi-
mentos [22].
O termo evidência refere-se a toda e qualquer informa¸cão que pode ser capaz de
determinar que uma intrusão ocorreu ou que provê alguma liga¸cão entre a intrusão e as
v´ıtimas ou entre a intrusão e o atacante [31]. Durante uma investiga¸cão em um incidente
de seguran¸ca, podem existir equipamentos que possuem rastros que devem ser tratados
como evidências e anexados no relatório de investiga¸cão [26].
Neste trabalho são tratadas evidências focadas em incidentes de seguran¸ca de com-
puta¸cão, também chamadas de evidência digital, que não deixa de ser uma evidência f´ısica,
embora seja menos tang´ıvel. Ela é composta de campos magnéticos e pulsos eletrônicos
que podem ser coletados e analisados através de técnicas e ferramentas apropriadas.
2.3 O Evento Incidente
Incidente pode ser definido como um evento não desejado, o qual ocorre circunstâncias
ligeiramente diferentes, no qual poderão haver resultados em lesões para as pessoas, danos
à propriedade ou perdas de processos [22]. Um incidente de seguran¸ca pode ser definido
como qualquer evento adverso, confirmado ou sob suspeita, relacionado à seguran¸ca de
sistemas de computa¸cão ou em redes de computadores [25].
Deve-se notar que nem todo evento incidente pode ser caracterizado como crime,
pois sua origem pode ser uma falha genérica, como, por exemplo, falha elétrica. Além
disso [4], no direito penal o crime é produto de uma conduta contrária à lei penal, sendo
expressamente prevista por ela. Essa conduta criminal pode consistir numa a¸cão (doloso),

8
quando o sujeito faz alguma coisa, ou numa omissão (culposo), quando o sujeito deixa de
fazer alguma coisa.
2.4 Resposta a Incidentes
Quando um incidente ocorre, é necessário se pensar em como gerar uma resposta a ele
que nada mais é que arrumar formas descritas em procedimentos formais de como a
organiza¸cão reage perante acontecimentos não previstos que atingem seu ambiente [22].
São solu¸cões pré estabelecidas para resolu¸cão de questões não previstas, a modo que não
comprometa a organiza¸cão como um todo [29].
Contudo, respostas a incidentes não devem ser tratadas somente dentro das orga-
niza¸cões mas também em incidentes que envolvem pessoas espec´ıficas em crimes distintos,
que muitas vezes não envolvem somente a organiza¸cão mas pessoas chaves externamente
que fazem parte do ocorrido.
A diferen¸ca entre resposta a incidentes e computa¸cão forense é que a resposta envolve
termos que visam a seguran¸ca [22], é a rea¸cão da organiza¸cão a qualquer ato não autor-
izado, ilegal ou inaceitável que ocorre dentro do ambiente computacional, e a computa¸cão
forense são as evidências a partir do ambiente invadido, é o meio para que possa apoiar
em um processo jur´ıdico [15].
2.5 Tratamento de Incidentes de Seguran¸ca
Devido ao grande crescimento do mundo computacional e o surgimento de novas tecnolo-
gias, também não é de se espantar o alto número de incidentes que ocorrem de forma
il´ıcita [23]. Além de serem utilizados como ferramentas para a consuma¸cão de alguns
tipos de delitos como, por exemplo, invasão de sistemas, dissemina¸cão de pornografia in-
fantil e fraude, os computadores podem conter evidências relacionadas a qualquer tipo de
atividade il´ıcita, incluindo homic´ıdio e estupro [40].
É interessante avaliar os indicadores das denúncias reportadas a Safernet Brasil, ela
mostra que até o final de (2007) foram reportados 15.879 incidentes que envolviam pornografia

9
infantil na Internet, em compara¸cão com os dois últimos anos (2008 e 2009) representou
27.876 casos, sendo que este ano, foram 25.512 casos. Isso demonstra que as organiza¸cões e
até mesmo a popula¸cão em geral, têm se preocupado em como tratar situa¸cões deste tipo,
muitas estão se reportando e buscando ajuda afim de prevenir poss´ıveis dissemina¸cões
[35].
O CERT.BR é responsável por receber, analisar e responder a incidentes de seguran¸ca
envolvendo redes conectadas à Internet no Brasil, a Figura 2.1 demonstra o crescimento
do número de incidentes nos últimos anos [5]:
Figura 2.1: Crescimento do número de incidentes reportados ao CERT.BR
Dentre as estat´ısticas mostradas na Figura 2.1, estão relacionadas as seguintes cate-
gorias de incidentes:
• Denial of Service - (DoS): Notifica¸cões de ataques de nega¸cão de servi¸co, onde
o atacante utiliza um computador ou um conjunto de computadores para tirar de
opera¸cão um servi¸co, computador ou rede.
• Invasão: Um ataque bem sucedido que resulte no acesso não autorizado a um
computador ou rede.

10
• Web: Um caso particular de ataque visando especificamente o comprometimento
de servidores Web ou desfigura¸cões de páginas na Internet.
• Scan: Notifica¸cões de varreduras em redes de computadores, com o intuito de
identificar quais computadores estão ativos e quais servi¸cos estão sendo disponibi-
lizados por eles. É amplamente utilizado por atacantes para identificar potenciais
alvos, pois permite associar poss´ıveis vulnerabilidades aos servi¸cos habilitados em
um computador.
• Fraude: Esta categoria engloba as notifica¸cões de tentativas de fraudes, ou seja, de
incidentes em que ocorre uma tentativa de obter vantagem.
Tendo em vista que não há esquema de seguran¸ca imune a falhas, torna-se então
necessária a defini¸cão de procedimentos a serem adotados no caso de um ataque bem
sucedido, além da presen¸ca de pessoal capaz de executar tal fun¸cão [22]. Atualmente
é constante o aumento de crimes que envolvem a tecnologia, as novas leis têm evolu´ıdo
conforme novas tecnologias vão surgindo ao longo dos últimos anos, porém criminosos
encontram diversas maneiras em torno das leis existentes para realizar suas atividades
ilegais [23].
Antigamente o acesso a uma câmera digital ou webcam era algo fora do padrão de
vida das pessoas, a demanda de vendas não era tão alta. Nos dias atuais, em segundos,
v´ıdeos e fotos são lan¸cados na Internet com a possibilidade de ser visto em qualquer lugar
do mundo [31].
Um sistema computacional seguro é aquele que se comporta de maneira esperada [38].
Nesse caso é importante que o comportamento esperado do sistema seja bem definido
e formalizado dentro da pol´ıtica de seguran¸ca da organiza¸cão, além da regulamenta¸cão
sobre como a organiza¸cão gerência, protege e disponibiliza seus recursos.
A seguran¸ca na computa¸cão baseia-se na confidencialidade, integridade e disponibili-
dade de recursos de sistema [1]. A confidencialidade determina que as informa¸cões sejam
acess´ıveis somente aos usuários autorizados, a integridade requer que as informa¸cões per-
mane¸cam inalteradas por acidentes ou tentativas maliciosas de manipula¸cão, e a disponi-

11
bilidade significa que o sistema computacional deve funcionar adequadamente, sem degrada¸cão
do acesso, provendo recursos aos usuários autorizados quando eles necessitarem [7].
O mundo da seguran¸ca, seja pensando em violência urbana ou em hackers, é pecu-
liar. Ele é marcado pela evolu¸cão cont´ınua, no qual novos ataques têm como resposta
novas formas de prote¸cão, que levam ao desenvolvimento de novas técnicas de ataques,
de maneira que um ciclo é formado [22]. Não é por acaso que é no elo mais fraco da rede
que os ataques acontecem. De tempos em tempos os noticiários são compostos por alguns
crimes do momento, que vêm e vão. Como resposta, o policiamento é incrementado, o
que resulta na inibi¸cão daquele tipo de delito. Os criminosos passam então a praticar
um novo tipo de crime, que acaba virando not´ıcia. E o ciclo assim continua. Já foi com-
provada uma forte liga¸cão entre seqüestradores e ladrões de banco, por exemplo, na qual
existe uma constante migra¸cão entre as modalidades de crimes, onde o policiamento é
geralmente mais falho. Alguns fatores devem ser considerados para provocar preocupa¸cão
nos processos de seguran¸ca cont´ınua [11]:
• Entender a natureza dos ataques é fundamental: É necessário entender que
muitos ataques são resultados de explora¸cão de vulnerabilidades, as quais passam a
existir devido a uma falha no projeto ou na implanta¸cão de um protocolo, aplica¸cão,
servi¸co ou sistema, ou devido a erros na configura¸cão e administra¸cão de recursos
computacionais. Isso significa que uma falha pode ser corrigida, porém novos bugs
sempre existirão.
• Novas tecnologias trazem consigo novas vulnerabilidades: É preciso ter em
mente que novas vulnerabilidades surgem diariamente. Como novas tecnologias e
novos sistemas são sempre criados, é razoável considerar que novas vulnerabilidades
sempre existirão e, portanto, novos ataques também serão sempre criados. As redes
sem fio (wireless), por exemplo, trazem grandes benef´ıcios para as organiza¸cões e
os usuários, porém trazem também novas vulnerabilidades que podem colocar em
risco os negócios da organiza¸cão.
• Novas formas de ataques são criadas: A própria história mostra uma evolu¸cão

12
constante das técnicas usadas para ataques, que estão cada vez mais sofisticadas. A
mistura de diferentes técnicas, o uso de tecnologia para cobrir vest´ıgios a coopera¸cão
entre atacantes e a criatividade são fatores que tornam a defesa mais dif´ıcil do que
o habitual.
• Aumento da conectividade resulta em novas possibilidades de ataques: A
facilidade de acesso traz como conseqüência o aumento de novos curiosos e também
da possibilidade de disfarce que podem ser usados nos ataques. Além disso, novas
tecnologias, principalmente os novos protocolos de comunica¸cão móvel, alteram o
paradigma de seguran¸ca. Um cenário onde os usuários de telefones celulares são
alvos de ataques e usados como porta de entrada para ataques a uma rede corpora-
tiva, por exemplo, é completamente plaus´ıvel.
• Existência tanto de ataques direcionados quanto de ataques oportun´ısticos:
Apesar de a maioria dos ataques registrados ser oportun´ıstica, os ataques direciona-
dos também existem em grande número. Esses ataques direcionados podem ser
considerados mais perigosos, pois, existindo a inten¸cão de atacar, a estratégia pode
ser cuidadosamente pensada e estudada, e executada de modo a explorar o elo mais
fraco da organiza¸cão. Esses são, geralmente, os ataques que resultam em maiores
preju´ızos, pois não são feitos de maneira aleatória, como ocorre com os ataques opor-
tun´ısticos. Isso pode ser observado também pelo n´ıvel de agressividade dos ataques.
Quanto mais agressivo é o ataque, maior é o n´ıvel de esfor¸co dispensado em um
ataque a um alvo espec´ıfico. É interessante notar também que a agressividade de
um ataque está relacionada com a severidade, ou seja, maiores perdas;
• A defesa é mais complexa do que o ataque: Para o hacker, basta que ele
consiga explorar apenas um ponto de falha na rede. Caso uma determinada técnica
não funcione, ele pode tentar explorar outras, até que seus objetivos sejam atendidos.
Já para as organiza¸cões, a defesa é muito mais complexa, pois exige que todos
os pontos sejam defendidos. O esquecimento de um único ponto faz com que os
esfor¸cos dispensados na seguran¸ca dos outros pontos sejam em vão. Isso acaba se

13
relacionando com uma das principais falácias do mundo corporativo: a falsa sensa¸cão
de seguran¸ca. É interessante notar que, quando o profissional não conhece os riscos,
ele tende a achar que tudo está seguro com o ambiente. Com isso, a organiza¸cão
passa, na realidade, a correr riscos ainda maiores, que é o resultado da negligência.
Isso acontece com os firewalls ou com os antiv´ırus, por exemplo, que não podem
proteger a organiza¸cão contra determinados tipos de ataques.
• Aumento dos crimes digitais: O que não pode ser subestimado são os ind´ıcios
de que os incidentes de seguran¸ca ou até mesmo chamados de crimes digitais estão
se tornando cada vez mais organizados. As comunidades criminosas contam, at-
ualmente, com o respaldo da própria Internet, que permite que limites geográficos
sejam transpostos,oferecendo possibilidades de novos tipos de ataques. Além disso,
a legisla¸cão para crimes digitais ainda está na fase da infância em muitos pa´ıses e
até mesmo no Brasil, o que acaba dificultando uma a¸cão mais severa para a inibi¸cão
dos crimes.
Para impor seguran¸ca em um ambiente ou sistema computacional, inúmeras tecnolo-
gias podem ser aplicadas [2]: Firewalls, proxys, filtros de conteúdo de acesso à Internet,
tecnologias de cifragem e autentica¸cão, ferramentas de análise de vulnerabilidades e mon-
itoramento de servi¸cos e sistemas, entre outras solu¸cões. Do ponto de vista teórico, é
poss´ıvel aumentar a seguran¸ca de um sistema observando alguns critérios: é necessário
especificar e implantar corretamente uma pol´ıtica de seguran¸ca, configurar corretamente
e adequadamente os programas e os sistemas [42]. Porém, na prática, observa-se que as
pol´ıticas de seguran¸ca, as implementa¸cões dos programas e as configura¸cões dos sistemas
podem conter falhas, tornando a seguran¸ca imperfeita.
Mesmo quando um sistema computacional está equipado com rigorosos procedimentos
de autentica¸cão e controle de acesso [17], ele ainda está suscet´ıvel a acesso de usuários
maliciosos que exploram as falhas do sistema e utilizam truques de engenharia social
(obten¸cão de senhas de usuários, fazendo-se passar pelo administrador do sistema, por
exemplo). Os sistemas computacionais que não possuem conexões com redes públicas
também estão vulneráveis, pois podem sofrer a¸cões de usuários internos que abusam de

14
seus privilégios.
Tendo em vista todas esses acontecimentos, diversas formas de tratamento podem pro-
porcionar uma seguran¸ca eficaz, visto que a seguran¸ca é necessária para que o tratamento
de incidentes no Brasil seja diferenciado, porém sua estratégia de implementa¸cão deve ser
bem definida, medindo-se todos os recursos computacionais, porém a seguran¸ca total não
é poss´ıvel. No próximo Cap´ıtulo 3 será abordada a computa¸cão forense dentro da visão
de incidentes de seguran¸ca.

15
CAPÍTULO 3
APLICAÇ ÃO DA COMPUTAÇ ÃO FORENSE
A computa¸cão forense ou (Computer Forensics) surgiu com o intuito de preservar, iden-
tificar, extrair, e documentar provas ou informa¸cões armazenadas em meios ou disposi-
tivos eletrônicos, estas informa¸cões podem ser efetivamente ocultas, para encontra-las e
identifica-las, é necessário a ajuda de ferramentas e técnicas relacionadas a computa¸cão
forense que compreendem a aquisi¸cão, preserva¸cão, restaura¸cão e análise de evidências
computacionais, quer sejam componentes f´ısicos ou dados que foram processados eletron-
icamente e armazenados em m´ıdias computacionais [40]. Ela garante a conserva¸cão de
evidências, pois sabe-se que facilmente podem ser alteradas [9]. Além disso, a computa¸cão
forense facilita a recupera¸cão e análise de arquivos exclu´ıdos e outros formas de informa¸cão
convincente de que normalmente são invis´ıveis para o usuário.
De fato, este cap´ıtulo demonstra a aplica¸cão das etapas da computa¸cão forense. A
Se¸cão 3.1 trata incidentes de seguran¸ca em torno da evolu¸cão de novas tecnologias e
aplica¸cão de metodologias distintas, demonstrando melhoria constante, tanto nos pro-
cessos de seguran¸ca quanto nas técnicas aplicadas para ataque. É tratado também o
processo de identifica¸cão dos riscos através das evidências digitais, e também o trata-
mento das evidências, documentando e preservando, pois nada mais são que provas que
definem a origem do incidente em questão. Na Se¸cão 3.2 é abordada à investiga¸cão forense
direcionada a planejamento e na tomada de decisão em resposta a incidentes. Por fim,
a Se¸cão 3.3 trata a análise forense na prepara¸cão, avaliando quesitos como privacidade,
duplica¸cão de evidências forenses e também a recupera¸cão de arquivos exclu´ıdos.
3.1 Incidente de Seguran¸ca Computacional
Atualmente, a Internet tornou-se parte do cotidiano de milhões de pessoas ao redor do
mundo, informa¸cões são trocadas, compras e transa¸cões bancárias são efetuadas com

16
naturalidade, algo que não era imaginado até bem pouco tempo atrás. Tal mudan¸ca de
comportamento, motivou o aparecimento de novos servi¸cos e cada vez mais as pessoas e
as organiza¸cões têm se preocupado.
Incidentes de seguran¸ca na computa¸cão são reflexos do aumento crescente em crimes
relacionados a computadores e requer um maior entendimento de como se obter e uti-
lizar evidências eletrônicas armazenadas em computadores [18]. Tal entendimento pode
ser alcan¸cado através dos conceitos e metodologias da computa¸cão forense [26]. Muitos
incidentes hoje não são detectados e nem notificados [9].
Incidentes de seguran¸ca podem ser avaliados através de uma per´ıcia, buscando evidências
em um computador suspeito de invasão ou até mesmo um computador apreendido em al-
guma batida policial [22], que envolve uma série de conhecimentos técnicos e a utiliza¸cão
de ferramentas adequadas para análise.
Existe a necessidade de se conhecer minúcias do sistema operacional para que se tenha
uma no¸cão global de todos os efeitos das a¸cões do perito [22]. Quanto à necessidade de
se utilizar ferramentas espec´ıficas para análise, esta decorre da obrigatoriedade de não se
perturbar o sistema que está sendo analisado, perturba¸cões essas que podem ser traduzidas
como mudan¸cas nos tempos de acesso aos arquivos (MAC times) por exemplo, anulando
assim uma das mais poderosas formas de se reconstituir o que aconteceu na máquina em
um passado próximo [4].
Sistemas de computador também estão sujeitos a ilusão de imagens. Imagens de ar-
quivos, processos e conexões de rede só estão remotamente relacionadas aos bits brutos
na memória, nos pacotes de rede ou nos discos [22]. Quando uma máquina é tomada por
um invasor qualquer camada de hardware ou software pode ser adulterada. Softwares
aplicativos, kernels de sistema operacional e até firmware 1
dentro das unidades de disco
r´ıgido podem mentir [6]. Sistemas de arquivos de computador, por exemplo, em geral
armazenam arquivos como seqüência de bytes e organizam estes arquivos dentro de uma
hierarquia de diretórios. Além dos nomes e conteúdo [6], arquivos e diretórios têm atrib-
utos como posse, permissões de acesso, data e hora da última modifica¸cão e assim por
1
Firmware é o conjunto de instru¸cões operacionais programadas diretamente no hardware de um
equipamento eletrônico.

17
diante.
O desafio da investiga¸cão no lixo eletrônico é recuperar as informa¸cões que foram
parcialmente destru´ıdas [22]: isto é, fazer com que o lixo digital tenha sentido. Sem a
assistência do aplicativo que criou o arquivo, pode ser dif´ıcil entender o conteúdo deste
arquivo. E, sem a assistência de um sistema de arquivos, os blocos de disco não mais
permanecem agrupados em arquivos, portanto, a reconstru¸cão desses dados pode ser como
solucionar um quebra cabe¸ca [6].
Infelizmente, não existem solu¸cões para evitar a ocorrência de incidentes, pois os re-
cursos muitas vezes são limitados. As solu¸cões que existem são astronomicamente caras
e exigem uma quantidade enorme de recursos [9]. A op¸cão em utilizar métodos fracos de
resposta é, no entanto, um risco mais caro ainda. É necessário um compromisso a longo
prazo de forma sistemática a fim de prevenir e responder a incidentes de seguran¸ca em vez
de apenas efetuar corre¸cões de curto prazo aos problemas ocorrentes. A maioria das orga-
niza¸cões não sabem reagir a um incidente de seguran¸ca até que sejam significativamente
v´ıtimas por um. Não existe uma avalia¸cão ao risco do negócio, mecanismos de resposta
estão ausentes.
3.1.1 Metodologia dos Atacantes
Ataques computacionais acontecem dentro de padrões bem definidos e de acordo com
uma seqüência de eventos que permitem estabelecer perfis ou padrões comportamentais.
A metodologia básica é simples [1]: rastrear a rede, ou o computador alvo, buscando
vulnerabilidades espec´ıficas, estabelecendo uma base de dados de endere¸cos ips que podem
ser atacados. Assim que encontrado uma vulnerabilidade, deve-se come¸car a explorar
verificando se realmente existe a falha no equipamento envolvido.
A ausência de monitora¸cão e inspe¸cão de redes e ambientes computacionais faz com
que sejam terrenos férteis para prolifera¸cão de ataques [8]. Muitas organiza¸cões não
incorporam dentro de seus padrões, metodologias e regras de seguran¸ca. São raros os
sistemas com uma pol´ıtica clara e bem definida, com gera¸cão e arquivamento de logs.
Quando estes logs existem, sequer são monitorados. Atacantes muitas vezes buscam

18
silenciosamente por um sistema que possam explorar e, ao conseguirem acesso a este,
encobrem seus rastros, eliminando registros de auditoria que eventualmente existam [1].
Em seguida, usam o computador ou a rede atacada, como base para lan¸camento de
outros ataques, ocultando sua posi¸cão real e colocando a responsabilidade em outros
administradores. A Figura adaptada 3.1 mostra exatamente o processo [1]:
Figura 3.1: Metodologia dos atacantes
A primeira atitude do atacante é a escolha de um alvo em potencial. Após a local-
iza¸cão, o atacante come¸ca a reunir informa¸cões sobre o sistema alvo a fim de identificar
vulnerabilidades no sistema operacional ou servi¸cos de rede dispon´ıveis [26]. Se o invasor
ainda não possui uma combina¸cão de usuário e senha válida para o sistema alvo, ele uti-
liza métodos como sniffing e adivinha¸cão de senhas, engenharia social ou scanning para
encontrar um ponto de entrada [1].
Os resultados dos rastreamentos costumam ser armazenados, e são freqüêntemente
compartilhados com outros atacantes. Quando uma nova vulnerabilidade aparece, os re-
sultados de prospeçcões anteriores podem ser usados como referência. Isso significa que,
mesmo que um sistema não tenha sido rastreado recentemente, ele não está isento de
um ataque ou explora¸cão de uma vulnerabilidade [6]. Atacantes mais sofisticados imple-
mentam e instalam programas que comprometem completamente os sistemas invadidos.
Estes programas maliciosos, conhecidos como trojans e backdoors, permitem acesso fácil
e oculto, de tal forma que os intrusos passam a usar o sistema sem serem notados. Os

19
sistemas auditores, indicadores de processos ou mesmo filesystems, são freqüentemente
comprometidos ou corrompidos e tornam-se não confiáveis [1].
Uma vez encontrado um ponto de entrada aberto à rede ou ao sistema por exemplo,
o invasor realiza o comprometimento inicial do ambiente envolvido [40]. Essa primeira
intrusão geralmente provoca barulho, especialmente se a rede ou sistema alvo estiver devi-
damente preparado e seguro, e costuma ocorrer quando ninguém está presente para ouvir.
Tentativas de adivinhar senhas criam um número incomum de registros de logon falhos,
comprometimento de aplicativos através de buffer overflow geralmente ficam registrados
nos arquivos de log ou geram core files, e mensagens de advertência são produzidas em
decorrência das várias tentativas de se invadir o sistema.
3.1.2 Identificando Riscos
Os primeiros passos de prepara¸cão ao incidente envolve ficar a par da situa¸cão na orga-
niza¸cão que sofreu o incidente. E responder as seguintes questões [22]: Quais são os seus
ativos cr´ıticos? Qual é a sua exposi¸cão? Qual é a amea¸ca? Ao identificar o risco, são
gastados recursos para analisar os incidentes. Os ativos cr´ıticos são as áreas dentro da
organiza¸cão que afetam o seu sucesso nos negócios. A seguir estão alguns exemplos ativos
cr´ıticos [40]:
• Reputa¸cão corporativa: dos consumidores ou clientes, produtos e servi¸cos en-
volvidos, garantia da seguran¸ca dos dados;
• Informa¸cões comerciais confidenciais: estratégias à novos produtos, dados sig-
ilosos, finan¸cas.
Os ativos cr´ıticos são os que produzem a maior responsabilidade ou perda em potencial,
dentro das organiza¸cões. Responsabilidade ocorre através de exposi¸cões [22]. Considere
que em casos de exposi¸cão de dados infere na perda de clientes, pessoas e até mesmo
utiliza¸cão da tecnologia.
Alguns exemplos de riscos incluem: update em servidores web, acesso a Internet in-
devido sem controle de acesso, permanência de ex funcionários na organiza¸cão, falta de

20
controle e monitoramento do ambiente e logs de acesso.
Outro fator contribuinte é quem realmente pode ocupar essas posi¸cões: Qualquer
pessoa conectada à Internet? Qualquer pessoa com acesso f´ısico a um edif´ıcio empresarial?
Somente os indiv´ıduos fisicamente dentro de uma zona protegida? Combinar esses fatores
minimizam riscos. Por exemplo, o acesso ao data center de uma empresa de tecnologia da
informa¸cão, deve haver monitoramento constante, pois a entrada de pessoas é freqüente,
não somente por administradores de rede ou sistemas mas até mesmo visitantes. Neste
tipo de ambiente são encontrados ativos f´ısicos em potencial [6]: servidores, racks de
comunica¸cão, infra estrutura de backup de dados, e afins. Os maiores ativos cr´ıticos que
têm posi¸cões acess´ıveis, também pode-se afirmar que, apenas aos indiv´ıduos dentro do
ambiente f´ısico controlado pode apresentar menos risco, do que ativos com exposi¸cões
acess´ıveis à Internet [22].
Identificar riscos é fundamental, pois permite que a organiza¸cão implemente mais
recursos voltados para a seguran¸ca computacional [11]. Todos os recursos dentro do am-
biente envolvido não deve ser assegurado ao mesmo n´ıvel. Ou seja ativos que introduzem
o maior risco recebem mais recursos. Depois de identificar os riscos, a organiza¸cão está
pronta para se concentrar na prepara¸cão para os incidentes que afetam ou podem afetar
estes recursos. Gerenciar riscos é um processo necessário de planejamento, identifica¸cão,
análise, resposta, monitoramento e controle [22].
À medida que são explorados sistemas de arquivos destru´ıdos, é descoberto que a
sabedoria comum vem sendo excessivamente pessimista [6]. Primeiro, os sistemas de
arquivos modernos não fragmentam o conteúdo de um arquivo aleatoriamente. Em vez
disso, esses sistemas são notavelmente bem-sucedidos em evitar a fragmenta¸cão de um
arquivo, mesmo depois de anos de uso intenso. As informa¸cões sobre um arquivo exclu´ıdo
podem permanecer intactas por bastante tempo. A abordagem adotada é t´ıpica de como
é advogado a solu¸cão de problemas [6]: confiar na experiência passada, ouvir os conselhos
de outras pessoas e usar as ferramentas existentes.
Certamente, cuidado e planejamento devem ser utilizados ao coletar informa¸cões de
um sistema em execu¸cão [19]. Isolar o computador, de outros usuários e da rede, é o

21
primeiro passo. Se tudo o que lhe interessa for o conteúdo de um disco, ou vest´ıgios de
um evento que ocorreu há muito tempo, quase não há razão de capturar a memória do
computador, em questão [20].
Há algum limite para a coleta dos dados? Por que capturar todos os dados de uma vez?
Infelizmente [22], não é poss´ıvel registrar altera¸cões nos processos e arquivos em tempo
real, pois, quando dados são capturados em uma parte do computador, esses dados podem
estar sendo alterados em outra.
A coleta de dados é a acumula¸cão de fatos e ind´ıcios que devem ser consideradas
durante a análise forense. Pois, através dos dados que serão recolhidos, será retirado
também uma base para uma conclusão do incidente [9]. Se todos os dados necessários não
forem recolhidos, a organiza¸cão envolvida poderá não ser capaz de compreender como o
incidente ocorreu e assim resolvê-lo. Dados podem ser coletados antes mesmo de qualquer
investiga¸cão e muitas vezes podem ser considerados como risco, senão forem coletados de
forma padronizada, exemplo na Figura adaptada 3.2 [22]:
Figura 3.2: Etapas de coleta e análise

22
3.1.3 Evidências Digitais
Ao contrário da evidência em papel, evidências em computador, muitas vezes existem em
formato digital armazenado em m´ıdias de armazenamento [9]. O volume de informa¸cões
que podem ser armazenados em computadores atualmente é incrivelmente enorme.
Um dos princ´ıpios fundamentais da forense foi idealizado por Edmond Locard, um dos
primeiros criminalistas, que descreveu o Princ´ıpio da Troca de Locard [41]: quando duas
coisas entram em contato no local do crime, não há uma troca de materiais entre elas.
Ou seja, o suspeito sempre deixa algo seu no local do crime e leva algo consigo quando o
deixa. Esse mesmo princ´ıpio se aplica ao uso de computadores: um atacante sempre deixa
algum vest´ıgio de suas a¸cões no sistema alvo, independente do n´ıvel de sua habilidade.
Pode ser dif´ıcil realizar a coleta e interpreta¸cão desses vest´ıgios, mas eles existem. Nesses
casos o processo de análise forense pode tornar-se extremamente complexo e demorado,
necessitando do desenvolvimento de novas tecnologias para a procura de evidências [18].
Evidências digitais possuem algumas caracter´ısticas próprias [31]:
1. Podem ser duplicadas com exatidão, permitindo a preserva¸cão da evidência original
durante a análise;
2. Com os métodos apropriados é relativamente fácil determinar se uma evidência
digital foi modificada;
3. Evidências digitais são extremamente voláteis, podendo ser facilmente alteradas
durante o processo de análise.
A busca de evidências em um sistema computacional constitui-se de uma varredura
minuciosa nas informa¸cões que nele residam, sejam dados em arquivos ou em memória,
deletados ou não, cifrados ou possivelmente danificados. A ordem de volatilidade [6],
determina que o tempo de vida de uma evidência digital varia de acordo como o local
onde ela está armazenada, de modo que a extra¸cão das informa¸cões contidas em um
sistema computacional deve ser orientada no sentido decrescente de volatilidade, isto é,
das informa¸cões mais voláteis até as menos voláteis. Desse modo, as principais fontes

23
de informa¸cão de um sistema computacional são apresentadas, na ordem descendente de
volatilidade, como segue na Tabela adaptada 3.1 [22]:
No ITEM
1 Dispositivos de armazenamento da cpu (reg-
istradores e caches).
2 Memória de periféricos (memória de v´ıdeos, por
exemplo).
3 Memória principal do sistema.
4 Tráfego de rede.
5 Estado do sistema operacional (como, por ex-
emplo, estados das conexões de rede e dos pro-
cessos em execu¸cão, usuários logados e tabelas e
módulos do sistema).
6 Dispositivos de armazenagem secundária.
Tabela 3.1: Principais fontes de informa¸cão de um sistema computacional
Quanto maior a volatilidade de uma informa¸cão, mais dif´ıcil se torna sua extra¸cão
e menos tempo há para executá-la. O simples ato de observar informa¸cões altamente
voláteis pode alterá-las, de modo que é pouco provável que alguém possa, por exemplo,
utilizar o conteúdo dos registradores da cpu [40]. Entretanto, informa¸cões voláteis como
o conteúdo da memória principal do sistema, o tráfego de rede e o estado do sistema
operacional podem ser capturadas com relativa facilidade e podem conter pistas valiosas
a respeito de intrusões em andamento [6].
Com rela¸cão aos dispositivos de armazenamento (CPU), as informa¸cões contidas em
seus registradores são de m´ınima utilidade e sua captura é impraticável [40]. As caches
podem conter informa¸cões que ainda não foram atualizadas na memória principal do
sistema, entretanto sua captura também pode ser impraticável [42].
Muitos dispositivos como modens, pagers, aparelhos de fax e impressoras, contém
memórias que podem ser acessadas e salvas [28]. Nelas podem estar armazenadas in-
forma¸cões que não mais residam no sistema analisado, como documentos e mensagens de
texto ou números de fax e telefone. A memória de v´ıdeo, também pode prover informa¸cões
úteis no caso do invasor estar utilizando uma console ou terminal gráfico, de modo que a
tela corrente pode ser capturada e reproduzida [40].
A memória principal do sistema, contém todo tipo de informa¸cão volátil, como, por

24
exemplo, informa¸cões dos processos que estão em execu¸cão, dados que estão sendo ma-
nipulados e que muitas vezes ainda não foram salvos no disco e informa¸cões de sistema
operacional [21]. Com rela¸cão ao tráfego da rede, podem ser capturadas as seguintes
evidências [42]:
• Pacotes com endere¸co IP inválido ou suspeito (endere¸cos reservados ou conhecidos
de outros ataques, por exemplo.
• Pacotes relacionados a portas suspeitas (como, por exemplo, servidores utilizando
portas desconhecidas acima de 1024 ou pacotes destinados a um servidor que deveria
estar desabilitado).
• Tráfego não condizente com o padrão do protocolo (pacotes com padrões inválidos
de flags, op¸cões, fragmenta¸cão e tamanho).
• Tráfego TCP 2
sem estabelecimento de conexão, sem flags ou com números de
seqüência inválidos (estáticos, aleatórios ou sobrepostos).
• Tráfego intenso de pacotes incomuns na rede ou que deveriam estar desabilitados
(ICMP echo request e reply, por exemplo).
• Pacote ICMP 3
echo reply sem correspondente echo request anterior.
• Pacotes ICMP echo request e reply com número de seqüência estático ou não incre-
mental.
• Pacotes contendo, na área de dados, comandos UNIX 4
e códigos estranhos.
• Tráfego intenso de pacotes para um determinado servi¸co ou máquina (datagramas
chegando com intervalo de tempo muito pequeno).
2
TCP:Transmission Control Protocol - Protocolo de Controle de Transferência, especificado pela RFC
793.
3
ICMP: Internet Control Message Protocol - Protocolo integrante do protocolo IP, especificado pela
RFC 792.
4
UNIX: Sistema operacional multitarefa e multiusuário.

25
• Requisi¸cões HTTP 5
suspeitas (URLs contendo referências e comandos UNIX ou
com scripts suspeitos, por exemplo).
• Tráfego caracter´ıstico de servi¸cos como TELNET e FTP 6
em portas incomuns.
Informa¸cões relacionadas com o estado do sistema operacional podem fornecer pistas
importantes quanto à existência, tipo e origem de um ataque em andamento. Tais in-
forma¸cões representam uma imagem do sistema operacional em um determinado instante
e geralmente são perdidas quando o sistema é desligado [40]. Outras informa¸cões podem
ser bastante úteis para reconstruir o estado do sistema, incluindo, por exemplo, as regras
de filtragem em opera¸cão no firewall, os sistemas de arquivos montados e informa¸cões
sobre servidores RPC 7
. Através dessas informa¸cões se poss´ıvel identificar vest´ıgios que
podem estar relacionados com a intrusão como, por exemplo, regras de filtragem inválidas
ou ausentes, sistemas de arquivos montados indevidamente e servi¸cos RPC ativados ou
desativados impropriamente [32].
O disco representa a maior fonte de informa¸cão para o exame forense, pois além de
ser uma memória não volátil, sua capacidade de armazenamento pode atingir terabytes
de informa¸cões [42]. Do ponto de vista da computa¸cão forense, o disco é muito mais que
um conjunto de parti¸cões e sistemas de arquivos, uma vez que cada parti¸cão do disco, por
menor que seja, onde se possa ler e escrever um conjunto de bits, representa uma poss´ıvel
fonte de informa¸cão para a análise forense [6]. Nesse sentido, determinadas áreas do disco
não são acess´ıveis através de um sistema de arquivos e podem conter informa¸cões que o
atacante mantém escondidas ou, ainda, vest´ıgios que o mesmo tentou apagar.
As informa¸cões armazenadas no disco podem ser divididas em duas grandes classes:
aquelas acess´ıveis através de um sistema de arquivos (os arquivos propriamente ditos e seus
atributos) e as informa¸cões armazenadas em áreas não acess´ıveis através do funcionamento
normal de um sistema de arquivos (incluindo, por exemplo, os espa¸cos não alocados aos
arquivos e as áreas do disco que não contém um sistema de arquivos) [6].
5
HTTP: Hipertext Transfer Protocol - Protocolo de Transferência de Hipertexto, especificado pela
RFC 2616.
6
FTP File Transfer Protocol - Protocolo de Transferência de Arquivos, especificado pela RFC 959.
7
RPC: Remote Procedure Call - Protocolo para execu¸cão remota de procedures em computadores
ligados em rede, especificado pela RFC 1057.

26
Alguns arquivos de configura¸cão representam excelentes locais para se encontrar evidências
de uma intrusão [22]. Em geral, a configura¸cão de algumas partes do sistema tende a per-
manecer constante após um determinado momento, salvo algumas pequenas altera¸cões
esporádicas para a inclusão de novas máquinas, aplicativos e usuários. Desse modo [32],
os arquivos de configura¸cão podem ser verificados, quanto a modifica¸cões inesperadas,
através da compara¸cão com cópias de seguran¸ca e registros de altera¸cões mantidos pelo
administrador do sistema. Nesse sentido, algumas evidências podem ser facilmente en-
contradas como, por exemplo na Tabela adaptada 3.2 [22]:
ITEM EVIDÊNCIA
1 Modifica¸cão das permissões de acesso aos ar-
quivos de configura¸cão, facilitando altera¸cões fu-
turas.
2 Os tempos de modifica¸cão dos arquivos de
configura¸cão diferem da última modifica¸cão
leg´ıtima.
3 Os hashes criptográficos dos arquivos diferem
das cópias de seguran¸ca, indicando uma poss´ıvel
altera¸cão indevida.
4 Remo¸cão de alguns arquivos de configura¸cão
(relacionados com controle de acesso, por exem-
plo).
Tabela 3.2: Evidências alteradas
Entre as configura¸cões mais freqüentemente alteradas pelos atacantes estão os scripts
de inicializa¸cão [6], o controle de acesso à máquina, as rela¸cões de confian¸ca, as contas
e senhas de usuários, os servi¸cos de rede, as tarefas agendadas e os sistemas de log e
monitoramento.
Os arquivos de log potencialemnte representam a fonte de informa¸cão mais valiosa
sobre as atividades do sistema [40]. Tais arquivos podem registrar, entre outras in-
forma¸cões, as atividades dos usuários, dos processos e do sistema, as conexões e ativi-
dades da rede. Os arquivos de log podem conter evidências importantes para o processo
de análise forense, permitindo recontruir os eventos relacionados ao comportamento intru-
sivo, levantar poss´ıveis suspeitos e, até mesmo, identificar o ponto de entrada e o momento
da intrusão [32].

27
3.1.4 Tratamento de Evidências
Pol´ıticas devem ser estabelecidas para a manipula¸cão de uma evidência computacional e,
a partir dessas pol´ıticas, desenvolver protocolos e procedimentos [22]. Tais pol´ıticas devem
refletir um consenso da comunidade cient´ıfica internacional, provendo resultados válidos
e reproduz´ıveis. Contudo, a forense computacional é diferente das outras disciplinas
forenses, uma vez que não se pode aplicar exatamente o mesmo método a cada caso
[27]. Tome como exemplo a análise feita no ácido desoxirribonucleico (DNA) recolhido de
uma amostra de sangue na cena de um crime [1], pode-se aplicar exatamente o mesmo
protocolo a toda amostra de , DNA recebida (elimina-se as impurezas e o reduz à sua
forma elementar). Quando se tratam de ambientes computacionais não se pode executar
o mesmo procedimento em todos os casos, uma vez que se têm sistemas operacionais
diferentes, diferentes m´ıdias e diversas aplica¸cões [19].
A recontru¸cão dos eventos e a formula¸cão de conclusões acerca de um incidente, muitas
vezes requer mais do que a simples identifica¸cão de evidências isoladas nas diversas fontes
de informa¸cões do sistema comprometido [22].
Na maioria dos casos é preciso correlacionar as informa¸cões extra´ıdas do sistema inva-
dido, quer seja para confirmar uma suspeita ou para identificar novas pistas [40], levando
a um maior entendimento sobre o incidente. O relacionamento entre duas ou mais in-
forma¸cões pode ser estabelecido através de vários parâmetros como, por exemplo, reg-
istros de tempo, rela¸cões de causa e efeito, e números de identifica¸cão (PID 8
, USERID 9
,
GROUPID 10
, endere¸cos IP e portas de servi¸cos de rede, por exemplo). Por esse motivo,
é importante que as evidências encontradas no sistema comprometido sejam descritas
minuciosamente, contendo os dados necessários para um poss´ıvel correlacionamento [9].
A constru¸cão de uma linha de tempo e de gráficos relacionais pode ajudar o investigador
a visualizar com maior clareza a ordem dos eventos e suas rela¸cões, permitindo a iden-
tifica¸cão de padrões e a descoberta de novas evidências. Muitas vezes os processos de
busca e correlacionamento de evidências se misturam, de modo que a descoberta de uma
8
PID: Process Identifier - Identificador de Processo.
9
USERID: Identificador do Usuário.
10
GROUPID: Identificador de grupo de usuários.

28
evidência gera informa¸cões necessárias para a identifica¸cão de outras [22].
3.1.5 Documenta¸cão e Preserva¸cão de Evidências
Existem dois grandes perigos ao se coletar evidências para análise [30]: perda e altera¸cão.
Se os cuidados necessários não forem tomados, dados importantes podem ser sobrescritos
e perdidos totalmente, ou apenas parte deles, alterando seu significado ou apagando in-
forma¸cões cr´ıticas. Uma coleta conduzida de maneira inadequada pode comprometer
totalmente a investiga¸cão forense, em particular aquela com fins judiciais [4]. Desse
modo, alguns aspectos fundamentais devem ser considerados durante a etapa de coleta de
material para análise [40]:
• Tratar cada informa¸cão como se ela fosse ser usada para fins judiciais.
• Coletar o máximo de material poss´ıvel, observando sua ordem de volatilidade ob-
servar que uma vez terminada a etapa de coleta, geralmente retorno, de modo
que algumas informa¸cões inicialmente consideradas desnecessárias podem posteri-
ormente não estar dispon´ıveis. O termo material no sentido amplo de tudo que
pode ser coletado, seja fisicamente tang´ıvel como por exemplo, informa¸cões digitais,
hardware, documenta¸cão, configura¸cões das conexões externas da máquina ( cabo
de rede, impressoras e outros discos externos ) e anota¸cões em geral.
• Autenticar, identificar, catalogar e preservar cada item coletado.
• Produzir cópias exatas e autenticadas das informa¸cões digitais coletadas.
• Qualquer atividade executada diretamente no sistema suspeito não deve usar os
programas nele encontrados (com exce¸cão do kernel do sistema operacional, com o
risco deste também estar comprometido), pois o atacante pode ter antecipado uma
poss´ıvel investiga¸cão, alterando alguns dos executáveis do sistema.
A coleta de informa¸cões digitais de um sistema suspeito pode ser tecnicamente desafi-
adora, mas o procedimento ideal pode ser resumido como segue [12]: coletar as informa¸cões

29
voláteis, desligar a máquina suspeita, instalar o disco da máquina suspeita no sistema de
análise e produzir sua imagem. Como visto anteriormente, nem todas essas atividades
podem ser executadas ao mesmo tempo, de modo que a coleta de informa¸cões pode apre-
sentar varia¸cões de acordo com situa¸cões particulares da investiga¸cão em questão [6]. A
etapa de coleta envolve uma série de atividades relacionadas, incluindo, por exemplo, a
documenta¸cão, transporte e armazenamento dos itens coletados; a autentica¸cão das in-
forma¸cões digitais; a coleta de dados voláteis; e a produ¸cão de imagens dos discos suspeitos
[22].
Procedimentos e protocolos de análise forense devem ser detalhados, documentados, re-
visados e aceitos pela comunidade cient´ıfica relevante [27], sendo essenciais para evitar er-
ros durante o processo de investiga¸cão, para assegurar que as melhores técnicas dispon´ıveis
sejam utilizadas e para aumentar a probabilidade de dois investigadores chegarem nas
mesmas conclusões ao examinarem as mesmas evidências [13].
3.2 Investiga¸cão Forense
O processo de investiga¸cão forense, seja para fins judiciais ou corporativos, deve garantir
a autenticidade e integridade das evidências coletadas e dos resultados produzidos [12].
Em outras palavras, a investiga¸cão forense deve assegurar que informa¸cões existem nas
evidências analisadas e garantir que não foram alteradas ou contaminadas pelo processo
de investiga¸cão [9]. Isso pode ser particularmente dif´ıcil em se tratando de evidências
digitais, devido ao seu alto grau de volatilidade. O simples ato de ligar ou desligar o
computador pode alterar ou destruir evidências. Por esse motivo, é importante que a
investiga¸cão seja conduzida de maneira metódica, bem organizada e em sintonia com a
tecnologia envolvida [12].
Desse modo, para suportar os resultados da investiga¸cão forense, são necessários pro-
cedimentos e protocolos que assegurem que as evidências são coletadas, preservadas e
analisadas de maneira consistente, minuciosa e livre de contamina¸cões [13].
Com o objetivo de garantir que as evidências digitais sejam coletadas, preservadas e
examinadas de maneira a resguardar sua autenticidade e integridade, os procedimentos

30
e protocolos usados no processo de investiga¸cão forense devem ser coerentes com um
conjunto de princ´ıpios básicos. Alguns desses princ´ıpios são apresentados como segue:
• As a¸cões tomadas durante a investiga¸cão forense não devem alterar as evidências.
• Qualquer a¸cão que tenha o potencial de alterar, danificar ou destruir qualquer as-
pecto da evidência original deve ser conduzida por uma pessoa qualificada (por ex-
emplo, quando a evidência original precisa ser acessada para coleta de informa¸cões
voláteis ou para cria¸cão de imagens dos discos suspeitos).
• O investigador não deve confiar cegamente no sistema invadido, nem nos programas
e bibliotecas dinâmicas nele encontrados.
• Cópias das evidências originais devem ser produzidas e, sempre que poss´ıvel, a
investiga¸cão deve ser conduzida sobre as cópias. Tais cópias devem ser idênticas às
evidências originais, contendo toda a informa¸cão em seu estado original.
• Hashes 11
criptográficos de todas as evidências coletadas e cópias produzidas devem
ser gerados, permitindo a verifica¸cão de autenticidade e integridade.
• Toda evidência coletada deve ser identificada, contendo o número do caso investi-
gado, uma breve descri¸cão da evidência e a data e horário da coleta.
• Toda evidência coletada deve ser preservada em local de acesso controlado e livre
de altera¸cões.
• Todas as informa¸cões relativas à investiga¸cão (atividades relacionadas à aquisi¸cão,
armazenamento, análise e transferência das evidências, anota¸cões e observa¸cões do
investigador e os resultados produzidos) devem ser documentadas de maneira perma-
nente e devem estar dispon´ıveis para revisão. A documenta¸cão das a¸cões executadas
e dos resultados obtidos deve ser feita através de relatórios minuciosos, contendo de-
talhes que incluem as versões das ferramentas utilizadas, os métodos empregados
11
Hash: É uma seqüência de bits geradas por um algoritmo em dispersão, em geral demonstrada em
hexadecimal.

31
para coleta e análise das evidências e explica¸cões que fundamentem a utiliza¸cão
desses métodos. Desse modo, outro investigador deve ser capaz de examinar as
informa¸cões documentadas e chegar as mesmas conclusões.
• A cadeia de custódia das evidências coletadas deve ser mantida, documentando a
jornada completa de cada evidência durante a investiga¸cão. Devem ser relatadas,
entre outras informa¸cões, o nome da pessoa que coletou a evidência, como, onde e
quando foi feita a coleta, o nome do investigador que está de posse da evidência,
data e horário de retirada e devolu¸cão da evidência e as atividades executadas pelo
investigador.
• As ferramentas usadas na investiga¸cão (hardware e software) devem ser amplamente
aceitas na área e testadas para garantir sua opera¸cão correta e confiável. Além
disso, elas devem ser conhecidas em cada detalhe, evitando implica¸cões inesperadas
na evidência analisada.
• Os procedimentos devem ser aceitos pela comunidade cient´ıfica relevante ou supor-
tados por demonstra¸cões da precisão e confiabilidade das técnicas aplicadas.
• Os procedimentos devem ser revistos periodicamente para garantir sua cont´ınua
adapta¸cão às evolu¸cões tecnológicas.
• O investigador deve ser responsável pelos resultados da investiga¸cão e pelas evidências
enquanto estiverem em sua posse.
• A pessoa responsável pela investiga¸cão deve assegurar o cumprimento dos procedi-
mentos e protocolos estabelecidos.
A estratégia de investiga¸cão forense deve fornecer um guia passo-a-passo para se con-
duzir a análise do sistema invadido [30]. Entretanto, existem múltiplas variantes que
tornam uma investiga¸cão particularmente diferente das outras, como, por exemplo, a
tecnologia envolvida, as configura¸cões do sistema, as condi¸cões em que o sistema é en-
contrado e restri¸cões impostas à investiga¸cão. Desse modo [22], a estratégia de análise

32
forense em sistemas computacionais pode ser definida em linhas gerais, permitindo que o
investigador possa utilizá-la, em todo ou em parte, como um roteiro na grande maioria
das investiga¸cões. Nesse sentido, a estrutura geral do processo de investiga¸cão forense
pode ser demonstrada na Figura adaptada 3.3 [22]:
Figura 3.3: Processo de investiga¸cão forense
Este processo também pode ser visto, conforme os seguintes requisitos:
1. Considera¸cões e conhecimentos preliminares.
2. Planejamento;
3. Estabiliza¸cão do sistema e decisões iniciais.
4. Coleta, autentica¸cão, documenta¸cão e preserva¸cão de material para análise.
5. Análise.
O inquérito é a fase que envolve a determina¸cão de quem, o quê, quando, onde, como
e porque o incidente ocorreu, será a revisão da base de elementos de rede baseado em
evidências. Evidências são informa¸cões em formato digital capazes de determinar se um
sistema computacional sofreu uma viola¸cão, ou que provêem uma liga¸cão com a v´ıtima
ou com o atacante [4]. Não importa como é conduzido um inquérito, estes incidentes
ocorrem com objetivos definidos: destruir, roubar o acesso, esconder, atacar e ferir. Como
acontece com qualquer tipo de investiga¸cão, a chave é a determina¸cão das coisas que foram
prejudicadas [22].

33
No entanto, um incidente criminal na área de informática, acrescenta complexidades
e estabelece a identidade por trás de uma rede, o que se torna um ato mais dif´ıcil [31].
Os usuários estão cada vez mais hábeis em usar criptografia 12
, esteganografia 13
, contas
de e-mail anônimas, e-mails falsos, falsificado fontes de endere¸cos Internet Protocol (IP) e
Média Access Control (MAC), com objetivo de aparecer com o nome de outro indiv´ıduo,
faz uso de diversos meios para ocultar a sua verdadeira identidade dentro do espa¸co
cibernético.
A investiga¸cão pode ser dividida em duas etapas: o recolhimento de dados e análise
forense. Durante a etapa de recolhimento de dados, deve-se reunir todas as informa¸cões
relevantes necessárias para resolver o incidente, em forma que atenda uma resposta es-
tratégica [22]. Na análise forense, serão analisados todos os dados recolhidos para deter-
minar: quem, o quê, quando, onde e como as informa¸cões tramitaram no incidente.
Como as chances de sucesso aumentam conforme o processo de investiga¸cão é melhor
definido [30], alguns procedimentos espec´ıficos utilizados na estratégia geral podem ser de-
talhados, incluindo, por exemplo, o uso de determinadas ferramentas e técnicas. Existem
pesquisas no campo da computa¸cão forense que visam o desenvolvimento de procedi-
mentos e protocolos segundo uma abordagem hierárquica, onde no topo dessa hierarquia
encontram-se os princ´ıpios e boas práticas que o processo de investiga¸cão deve obedecer,
seguidos da estratégia geral de análise forense e terminando, na base da hierarquia, com
os procedimentos detalhados sobre o uso de ferramentas e técnicas espec´ıficas [25].
3.2.1 Considera¸cões e Conhecimentos Preliminares
A produ¸cão e a divulga¸cão de v´ıdeos de grupos extremistas levaram as organiza¸cões a
identificar, coletar, traduzir e analisar, sites e v´ıdeos. Por exemplo [10], a equipe de
Inteligência Artificial do laboratório da Universidade do Arizona recolhe sites de grupos
extremistas da web, postagens em fóruns, e artefatos multim´ıdia, que estão sendo disponi-
12
Criptografia é o estudo dos princ´ıpios e técnicas pelas quais a informa¸cão pode ser transformada da
sua forma original para outra ileg´ıvel, de forma que possa ser conhecida apenas por seu destinatário, o
que a torna dif´ıcil de ser lida por alguém não autorizado.
13
Esteganografia é o estudo e uso das técnicas para ocultar a existência de uma mensagem dentro de
outra, criptografia oculta a existência da mensagem, a esteganografia oculta o significado da mensagem.

34
bilizados na web, analisando o conteúdo deste material. Esses v´ıdeos são direcionados a
diversos públicos até mesmo a alvos de ataques terroristas. Nestes v´ıdeos é óbvio que os
grupos extremistas tentam provar suas capacidades, com imagens de sucesso visando efe-
tivamente colocar em descrédito a seguran¸ca disponibilizada por órgãos do governo como
o Federal Bureau of Investigation (FBI), for¸cas militares e áereas. Ou seja, o exército
superior não é invenc´ıvel afinal de contas, e os extremistas conhecem suas vulnerabili-
dades [14]. Que conhecimentos preliminares podem ser obtidos através deste contexto?
Quais os segmentos do povo americano estão sendo alvos? Será que os grupos utilizam
métodos diferentes alvos para cada segmento? O que eles esperam realizar, fazendo isso?
São estas novas táticas de propaganda? Quais são as métricas para avaliar o êxito da
implanta¸cão dessas táticas? Finalmente, após os novos conhecimentos adquiridos através
da computa¸cão forense, uma análise mais profunda das sugestões culturais incorporados
em cada um dos v´ıdeos podem ajudar a revelar o conhecimento tácito sobre as opera¸cões
dos grupos, propaganda, e os padrões de comunica¸cão.
Antes de abordar o sistema computacional comprometido (ou suspeito de compro-
metimento) é preciso considerar uma série de questões e fazer um trabalho inicial de
conhecimento [12]. Algumas dessas considera¸cões e tarefas de conhecimento preliminares
são apresentadas como segue [20]:
• Entrar em contato com o administrador do sistema: que comumente é a
pessoa mais indicada a responder questões sobre o sistema e, geralmente, é o primeiro
a perceber e relatar o incidente.
• Entender o problema: A compreensão acerca dos motivos e suspeitas que origi-
naram a investiga¸cão pode ser vital para o andamento do processo.
• Compreender as condi¸cões iniciais em que o sistema será entregue para a
investiga¸cão: Questões comumente abordadas neste momento incluem, por exem-
plo, determinar se o sistema já foi desligado ou encontra-se em opera¸cão, se foram
tomadas medidas de conten¸cão e resposta a incidentes e se foi coletado algum tipo
de informa¸cão.

35
• Conhecer as pol´ıticas de seguran¸ca e privacidade aplicadas: É importante
identificar as responsabilidades sobre cada parte do sistema e as rela¸cões de pro-
priedade sobre as informa¸cões nele contidas. Desse modo, o investigador sabe a
quem recorrer em busca de esclarecimentos ou permissões de acesso. Além disso, é
importante observar questões, abordadas na pol´ıtica de seguran¸ca, com rela¸cão ao
controle de acesso ao sistema e à implementa¸cão de esquemas de log e monitora-
mento.
• Determinar se alguma lei ou direito individual pode ser violado: Algu-
mas informa¸cões podem estar protegidas por leis rigorosas de privacidade, havendo
necessidade de cuidados extremos em rela¸cão ao acesso ou disponibiliza¸cão aciden-
tal desse tipo de informa¸cão. Em alguns casos, principalmente em investiga¸cões
criminais, um mandado de busca e apreensão será necessário para a realiza¸cão da
investiga¸cão. Nesse caso, a investiga¸cão deve observar rigorosamente o disposto no
mandado.
• Conhecer as premissas e restri¸cões impostas à investiga¸cão: Como, por
exemplo, impossibilidade de desligamento do sistema ou remo¸cão de qualquer com-
ponente f´ısico e cuidados com qualquer interrup¸cão no fornecimento dos servi¸cos.
• Levantar informa¸cões sobre o alvo da investiga¸cão: Como, por exemplo, o
tipo de equipamento e tecnologia envolvidos, tipo e versão do sistema operacional,
conexões e topologia da rede, servi¸cos e configura¸cões implementados e dados sobre
os usuários do sistema.
3.2.2 Planejamento
Com base nas informa¸cões adquiridas na etapa anterior, a investiga¸cão pode ser plane-
jada com o maior n´ıvel de detalhes poss´ıvel. Entre as principais atividades da etapa de
planejamento estão as seguintes [22]:
1. Definir a melhor abordagem para a investiga¸cão, identificando as principais ativi-
dades que precisarão ser executadas (considerando as condi¸cões iniciais em que o

36
sistema será entregue para a investiga¸cão).
2. Preparar o conjunto de ferramentas e o sistema de análise, com a mais adequada
configura¸cão de hardware e software. Pode ser necessário gerar uma m´ıdia remov´ıvel
(pen drivers ou HDs externos), por exemplo contendo o conjunto de ferramentas,
permitindo sua utiliza¸cão no sistema comprometido. É importante que as ferra-
mentas e o sistema de análise sejam confiáveis, que tenham sua integridade checada
e seu funcionamento testado. No caso de utilitários que fazem uso de bibliotecas
dinâmicas, estas devem fazer parte do conjunto de ferramentas ou devem ser com-
piladas juntamente com os programas (desse modo, apenas o sistema operacional
da máquina suspeita é utilizado pelas ferramentas de análise, no caso da coleta de
informa¸cões voláteis, como será visto adiante nesta se¸cão).
Na maioria das ocasiões uma opera¸cão urgente e imediata é necessária, com o objetivo
de reunir o maior número de informa¸cões sobre o incidente e diminuir os estragos causados
pelo atacante [39]. Desse modo, um planejamento detalhado e considera¸cões preliminares
sobre o incidente, embora importantes para o processo de análise forense, podem não
ser poss´ıveis [39]. Isso refor¸ca a necessidade de ado¸cão, por parte das organiza¸cões, de
pol´ıticas de resposta a incidentes, bem como de treinamento e manuten¸cão de times de
especialistas responsáveis pelas primeiras medidas quando da ocorrência de uma invasão
[22].
3.2.3 Decisões em Ambientes Comprometidos
Esta etapa só se aplica se o sistema comprometido ainda estiver em funcionamento. Com
a máquina ainda em opera¸cão, o investigador pode deparar-se com situa¸cões do tipo [6]:
• O atacante ainda se encontra no sistema.
• Processos em execu¸cão ou conexões abertas foram deixadas pelo atacante, represen-
tando evidências importantes para a investiga¸cão.

37
• O atacante preparou armadilhas boody traps que visam a destrui¸cão das evidências
deixadas ou a danifica¸cão do sistema.
Desse modo, em um primeiro contato com o sistema suspeito, o investigador deve
estabilizar a condi¸cão da máquina para a etapa seguinte de coleta de informa¸cões, com
o objetivo de preservar o máximo de evidências e proteger os sistemas e dados fora do
escopo da investiga¸cão [17]. É importante, também, descrever o sistema suspeito em sua
condi¸cão inicial e tomar nota de todas as atividades executadas. Nesta etapa, algumas
decisões importantes devem ser tomadas, por exemplo, com rela¸cão ao método mais ad-
equado de coleta de informa¸cões, à necessidade de coleta de dados voláteis (conteúdo de
memória e informa¸cões sobre o estado do sistema operacional, por exemplo), ao método
de desligamento do sistema (caso seja necessário e poss´ıvel), à necessidade de coleta de
tráfego de rede e possibilidade de rastreamento do atacante e à necessidade de remo¸cão
do sistema para um ambiente controlado de análise. A avalia¸cão da necessidade e método
de execu¸cão dessas e outras atividades é melhor conduzida após uma análise inicial do
sistema em funcionamento e, por esse motivo, é discutida nesta etapa a estratégia da
análise forense [22].
Decidir entre manter a máquina em funcionamento, desligá-la imediatamente através
da interrup¸cão do fornecimento de energia, ou proceder ao desligamento administrativo
normal do sistema é uma das questões mais amplamente discutidas no campo da com-
puta¸cão forense [40]. Muitos investigadores alegam que o desligamento imediato pelo
cabo de energia é a melhor op¸cão para congelar o sistema em seu estado corrente, con-
siderando aceitável que algumas evidências sejam perdidas em face à preserva¸cão da inte-
gridade daquelas presentes nos dispositivos de armazenagem secundária [13]. O principal
argumento a favor dessa abordagem é que qualquer erro cometido em um sistema em
funcionamento não pode ser remediado, de modo a desfazer todas as suas conseqüências,
que podem incluir, por exemplo, a altera¸cão ou destrui¸cão de informa¸cões fundamentais
à investiga¸cão [40].
Por outro lado, o desligamento imediato pelo cabo de energia [40], antes da coleta das
informa¸cões voláteis, pode resultar em uma grande perda de evidências (principalmente

38
aquelas associadas a um ataque em andamento), que talvez possam ser encontradas ape-
nas enquanto o sistema estava em opera¸cão. Além disso, um desligamento abrupto do
sistema pode corromper dados importantes ou danificar algum dispositivo f´ısico [30]. Em
muitos casos, ainda, o desligamento do sistema pode não ser permitido pela gerência da
organiza¸cão.
De fato, cada abordagem relacionada ao desligamento do sistema apresenta vantagens
e desvantagens, que devem ser consideradas pelo investigador de acordo com situa¸cões
particulares da investiga¸cão em questão. O importante é conhecer as implica¸cões de cada
abordagem e manter-se flex´ıvel quanto à utiliza¸cão de cada uma.
3.3 Análise Forense
Após a coleta de dados, é necessário analisar ou interpretar essas informa¸cões para for-
mular conclusões validas que possam ajudar na conclusão da investiga¸cão [6]. A análise
forense, está se tornando cada vez mais necessária dentro das organiza¸cões. Computadores
podem conter evidências e estas nada mais são que provas que podem ser encontradas em
sistemas de correio eletrônico, servidores de rede, e em computadores individuais [31].
A análise forense de um sistema envolve um ciclo de coleta de dados e processamento
das informa¸cões coletadas. Quando mais precisos e completos os dados, melhor e mais
abrangente a avalia¸cão pode ser. Os dados originais permanecem protegidos em um estado
puro; qualquer análise deve ser realizada em uma cópia dos dados do computador [42].
Isso é algo pequeno a filmar o local do crime de um assassinato a fim de impedir que um
vest´ıgio seja destru´ıdo, o que é feito para preservar as evidências e permitir que outras
pessoas verifiquem conclusões, e minimiza a adultera¸cão dos dados.
Hoje em dia [37], discos r´ıgidos, memórias (RAM, pen drivers, HDs externos) e tele-
fones celulares, são etiquetados e ensacados no momento da coleta de dados na cena de
um crime. Mas, em algum momento, as informa¸cões sobre esses dispositivos necessitaram
ser copiadas para outro sistema computacional para análise. Em um moderno laboratório
forense esses arquivos podem ser colocados em um servidor de alta capacidade ou uma
Storage Área Network (SAN) para permitir o uso flex´ıvel e com acesso simultâneo a diver-

39
sos especialistas. Esses ambientes requerem alta confiabilidade de medidas técnicas para
fornecer garantias de que a evidência é mantida intacta e não modificada.
O principal desafio da análise forense é gerir e assimilar grande volume de conjuntos
de dados diversificados. Identificar evidências de dados de grandes dimensões [34], é
equivalente a encontrar uma agulha em um palheiro.
3.3.1 Prepara¸cão para a Análise Forense
A etapa de análise representa o objetivo principal do processo de investiga¸cão forense.
É o momento em que todo o material coletado é minuciosamente examinado em busca
de evidências, permitindo formular conclusões acerca do incidente que originou a inves-
tiga¸cão [20]. Durante a análise, é importante investigar todas as fontes de informa¸cão do
sistema suspeito, buscando identificar caracter´ısticas anormais e indevidas, possivelmente
provocadas pelo atacante. Conhecer a metodologia dos atacantes como visto na Figura
3.1 e manter um contato próximo com o administrador do sistema comprometido são
requisitos essenciais para a eficácia e precisão do processo de análise, pois aumentam a
capacidade do investigador de reconhecer poss´ıveis evidências [22].
A análise forense é iniciada imediatamente após a chegada dos especialistas no local [1],
come¸cando pelo isolamento eficiente do per´ımetro, evitando assim, a exposi¸cão excessiva
e poss´ıvel contamina¸cão das evidências. Passando então, para a fase de identifica¸cão e
coleta de todo tipo de dado e material que possa ter alguma relevância na resolu¸cão do
caso em questão. Apenas após a realiza¸cão dessas duas primeiras etapas [21], inicia-se
uma análise técnica das poss´ıveis evidências.
Sendo assim, o sucesso da análise está então, ligado diretamente o sucesso de todas as
três etapas que constituem o processo. Pois caso haja contamina¸cão ou falhas na aplica¸cão
de metodologias para aquisi¸cão ou manipula¸cão de evidências, tem-se por sua vez, uma
grande possibilidade de não conseguir-se resultados precisos, ou mesmo, resultado algum
durante uma análise laboratorial. Isto avaliando apenas aspectos técnicos, uma vez que
falhas desse tipo invalidam completamente uma evidência em um tribunal[15]. A análise
forense na computa¸cão pode ser executada conforme a Figura adaptada 3.4 [22]:

40
Figura 3.4: Execu¸cão da análise forense
A análise forense depende dos seguintes fatores [22]:
• Análise e metodologia espec´ıfica de cada organiza¸cão: Cada organiza¸cão
pode utilizar suas próprias ferramentas para análise dos dados ou pode utilizar
ferramentas forenses espec´ıficas.
• Formato dos Dados Originais: Os dados originais podem estar em um sistema
de arquivos comum ou um sistema de arquivos pouco conhecidos.
• Condi¸cões dos dados Originais: É poss´ıvel termos em mãos uma imagem válida
e precisa, ou uma imagem de um disco danificado.
• Restaura¸cão do Ambiente do Usuário: Podem existir casos especiais nos quais
pode ser necessário restaurar o ambiente do sistema operacional do usuário em seu
estado original, como por exemplo pode ser necessário tirar Print-Screens da área
de trabalho do usuário para uma demonstra¸cão em tribunais.
A documenta¸cão das tarefas executadas e evidências encontradas, bem como a manuten¸cão

41
da cadeia de custódia dos itens analisados, devem ser atividades rotineiras durante a
etapa de análise. Outra atividade importante é a correla¸cão das evidências encontradas
[9], permitindo, entre outras conclusões, determinar se houve realmente um incidente de
seguran¸ca; reconstruir as atividades do atacante; e identificar causas, suspeitos e con-
seqüências da invasão. Com base nos resultados obtidos pela investiga¸cão, um relatório
final pode ser elaborado (o laudo pericial, no caso de uma per´ıcia criminal), servindo
de base para amparar uma a¸cão judicial ou para auxiliar na reconstitui¸cão do sistema
comprometido e revisão das solu¸cões de seguran¸ca e da organiza¸cão.
3.3.2 Privacidade
Ao se fazer uma análise forense em uma máquina, sobretudo se ela atua como servidor
de e-mail, arquivos, entre outros, deve-se tomar uma série de cuidados a fim de se evitar
a invasão da privacidade dos usuários do sistema. São raras as vezes em que se deve
fazer uma busca em todos os arquivos de uma máquina, seja devido a natureza do que
se procura ou por limita¸cões de processamento [26], já que um grande servidor pode
conter uma capacidade de armazenamento muito grande, o que pode tornar proibitiva tal
opera¸cão. O ideal é que se defina um escopo, restringindo ao máximo a área de atua¸cão
da análise, evitando-se violar a privacidade de usuários inocentes
O problema da viola¸cão de privacidade muitas vezes pode ser contornado através da
institui¸cão de uma pol´ıtica de seguran¸ca clara e de conhecimento de todos os usuários,
que contemple a possibilidade de vistoria em arquivos, e-mails e outros dados pessoais.
Tal possibilidade deve ser seguida pela identifica¸cão de quem teria o poder para vasculhar
os arquivos alheios, das circunstâncias em que essa medida pode ser tomada e de como o
dono dos arquivos será notificado [4].
Pol´ıticas de seguran¸ca que contêm tais abordagens são bastante polêmicas, assim como
a decisão de se instalar câmeras de vigilância na sala de café, ou na sala onde se concentram
os servidores em uma organiza¸cão. Contudo, deve-se conseguir um consenso na defini¸cão
dos eventos que podem gerar a quebra do sigilo eletrônico, de forma que esta possibilidade
deve ser tratada como uma medida extrema.

42
3.3.3 Duplica¸cão Forense
Evidências armazenadas em formato digital são capazes de determinar se um sistema
computacional sofreu uma viola¸cão [3], ou que provêem uma liga¸cão com a v´ıtima ou com
o atacante, evidências desta natureza podem ser duplicadas com exatidão, sendo poss´ıvel
a verifica¸cão se sofreram altera¸cão com os métodos adequados; são altamente voláteis,
podendo ser alteradas durante a análise, caso as devidas precau¸cões não sejam tomadas.
A restaura¸cão de uma duplica¸cão forense pode ser complicada. É necessário garantir
que o disco r´ıgido a ser duplicado tenha uma capacidade maior do que a do disco original.
É poss´ıvel utilizar um disco r´ıgido de tamanho igual [42], mas tenha certeza de que os
discos são to mesmo fabricante, e mesmo assim falhas podem ocorrer devido a diferen¸cas de
especifica¸cão ou defeitos f´ısicos. Quando estiver restaurando uma duplica¸cão é essencial,
que o disco r´ıgido de origem esteja totalmente limpo.
3.3.4 Recupera¸cão de Arquivos Exclu´ıdos
Existem diversas ocasiões em que se torna necessário fazer uma recupera¸cão de arquivos
que já foram exclu´ıdos, é poss´ıvel recuperar as evidências que foram deletadas por usuários
maliciosos ou simplesmente foram apagadas por aqueles que quiseram ocultar suas in-
forma¸cões. Esses arquivos exclu´ıdos muito provavelmente serão aqueles que farão com
que a análise forense seja significante, para isso as técnicas utilizadas para a recupera¸cão
de dados devem ser excepcionais.
Arquivos deletados, não são realmente deletados, eles são meramente marcados para
dele¸cão. Por exemplo, quando um arquivo ou diretório é deletado de um sistema de
arquivos FAT, a primeira letra desse arquivo é alterada para o caracter sigma (σ), ou em
hexadecimal 0xE5. O que significa que esses arquivos permanecem intactos até que novos
dados tenham sobrescrito a área f´ısica em que esses arquivos exclu´ıdos estão localizados.
Ferramentas especiais podem localizar e encontrar esses arquivos exclu´ıdos “intactos” e
recuperá-los para revisão [22].
Entretanto a capacidade de recupera¸cão dos dados que são desejados depende dos
seguintes fatores conforme mostra a Tabela adaptada 3.3 [22]:

Computação Forense Aplicada à Resposta de Incidentes de Segurança

Computação Forense Aplicada à Resposta de Incidentes de Segurança

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a Computação Forense Aplicada à Resposta de Incidentes de Segurança

Semelhante a Computação Forense Aplicada à Resposta de Incidentes de Segurança (20)

Computação Forense Aplicada à Resposta de Incidentes de Segurança